Configurer le centre de contrôle Astra
Une fois Astra Control Center installé, connectez-vous à l'interface utilisateur et modifiez votre mot de passe, vous pouvez configurer une licence, ajouter des clusters, activer l'authentification, gérer le stockage et ajouter des compartiments.
Ajoutez une licence pour Astra Control Center
Lorsque vous installez Astra Control Center, une licence d'évaluation intégrée est déjà installée. Si vous évaluez Astra Control Center, vous pouvez ignorer cette étape.
Vous pouvez ajouter une nouvelle licence à l'aide de l'interface utilisateur Astra Control ou "API".
Les licences Astra Control Center mesurent les ressources CPU avec des unités de processeur Kubernetes et représentent les ressources de processeur attribuées aux nœuds de travail de tous les clusters Kubernetes gérés. Les licences dépendent de l'utilisation des processeurs virtuels. Pour plus d'informations sur le calcul des licences, reportez-vous à la section "Licences".
Si votre installation dépasse le nombre de processeurs sous licence, Astra Control Center vous empêche de gérer de nouvelles applications. Une alerte s'affiche lorsque la capacité est dépassée. |
Pour mettre à jour une évaluation existante ou une licence complète, reportez-vous à la section "Mettre à jour une licence existante". |
-
Accès à une instance Astra Control Center récemment installée.
-
Autorisations de rôle d'administrateur.
-
A "Fichier de licence NetApp" (NLF).
-
Connectez-vous à l'interface utilisateur du centre de contrôle Astra.
-
Sélectionnez compte > Licence.
-
Sélectionnez Ajouter licence.
-
Accédez au fichier de licence (NLF) que vous avez téléchargé.
-
Sélectionnez Ajouter licence.
La page Account > License affiche les informations de licence, la date d'expiration, le numéro de série de licence, l'ID de compte et les unités UC utilisées.
Si vous disposez d'une licence d'évaluation et que vous n'envoyez pas de données à AutoSupport, assurez-vous de stocker votre identifiant de compte pour éviter toute perte de données en cas de défaillance d'Astra Control Center. |
Préparez votre environnement à la gestion des clusters avec Astra Control
Avant d'ajouter un cluster, assurez-vous que les conditions préalables suivantes sont remplies. Vous devez également effectuer des vérifications d'admissibilité pour vous assurer que votre cluster est prêt à être ajouté au Centre de contrôle Astra et créer des rôles pour la gestion du cluster.
-
Assurez-vous que les nœuds workers de votre cluster sont configurés avec les pilotes de stockage appropriés afin que les pods puissent interagir avec le système de stockage back-end.
-
Votre environnement répond au "de l'environnement opérationnel" Pour Astra Trident et Astra Control Center.
-
Une version d'Astra Trident "Pris en charge par Astra Control Center" est installé :
C'est possible "Déployez Astra Trident" À l'aide de l'opérateur Astra Trident (manuellement ou à l'aide du tableau Helm) ou tridentctl
. Avant d'installer ou de mettre à niveau Astra Trident, consultez le "systèmes front-end, systèmes back-end et configurations hôte pris en charge".-
Système back-end de stockage Astra Trident configuré : au moins un système back-end de stockage Astra Trident doit l'être "configuré" sur le cluster.
-
Classes de stockage Astra Trident configurées : au moins une classe de stockage Astra Trident doit être "configuré" sur le cluster. Si une classe de stockage par défaut est configurée, assurez-vous qu'elle est la seule classe de stockage qui possède l'annotation par défaut.
-
Contrôleur de snapshot de volume Astra Trident et classe de snapshot de volume installés et configurés : le contrôleur de snapshot de volume doit être "installé" Il est ainsi possible de créer des snapshots dans Astra Control. Au moins un Astra Trident
VolumeSnapshotClass
a été "configuration" par un administrateur.
-
-
Kubeconfig accessible: Vous avez accès au "cluster kubeconfig" qui ne comprend qu'un seul élément de contexte.
