Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer le centre de contrôle Astra

Contributeurs

Une fois Astra Control Center installé, connectez-vous à l'interface utilisateur et modifiez votre mot de passe, vous pouvez configurer une licence, ajouter des clusters, activer l'authentification, gérer le stockage et ajouter des compartiments.

Ajoutez une licence pour Astra Control Center

Lorsque vous installez Astra Control Center, une licence d'évaluation intégrée est déjà installée. Si vous évaluez Astra Control Center, vous pouvez ignorer cette étape.

Vous pouvez ajouter une nouvelle licence à l'aide de l'interface utilisateur Astra Control ou "API de contrôle Astra".

Les licences Astra Control Center mesurent les ressources CPU avec des unités de processeur Kubernetes et représentent les ressources de processeur attribuées aux nœuds de travail de tous les clusters Kubernetes gérés. Les licences dépendent de l'utilisation des processeurs virtuels. Pour plus d'informations sur le calcul des licences, reportez-vous à la section "Licences".

Remarque Si votre installation dépasse le nombre de processeurs sous licence, Astra Control Center vous empêche de gérer de nouvelles applications. Une alerte s'affiche lorsque la capacité est dépassée.
Remarque Pour mettre à jour une évaluation existante ou une licence complète, reportez-vous à la section "Mettre à jour une licence existante".
Avant de commencer
  • Accès à une instance Astra Control Center récemment installée.

  • Autorisations de rôle d'administrateur.

  • A "Fichier de licence NetApp" (NLF).

Étapes
  1. Connectez-vous à l'interface utilisateur du centre de contrôle Astra.

  2. Sélectionnez compte > Licence.

  3. Sélectionnez Ajouter licence.

  4. Accédez au fichier de licence (NLF) que vous avez téléchargé.

  5. Sélectionnez Ajouter licence.

La page Account > License affiche les informations de licence, la date d'expiration, le numéro de série de licence, l'ID de compte et les unités UC utilisées.

Remarque Si vous disposez d'une licence d'évaluation et que vous n'envoyez pas de données à AutoSupport, assurez-vous de stocker votre identifiant de compte pour éviter toute perte de données en cas de défaillance d'Astra Control Center.

Préparez votre environnement à la gestion des clusters avec Astra Control

Avant d'ajouter un cluster, assurez-vous que les conditions préalables suivantes sont remplies. Vous devez également effectuer des vérifications d'admissibilité pour vous assurer que votre cluster est prêt à être ajouté au Centre de contrôle Astra et créer des rôles pour la gestion du cluster.

Avant de commencer
  • Respecter les conditions préalables environnementales : votre environnement répond à la "de l'environnement opérationnel" Pour Astra Trident et Astra Control Center.

  • Configurer les nœuds worker : assurez-vous de configurer les nœuds worker de votre cluster avec les pilotes de stockage appropriés pour que les pods puissent interagir avec le stockage back-end.

  • Rendre kubeconfig. accessible: Vous avez accès au "configuration par défaut du cluster" ça "vous avez configuré lors de l'installation".

  • Considérations relatives à l'autorité de certification : si vous ajoutez le cluster à l'aide d'un fichier kubeconfig qui fait référence à une autorité de certification privée (AC), ajoutez la ligne suivante au cluster section du fichier kubeconfig. Cela permet à Astra Control d'ajouter le cluster :

    insecure-skip-tls-verify: true
  • Activer les restrictions PSA : si l'application d'admission de sécurité du pod est activée sur votre cluster, ce qui est standard pour les clusters Kubernetes 1.25 et versions ultérieures, vous devez activer les restrictions PSA sur ces espaces de noms :

    • netapp-acc-operator espace de noms :

      kubectl label --overwrite ns netapp-acc-operator pod-security.kubernetes.io/enforce=privileged
    • netapp monitoring espace de noms :

      kubectl label --overwrite ns netapp-monitoring pod-security.kubernetes.io/enforce=privileged
  • Exigences relatives à Astra Trident :

    • Installez une version prise en charge : une version d'Astra Trident qui est "Pris en charge par Astra Control Center" est installé :

      Remarque C'est possible "Déployez Astra Trident" À l'aide de l'opérateur Astra Trident (manuellement ou à l'aide du tableau Helm) ou tridentctl. Avant d'installer ou de mettre à niveau Astra Trident, consultez le "systèmes front-end, systèmes back-end et configurations hôte pris en charge".
    • Configurer un système back-end de stockage Astra Trident : au moins un système back-end de stockage Astra Trident doit l'être "configuré" sur le cluster.

