Configurare Astra Control Center
Dopo aver installato Astra Control Center, aver effettuato l'accesso all'interfaccia utente e aver modificato la password, è necessario impostare una licenza, aggiungere cluster, abilitare l'autenticazione, gestire lo storage e aggiungere bucket.
Aggiungere una licenza per Astra Control Center
Quando si installa Astra Control Center, è già installata una licenza di valutazione integrata. Se stai valutando Astra Control Center, puoi saltare questo passaggio.
È possibile aggiungere una nuova licenza utilizzando l'interfaccia utente di Astra Control o. "API di controllo Astra".
Le licenze di Astra Control Center misurano le risorse CPU utilizzando le unità CPU di Kubernetes e tengono conto delle risorse CPU assegnate ai nodi di lavoro di tutti i cluster Kubernetes gestiti. Le licenze si basano sull'utilizzo di vCPU. Per ulteriori informazioni sul calcolo delle licenze, fare riferimento a. "Licensing".
Se l'installazione supera il numero concesso in licenza di unità CPU, Astra Control Center impedisce la gestione di nuove applicazioni. Quando viene superata la capacità, viene visualizzato un avviso. |
Per aggiornare una licenza di valutazione o una licenza completa, fare riferimento a. "Aggiornare una licenza esistente". |
-
Accesso a un'istanza di Astra Control Center appena installata.
-
Autorizzazioni per il ruolo di amministratore.
-
R "File di licenza NetApp" (NLF).
-
Accedere all'interfaccia utente di Astra Control Center.
-
Selezionare account > licenza.
-
Selezionare Aggiungi licenza.
-
Individuare il file di licenza (NLF) scaricato.
-
Selezionare Aggiungi licenza.
La pagina account > licenza visualizza le informazioni sulla licenza, la data di scadenza, il numero di serie della licenza, l'ID account e le unità CPU utilizzate.
Se si dispone di una licenza di valutazione e non si inviano dati a AutoSupport, assicurarsi di memorizzare l'ID account per evitare la perdita di dati in caso di guasto del centro di controllo Astra. |
Prepara il tuo ambiente per la gestione dei cluster utilizzando Astra Control
Prima di aggiungere un cluster, assicurarsi che siano soddisfatte le seguenti condizioni preliminari. È inoltre necessario eseguire controlli di idoneità per assicurarsi che il cluster sia pronto per essere aggiunto ad Astra Control Center e creare ruoli per la gestione del cluster.
-
Assicurarsi che i nodi di lavoro nel cluster siano configurati con i driver di storage appropriati in modo che i pod possano interagire con lo storage back-end.
-
Il tuo ambiente soddisfa i requisiti di "requisiti dell'ambiente operativo" Per Astra Trident e Astra Control Center.
-
Se si aggiunge il cluster utilizzando un file kubeconfig che fa riferimento a un'autorità di certificazione privata, aggiungere la riga seguente al
cluster
sezione del file kubeconfig. In questo modo si permette ad Astra Control di aggiungere il cluster:insecure-skip-tls-verify: true
-
Una versione di Astra Trident "Supportato da Astra Control Center" è installato:
È possibile "Implementare Astra Trident" Utilizzando l'operatore Astra Trident (manualmente o utilizzando Helm Chart) o. tridentctl
. Prima di installare o aggiornare Astra Trident, consultare "frontend, backend e configurazioni host supportati".-
Astra Trident storage backend configurato: Almeno un backend di storage Astra Trident deve essere "configurato" sul cluster.
-
Classi di storage Astra Trident configurate: Deve essere almeno una classe di storage Astra Trident "configurato" sul cluster. Se è configurata una classe di storage predefinita, assicurarsi che sia l'unica classe di storage con l'annotazione predefinita.
-
Astra Trident volume snapshot controller e volume snapshot class installati e configurati: Il volume snapshot controller deve essere "installato" In modo che le snapshot possano essere create in Astra Control. Almeno un tridente Astra
VolumeSnapshotClass
lo è stato "configurazione" da un amministratore.
