Skip to main content
NetApp Backup and Recovery
Tutti i provider cloud
  • Servizi Web Amazon
  • Google Cloud
  • Microsoft Azure
  • Tutti i provider cloud
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Impostare i certificati di sicurezza per StorageGRID e ONTAP in NetApp Backup and Recovery

Collaboratori netapp-mwallis
PDF

Creare un certificato di sicurezza per abilitare la comunicazione tra NetApp Backup and Recovery e StorageGRID o ONTAP.

Creare un certificato di sicurezza per StorageGRID

Se la comunicazione tra i contenitori NetApp Backup and Recovery e StorageGRID deve verificare il certificato StorageGRID , completare i seguenti passaggi.

Il certificato generato deve avere CN e Subject Alternative Name come nome fornito in NetApp Backup and Recovery al momento dell'attivazione del backup.

Passi

  1. Per creare il certificato StorageGRID , seguire i passaggi indicati nella documentazione di StorageGRID .

    "Informazioni StorageGRID sulla configurazione dei certificati"

  2. Aggiorna StorageGRID con il certificato se non lo hai già fatto.

  3. Accedi all'agente Console come utente root. Correre:

    sudo su

  4. Ottieni il volume Docker NetApp Backup and Recovery (Cloud Backup Service). Correre:

    docker volume ls | grep cbs

    Esempio di output:

    local service-manager-2_cloudmanager_cbs_volume"
    Nota Il nome del volume varia tra le modalità di distribuzione Standard, Privata e Limitata. In questo esempio viene utilizzata la modalità Standard. Fare riferimento a "Modalità di distribuzione NetApp Console" .

  5. Trova il punto di montaggio del volume NetApp Backup and Recovery . Correre:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Esempio di output:

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data"
    Nota Il punto di montaggio varia tra le modalità di distribuzione Standard, Privata e Limitata. Questo esempio mostra una distribuzione cloud standard. Fare riferimento a "Modalità di distribuzione NetApp Console" .

  6. Passare alla directory MountPoint. Correre:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  7. Se il certificato di StorageGRID è firmato dalla CA radice e da una CA intermedia, aggiungere pem file di entrambi in un unico file denominato sgws.crt nella posizione attuale. Non aggiungere il certificato foglia a questo file.

Passaggi per il contenitore cloudmanager_cbs

Sarà necessario abilitare la verifica del certificato del server StorageGRID in NetApp Backup and Recovery (Cloud Backup Service).

  1. Passare alle directory del volume Docker ottenuto nei passaggi precedenti.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Cambiare directory e passare alla directory config.

    cd cbs_config

  3. Crea e salva un file di configurazione come mostrato di seguito con uno dei seguenti nomi in base all'ambiente di distribuzione:

    • `production-customer.json`Utilizzato per le distribuzioni in modalità Standard e in modalità Ristretta.

    • `darksite-customer.json`Utilizzato per le distribuzioni in modalità privata.

      Fare riferimento a "Modalità di distribuzione NetApp Console" .

      File di configurazione

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Uscire dal contenitore. Correre:

    exit

  5. Ricomincia cloudmanager_cbs . Correre:

    docker restart cloudmanager_cbs

Passaggi per il contenitore cloudmanager_cbs_catalog

Successivamente, sarà necessario abilitare la verifica del certificato del server StorageGRID per il servizio di catalogazione.

  1. Cambiare directory nel volume Docker:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Configura il catalogo. Correre:

    cd cbs_catalog_config

  3. Crea un file di configurazione come mostrato di seguito con uno dei seguenti nomi in base al tuo ambiente di distribuzione:

    • `production-customer.json`Utilizzato per le distribuzioni in modalità Standard e in modalità Ristretta.

    • `darksite-customer.json`Utilizzato per le distribuzioni in modalità privata.

      Fare riferimento a "Modalità di distribuzione NetApp Console" .

      File di configurazione del catalogo

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Riavvia il catalogo. Correre:

    docker restart cloudmanager_cbs_catalog

Aggiornare il certificato dell'agente della console con il certificato StorageGRID in base al sistema operativo dell'agente

Ubuntu

  1. Copia il certificato SGWS in /usr/local/share/ca-certificates . Ecco un esempio:

    cp /config/sgws.crt /usr/local/share/ca-certificates/

    Dove sgws.crt è il certificato CA radice.