    • Configurer une classe de stockage Astra Trident : au moins une classe de stockage Astra Trident doit l'être "configuré" sur le cluster. Si une classe de stockage par défaut est configurée, assurez-vous qu'elle est la seule classe de stockage qui possède l'annotation par défaut.

    • Configurer un contrôleur de snapshot de volume Astra Trident et installer une classe de snapshot de volume : le contrôleur de snapshot de volume doit être "installé" Il est ainsi possible de créer des snapshots dans Astra Control. Au moins un Astra Trident VolumeSnapshotClass a été "configuration" par un administrateur.

  • Astra Control Provisioner : pour utiliser les fonctionnalités avancées de gestion et de provisionnement de stockage d'Astra Control Provisioner accessibles uniquement aux utilisateurs d'Astra Control, vous devez installer Astra Trident 23.10 ou version ultérieure et activer "Fonctionnalité Astra Control Provisioner".

  • Informations d'identification ONTAP : vous avez besoin d'informations d'identification ONTAP et d'un superutilisateur et d'un ID utilisateur définis sur le système ONTAP de sauvegarde pour sauvegarder et restaurer des applications avec le Centre de contrôle Astra.

    Exécutez les commandes suivantes dans la ligne de commande ONTAP :

    export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys
    export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534
  • Rancher uniquement: Lorsque vous gérez des clusters d'applications dans un environnement Rancher, modifiez le contexte par défaut du cluster d'applications dans le fichier kubeconfig fourni par Rancher pour utiliser un contexte de plan de contrôle au lieu du contexte du serveur d'API Rancher. La charge est réduite sur le serveur API Rancher et les performances sont améliorées.

Effectuer des vérifications d'éligibilité

Effectuez les contrôles d'éligibilité suivants pour vous assurer que votre grappe est prête à être ajoutée au Centre de contrôle Astra.

Étapes
  1. Vérifiez la version d'Astra Trident.

    kubectl get tridentversions -n trident

    Si Astra Trident existe, le résultat de cette commande est similaire à ce qui suit :

    NAME      VERSION
    trident   23.XX.X

    Si Astra Trident n'existe pas, le résultat est similaire à ce qui suit :

    error: the server doesn't have a resource type "tridentversions"
    Remarque Si Astra Trident n'est pas installé ou si la version installée n'est pas la plus récente, vous devez installer la dernière version d'Astra Trident avant de continuer. Reportez-vous à la "Documentation Astra Trident" pour obtenir des instructions.
  2. Assurez-vous que les pods fonctionnent :

    kubectl get pods -n trident
  3. Déterminez si les classes de stockage utilisent les pilotes Astra Trident pris en charge. Le nom de provisionnement doit être csi.trident.netapp.io. Voir l'exemple suivant :

    kubectl get sc

    Exemple de réponse :

    NAME                  PROVISIONER            RECLAIMPOLICY  VOLUMEBINDINGMODE  ALLOWVOLUMEEXPANSION  AGE
    ontap-gold (default)  csi.trident.netapp.io  Delete         Immediate          true                  5d23h

Créez un kubeconfig pour le rôle de cluster

Vous pouvez éventuellement créer une autorisation limitée ou un rôle d'administrateur d'autorisations étendues pour Astra Control Center. Il ne s'agit pas d'une procédure requise pour la configuration d'Astra Control Center, car vous avez déjà configuré un kubeconfig dans le cadre du "processus d'installation".

Cette procédure vous aide à créer un kubeconfig distinct si l'un des scénarios suivants s'applique à votre environnement :

  • Vous souhaitez limiter les autorisations Astra Control sur les clusters qu'il gère

  • Vous utilisez plusieurs contextes et ne pouvez pas utiliser le kubeconfig Astra Control par défaut configuré lors de l'installation, sinon un rôle limité avec un seul contexte ne fonctionnera pas dans votre environnement

Avant de commencer

Assurez-vous que vous disposez des éléments suivants pour le cluster que vous souhaitez gérer avant d'effectuer la procédure suivante :

  • kubectl v1.23 ou version ultérieure installée

  • Accès kubectl au cluster que vous souhaitez ajouter et gérer avec Astra Control Center

    Remarque Pour cette procédure, il n'est pas nécessaire d'avoir un accès kubectl au cluster qui exécute Astra Control Center.
  • Un kubeconfig actif pour le cluster que vous avez l'intention de gérer avec des droits d'administrateur de cluster pour le contexte actif

Étapes
  1. Créer un compte de service :