-
-
Kubbeconfig accessibile: Hai accesso a. "default cluster kubeconfig" quello "la configurazione è stata eseguita durante l'installazione".
-
Credenziali ONTAP: Per eseguire il backup e il ripristino delle applicazioni con il centro di controllo Astra sono necessarie le credenziali ONTAP e un ID utente e un superutente impostati sul sistema ONTAP di backup.
Eseguire i seguenti comandi nella riga di comando di ONTAP:
export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534
-
Solo Rancher: Quando si gestiscono i cluster di applicazioni in un ambiente Rancher, modificare il contesto predefinito del cluster di applicazioni nel file kubeconfig fornito da Rancher per utilizzare un contesto del piano di controllo invece del contesto del server API Rancher. In questo modo si riduce il carico sul server API Rancher e si migliorano le performance.
Eseguire i controlli di idoneità
Eseguire i seguenti controlli di idoneità per assicurarsi che il cluster sia pronto per essere aggiunto ad Astra Control Center.
-
Controllare la versione di Astra Trident.
kubectl get tridentversions -n trident
Se Astra Trident esiste, l'output è simile a quanto segue:
NAME VERSION trident 23.XX.X
Se Astra Trident non esiste, viene visualizzato un output simile al seguente:
error: the server doesn't have a resource type "tridentversions"
Se Astra Trident non è installato o se la versione installata non è la più recente, è necessario installare l'ultima versione di Astra Trident prima di procedere. Fare riferimento a. "Documentazione di Astra Trident" per istruzioni. -
Assicurarsi che i pod siano in funzione:
kubectl get pods -n trident
-
Determinare se le classi di storage utilizzano i driver Astra Trident supportati. Il nome del provider deve essere
csi.trident.netapp.io
. Vedere il seguente esempio:kubectl get sc
Esempio di risposta:
NAME PROVISIONER RECLAIMPOLICY VOLUMEBINDINGMODE ALLOWVOLUMEEXPANSION AGE ontap-gold (default) csi.trident.netapp.io Delete Immediate true 5d23h
Creare un ruolo cluster kubeconfig
È possibile, in via opzionale, creare un ruolo di amministratore con autorizzazioni limitate o estese per Astra Control Center. Questa procedura non è necessaria per la configurazione di Astra Control Center, in quanto è già stata configurata una configurazione come parte di "processo di installazione".
Questa procedura consente di creare una configurazione separata se uno dei seguenti scenari si applica al proprio ambiente:
-
Si desidera limitare le autorizzazioni di Astra Control sui cluster gestiti
-
Si utilizzano più contesti e non è possibile utilizzare il kubeconfig di Astra Control predefinito configurato durante l'installazione oppure un ruolo limitato con un singolo contesto non funziona nell'ambiente
Prima di completare la procedura, assicurarsi di disporre dei seguenti elementi per il cluster che si desidera gestire:
-
kubectl v1.23 o versione successiva installata
-
Accesso kubectl al cluster che si intende aggiungere e gestire con Astra Control Center
Per questa procedura, non è necessario l'accesso kubectl al cluster che esegue Astra Control Center. -
Un kubeconfig attivo per il cluster che si intende gestire con i diritti di amministratore del cluster per il contesto attivo
-
Creare un account di servizio:
-
Creare un file di account del servizio denominato
astracontrol-service-account.yaml
.Regolare il nome e lo spazio dei nomi in base alle esigenze. Se le modifiche vengono apportate qui, è necessario applicare le stesse modifiche nei passaggi seguenti.