-
Informations d'identification ONTAP : vous avez besoin d'informations d'identification ONTAP et d'un superutilisateur et d'un ID utilisateur définis sur le système ONTAP de sauvegarde pour sauvegarder et restaurer des applications avec le Centre de contrôle Astra.
Exécutez les commandes suivantes dans la ligne de commande ONTAP :
export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534
-
Rancher uniquement: Lorsque vous gérez des clusters d'applications dans un environnement Rancher, modifiez le contexte par défaut du cluster d'applications dans le fichier kubeconfig fourni par Rancher pour utiliser un contexte de plan de contrôle au lieu du contexte du serveur d'API Rancher. La charge est réduite sur le serveur API Rancher et les performances sont améliorées.
Effectuer des vérifications d'éligibilité
Effectuez les contrôles d'éligibilité suivants pour vous assurer que votre grappe est prête à être ajoutée au Centre de contrôle Astra.
-
Vérifiez la version d'Astra Trident.
kubectl get tridentversions -n trident
Si Astra Trident existe, le résultat de cette commande est similaire à ce qui suit :
NAME VERSION trident 22.10.0
Si Astra Trident n'existe pas, le résultat est similaire à ce qui suit :
error: the server doesn't have a resource type "tridentversions"
Si Astra Trident n'est pas installé ou si la version installée n'est pas la plus récente, vous devez installer la dernière version d'Astra Trident avant de continuer. Reportez-vous à la "Documentation Astra Trident" pour obtenir des instructions. -
Assurez-vous que les pods fonctionnent :
kubectl get pods -n trident
-
Déterminez si les classes de stockage utilisent les pilotes Astra Trident pris en charge. Le nom de provisionnement doit être
csi.trident.netapp.io
. Voir l'exemple suivant :kubectl get sc
Exemple de réponse :
NAME PROVISIONER RECLAIMPOLICY VOLUMEBINDINGMODE ALLOWVOLUMEEXPANSION AGE ontap-gold (default) csi.trident.netapp.io Delete Immediate true 5d23h
Créez un nombre limité de rôles de cluster kubeconfig
Vous pouvez éventuellement créer un rôle d'administrateur limité pour Astra Control Center. Il ne s'agit pas d'une procédure requise pour la configuration du centre de contrôle Astra. Cette procédure permet de créer un kubeconfig distinct qui limite les autorisations de contrôle Astra sur les clusters qu'il gère.
Assurez-vous que vous disposez des éléments suivants pour le cluster que vous souhaitez gérer avant d'effectuer la procédure suivante :
-
kubectl v1.23 ou version ultérieure installée
-
Accès kubectl au cluster que vous souhaitez ajouter et gérer avec Astra Control Center
Pour cette procédure, il n'est pas nécessaire d'avoir un accès kubectl au cluster qui exécute Astra Control Center. -
Un kubeconfig actif pour le cluster que vous avez l'intention de gérer avec des droits d'administrateur de cluster pour le contexte actif
Étapes
-
Créer un compte de service :
-
Créez un fichier de compte de service appelé
astracontrol-service-account.yaml
.Ajustez le nom et l'espace de noms selon vos besoins. Si des modifications sont apportées ici, vous devez appliquer les mêmes modifications dans les étapes suivantes.
astracontrol-service-account.yaml
+
apiVersion: v1 kind: ServiceAccount metadata: name: astracontrol-service-account namespace: default
-
Appliquer le compte de service :
kubectl apply -f astracontrol-service-account.yaml
-
-
Créez un rôle de cluster limité avec le minimum d'autorisations nécessaires à la gestion d'un cluster par Astra Control :
-
Créer un
ClusterRole
fichier appeléastra-admin-account.yaml
.Ajustez le nom et l'espace de noms selon vos besoins. Si des modifications sont apportées ici, vous devez appliquer les mêmes modifications dans les étapes suivantes.