    1. Créez un fichier de compte de service appelé astracontrol-service-account.yaml.

      Ajustez le nom et l'espace de noms selon vos besoins. Si des modifications sont apportées ici, vous devez appliquer les mêmes modifications dans les étapes suivantes.

    astracontrol-service-account.yaml

    +

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: astracontrol-service-account
      namespace: default
    1. Appliquer le compte de service :

      kubectl apply -f astracontrol-service-account.yaml
  2. Créez l'un des rôles de cluster suivants avec des autorisations suffisantes pour qu'un cluster soit géré par Astra Control :

    • Rôle de cluster limité : ce rôle contient les autorisations minimales nécessaires à la gestion d'un cluster par Astra Control :

      Développez pour les étapes
      1. Créer un ClusterRole fichier appelé, par exemple, astra-admin-account.yaml.

        Ajustez le nom et l'espace de noms selon vos besoins. Si des modifications sont apportées ici, vous devez appliquer les mêmes modifications dans les étapes suivantes.

        astra-admin-account.yaml
        apiVersion: rbac.authorization.k8s.io/v1
        kind: ClusterRole
        metadata:
          name: astra-admin-account
        rules:
        
        # Get, List, Create, and Update all resources
        # Necessary to backup and restore all resources in an app
        - apiGroups:
          - '*'
          resources:
          - '*'
          verbs:
          - get
          - list
          - create
          - patch
        
        # Delete Resources
        # Necessary for in-place restore and AppMirror failover
        - apiGroups:
          - ""
          - apps
          - autoscaling
          - batch
          - crd.projectcalico.org
          - extensions
          - networking.k8s.io
          - policy
          - rbac.authorization.k8s.io
          - snapshot.storage.k8s.io
          - trident.netapp.io
          resources:
          - configmaps
          - cronjobs
          - daemonsets
          - deployments
          - horizontalpodautoscalers
          - ingresses
          - jobs
          - namespaces
          - networkpolicies
          - persistentvolumeclaims
          - poddisruptionbudgets
          - pods
          - podtemplates
          - podsecuritypolicies
          - replicasets
          - replicationcontrollers
          - replicationcontrollers/scale
          - rolebindings
          - roles
          - secrets
          - serviceaccounts
          - services
          - statefulsets
          - tridentmirrorrelationships
          - tridentsnapshotinfos
          - volumesnapshots
          - volumesnapshotcontents
          verbs:
          - delete
        
        # Watch resources
        # Necessary to monitor progress
        - apiGroups:
          - ""
          resources:
          - pods
          - replicationcontrollers
          - replicationcontrollers/scale
          verbs:
          - watch
        
        # Update resources
        - apiGroups:
          - ""
          - build.openshift.io
          - image.openshift.io
          resources:
          - builds/details
          - replicationcontrollers
          - replicationcontrollers/scale
          - imagestreams/layers
          - imagestreamtags
          - imagetags
          verbs:
          - update
        
        # Use PodSecurityPolicies
        - apiGroups:
          - extensions
          - policy
          resources:
          - podsecuritypolicies
          verbs:
          - use
      2. (Pour les clusters OpenShift uniquement) Ajouter les éléments suivants à la fin du astra-admin-account.yaml ou après # Use PodSecurityPolicies section :

        # OpenShift security
        - apiGroups:
          - security.openshift.io
          resources:
          - securitycontextconstraints
          verbs:
          - use
      3. Appliquer le rôle de cluster :

        kubectl apply -f astra-admin-account.yaml
    • Rôle de cluster étendu : ce rôle contient des autorisations étendues pour un cluster devant être géré par Astra Control. Vous pouvez utiliser ce rôle si vous utilisez plusieurs contextes et que vous ne pouvez pas utiliser le kubeconfig Astra Control par défaut configuré lors de l'installation, ou si un rôle limité avec un seul contexte ne fonctionnera pas dans votre environnement :

      Remarque Les éléments suivants ClusterRole Les étapes constituent un exemple Kubernetes général. Pour des instructions spécifiques à votre environnement, reportez-vous à la documentation de votre distribution Kubernetes.
    Développez pour les étapes
    1. Créer un ClusterRole fichier appelé, par exemple, astra-admin-account.yaml.