astracontrol-service-account.yaml
+
apiVersion: v1 kind: ServiceAccount metadata: name: astracontrol-service-account namespace: default
-
Applicare l'account del servizio:
kubectl apply -f astracontrol-service-account.yaml
-
-
Creare uno dei seguenti ruoli del cluster con autorizzazioni sufficienti per la gestione di un cluster da parte di Astra Control:
-
Ruolo cluster limitato: Questo ruolo contiene le autorizzazioni minime necessarie per la gestione di un cluster da parte di Astra Control:
Espandere per i passaggi
-
Creare un
ClusterRole
file chiamato, ad esempio,astra-admin-account.yaml
.Regolare il nome e lo spazio dei nomi in base alle esigenze. Se le modifiche vengono apportate qui, è necessario applicare le stesse modifiche nei passaggi seguenti.
astra-admin-account.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: astra-admin-account rules: # Get, List, Create, and Update all resources # Necessary to backup and restore all resources in an app - apiGroups: - '*' resources: - '*' verbs: - get - list - create - patch # Delete Resources # Necessary for in-place restore and AppMirror failover - apiGroups: - "" - apps - autoscaling - batch - crd.projectcalico.org - extensions - networking.k8s.io - policy - rbac.authorization.k8s.io - snapshot.storage.k8s.io - trident.netapp.io resources: - configmaps - cronjobs - daemonsets - deployments - horizontalpodautoscalers - ingresses - jobs - namespaces - networkpolicies - persistentvolumeclaims - poddisruptionbudgets - pods - podtemplates - podsecuritypolicies - replicasets - replicationcontrollers - replicationcontrollers/scale - rolebindings - roles - secrets - serviceaccounts - services - statefulsets - tridentmirrorrelationships - tridentsnapshotinfos - volumesnapshots - volumesnapshotcontents verbs: - delete # Watch resources # Necessary to monitor progress - apiGroups: - "" resources: - pods - replicationcontrollers - replicationcontrollers/scale verbs: - watch # Update resources - apiGroups: - "" - build.openshift.io - image.openshift.io resources: - builds/details - replicationcontrollers - replicationcontrollers/scale - imagestreams/layers - imagestreamtags - imagetags verbs: - update # Use PodSecurityPolicies - apiGroups: - extensions - policy resources: - podsecuritypolicies verbs: - use
-
(Solo per i cluster OpenShift) aggiungere quanto segue alla fine di
astra-admin-account.yaml
o dopo# Use PodSecurityPolicies
sezione:# OpenShift security - apiGroups: - security.openshift.io resources: - securitycontextconstraints verbs: - use
-
Applicare il ruolo del cluster:
kubectl apply -f astra-admin-account.yaml
-
-
Ruolo cluster esteso: Questo ruolo contiene autorizzazioni estese per un cluster che deve essere gestito da Astra Control. È possibile utilizzare questo ruolo se si utilizzano più contesti e non è possibile utilizzare il kubeconfig di Astra Control predefinito configurato durante l'installazione oppure se un ruolo limitato con un singolo contesto non funziona nell'ambiente:
Quanto segue ClusterRole
I passaggi sono un esempio generale di Kubernetes. Consultare la documentazione della distribuzione Kubernetes per istruzioni specifiche sull'ambiente in uso.
Espandere per i passaggi
-
Creare un
ClusterRole
file chiamato, ad esempio,astra-admin-account.yaml
.Regolare il nome e lo spazio dei nomi in base alle esigenze. Se le modifiche vengono apportate qui, è necessario applicare le stesse modifiche nei passaggi seguenti.
astra-admin-account.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: astra-admin-account rules: - apiGroups: - '*' resources: - '*' verbs: - '*' - nonResourceURLs: - '*' verbs: - '*'
-
Applicare il ruolo del cluster:
kubectl apply -f astra-admin-account.yaml
-
-
Creare l'associazione del ruolo del cluster all'account del servizio per il ruolo del cluster:
-
Creare un
ClusterRoleBinding
file chiamatoastracontrol-clusterrolebinding.yaml
.Modificare i nomi e gli spazi dei nomi modificati quando si crea l'account del servizio, in base alle necessità.
