Configurazione dello storage
Ogni piattaforma di storage del portfolio NetApp dispone di funzionalità uniche che offrono vantaggi alle applicazioni, containerizzate o meno. Trident funziona con ciascuna delle principali piattaforme: ONTAP, Element ed e-Series. Non esiste una piattaforma più adatta a tutte le applicazioni e gli scenari rispetto all’altra, tuttavia, è necessario tenere conto delle esigenze dell’applicazione e del team che amministra il dispositivo quando si sceglie una piattaforma.
Seguire le Best practice di base per il sistema operativo host con il protocollo che si sta sfruttando. Se lo si desidera, si consiglia di includere Best practice applicative, se disponibili, con impostazioni di backend, classe di storage e PVC per ottimizzare lo storage per applicazioni specifiche.
Best practice per ONTAP e Cloud Volumes ONTAP
Scopri le Best practice per la configurazione di ONTAP e Cloud Volumes ONTAP per Trident.
I seguenti consigli sono linee guida per la configurazione di ONTAP per i carichi di lavoro containerizzati, che consumano volumi che vengono forniti dinamicamente da Trident. Ciascuno di essi deve essere considerato e valutato per l’adeguatezza nel proprio ambiente.
Utilizzare SVM dedicate a Trident
Le macchine virtuali di storage (SVM) forniscono isolamento e separazione amministrativa tra tenant su un sistema ONTAP. Dedicare una SVM alle applicazioni consente la delega dei privilegi e l’applicazione di Best practice per limitare il consumo delle risorse.
Sono disponibili diverse opzioni per la gestione di SVM:
-
Fornire l’interfaccia di gestione del cluster nella configurazione back-end, insieme alle credenziali appropriate, e specificare il nome SVM.
-
Creare un’interfaccia di gestione dedicata per la SVM utilizzando Gestione di sistema di ONTAP o l’interfaccia CLI.
-
Condividere il ruolo di gestione con un’interfaccia dati NFS.
In ogni caso, l’interfaccia deve essere in DNS e il nome DNS deve essere utilizzato durante la configurazione di Trident. In questo modo è possibile semplificare alcuni scenari di disaster recovery, ad esempio SVM-DR, senza utilizzare la conservazione delle identità di rete.
Non esiste alcuna preferenza tra avere una LIF di gestione dedicata o condivisa per SVM, tuttavia, è necessario assicurarsi che le policy di sicurezza della rete siano allineate con l’approccio scelto. Indipendentemente da ciò, la LIF di gestione deve essere accessibile tramite DNS per facilitare la massima flessibilità "SVM-DR" Da utilizzare in combinazione con Trident.
Limitare il numero massimo di volumi
I sistemi storage ONTAP hanno un numero massimo di volumi, che varia in base alla versione software e alla piattaforma hardware. Vedere "NetApp Hardware Universe" Per la piattaforma e la versione di ONTAP specifiche per determinare i limiti esatti. Una volta esaurito il numero di volumi, le operazioni di provisioning non vengono eseguite solo per Trident, ma per tutte le richieste di storage.
Di Trident ontap-nas
e. ontap-san
I driver forniscono un FlexVolume per ogni volume persistente Kubernetes (PV) creato. Il ontap-nas-economy
Il driver crea circa un FlexVolume ogni 200 PVS (configurabile tra 50 e 300). Il ontap-san-economy
Il driver crea circa un FlexVolume ogni 100 PVS (configurabile tra 50 e 200). Per evitare che Trident utilizzi tutti i volumi disponibili sul sistema storage, è necessario impostare un limite per SVM. È possibile eseguire questa operazione dalla riga di comando:
vserver modify -vserver <svm_name> -max-volumes <num_of_volumes>
Il valore per max-volumes
varia in base a diversi criteri specifici per l’ambiente:
-
Il numero di volumi esistenti nel cluster ONTAP
-
Il numero di volumi che si prevede di eseguire il provisioning al di fuori di Trident per altre applicazioni
-
Il numero di volumi persistenti che si prevede siano utilizzati dalle applicazioni Kubernetes
Il max-volumes
Il valore è il totale dei volumi forniti in tutti i nodi del cluster ONTAP e non in un singolo nodo ONTAP. Di conseguenza, potrebbero verificarsi alcune condizioni in cui un nodo del cluster ONTAP potrebbe avere volumi con provisioning Trident molto più o meno elevati rispetto a un altro nodo.