      Ajustez le nom et l'espace de noms selon vos besoins. Si des modifications sont apportées ici, vous devez appliquer les mêmes modifications dans les étapes suivantes.

      astra-admin-account.yaml
      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRole
      metadata:
        name: astra-admin-account
      rules:
      - apiGroups:
        - '*'
        resources:
        - '*'
        verbs:
        - '*'
      - nonResourceURLs:
        - '*'
        verbs:
        - '*'
    2. Appliquer le rôle de cluster :

      kubectl apply -f astra-admin-account.yaml
  3. Créer la liaison de rôle cluster pour le rôle cluster vers le compte de service :

    1. Créer un ClusterRoleBinding fichier appelé astracontrol-clusterrolebinding.yaml.

      Ajustez les noms et espaces de noms modifiés lors de la création du compte de service, le cas échéant.

    astracontrol-clusterrolebinding.yaml

    +

    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRoleBinding
    metadata:
      name: astracontrol-admin
    roleRef:
      apiGroup: rbac.authorization.k8s.io
      kind: ClusterRole
      name: astra-admin-account
    subjects:
    - kind: ServiceAccount
      name: astracontrol-service-account
      namespace: default
    1. Appliquer la liaison de rôle de cluster :

      kubectl apply -f astracontrol-clusterrolebinding.yaml
  4. Créez et appliquez le secret de jeton :

    1. Créez un fichier secret de jeton appelé secret-astracontrol-service-account.yaml.

      secret-astracontrol-service-account.yaml
      apiVersion: v1
      kind: Secret
      metadata:
        name: secret-astracontrol-service-account
        namespace: default
        annotations:
          kubernetes.io/service-account.name: "astracontrol-service-account"
      type: kubernetes.io/service-account-token
    2. Appliquer le secret de jeton :

      kubectl apply -f secret-astracontrol-service-account.yaml
  5. Ajoutez le secret de jeton au compte de service en ajoutant son nom au secrets tableau (dernière ligne de l'exemple suivant) :

    kubectl edit sa astracontrol-service-account
    apiVersion: v1
    imagePullSecrets:
    - name: astracontrol-service-account-dockercfg-48xhx
    kind: ServiceAccount
    metadata:
      annotations:
        kubectl.kubernetes.io/last-applied-configuration: |
          {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"name":"astracontrol-service-account","namespace":"default"}}
      creationTimestamp: "2023-06-14T15:25:45Z"
      name: astracontrol-service-account
      namespace: default
      resourceVersion: "2767069"
      uid: 2ce068c4-810e-4a96-ada3-49cbf9ec3f89
    secrets:
    - name: astracontrol-service-account-dockercfg-48xhx
    - name: secret-astracontrol-service-account
  6. Indiquez les secrets du compte de service, en les remplaçant <context> avec le contexte approprié pour votre installation :

    kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json

    La fin de la sortie doit ressembler à ce qui suit :

    "secrets": [
    { "name": "astracontrol-service-account-dockercfg-48xhx"},
    { "name": "secret-astracontrol-service-account"}
    ]

    Les indices pour chaque élément dans secrets la matrice commence par 0. Dans l'exemple ci-dessus, l'index de astracontrol-service-account-dockercfg-48xhx serait 0 et l'index pour secret-astracontrol-service-account serait 1. Dans votre sortie, notez le numéro d'index du compte de service secret. Vous aurez besoin de ce numéro d'index à l'étape suivante.

  7. Générez le kubeconfig comme suit :

    1. Créer un create-kubeconfig.sh fichier. Remplacement TOKEN_INDEX au début du script suivant avec la valeur correcte.

      create-kubeconfig.sh
      # Update these to match your environment.
      # Replace TOKEN_INDEX with the correct value
      # from the output in the previous step. If you
      # didn't change anything else above, don't change
      # anything else here.
      
      SERVICE_ACCOUNT_NAME=astracontrol-service-account
      NAMESPACE=default
      NEW_CONTEXT=astracontrol
      KUBECONFIG_FILE='kubeconfig-sa'
      
      CONTEXT=$(kubectl config current-context)
      
      SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \
        --context ${CONTEXT} \
        --namespace ${NAMESPACE} \
        -o jsonpath='{.secrets[TOKEN_INDEX].name}')
      TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \
        --context ${CONTEXT} \
        --namespace ${NAMESPACE} \
        -o jsonpath='{.data.token}')
      
      TOKEN=$(echo ${TOKEN_DATA} | base64 -d)
      
      # Create dedicated kubeconfig
      # Create a full copy
      kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp
      
      # Switch working context to correct context
      kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT}
      
      # Minify
      kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \
        config view --flatten --minify > ${KUBECONFIG_FILE}.tmp
      
      # Rename context
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        rename-context ${CONTEXT} ${NEW_CONTEXT}
      
      # Create token user
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-credentials ${CONTEXT}-${NAMESPACE}-token-user \
        --token ${TOKEN}
      