astracontrol-clusterrolebinding.yaml
+
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: astracontrol-admin roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: astra-admin-account subjects: - kind: ServiceAccount name: astracontrol-service-account namespace: default
-
Applicare l'associazione del ruolo del cluster:
kubectl apply -f astracontrol-clusterrolebinding.yaml
-
-
Creare e applicare il token secret:
-
Creare un file token secret chiamato
secret-astracontrol-service-account.yaml
.secret-astracontrol-service-account.yaml
apiVersion: v1 kind: Secret metadata: name: secret-astracontrol-service-account namespace: default annotations: kubernetes.io/service-account.name: "astracontrol-service-account" type: kubernetes.io/service-account-token
-
Applicare il token secret:
kubectl apply -f secret-astracontrol-service-account.yaml
-
-
Aggiungere il token secret all'account del servizio aggiungendo il nome a
secrets
array (l'ultima riga dell'esempio seguente):kubectl edit sa astracontrol-service-account
apiVersion: v1 imagePullSecrets: - name: astracontrol-service-account-dockercfg-48xhx kind: ServiceAccount metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: | {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"name":"astracontrol-service-account","namespace":"default"}} creationTimestamp: "2023-06-14T15:25:45Z" name: astracontrol-service-account namespace: default resourceVersion: "2767069" uid: 2ce068c4-810e-4a96-ada3-49cbf9ec3f89 secrets: - name: astracontrol-service-account-dockercfg-48xhx - name: secret-astracontrol-service-account
-
Elencare i segreti dell'account di servizio, sostituendo
<context>
con il contesto corretto per l'installazione:kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json
La fine dell'output dovrebbe essere simile a quanto segue:
"secrets": [ { "name": "astracontrol-service-account-dockercfg-48xhx"}, { "name": "secret-astracontrol-service-account"} ]
Gli indici di ciascun elemento in
secrets
l'array inizia con 0. Nell'esempio precedente, l'indice perastracontrol-service-account-dockercfg-48xhx
sarebbe 0 e l'indice persecret-astracontrol-service-account
sarebbe 1. Nell'output, annotare il numero dell'indice per il segreto dell'account del servizio. Questo numero di indice sarà necessario nella fase successiva. -
Generare il kubeconfig come segue:
-
Creare un
create-kubeconfig.sh
file. SostituireTOKEN_INDEX
all'inizio del seguente script con il valore corretto.create-kubeconfig.sh
# Update these to match your environment. # Replace TOKEN_INDEX with the correct value # from the output in the previous step. If you # didn't change anything else above, don't change # anything else here. SERVICE_ACCOUNT_NAME=astracontrol-service-account NAMESPACE=default NEW_CONTEXT=astracontrol KUBECONFIG_FILE='kubeconfig-sa' CONTEXT=$(kubectl config current-context) SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \ --context ${CONTEXT} \ --namespace ${NAMESPACE} \ -o jsonpath='{.secrets[TOKEN_INDEX].name}') TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \ --context ${CONTEXT} \ --namespace ${NAMESPACE} \ -o jsonpath='{.data.token}') TOKEN=$(echo ${TOKEN_DATA} | base64 -d) # Create dedicated kubeconfig # Create a full copy kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp # Switch working context to correct context kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT} # Minify kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \ config view --flatten --minify > ${KUBECONFIG_FILE}.tmp # Rename context kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ rename-context ${CONTEXT} ${NEW_CONTEXT} # Create token user kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-credentials ${CONTEXT}-${NAMESPACE}-token-user \ --token ${TOKEN} # Set context to use token user kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user # Set context to correct namespace kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-context ${NEW_CONTEXT} --namespace ${NAMESPACE} # Flatten/minify kubeconfig kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ view --flatten --minify > ${KUBECONFIG_FILE} # Remove tmp rm ${KUBECONFIG_FILE}.full.tmp rm ${KUBECONFIG_FILE}.tmp
-
Eseguire la sorgente dei comandi per applicarli al cluster Kubernetes.
source create-kubeconfig.sh
-
-
(Facoltativo) rinominare il kubeconfig con un nome significativo per il cluster.
mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig
Quali sono le prossime novità?