Ad esempio, un cluster ONTAP a due nodi può ospitare un massimo di 2000 FlexVolumes. Il fatto che il numero massimo di volumi sia impostato su 1250 appare molto ragionevole. Tuttavia, se solo "aggregati" Da un nodo vengono assegnati alla SVM oppure gli aggregati assegnati da un nodo non possono essere sottoposti a provisioning (ad esempio, a causa della capacità), quindi l’altro nodo diventa la destinazione di tutti i volumi con provisioning Trident. Ciò significa che il limite di volume potrebbe essere raggiunto per quel nodo prima di max-volumes
Viene raggiunto il valore, con conseguente impatto sulle operazioni di Trident e di altri volumi che utilizzano tale nodo. È possibile evitare questa situazione assicurandosi che gli aggregati di ciascun nodo del cluster siano assegnati alla SVM utilizzata da Trident in numeri uguali.
Limitare le dimensioni massime dei volumi creati da Trident
Per configurare le dimensioni massime dei volumi che possono essere creati da Trident, utilizzare limitVolumeSize
nel backend.json
definizione.
Oltre a controllare le dimensioni del volume nell’array di storage, è necessario sfruttare le funzionalità di Kubernetes.
Configurare Trident per l’utilizzo di CHAP bidirezionale
È possibile specificare i nomi utente e le password dell’iniziatore CHAP e di destinazione nella definizione di backend e impostare Trident per abilitare CHAP su SVM. Utilizzando il useCHAP
Parametro nella configurazione back-end, Trident autentica le connessioni iSCSI per i backend ONTAP con CHAP. Il supporto CHAP bidirezionale è disponibile con Trident 20.04 e versioni successive.
Creare e utilizzare una policy di QoS SVM
L’utilizzo di una policy di qualità del servizio ONTAP, applicata alla SVM, limita il numero di IOPS consumabili dai volumi sottoposti a provisioning Trident. In questo modo è più utile "prevenire un bullismo" O un container fuori controllo che influisce sui carichi di lavoro al di fuori della SVM Trident.
È possibile creare una policy QoS per SVM in pochi passaggi. Per informazioni più precise, consultare la documentazione relativa alla versione di ONTAP in uso. Nell’esempio riportato di seguito viene creata una policy di QoS che limita a 5000 gli IOPS totali disponibili per la SVM.
# create the policy group for the SVM
qos policy-group create -policy-group <policy_name> -vserver <svm_name> -max-throughput 5000iops
# assign the policy group to the SVM, note this will not work
# if volumes or files in the SVM have existing QoS policies
vserver modify -vserver <svm_name> -qos-policy-group <policy_name>
Inoltre, se la tua versione di ONTAP lo supporta, puoi considerare l’utilizzo di un QoS minimo per garantire una quantità di throughput per i carichi di lavoro containerizzati. QoS adattiva non è compatibile con una policy di livello SVM.
Il numero di IOPS dedicati ai carichi di lavoro containerizzati dipende da molti aspetti. Tra le altre cose, queste includono:
-
Altri carichi di lavoro che utilizzano lo storage array. Se sono presenti altri carichi di lavoro, non correlati all’implementazione di Kubernetes, che utilizzano le risorse di storage, è necessario prestare attenzione a garantire che tali carichi di lavoro non vengano accidentalmente influenzati negativamente.
-
Carichi di lavoro previsti eseguiti in container. Se i carichi di lavoro con requisiti IOPS elevati verranno eseguiti in container, una policy QoS bassa comporta un’esperienza negativa.