astra-admin-account.yaml
+
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: astra-admin-account rules: # Get, List, Create, and Update all resources # Necessary to backup and restore all resources in an app - apiGroups: - '*' resources: - '*' verbs: - get - list - create - patch # Delete Resources # Necessary for in-place restore and AppMirror failover - apiGroups: - "" - apps - autoscaling - batch - crd.projectcalico.org - extensions - networking.k8s.io - policy - rbac.authorization.k8s.io - snapshot.storage.k8s.io - trident.netapp.io resources: - configmaps - cronjobs - daemonsets - deployments - horizontalpodautoscalers - ingresses - jobs - namespaces - networkpolicies - persistentvolumeclaims - poddisruptionbudgets - pods - podtemplates - podsecuritypolicies - replicasets - replicationcontrollers - replicationcontrollers/scale - rolebindings - roles - secrets - serviceaccounts - services - statefulsets - tridentmirrorrelationships - tridentsnapshotinfos - volumesnapshots - volumesnapshotcontents verbs: - delete # Watch resources # Necessary to monitor progress - apiGroups: - "" resources: - pods - replicationcontrollers - replicationcontrollers/scale verbs: - watch # Update resources - apiGroups: - "" - build.openshift.io - image.openshift.io resources: - builds/details - replicationcontrollers - replicationcontrollers/scale - imagestreams/layers - imagestreamtags - imagetags verbs: - update # Use PodSecurityPolicies - apiGroups: - extensions - policy resources: - podsecuritypolicies verbs: - use
-
Appliquer le rôle de cluster :
kubectl apply -f astra-admin-account.yaml
-
-
Créer la liaison de rôle cluster pour le rôle cluster vers le compte de service :
-
Créer un
ClusterRoleBinding
fichier appeléastracontrol-clusterrolebinding.yaml
.Ajustez les noms et espaces de noms modifiés lors de la création du compte de service, le cas échéant.
astracontrol-clusterrolebinding.yaml
+
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: astracontrol-admin roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: astra-admin-account subjects: - kind: ServiceAccount name: astracontrol-service-account namespace: default
-
Appliquer la liaison de rôle de cluster :
kubectl apply -f astracontrol-clusterrolebinding.yaml
-
-
Indiquez les secrets du compte de service, en les remplaçant
<context>
avec le contexte approprié pour votre installation :kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json
La fin de la sortie doit ressembler à ce qui suit :
"secrets": [ { "name": "astracontrol-service-account-dockercfg-vhz87"}, { "name": "astracontrol-service-account-token-r59kr"} ]
Les indices pour chaque élément dans
secrets
la matrice commence par 0. Dans l'exemple ci-dessus, l'index deastracontrol-service-account-dockercfg-vhz87
serait 0 et l'index pourastracontrol-service-account-token-r59kr
serait 1. Dans votre résultat, notez l'index du nom du compte de service qui contient le mot "jeton". -
Générez le kubeconfig comme suit :
-
Créer un
create-kubeconfig.sh
fichier. RemplacementTOKEN_INDEX
au début du script suivant avec la valeur correcte.create-kubeconfig.sh
# Update these to match your environment. # Replace TOKEN_INDEX with the correct value # from the output in the previous step. If you # didn't change anything else above, don't change # anything else here. SERVICE_ACCOUNT_NAME=astracontrol-service-account NAMESPACE=default NEW_CONTEXT=astracontrol KUBECONFIG_FILE='kubeconfig-sa' CONTEXT=$(kubectl config current-context) SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \ --context ${CONTEXT} \ --namespace ${NAMESPACE} \ -o jsonpath='{.secrets[TOKEN_INDEX].name}') TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \ --context ${CONTEXT} \ --namespace ${NAMESPACE} \ -o jsonpath='{.data.token}') TOKEN=$(echo ${TOKEN_DATA} | base64 -d) # Create dedicated kubeconfig # Create a full copy kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp # Switch working context to correct context kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT} # Minify kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \ config view --flatten --minify > ${KUBECONFIG_FILE}.tmp # Rename context kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ rename-context ${CONTEXT} ${NEW_CONTEXT} # Create token user kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-credentials ${CONTEXT}-${NAMESPACE}-token-user \ --token ${TOKEN} # Set context to use token user kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user # Set context to correct namespace kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-context ${NEW_CONTEXT} --namespace ${NAMESPACE} # Flatten/minify kubeconfig kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ view --flatten --minify > ${KUBECONFIG_FILE} # Remove tmp rm ${KUBECONFIG_FILE}.full.tmp rm ${KUBECONFIG_FILE}.tmp
-
Source des commandes à appliquer à votre cluster Kubernetes.
source create-kubeconfig.sh
-
-
(Facultatif) Renommer le kubeconfig pour nommer votre cluster.
mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig
Et la suite ?