Dopo aver verificato che i prerequisiti sono stati soddisfatti, sei pronto aggiungere un cluster.
Aggiungere il cluster
Per iniziare a gestire le tue applicazioni, Aggiungi un cluster Kubernetes e gestilo come risorsa di calcolo. Devi aggiungere un cluster per Astra Control Center per scoprire le tue applicazioni Kubernetes.
Si consiglia ad Astra Control Center di gestire il cluster su cui viene implementato prima di aggiungere altri cluster ad Astra Control Center da gestire. La gestione del cluster iniziale è necessaria per inviare i dati Kublemetrics e i dati associati al cluster per metriche e troubleshooting. |
-
Prima di aggiungere un cluster, esaminare ed eseguire le operazioni necessarie attività prerequisite.
-
Spostarsi dal menu Dashboard o Clusters:
-
Da Dashboard in Resource Summary (Riepilogo risorse), selezionare Add (Aggiungi) dal pannello Clusters (Clusters).
-
Nell'area di navigazione a sinistra, selezionare Clusters, quindi selezionare Add Cluster (Aggiungi cluster) dalla pagina Clusters (Cluster).
-
-
Nella finestra Add Cluster che si apre, caricare un
kubeconfig.yaml
archiviare o incollare il contenuto di a.kubeconfig.yaml
file.Il kubeconfig.yaml
il file deve includere solo le credenziali del cluster per un cluster.Se crei il tuo kubeconfig
file, è necessario definire solo un elemento di contesto al suo interno. Fare riferimento a. "Documentazione Kubernetes" per informazioni sulla creazionekubeconfig
file. Se hai creato un kubeconfig per un ruolo cluster limitato utilizzando il processo descritto sopra, assicurarsi di caricare o incollare il kubeconfig in questa fase. -
Fornire un nome di credenziale. Per impostazione predefinita, il nome della credenziale viene compilato automaticamente come nome del cluster.
-
Selezionare Avanti.
-
Selezionare la classe di storage predefinita da utilizzare per il cluster Kubernetes e selezionare Avanti.
Selezionare una classe di storage Astra Trident supportata dallo storage ONTAP. -
Esaminare le informazioni e, se tutto sembra buono, selezionare Aggiungi.
Il cluster passa allo stato Discovering e quindi passa a Healthy. Ora stai gestendo il cluster con Astra Control Center.
Dopo aver aggiunto un cluster da gestire in Astra Control Center, l'implementazione dell'operatore di monitoraggio potrebbe richiedere alcuni minuti. Fino a quel momento, l'icona di notifica diventa rossa e registra un evento Monitoring Agent Status Check Failed (controllo stato agente non riuscito). È possibile ignorarlo, perché il problema si risolve quando Astra Control Center ottiene lo stato corretto. Se il problema non si risolve in pochi minuti, accedere al cluster ed eseguire oc get pods -n netapp-monitoring come punto di partenza. Per eseguire il debug del problema, consultare i log dell'operatore di monitoraggio.
|
Abilitare l'autenticazione sul backend dello storage ONTAP
Il centro di controllo Astra offre due modalità di autenticazione di un backend ONTAP:
-
Autenticazione basata su credenziali: Nome utente e password di un utente ONTAP con le autorizzazioni richieste. Per garantire la massima compatibilità con le versioni di ONTAP, è necessario utilizzare un ruolo di accesso di sicurezza predefinito, ad esempio admin o vsadmin.
-
Autenticazione basata su certificato: Il centro di controllo Astra può anche comunicare con un cluster ONTAP utilizzando un certificato installato sul back-end. Utilizzare il certificato client, la chiave e il certificato CA attendibile, se utilizzato (consigliato).