      # Set context to use token user
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user
      
      # Set context to correct namespace
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-context ${NEW_CONTEXT} --namespace ${NAMESPACE}
      
      # Flatten/minify kubeconfig
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        view --flatten --minify > ${KUBECONFIG_FILE}
      
      # Remove tmp
      rm ${KUBECONFIG_FILE}.full.tmp
      rm ${KUBECONFIG_FILE}.tmp
    2. Source des commandes à appliquer à votre cluster Kubernetes.

      source create-kubeconfig.sh
  8. (Facultatif) Renommer le kubeconfig pour nommer votre cluster.

    mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig

Et la suite ?

Maintenant que vous avez vérifié que les conditions préalables sont remplies, vous êtes prêt à ajouter un cluster.

Ajouter un cluster

Pour commencer à gérer vos applications, ajoutez un cluster Kubernetes et gérez-le comme une ressource de calcul. Il faut ajouter un cluster pour découvrir vos applications Kubernetes pour Astra Control Center.

Astuce Nous vous recommandons de gérer le cluster qu'Astra Control Center déploie en premier avant d'ajouter d'autres clusters à Astra Control Center. La gestion du cluster initial est nécessaire pour envoyer les données Kubemetrics et les données associées au cluster pour les mesures et le dépannage.
Avant de commencer
  • Avant d'ajouter un cluster, vérifiez et effectuez les opérations nécessaires tâches préalables.

  • Si vous utilisez un pilote SAN ONTAP, assurez-vous que les chemins d'accès multiples sont activés sur tous vos clusters Kubernetes.

Étapes
  1. Naviguer à partir du menu Tableau de bord ou clusters :

    • Dans Dashboard, sélectionnez Add dans le volet clusters.

    • Dans la zone de navigation de gauche, sélectionnez clusters, puis Ajouter un cluster à partir de la page clusters.

  2. Dans la fenêtre Ajouter un cluster qui s'ouvre, chargez un kubeconfig.yaml classez le contenu d'un kubeconfig.yaml fichier.

    Remarque Le kubeconfig.yaml le fichier doit inclure uniquement les informations d'identification du cluster pour un cluster.
    Important Si vous créez la vôtre kubeconfig fichier, vous ne devez définir que un élément de contexte dans celui-ci. Reportez-vous à la section "Documentation Kubernetes" pour plus d'informations sur la création kubeconfig fichiers. Si vous avez créé un kubeconfig pour un rôle de cluster limité à l'aide de le processus ci-dessus, assurez-vous de télécharger ou de coller ce kubeconfig dans cette étape.
  3. Indiquez un nom d'identification. Par défaut, le nom des identifiants est automatiquement renseigné comme nom du cluster.

  4. Sélectionnez Suivant.

  5. Sélectionnez la classe de stockage par défaut à utiliser pour ce cluster Kubernetes et sélectionnez Suivant.

    Remarque Vous devez sélectionner une classe de stockage Astra Trident reposant sur le stockage ONTAP.
  6. Passez en revue les informations, et si tout semble bien, sélectionnez Ajouter.

Résultat

Le cluster passe à l'état découverte, puis passe à sain. Vous gérez maintenant le cluster avec Astra Control Center.

Important Une fois que vous avez ajouté un cluster à gérer dans Astra Control Center, le déploiement de l'opérateur de surveillance peut prendre quelques minutes. En attendant, l'icône notification devient rouge et consigne un événement échec de la vérification de l'état de l'agent de surveillance. Vous pouvez ignorer cela car le problème résout lorsque le centre de contrôle Astra obtient le statut correct. Si le problème ne résout pas le problème en quelques minutes, accédez au cluster, puis exécutez-le oc get pods -n netapp-monitoring comme point de départ. Vous devrez consulter les journaux de l'opérateur de surveillance pour déboguer le problème.

Activez l'authentification sur le back-end de stockage ONTAP

ASTRA Control Center offre deux modes d'authentification d'un backend ONTAP :

  • Authentification basée sur les informations d'identification : le nom d'utilisateur et le mot de passe d'un utilisateur ONTAP avec les autorisations requises. Vous devez utiliser un rôle de connexion de sécurité prédéfini, tel que admin ou vsadmin, pour assurer une compatibilité maximale avec les versions de ONTAP.

  • Authentification basée sur un certificat : Astra Control Center peut également communiquer avec un cluster ONTAP à l'aide d'un certificat installé sur le back-end. Vous devez utiliser le certificat client, la clé et le certificat de l'autorité de certification approuvée, le cas échéant (recommandé).