  2. Aggiornare i certificati host con il certificato StorageGRID . Correre

    sudo update-ca-certificates

Red Hat Enterprise Linux

  1. Copia il certificato SGWS in /etc/pki/ca-trust/source/anchors/ .

    cp /config/sgws.crt /etc/pki/ca-trust/source/anchors/

    Dove sgws.crt è il certificato CA radice.

  2. Aggiornare i certificati host con il certificato StorageGRID .

    update-ca-trust extract

  3. Aggiorna il ca-bundle.crt

    cd /etc/pki/tls/certs/
openssl x509 -in ca-bundle.crt -text -noout

  4. Per verificare se i certificati sono presenti, eseguire il seguente comando:

    openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs | grep subject | head

Creare un certificato di sicurezza per ONTAP

Se la comunicazione tra i contenitori NetApp Backup and Recovery e ONTAP deve convalidare il certificato ONTAP , completare i seguenti passaggi.

NetApp Backup and Recovery utilizza l'IP di gestione del cluster per connettersi a ONTAP. Immettere l'indirizzo IP del cluster nei nomi alternativi dell'oggetto del certificato. Specificare questo passaggio quando si genera la CSR tramite l'interfaccia utente di System Manager.

Utilizzare la documentazione di System Manager per creare un nuovo certificato CA per ONTAP.

Passi

  1. Accedi all'agente della console come root. Correre:

    sudo su

  2. Ottieni il volume Docker NetApp Backup and Recovery . Correre:

    docker volume ls | grep cbs

    Esempio di output:

    local service-manager-2_cloudmanager_cbs_volume
    Nota Il nome del volume varia tra le modalità di distribuzione Standard, Privata e Limitata. Questo esempio mostra una distribuzione cloud standard. Fare riferimento a "Modalità di distribuzione NetApp Console" .

  3. Procuratevi il supporto per il volume. Correre:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Esempio di output:

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data
    Nota Il punto di montaggio varia tra le modalità di distribuzione Standard, Privata e Limitata. Questo esempio mostra una distribuzione cloud standard. Fare riferimento a "Modalità di distribuzione NetApp Console" .

  4. Passare alla directory del punto di montaggio. Correre:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  5. Completa uno dei seguenti passaggi:

    • Se il certificato ONTAP è firmato dalla CA radice e da una CA intermedia, aggiungere pem file di entrambi in un unico file denominato ontap.crt nella posizione attuale.

    • Se il certificato ONTAP è firmato da una singola CA, rinominarlo pem archiviare come ontap.crt e copiarlo nella posizione corrente. Non aggiungere il certificato foglia a questo file.

Passaggi per il contenitore cloudmanager_cbs

Successivamente, abilitare la verifica del certificato del server ONTAP in NetApp Backup and Recovery (Cloud Backup Service).

  1. Passare alle directory del volume Docker ottenuto nei passaggi precedenti.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Passare alla directory config. Correre:

    cd cbs_config

  3. Creare un file di configurazione come mostrato di seguito con uno dei seguenti nomi in base all'ambiente di distribuzione:

    • `production-customer.json`Utilizzato per le distribuzioni in modalità Standard e in modalità Ristretta.

    • `darksite-customer.json`Utilizzato per le distribuzioni in modalità privata.

      Fare riferimento a "Modalità di distribuzione NetApp Console" .

      File di configurazione

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Uscire dal contenitore. Correre:

    exit

  5. Riavviare NetApp Backup and Recovery. Correre:

    docker restart cloudmanager_cbs

Passaggi per il contenitore cloudmanager_cbs_catalog

Abilitare la verifica del certificato del server ONTAP per il servizio di catalogazione.

  1. Passare alla directory del volume Docker. Correre:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Correre:

    cd cbs_catalog_config

  3. Creare un file di configurazione come mostrato di seguito con uno dei seguenti nomi in base all'ambiente di distribuzione:

    • `production-customer.json`Utilizzato per le distribuzioni in modalità Standard e in modalità Ristretta.

    • `darksite-customer.json`Utilizzato per le distribuzioni in modalità privata.

      Fare riferimento a "Modalità di distribuzione NetApp Console" .

      File di configurazione

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Riavviare NetApp Backup and Recovery. Correre:

    docker restart cloudmanager_cbs_catalog

Creare un certificato sia per ONTAP che per StorageGRID

Se è necessario abilitare il certificato sia per ONTAP che per StorageGRID, il file di configurazione apparirà come segue:

File di configurazione per ONTAP e StorageGRID

{
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  },
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}