È importante ricordare che una policy di QoS assegnata a livello di SVM comporta la condivisione dello stesso pool di IOPS di tutti i volumi forniti a SVM. Se una, o un numero limitato, delle applicazioni containerizzate presenta un elevato requisito di IOPS, potrebbe diventare un problema per gli altri carichi di lavoro containerizzati. In questo caso, è possibile utilizzare l’automazione esterna per assegnare policy QoS per volume.
È necessario assegnare il gruppo di criteri QoS a SVM only se la versione di ONTAP è precedente alla 9.8. |
Creare gruppi di policy QoS per Trident
La qualità del servizio (QoS) garantisce che le performance dei carichi di lavoro critici non vengano degradate da carichi di lavoro concorrenti. I gruppi di policy QoS di ONTAP offrono opzioni di QoS per i volumi e consentono agli utenti di definire il limite massimo di throughput per uno o più carichi di lavoro. Per ulteriori informazioni su QoS, vedere "Garanzia di throughput con QoS". È possibile specificare i gruppi di policy QoS nel backend o in un pool di storage, che vengono applicati a ciascun volume creato in quel pool o backend.
ONTAP dispone di due tipi di gruppi di policy QoS: Tradizionale e adattiva. I gruppi di policy tradizionali forniscono un throughput massimo (o minimo, nelle versioni successive) costante negli IOPS. La QoS adattiva scala automaticamente il throughput in base alle dimensioni del carico di lavoro, mantenendo il rapporto tra IOPS e TB|GB in base alle dimensioni del carico di lavoro. Questo offre un vantaggio significativo quando si gestiscono centinaia o migliaia di carichi di lavoro in un’implementazione di grandi dimensioni.
Quando si creano gruppi di criteri QoS, considerare quanto segue:
-
Impostare
qosPolicy
digitaredefaults
blocco della configurazione back-end. Vedere il seguente esempio di configurazione del backend:
{
"version": 1,
"storageDriverName": "ontap-nas",
"managementLIF": "0.0.0.0",
"dataLIF": "0.0.0.0",
"svm": "svm0",
"username": "user",
"password": "pass",
"defaults": {
"qosPolicy": "standard-pg"
},
"storage": [
{
"labels": {"performance": "extreme"},
"defaults": {
"adaptiveQosPolicy": "extremely-adaptive-pg"
}
},
{
"labels": {"performance": "premium"},
"defaults": {
"qosPolicy": "premium-pg"
}
}
]
}
-
È necessario applicare i gruppi di criteri per volume, in modo che ogni volume ottenga l’intero throughput come specificato dal gruppo di criteri. I gruppi di criteri condivisi non sono supportati.
Per ulteriori informazioni sui gruppi di criteri QoS, vedere "Comandi QoS di ONTAP 9.8".
Limitare l’accesso alle risorse di storage ai membri del cluster Kubernetes
Limitare l’accesso ai volumi NFS e alle LUN iSCSI create da Trident è un componente critico della posizione di sicurezza per l’implementazione di Kubernetes. In questo modo si impedisce agli host che non fanno parte del cluster Kubernetes di accedere ai volumi e di modificare i dati in modo imprevisto.
È importante comprendere che gli spazi dei nomi sono il limite logico delle risorse in Kubernetes. L’ipotesi è che le risorse nello stesso namespace siano in grado di essere condivise, tuttavia, cosa importante, non esiste alcuna funzionalità di spazio dei nomi incrociato. Ciò significa che anche se i PVS sono oggetti globali, quando sono associati a un PVC sono accessibili solo da pod che si trovano nello stesso namespace. È fondamentale assicurarsi che gli spazi dei nomi siano utilizzati per fornire la separazione quando appropriato.
La preoccupazione principale per la maggior parte delle organizzazioni in relazione alla sicurezza dei dati in un contesto Kubernetes è che un processo in un container può accedere allo storage montato sull’host, ma non è destinato al container. "Spazi dei nomi" sono progettati per evitare questo tipo di compromesso. Tuttavia, esiste un’eccezione: I container con privilegi.