Vous pouvez par la suite mettre à jour les systèmes back-end existants pour passer d'un type d'authentification à une autre. Une seule méthode d'authentification est prise en charge à la fois.

Activer l'authentification basée sur les informations d'identification

ASTRA Control Center requiert les identifiants d'un cluster-scoped admin Pour communiquer avec le backend ONTAP. Vous devez utiliser des rôles standard prédéfinis, tels que admin. La compatibilité avec les futures versions d'ONTAP qui pourraient exposer les API de fonctionnalités à utiliser dans les futures versions d'Astra Control Center est ainsi garantie.

Remarque Un rôle de connexion de sécurité personnalisé peut être créé et utilisé avec Astra Control Center, mais il n'est pas recommandé.

Un exemple de définition de back-end se présente comme suit :

{
  "version": 1,
  "backendName": "ExampleBackend",
  "storageDriverName": "ontap-nas",
  "managementLIF": "10.0.0.1",
  "dataLIF": "10.0.0.2",
  "svm": "svm_nfs",
  "username": "admin",
  "password": "secret"
}

La définition du back-end est le seul endroit où les informations d'identification sont stockées en texte brut. La création ou la mise à jour d'un back-end est la seule étape qui nécessite la connaissance des informations d'identification. Il s'agit donc d'une opération réservée à l'administrateur du stockage ou de Kubernetes.

Activer l'authentification basée sur certificat

ASTRA Control Center peut utiliser des certificats pour communiquer avec les systèmes back-end ONTAP, nouveaux et existants. Vous devez entrer les informations suivantes dans la définition du back-end.

  • clientCertificate: Certificat client.

  • clientPrivateKey: Clé privée associée.

  • trustedCACertificate: Certificat de l'autorité de certification approuvée. Si vous utilisez une autorité de certification approuvée, ce paramètre doit être fourni. Ceci peut être ignoré si aucune autorité de certification approuvée n'est utilisée.

Vous pouvez utiliser l'un des types de certificats suivants :

  • Certificat auto-signé

  • Certificat tiers

Activez l'authentification avec un certificat auto-signé

Un flux de travail type comprend les étapes suivantes.

Étapes
  1. Générez un certificat client et une clé. Lors de la génération, définissez le nom commun (CN) sur l'utilisateur ONTAP pour s'authentifier en tant que.

    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"
  2. Installez le certificat client de type client-ca Et sur le cluster ONTAP.

    security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name>
    security ssl modify -vserver <vserver-name> -client-enabled true
  3. Vérifiez que le rôle de connexion de sécurité ONTAP prend en charge la méthode d'authentification par certificat.

    security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name>
    security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>
  4. Tester l'authentification à l'aide du certificat généré. Remplacer <LIF> et <vserver name> de ONTAP par l'IP et le nom du SVM de la LIF de gestion. Vous devez vous assurer que le LIF a sa politique de service définie sur default-data-management.

    curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>
  5. À l'aide des valeurs obtenues à l'étape précédente, ajoutez le back-end de stockage dans l'interface utilisateur d'Astra Control Center.

Activez l'authentification à l'aide d'un certificat tiers

Si vous disposez d'un certificat tiers, vous pouvez configurer l'authentification basée sur un certificat à l'aide de ces étapes.

Étapes
  1. Générer la clé privée et la RSC :

    openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”
  2. Transmettez la RSC à l'autorité de certification Windows (autorité de certification tierce) et émettez le certificat signé.

  3. Téléchargez le certificat signé et nommez-le « ontap_signed_cert.crt ».

  4. Exportez le certificat racine à partir de l'autorité de certification Windows (autorité de certification tierce).

  5. Nommez ce fichier ca_root.crt

    Vous disposez maintenant des trois fichiers suivants :

    • Clé privée : ontap_signed_request.key (Il s'agit de la clé correspondante pour le certificat de serveur dans ONTAP. Elle est nécessaire lors de l'installation du certificat du serveur.)

    • Certificat signé: ontap_signed_cert.crt (Il s'agit également du certificat de serveur dans ONTAP.)

    • Certificat CA racine : ca_root.crt (Il s'agit également du certificat Server-ca dans ONTAP.)

  6. Installez ces certificats dans ONTAP. Générer et installer server et server-ca Certificats sur ONTAP.

    Développez pour Sample.yaml
    # Copy the contents of ca_root.crt and use it here.
    
    security certificate install -type server-ca
    
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <certificate details>
    -----END CERTIFICATE-----
    
    
    You should keep a copy of the CA-signed digital certificate for future reference.
    