È possibile aggiornare in seguito i back-end esistenti per passare da un tipo di autenticazione a un altro metodo. È supportato un solo metodo di autenticazione alla volta.
Abilitare l'autenticazione basata su credenziali
Astra Control Center richiede le credenziali per un cluster con ambito admin
Per comunicare con il backend ONTAP. È necessario utilizzare ruoli standard predefiniti, ad esempio admin
. Ciò garantisce la compatibilità con le future release di ONTAP che potrebbero esporre le API delle funzionalità da utilizzare nelle future release di Astra Control Center.
Un ruolo di accesso di sicurezza personalizzato può essere creato e utilizzato con Astra Control Center, ma non è consigliato. |
Un esempio di definizione di backend è simile al seguente:
{ "version": 1, "backendName": "ExampleBackend", "storageDriverName": "ontap-nas", "managementLIF": "10.0.0.1", "dataLIF": "10.0.0.2", "svm": "svm_nfs", "username": "admin", "password": "secret" }
La definizione di backend è l'unica posizione in cui le credenziali vengono memorizzate in testo normale. La creazione o l'aggiornamento di un backend è l'unico passaggio che richiede la conoscenza delle credenziali. Pertanto, si tratta di un'operazione di sola amministrazione, che deve essere eseguita da Kubernetes o dall'amministratore dello storage.
Abilitare l'autenticazione basata su certificato
Il centro di controllo Astra può utilizzare i certificati per comunicare con i backend ONTAP nuovi ed esistenti. Inserire le seguenti informazioni nella definizione di backend.
-
clientCertificate
: Certificato del client. -
clientPrivateKey
: Chiave privata associata. -
trustedCACertificate
: Certificato CA attendibile. Se si utilizza una CA attendibile, è necessario fornire questo parametro. Questa operazione può essere ignorata se non viene utilizzata alcuna CA attendibile.
È possibile utilizzare uno dei seguenti tipi di certificati:
-
Certificato autofirmato
-
Certificato di terze parti
Abilitare l'autenticazione con un certificato autofirmato
Un workflow tipico prevede i seguenti passaggi.
-
Generare un certificato e una chiave del client. Durante la generazione, impostare il nome comune (CN) sull'utente ONTAP per l'autenticazione come.
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"
-
Installare il certificato client di tipo
client-ca
E sul cluster ONTAP.security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name> security ssl modify -vserver <vserver-name> -client-enabled true
-
Verificare che il ruolo di accesso di sicurezza di ONTAP supporti il metodo di autenticazione del certificato.
security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name> security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>
-
Verificare l'autenticazione utilizzando il certificato generato. Sostituire <LIF di gestione ONTAP> e <vserver name> con l'IP LIF di gestione e il nome SVM. Assicurarsi che la politica di servizio di LIF sia impostata su
default-data-management
.curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>
-
Utilizzando i valori ottenuti dal passaggio precedente, aggiungere il backend di storage nell'interfaccia utente di Astra Control Center.
Abilitare l'autenticazione con un certificato di terze parti
Se si dispone di un certificato di terze parti, è possibile configurare l'autenticazione basata su certificato con questa procedura.
-
Generare la chiave privata e la CSR:
openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”
-
Passare la CSR alla CA di Windows (CA di terze parti) e rilasciare il certificato firmato.
-
Scarica il certificato firmato e chiamalo `ontap_signed_cert.crt'
-
Esportare il certificato root dalla CA di Windows (CA di terze parti).
-
Assegnare un nome al file
ca_root.crt
A questo punto, sono disponibili i seguenti tre file:
-
Chiave privata:
ontap_signed_request.key
(Chiave corrispondente al certificato del server in ONTAP). È necessario durante l'installazione del certificato del server). -
Certificato firmato:
ontap_signed_cert.crt
(Questo è anche chiamato certificato del server in ONTAP). -
Certificato CA root:
ca_root.crt
(Questo è anche chiamato certificato server-ca in ONTAP).