Un container con privilegi è un container che viene eseguito con un numero di autorizzazioni a livello di host sostanzialmente superiore al normale. Per impostazione predefinita, questi elementi non vengono rifiutati, quindi disattivare la funzionalità utilizzando "policy di sicurezza pod".
Per i volumi in cui si desidera accedere sia da Kubernetes che da host esterni, lo storage deve essere gestito in modo tradizionale, con il PV introdotto dall’amministratore e non gestito da Trident. In questo modo, il volume di storage viene distrutto solo quando Kubernetes e gli host esterni si sono disconnessi e non utilizzano più il volume. Inoltre, è possibile applicare una policy di esportazione personalizzata, che consente l’accesso dai nodi del cluster Kubernetes e dai server di destinazione all’esterno del cluster Kubernetes.
Per le implementazioni che hanno nodi di infrastruttura dedicati (ad esempio, OpenShift) o altri nodi che non sono schedulabili per le applicazioni utente, è necessario utilizzare policy di esportazione separate per limitare ulteriormente l’accesso alle risorse di storage. Ciò include la creazione di una policy di esportazione per i servizi implementati nei nodi dell’infrastruttura (ad esempio, i servizi OpenShift Metrics e Logging) e le applicazioni standard implementate nei nodi non dell’infrastruttura.
Utilizzare una policy di esportazione dedicata
È necessario verificare l’esistenza di una policy di esportazione per ciascun backend che consenta l’accesso solo ai nodi presenti nel cluster Kubernetes. Trident può creare e gestire automaticamente le policy di esportazione a partire dalla release 20.04. In questo modo, Trident limita l’accesso ai volumi che fornisce ai nodi nel cluster Kubernetes e semplifica l’aggiunta/eliminazione dei nodi.
In alternativa, è anche possibile creare manualmente una policy di esportazione e compilarla con una o più regole di esportazione che elaborano ogni richiesta di accesso al nodo:
-
Utilizzare
vserver export-policy create
Comando ONTAP CLI per creare il criterio di esportazione. -
Aggiungere regole ai criteri di esportazione utilizzando
vserver export-policy rule create
Comando CLI ONTAP.
L’esecuzione di questi comandi consente di limitare i nodi Kubernetes che hanno accesso ai dati.
Disattiva showmount
Per l’applicazione SVM
Il showmount
Questa funzione consente a un client NFS di eseguire query su SVM per un elenco delle esportazioni NFS disponibili. Un pod implementato nel cluster Kubernetes può emettere showmount -e
Eseguire il comando in base al LIF dei dati e ricevere un elenco di montaggi disponibili, inclusi quelli a cui non ha accesso. Sebbene questo, di per sé, non sia un compromesso in termini di sicurezza, fornisce informazioni non necessarie che potrebbero aiutare un utente non autorizzato a connettersi a un’esportazione NFS.
Disattivare showmount
Utilizzando il comando CLI ONTAP a livello di SVM:
vserver nfs modify -vserver <svm_name> -showmount disabled
Best practice di SolidFire
Scopri le Best practice per la configurazione dello storage SolidFire per Trident.
Crea account SolidFire
Ogni account SolidFire rappresenta un unico proprietario di volume e riceve un proprio set di credenziali CHAP (Challenge-Handshake Authentication Protocol). È possibile accedere ai volumi assegnati a un account utilizzando il nome dell’account e le relative credenziali CHAP o un gruppo di accesso al volume. A un account possono essere assegnati fino a duemila volumi, ma un volume può appartenere a un solo account.
Creare una policy QoS
Utilizzare le policy di qualità del servizio (QoS) di SolidFire se si desidera creare e salvare un’impostazione di qualità del servizio standardizzata che può essere applicata a molti volumi.
È possibile impostare i parametri QoS in base al volume. Le performance per ciascun volume possono essere garantite impostando tre parametri configurabili che definiscono la QoS: Min IOPS, Max IOPS e Burst IOPS.