Maintenant que vous avez vérifié que les conditions préalables sont remplies, vous êtes prêt à ajouter un cluster.
Ajouter un cluster
Pour commencer à gérer vos applications, ajoutez un cluster Kubernetes et gérez-le comme une ressource de calcul. Il faut ajouter un cluster pour découvrir vos applications Kubernetes pour Astra Control Center.
Nous vous recommandons de gérer le cluster qu'Astra Control Center déploie en premier avant d'ajouter d'autres clusters à Astra Control Center. La gestion du cluster initial est nécessaire pour envoyer les données Kubemetrics et les données associées au cluster pour les mesures et le dépannage. |
-
Avant d'ajouter un cluster, vérifiez et effectuez les opérations nécessaires tâches préalables.
-
Naviguer à partir du menu Tableau de bord ou clusters :
-
Dans Dashboard, sélectionnez Add dans le volet clusters.
-
Dans la zone de navigation de gauche, sélectionnez clusters, puis Ajouter un cluster à partir de la page clusters.
-
-
Dans la fenêtre Ajouter un cluster qui s'ouvre, chargez un
kubeconfig.yaml
classez le contenu d'unkubeconfig.yaml
fichier.Le kubeconfig.yaml
le fichier doit inclure uniquement les informations d'identification du cluster pour un cluster.Si vous créez la vôtre kubeconfig
fichier, vous ne devez définir que un élément de contexte dans celui-ci. Reportez-vous à la section "Documentation Kubernetes" pour plus d'informations sur la créationkubeconfig
fichiers. Si vous avez créé un kubeconfig pour un rôle de cluster limité à l'aide de le processus ci-dessus, assurez-vous de télécharger ou de coller ce kubeconfig dans cette étape. -
Indiquez un nom d'identification. Par défaut, le nom des identifiants est automatiquement renseigné comme nom du cluster.
-
Sélectionnez Suivant.
-
Sélectionnez la classe de stockage par défaut à utiliser pour ce cluster Kubernetes et sélectionnez Suivant.
Vous devez sélectionner une classe de stockage Astra Trident reposant sur le stockage ONTAP. -
Passez en revue les informations, et si tout semble bien, sélectionnez Ajouter.
Le cluster passe à l'état découverte, puis passe à sain. Vous gérez maintenant le cluster avec Astra Control Center.
Une fois que vous avez ajouté un cluster à gérer dans Astra Control Center, le déploiement de l'opérateur de surveillance peut prendre quelques minutes. En attendant, l'icône notification devient rouge et consigne un événement échec de la vérification de l'état de l'agent de surveillance. Vous pouvez ignorer cela car le problème résout lorsque le centre de contrôle Astra obtient le statut correct. Si le problème ne résout pas le problème en quelques minutes, accédez au cluster, puis exécutez-le oc get pods -n netapp-monitoring comme point de départ. Vous devrez consulter les journaux de l'opérateur de surveillance pour déboguer le problème.
|
Activez l'authentification sur le back-end de stockage ONTAP
ASTRA Control Center offre deux modes d'authentification d'un backend ONTAP :
-
Authentification basée sur les informations d'identification : le nom d'utilisateur et le mot de passe d'un utilisateur ONTAP avec les autorisations requises. Vous devez utiliser un rôle de connexion de sécurité prédéfini, tel que admin ou vsadmin, pour assurer une compatibilité maximale avec les versions de ONTAP.