-
-
Installare questi certificati in ONTAP. Generare e installare
server
e.server-ca
Certificati su ONTAP.Espandere per sample.yaml
# Copy the contents of ca_root.crt and use it here. security certificate install -type server-ca Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate details> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: === # Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file. security certificate install -type server Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate details> -----END CERTIFICATE----- Please enter Private Key: Press <Enter> when done -----BEGIN PRIVATE KEY----- <private key details> -----END PRIVATE KEY----- Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate. Do you want to continue entering root and/or intermediate certificates {y|n}: n The provided certificate does not have a common name in the subject field. Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME> You should keep a copy of the private key and the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: == # Modify the vserver settings to enable SSL for the installed certificate ssl modify -vserver <vserver_name> -ca <CA> -server-enabled true -serial <serial number> (security ssl modify) == # Verify if the certificate works fine: openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443 CONNECTED(00000005) depth=1 DC = local, DC = umca, CN = <CA> verify return:1 depth=0 verify return:1 write W BLOCK --- Certificate chain 0 s: i:/DC=local/DC=umca/<CA> -----BEGIN CERTIFICATE----- <Certificate details>
-
Creare il certificato client per lo stesso host per le comunicazioni senza password. Il centro di controllo Astra utilizza questo processo per comunicare con ONTAP.
-
Generare e installare i certificati client su ONTAP:
Espandere per sample.yaml
# Use /CN=admin or use some other account which has privileges. openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin" Copy the content of ontap_test_client.pem file and use it in the below command: security certificate install -type client-ca -vserver <vserver_name> Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <Certificate details> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate’s CA and serial number for reference: CA: serial: The certificate’s generated name for reference: == ssl modify -vserver <vserver_name> -client-enabled true (security ssl modify) # Setting permissions for certificates security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name> security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name> == #Verify passwordless communication works fine with the use of only certificates: curl --cacert ontap_signed_cert.crt --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates { "records": [ { "uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd", "name": "<aggr_name>", "node": { "uuid": "7835876c-3484-11ed-97bb-d039ea50375c", "name": "<node_name>", "_links": { "self": { "href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c" } } }, "_links": { "self": { "href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd" } } } ], "num_records": 1, "_links": { "self": { "href": "/api/storage/aggregates" } } }%
-
Aggiungere il backend dello storage nell'interfaccia utente di Astra Control Center e fornire i seguenti valori:
-
Certificato client: ontap_test_client.pem
-
Chiave privata: ontap_test_client.key
-
Certificato CA attendibile: ontap_signed_cert.crt
-
Aggiungere un backend di storage
È possibile aggiungere un backend di storage ONTAP esistente al centro di controllo Astra per gestire le proprie risorse.
La gestione dei cluster di storage in Astra Control come back-end dello storage consente di ottenere collegamenti tra volumi persistenti (PVS) e il back-end dello storage, oltre a metriche di storage aggiuntive.
Dopo aver impostato le credenziali o le informazioni di autenticazione del certificato, è possibile aggiungere un backend di storage ONTAP esistente a Astra Control Center per gestire le risorse.
-
Dal pannello di controllo nell'area di navigazione a sinistra, selezionare Backend.
-
Selezionare Aggiungi.
-
Nella sezione Use existing della pagina Add storage backend, selezionare ONTAP.
-
Selezionare una delle seguenti opzioni:
-
Usa credenziali amministratore: Inserire l'indirizzo IP di gestione del cluster ONTAP e le credenziali di amministratore. Le credenziali devono essere credenziali a livello di cluster.