Di seguito sono riportati i possibili valori IOPS minimi, massimi e burst per la dimensione del blocco di 4 Kb.
Parametro IOPS | Definizione | Min. valore | Valore predefinito | Max. Valore (4 Kb) |
---|---|---|---|---|
IOPS minimi |
Il livello garantito di performance per un volume. |
50 |
50 |
15000 |
IOPS max |
Le performance non supereranno questo limite. |
50 |
15000 |
200,000 |
IOPS burst |
IOPS massimi consentiti in uno scenario a burst breve. |
50 |
15000 |
200,000 |
Anche se i massimi IOPS e burst IOPS possono essere impostati su 200,000, le performance massime reali di un volume sono limitate dall’utilizzo del cluster e dalle performance per nodo. |
Le dimensioni dei blocchi e la larghezza di banda influiscono direttamente sul numero di IOPS. Con l’aumentare delle dimensioni dei blocchi, il sistema aumenta la larghezza di banda fino a raggiungere un livello necessario per elaborare blocchi di dimensioni maggiori. Con l’aumentare della larghezza di banda, il numero di IOPS che il sistema è in grado di raggiungere diminuisce. Vedere "Qualità del servizio SolidFire" Per ulteriori informazioni su QoS e performance.
Autenticazione SolidFire
Element supporta due metodi di autenticazione: CHAP e VAG (Volume Access Group). CHAP utilizza il protocollo CHAP per autenticare l’host nel backend. I gruppi di accesso ai volumi controllano l’accesso ai volumi previsti dall’IT. NetApp consiglia di utilizzare CHAP per l’autenticazione, poiché è più semplice e non ha limiti di scalabilità.
Trident con il provisioning CSI avanzato supporta l’utilizzo dell’autenticazione CHAP. I VAG devono essere utilizzati solo nella modalità operativa tradizionale non CSI. |
L’autenticazione CHAP (verifica che l’iniziatore sia l’utente del volume desiderato) è supportata solo con il controllo degli accessi basato su account. Se si utilizza CHAP per l’autenticazione, sono disponibili due opzioni: CHAP unidirezionale e CHAP bidirezionale. CHAP unidirezionale autentica l’accesso al volume utilizzando il nome account SolidFire e il segreto dell’iniziatore. L’opzione CHAP bidirezionale rappresenta il metodo più sicuro per autenticare il volume, in quanto il volume autentica l’host tramite il nome account e il segreto dell’iniziatore, quindi l’host autentica il volume tramite il nome account e il segreto di destinazione.
Tuttavia, se non è possibile attivare CHAP e sono richiesti VAG, creare il gruppo di accesso e aggiungere gli iniziatori host e i volumi al gruppo di accesso. Ogni IQN aggiunto a un gruppo di accesso può accedere a ciascun volume del gruppo con o senza autenticazione CHAP. Se iSCSI Initiator è configurato per utilizzare l’autenticazione CHAP, viene utilizzato il controllo degli accessi basato sull’account. Se iSCSI Initiator non è configurato per utilizzare l’autenticazione CHAP, viene utilizzato il controllo di accesso del gruppo di accesso al volume.
Best practice e-Series
Scopri le Best practice per la configurazione dello storage e-Series per Trident.
Pool di dischi e gruppi di volumi e-Series
Creare pool di dischi e gruppi di volumi in base alle proprie esigenze e determinare in che modo la capacità di storage totale deve essere organizzata in volumi e condivisa tra gli host. Sia il pool di dischi che il gruppo di volumi sono costituiti da una serie di dischi raggruppati in modo logico per fornire uno o più volumi a un host dell’applicazione. Tutte le unità di un pool di dischi o di un gruppo di volumi devono essere dello stesso tipo di supporto.
Gruppi di host e-Series
Trident utilizza i gruppi di host per accedere ai volumi (LUN) forniti. Per impostazione predefinita, Trident utilizza il gruppo host chiamato trident
a meno che non si specifichi un nome di gruppo host diverso nella configurazione. Trident, di per sé, non crea o gestisce gruppi di host. È necessario creare il gruppo host prima di configurare il backend dello storage e-Series su Trident. Assicurarsi che tutti i nomi IQN iSCSI dei nodi di lavoro Kubernetes siano aggiornati nel gruppo host.