-
Authentification basée sur un certificat : Astra Control Center peut également communiquer avec un cluster ONTAP à l'aide d'un certificat installé sur le back-end. Vous devez utiliser le certificat client, la clé et le certificat de l'autorité de certification approuvée, le cas échéant (recommandé).
Vous pouvez par la suite mettre à jour les systèmes back-end existants pour passer d'un type d'authentification à une autre. Une seule méthode d'authentification est prise en charge à la fois.
Activer l'authentification basée sur les informations d'identification
ASTRA Control Center requiert les identifiants d'un cluster-scoped admin
Pour communiquer avec le backend ONTAP. Vous devez utiliser des rôles standard prédéfinis, tels que admin
. La compatibilité avec les futures versions d'ONTAP qui pourraient exposer les API de fonctionnalités à utiliser dans les futures versions d'Astra Control Center est ainsi garantie.
Un rôle de connexion de sécurité personnalisé peut être créé et utilisé avec Astra Control Center, mais il n'est pas recommandé. |
Un exemple de définition de back-end se présente comme suit :
{ "version": 1, "backendName": "ExampleBackend", "storageDriverName": "ontap-nas", "managementLIF": "10.0.0.1", "dataLIF": "10.0.0.2", "svm": "svm_nfs", "username": "admin", "password": "secret" }
La définition du back-end est le seul endroit où les informations d'identification sont stockées en texte brut. La création ou la mise à jour d'un back-end est la seule étape qui nécessite la connaissance des informations d'identification. Il s'agit donc d'une opération réservée à l'administrateur du stockage ou de Kubernetes.
Activer l'authentification basée sur certificat
ASTRA Control Center peut utiliser des certificats pour communiquer avec les systèmes back-end ONTAP, nouveaux et existants. Vous devez entrer les informations suivantes dans la définition du back-end.
-
clientCertificate
: Certificat client. -
clientPrivateKey
: Clé privée associée. -
trustedCACertificate
: Certificat de l'autorité de certification approuvée. Si vous utilisez une autorité de certification approuvée, ce paramètre doit être fourni. Ceci peut être ignoré si aucune autorité de certification approuvée n'est utilisée.
Vous pouvez utiliser l'un des types de certificats suivants :
-
Certificat auto-signé
-
Certificat tiers
Activez l'authentification avec un certificat auto-signé
Un flux de travail type comprend les étapes suivantes.
-
Générez un certificat client et une clé. Lors de la génération, définissez le nom commun (CN) sur l'utilisateur ONTAP pour s'authentifier en tant que.
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"
-
Installez le certificat client de type
client-ca
Et sur le cluster ONTAP.security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name> security ssl modify -vserver <vserver-name> -client-enabled true
-
Vérifiez que le rôle de connexion de sécurité ONTAP prend en charge la méthode d'authentification par certificat.
security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name> security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>
-
Tester l'authentification à l'aide du certificat généré. Remplacer <LIF> et <vserver name> de ONTAP par l'IP et le nom du SVM de la LIF de gestion. Vous devez vous assurer que le LIF a sa politique de service définie sur
default-data-management
.curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>
-
À l'aide des valeurs obtenues à l'étape précédente, ajoutez le back-end de stockage dans l'interface utilisateur d'Astra Control Center.
Activez l'authentification à l'aide d'un certificat tiers
Si vous disposez d'un certificat tiers, vous pouvez configurer l'authentification basée sur un certificat à l'aide de ces étapes.
-
Générer la clé privée et la RSC :
openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”
-
Transmettez la RSC à l'autorité de certification Windows (autorité de certification tierce) et émettez le certificat signé.
-
Téléchargez le certificat signé et nommez-le « ontap_signed_cert.crt ».
-
Exportez le certificat racine à partir de l'autorité de certification Windows (autorité de certification tierce).
-
Nommez ce fichier
ca_root.crt
Vous disposez maintenant des trois fichiers suivants :
-
Clé privée :
ontap_signed_request.key
(Il s'agit de la clé correspondante pour le certificat de serveur dans ONTAP. Elle est nécessaire lors de l'installation du certificat du serveur.) -
Certificat signé:
ontap_signed_cert.crt
(Il s'agit également du certificat de serveur dans ONTAP.) -
Certificat CA racine :
ca_root.crt
(Il s'agit également du certificat Server-ca dans ONTAP.)