    The installed certificate's CA and serial number for reference:
    
    CA:
    serial:
    
    The certificate's generated name for reference:
    
    
    ===
    
    # Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file.
    security certificate install -type server
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <certificate details>
    -----END CERTIFICATE-----
    
    Please enter Private Key: Press <Enter> when done
    
    -----BEGIN PRIVATE KEY-----
    <private key details>
    -----END PRIVATE KEY-----
    
    Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate.
    Do you want to continue entering root and/or intermediate certificates {y|n}: n
    
    The provided certificate does not have a common name in the subject field.
    Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME>
    
    You should keep a copy of the private key and the CA-signed digital certificate for future reference.
    The installed certificate's CA and serial number for reference:
    CA:
    serial:
    The certificate's generated name for reference:
    
    
    ==
    # Modify the vserver settings to enable SSL for the installed certificate
    
    ssl modify -vserver <vserver_name> -ca <CA>  -server-enabled true -serial <serial number>       (security ssl modify)
    
    ==
    # Verify if the certificate works fine:
    
    openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443
    CONNECTED(00000005)
    depth=1 DC = local, DC = umca, CN = <CA>
    verify return:1
    depth=0
    verify return:1
    write W BLOCK
    ---
    Certificate chain
    0 s:
       i:/DC=local/DC=umca/<CA>
    
    -----BEGIN CERTIFICATE-----
    <Certificate details>
  7. Créez le certificat client pour le même hôte pour la communication sans mot de passe. ASTRA Control Center utilise ce processus pour communiquer avec ONTAP.

  8. Générer et installer les certificats client sur ONTAP :

    Développez pour Sample.yaml
    # Use /CN=admin or use some other account which has privileges.
    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin"
    
    Copy the content of ontap_test_client.pem file and use it in the below command:
    security certificate install -type client-ca -vserver <vserver_name>
    
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <Certificate details>
    -----END CERTIFICATE-----
    
    You should keep a copy of the CA-signed digital certificate for future reference.
    The installed certificate's CA and serial number for reference:
    
    CA:
    serial:
    The certificate's generated name for reference:
    
    
    ==
    
    ssl modify -vserver <vserver_name> -client-enabled true
    (security ssl modify)
    
    # Setting permissions for certificates
    security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name>
    
    security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name>
    
    ==
    
    #Verify passwordless communication works fine with the use of only certificates:
    
    curl --cacert ontap_signed_cert.crt  --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates
    {
    "records": [
    {
    "uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd",
    "name": "<aggr_name>",
    "node": {
    "uuid": "7835876c-3484-11ed-97bb-d039ea50375c",
    "name": "<node_name>",
    "_links": {
    "self": {
    "href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c"
    }
    }
    },
    "_links": {
    "self": {
    "href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd"
    }
    }
    }
    ],
    "num_records": 1,
    "_links": {
    "self": {
    "href": "/api/storage/aggregates"
    }
    }
    }%
  9. Ajoutez le système back-end de stockage dans l'interface utilisateur d'Astra Control Center et fournissez les valeurs suivantes :

    • Certificat client : ontap_test_client.pem

    • Clé privée : ontap_test_client.key

    • Certificat CA de confiance : ontap_signed_cert.crt

Ajout d'un système back-end

Après avoir configuré les informations d'identification ou d'authentification de certificat, vous pouvez ajouter un système back-end de stockage ONTAP existant à Astra Control Center pour gérer ses ressources.

La gestion des clusters de stockage d'Astra Control en tant que backend de stockage vous permet d'obtenir des liens entre les volumes persistants (PVS) et le back-end de stockage, ainsi que des metrics de stockage supplémentaires.

Astra Control Provisioner uniquement : l'ajout et la gestion de systèmes back-end de stockage ONTAP dans Astra Control Center sont facultatifs si vous utilisez la technologie NetApp SnapMirror si vous avez activé Astra Control Provisioner avec Astra Control Center 23.10 ou version ultérieure.

Étapes
  1. Dans la zone de navigation gauche du tableau de bord, sélectionnez Backends.

  2. Sélectionnez Ajouter.

  3. Dans la section utiliser existant de la page Ajouter un back-end de stockage, sélectionnez ONTAP.

  4. Sélectionnez l'une des options suivantes :

    • Utiliser les informations d'identification de l'administrateur : saisissez l'adresse IP de gestion du cluster ONTAP et les informations d'identification de l'administrateur. Les identifiants doivent être identifiants au niveau du cluster.