Calendario di snapshot e-Series
Creare una pianificazione di snapshot e assegnare il volume creato da Trident a una pianificazione di snapshot in modo che i backup del volume possano essere eseguiti all’intervallo richiesto. In base alle snapshot acquisite in base alla policy di snapshot, è possibile eseguire operazioni di rollback sui volumi ripristinando un’immagine snapshot nel volume di base. È necessario utilizzare Gestione di sistema di SANtricity per creare la pianificazione delle snapshot.
Gruppi di coerenza Snapshot
La configurazione di gruppi di coerenza Snapshot è ideale anche per le applicazioni che si estendono su più volumi. Lo scopo di un gruppo di coerenza è acquisire simultaneamente immagini snapshot di più volumi, garantendo copie coerenti di una raccolta di volumi in un determinato momento. Per creare gruppi di coerenza, è necessario utilizzare Gestione di sistema di SANtricity.
Best practice di Cloud Volumes Service per AWS
Scopri le Best practice per la configurazione di Cloud Volumes Service su AWS per Trident.
Creare una policy di esportazione
Per garantire che solo l’insieme autorizzato di nodi abbia accesso al volume fornito tramite Cloud Volumes Service, impostare le regole appropriate per il criterio di esportazione durante la creazione di un Cloud Volumes Service. Quando si esegue il provisioning di volumi su Cloud Volume Services tramite Trident, assicurarsi di utilizzare exportRule
Nel file backend per consentire l’accesso ai nodi Kubernetes richiesti.
Creare un criterio di snapshot
Creare una policy di snapshot per i volumi forniti tramite Cloud Volume Service per garantire che le snapshot vengano eseguite agli intervalli richiesti. Ciò garantisce il backup dei dati a intervalli regolari e consente il ripristino dei dati in caso di perdita o danneggiamento dei dati. È possibile impostare la policy di snapshot per i volumi ospitati da Cloud Volume Service selezionando la pianificazione appropriata nella pagina dei dettagli dei volumi.
Scegliere il livello di servizio, la capacità dello storage e la larghezza di banda dello storage appropriati
Cloud Volume Services per AWS offre diversi livelli di servizio, ad esempio standard, premium ed estremi. Questi livelli di servizio soddisfano diversi requisiti di capacità dello storage e larghezza di banda dello storage. Assicurati di selezionare il livello di servizio appropriato in base alle tue esigenze di business.
È necessario selezionare le dimensioni richieste dello storage allocato durante la creazione del volume in base alle esigenze specifiche dell’applicazione. È necessario prendere in considerazione due fattori durante la scelta dello storage allocato:
-
I requisiti di storage dell’applicazione specifica
-
La larghezza di banda richiesta in corrispondenza del picco o dell’edge
La larghezza di banda dello storage dipende dalla combinazione del livello di servizio e della capacità allocata selezionata. Pertanto, selezionare il livello di servizio corretto e la capacità allocata tenendo presente la larghezza di banda richiesta.
Limitare le dimensioni massime dei volumi creati da Trident
è possibile limitare le dimensioni massime dei volumi creati da Trident su Cloud Volume Services per AWS utilizzando limitVolumeSize
nel file di configurazione back-end. L’impostazione di questo parametro garantisce che il provisioning non vada a buon fine se la dimensione del volume richiesta è superiore al valore impostato.
Dove trovare ulteriori informazioni?
Di seguito sono elencate alcune delle Best practice. Eseguire una ricerca in "Libreria NetApp" per le versioni più recenti.
ONTAP
Software Element
NetApp HCI
E-Series
Informazioni sulle Best practice applicative
Non tutte le applicazioni hanno linee guida specifiche, è importante collaborare con il team NetApp e utilizzare "Libreria NetApp" per trovare la documentazione più aggiornata.