-
-
Installez ces certificats dans ONTAP. Générer et installer
server
etserver-ca
Certificats sur ONTAP.Détails dans Sample.yaml
Details
# Copy the contents of ca_root.crt and use it here. security certificate install -type server-ca Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate details> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: === # Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file. security certificate install -type server Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate details> -----END CERTIFICATE----- Please enter Private Key: Press <Enter> when done -----BEGIN PRIVATE KEY----- <private key details> -----END PRIVATE KEY----- Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate. Do you want to continue entering root and/or intermediate certificates {y|n}: n The provided certificate does not have a common name in the subject field. Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME> You should keep a copy of the private key and the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: == # Modify the vserver settings to enable SSL for the installed certificate ssl modify -vserver <vserver_name> -ca <CA> -server-enabled true -serial <serial number> (security ssl modify) == # Verify if the certificate works fine: openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443 CONNECTED(00000005) depth=1 DC = local, DC = umca, CN = <CA> verify return:1 depth=0 verify return:1 write W BLOCK --- Certificate chain 0 s: i:/DC=local/DC=umca/<CA> -----BEGIN CERTIFICATE----- <Certificate details>
-
Créez le certificat client pour le même hôte pour la communication sans mot de passe. ASTRA Control Center utilise ce processus pour communiquer avec ONTAP.
-
Générer et installer les certificats client sur ONTAP :
Détails dans Sample.yaml
Details
# Use /CN=admin or use some other account which has privileges. openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin" Copy the content of ontap_test_client.pem file and use it in the below command: security certificate install -type client-ca -vserver <vserver_name> Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <Certificate details> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate’s CA and serial number for reference: CA: serial: The certificate’s generated name for reference: == ssl modify -vserver <vserver_name> -client-enabled true (security ssl modify) # Setting permissions for certificates security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name> security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name> == #Verify passwordless communication works fine with the use of only certificates: curl --cacert ontap_signed_cert.crt --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates { "records": [ { "uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd", "name": "<aggr_name>", "node": { "uuid": "7835876c-3484-11ed-97bb-d039ea50375c", "name": "<node_name>", "_links": { "self": { "href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c" } } }, "_links": { "self": { "href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd" } } } ], "num_records": 1, "_links": { "self": { "href": "/api/storage/aggregates" } } }%
-
Ajoutez le système back-end de stockage dans l'interface utilisateur d'Astra Control Center et fournissez les valeurs suivantes :
-
Certificat client : ontap_test_client.pem
-
Clé privée : ontap_test_client.key
-
Certificat CA de confiance : ontap_signed_cert.crt
-
Ajout d'un système back-end
Vous pouvez ajouter un système de stockage back-end ONTAP à Astra Control Center pour gérer ses ressources.
La gestion des clusters de stockage d'Astra Control en tant que backend de stockage vous permet d'obtenir des liens entre les volumes persistants (PVS) et le back-end de stockage, ainsi que des metrics de stockage supplémentaires.
Après avoir configuré les informations d'identification ou d'authentification de certificat, vous pouvez ajouter un système back-end de stockage ONTAP existant à Astra Control Center pour gérer ses ressources.
-
Dans la zone de navigation gauche du tableau de bord, sélectionnez Backends.
-
Sélectionnez Ajouter.
-
Dans la section utiliser existant de la page Ajouter un back-end de stockage, sélectionnez ONTAP.
-
Sélectionnez l'une des options suivantes :
-
Utiliser les informations d'identification de l'administrateur : saisissez l'adresse IP de gestion du cluster ONTAP et les informations d'identification de l'administrateur. Les identifiants doivent être identifiants au niveau du cluster.