      Remarque L'utilisateur dont vous saisissez ici les informations d'identification doit disposer du ontapi Méthode d'accès de connexion utilisateur activée dans ONTAP System Manager sur le cluster ONTAP. Si vous prévoyez d'utiliser la réplication SnapMirror, appliquez les identifiants de l'utilisateur au rôle « admin », qui dispose des méthodes d'accès ontapi et http, Sur les clusters ONTAP source et destination. Reportez-vous à la section "Gérer les comptes utilisateur dans la documentation ONTAP" pour en savoir plus.
    • Utiliser un certificat: Télécharger le certificat .pem fichier, la clé de certificat .key et éventuellement le fichier de l'autorité de certification.

  5. Sélectionnez Suivant.

  6. Confirmez les détails du back-end et sélectionnez gérer.

Résultat

Le back-end s'affiche dans le online état dans la liste avec des informations récapitulatives.

Remarque Vous devrez peut-être actualiser la page pour que le back-end apparaisse.

Ajouter un godet

Vous pouvez ajouter un compartiment à l'aide de l'interface utilisateur Astra Control ou "API de contrôle Astra". Il est essentiel d'ajouter des fournisseurs de compartiments de stockage objet pour sauvegarder les applications et le stockage persistant ou pour cloner les applications entre les clusters. Astra Control stocke les sauvegardes ou les clones dans les compartiments de magasin d'objets que vous définissez.

Si vous clonez la configuration de vos applications et le stockage persistant vers le même cluster, il n'est pas nécessaire d'utiliser un compartiment dans Astra Control. La fonctionnalité de copie Snapshot des applications ne nécessite pas de compartiment.

Avant de commencer
  • Assurez-vous que vous disposez d'un compartiment accessible depuis vos clusters gérés par Astra Control Center.

  • Vérifiez que vous disposez des informations d'identification pour le compartiment.

  • S'assurer que le godet est de l'un des types suivants :

    • NetApp ONTAP S3

    • NetApp StorageGRID S3

    • Microsoft Azure

    • S3 générique

Remarque Amazon Web Services (AWS) et Google Cloud Platform (GCP) utilisent le type de compartiment S3 générique.
Remarque Bien qu'Astra Control Center prenne en charge Amazon S3 en tant que fournisseur de compartiments génériques, Astra Control Center peut ne pas prendre en charge tous les fournisseurs de magasins d'objets qui affirment la prise en charge d'Amazon S3.
Étapes
  1. Dans la zone de navigation de gauche, sélectionnez godets.

  2. Sélectionnez Ajouter.

  3. Sélectionner le type de godet.

    Remarque Lorsque vous ajoutez un compartiment, sélectionnez le fournisseur approprié et fournissez les identifiants appropriés pour ce fournisseur. Par exemple, l'interface utilisateur accepte NetApp ONTAP S3 comme type et accepte les identifiants StorageGRID. Toutefois, toutes les futures sauvegardes et restaurations des applications à l'aide de ce compartiment échoueront.
  4. Saisissez un nom de compartiment existant et une description facultative.

    Astuce Le nom et la description du compartiment apparaissent comme un emplacement de sauvegarde que vous pouvez choisir plus tard lors de la création d'une sauvegarde. Ce nom apparaît également lors de la configuration de la règle de protection.
  5. Entrez le nom ou l'adresse IP du terminal S3.

  6. Sous Sélectionner les informations d'identification, choisissez l'onglet Ajouter ou utiliser l'onglet existant.

    • Si vous avez choisi Ajouter:

      1. Saisissez un nom pour l'identifiant qui le distingue des autres identifiants dans Astra Control.

      2. Saisissez l'ID d'accès et la clé secrète en collant le contenu dans le presse-papiers.

    • Si vous avez choisi utiliser existant:

      1. Sélectionnez les informations d'identification existantes à utiliser avec le compartiment.

  7. Sélectionnez Add.

    Remarque Lorsque vous ajoutez un godet, Astra Control marque un godet avec l'indicateur de compartiment par défaut. Le premier compartiment que vous créez devient le compartiment par défaut. Au fur et à mesure que vous ajoutez des compartiments, vous pourrez décider plus tard "définir un autre compartiment par défaut".

Et la suite ?

Maintenant que vous êtes connecté et que vous avez ajouté des clusters à Astra Control Center, vous êtes prêt à utiliser les fonctionnalités de gestion des données applicatives d'Astra Control Center.

Trouvez plus d'informations