L'utente di cui si inseriscono le credenziali deve disporre di ontapi
Metodo di accesso all'accesso dell'utente abilitato in Gestione di sistema di ONTAP sul cluster ONTAP. Se si intende utilizzare la replica SnapMirror, applicare le credenziali utente con il ruolo "admin", che dispone dei metodi di accessoontapi
e.http
, Sui cluster ONTAP di origine e di destinazione. Fare riferimento a. "Gestire gli account utente nella documentazione di ONTAP" per ulteriori informazioni. -
Usa un certificato: Carica il certificato
.pem
file, la chiave del certificato.key
e, facoltativamente, il file dell'autorità di certificazione.
-
-
Selezionare Avanti.
-
Confermare i dettagli del back-end e selezionare Manage (Gestisci).
Il backend viene visualizzato in online
indicare nell'elenco le informazioni di riepilogo.
Potrebbe essere necessario aggiornare la pagina per visualizzare il backend. |
Aggiungi un bucket
È possibile aggiungere un bucket utilizzando l'interfaccia utente di Astra Control o. "API di controllo Astra". L'aggiunta di provider di bucket di archivi di oggetti è essenziale se si desidera eseguire il backup delle applicazioni e dello storage persistente o se si desidera clonare le applicazioni tra cluster. Astra Control memorizza i backup o i cloni nei bucket dell'archivio di oggetti definiti dall'utente.
Non è necessario un bucket in Astra Control se si esegue il cloning della configurazione dell'applicazione e dello storage persistente sullo stesso cluster. La funzionalità di snapshot delle applicazioni non richiede un bucket.
-
Un bucket raggiungibile dai cluster gestiti da Astra Control Center.
-
Credenziali per il bucket.
-
Un bucket dei seguenti tipi:
-
NetApp ONTAP S3
-
NetApp StorageGRID S3
-
Microsoft Azure
-
Generico S3
-
Amazon Web Services (AWS) e Google Cloud Platform (GCP) utilizzano il tipo di bucket S3 generico. |
Sebbene Astra Control Center supporti Amazon S3 come provider di bucket S3 generico, Astra Control Center potrebbe non supportare tutti i vendor di archivi di oggetti che rivendicano il supporto S3 di Amazon. |
-
Nell'area di navigazione a sinistra, selezionare Bucket.
-
Selezionare Aggiungi.
-
Selezionare il tipo di bucket.
Quando si aggiunge un bucket, selezionare il bucket provider corretto e fornire le credenziali corrette per tale provider. Ad esempio, l'interfaccia utente accetta come tipo NetApp ONTAP S3 e accetta le credenziali StorageGRID; tuttavia, questo causerà l'errore di tutti i backup e ripristini futuri dell'applicazione che utilizzano questo bucket. -
Inserire un nome bucket esistente e una descrizione opzionale.
Il nome e la descrizione del bucket vengono visualizzati come una posizione di backup che è possibile scegliere in seguito quando si crea un backup. Il nome viene visualizzato anche durante la configurazione del criterio di protezione. -
Inserire il nome o l'indirizzo IP dell'endpoint S3.
-
In Seleziona credenziali, selezionare la scheda Aggiungi o Usa esistente.
-
Se si sceglie Aggiungi:
-
Immettere un nome per la credenziale che la distingue dalle altre credenziali in Astra Control.
-
Inserire l'ID di accesso e la chiave segreta incollando il contenuto dagli Appunti.
-
-
Se si sceglie Usa esistente:
-
Selezionare le credenziali esistenti che si desidera utilizzare con il bucket.
-
-
-
Selezionare
Add
.Quando si aggiunge un bucket, Astra Control contrassegna un bucket con l'indicatore bucket predefinito. Il primo bucket creato diventa quello predefinito. Con l'aggiunta di bucket, è possibile decidere in un secondo momento "impostare un altro bucket predefinito".
Quali sono le prossime novità?
Ora che hai effettuato l'accesso e aggiunto i cluster ad Astra Control Center, sei pronto per iniziare a utilizzare le funzionalità di gestione dei dati delle applicazioni di Astra Control Center.