L'utilisateur dont vous saisissez ici les informations d'identification doit disposer du ontapi
Méthode d'accès de connexion utilisateur activée dans ONTAP System Manager sur le cluster ONTAP. Si vous prévoyez d'utiliser la réplication SnapMirror, appliquez les identifiants de l'utilisateur au rôle « admin », qui dispose des méthodes d'accèsontapi
ethttp
, Sur les clusters ONTAP source et destination. Reportez-vous à la section "Gérer les comptes utilisateur dans la documentation ONTAP" pour en savoir plus. -
Utiliser un certificat: Télécharger le certificat
.pem
fichier, la clé de certificat.key
et éventuellement le fichier de l'autorité de certification.
-
-
Sélectionnez Suivant.
-
Confirmez les détails du back-end et sélectionnez gérer.
Le back-end s'affiche dans le online
état dans la liste avec des informations récapitulatives.
Vous devrez peut-être actualiser la page pour que le back-end apparaisse. |
Ajouter un godet
Vous pouvez ajouter un compartiment à l'aide de l'interface utilisateur Astra Control ou "API". Il est essentiel d'ajouter des fournisseurs de compartiments de stockage objet pour sauvegarder les applications et le stockage persistant ou pour cloner les applications entre les clusters. Astra Control stocke les sauvegardes ou les clones dans les compartiments de magasin d'objets que vous définissez.
Si vous clonez la configuration de vos applications et le stockage persistant vers le même cluster, il n'est pas nécessaire d'utiliser un compartiment dans Astra Control. La fonctionnalité de copie Snapshot des applications ne nécessite pas de compartiment.
-
Compartiment accessible depuis vos clusters gérés par Astra Control Center.
-
Identifiants pour le compartiment.
-
Un godet des types suivants :
-
NetApp ONTAP S3
-
NetApp StorageGRID S3
-
Microsoft Azure
-
S3 générique
-
Amazon Web Services (AWS) et Google Cloud Platform (GCP) utilisent le type de compartiment S3 générique. |
Bien qu'Astra Control Center prenne en charge Amazon S3 en tant que fournisseur de compartiments génériques, Astra Control Center peut ne pas prendre en charge tous les fournisseurs de magasins d'objets qui affirment la prise en charge d'Amazon S3. |
-
Dans la zone de navigation de gauche, sélectionnez godets.
-
Sélectionnez Ajouter.
-
Sélectionner le type de godet.
Lorsque vous ajoutez un compartiment, sélectionnez le fournisseur approprié et fournissez les identifiants appropriés pour ce fournisseur. Par exemple, l'interface utilisateur accepte NetApp ONTAP S3 comme type et accepte les identifiants StorageGRID. Toutefois, toutes les futures sauvegardes et restaurations des applications à l'aide de ce compartiment échoueront. -
Saisissez un nom de compartiment existant et une description facultative.
Le nom et la description du compartiment apparaissent comme un emplacement de sauvegarde que vous pouvez choisir plus tard lors de la création d'une sauvegarde. Ce nom apparaît également lors de la configuration de la règle de protection. -
Entrez le nom ou l'adresse IP du terminal S3.
-
Sous Sélectionner les informations d'identification, choisissez l'onglet Ajouter ou utiliser l'onglet existant.
-
Si vous avez choisi Ajouter:
-
Saisissez un nom pour l'identifiant qui le distingue des autres identifiants dans Astra Control.
-
Saisissez l'ID d'accès et la clé secrète en collant le contenu dans le presse-papiers.
-
-
Si vous avez choisi utiliser existant:
-
Sélectionnez les informations d'identification existantes à utiliser avec le compartiment.
-
-
-
Sélectionnez
Add
.Lorsque vous ajoutez un godet, Astra Control marque un godet avec l'indicateur de compartiment par défaut. Le premier compartiment que vous créez devient le compartiment par défaut. Au fur et à mesure que vous ajoutez des compartiments, vous pourrez décider plus tard "définir un autre compartiment par défaut".
Et la suite ?
Maintenant que vous êtes connecté et que vous avez ajouté des clusters à Astra Control Center, vous êtes prêt à utiliser les fonctionnalités de gestion des données applicatives d'Astra Control Center.