Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Prepararsi a configurare un backend con i driver ONTAP NAS

Collaboratori netapp-aruldeepa
PDF

Comprendere i requisiti, le opzioni di autenticazione e le policy di esportazione per la configurazione di un backend ONTAP con driver ONTAP NAS.

Requisiti

  • Per tutti i backend ONTAP , Trident richiede che almeno un aggregato sia assegnato all'SVM.

  • È possibile eseguire più di un driver e creare classi di archiviazione che puntano all'uno o all'altro. Ad esempio, è possibile configurare una classe Gold che utilizza ontap-nas driver e una classe Bronze che utilizza il ontap-nas-economy uno.

  • Tutti i nodi worker di Kubernetes devono avere installati gli strumenti NFS appropriati. Fare riferimento a"Qui" per maggiori dettagli.

  • Trident supporta volumi SMB montati su pod in esecuzione solo su nodi Windows. Fare riferimento a Prepararsi al provisioning dei volumi SMB per i dettagli.

Autenticare il backend ONTAP

Trident offre due modalità di autenticazione di un backend ONTAP .

  • Basato su credenziali: questa modalità richiede autorizzazioni sufficienti per il backend ONTAP . Si consiglia di utilizzare un account associato a un ruolo di accesso di sicurezza predefinito, ad esempio admin O vsadmin per garantire la massima compatibilità con le versioni ONTAP .

  • Basato su certificato: questa modalità richiede un certificato installato sul backend affinché Trident possa comunicare con un cluster ONTAP . Qui, la definizione del backend deve contenere valori codificati in Base64 del certificato client, della chiave e del certificato CA attendibile, se utilizzato (consigliato).

È possibile aggiornare i backend esistenti per passare da metodi basati su credenziali a metodi basati su certificati. Tuttavia, è supportato solo un metodo di autenticazione alla volta. Per passare a un metodo di autenticazione diverso, è necessario rimuovere il metodo esistente dalla configurazione del backend.

Attenzione Se si tenta di fornire sia credenziali che certificati, la creazione del backend fallirà e verrà visualizzato un errore che indica che nel file di configurazione è stato fornito più di un metodo di autenticazione.

Abilita l'autenticazione basata sulle credenziali

Trident richiede le credenziali di un amministratore con ambito SVM/cluster per comunicare con il backend ONTAP . Si consiglia di utilizzare ruoli standard predefiniti come admin O vsadmin . Ciò garantisce la compatibilità futura con le future versioni ONTAP che potrebbero esporre API di funzionalità da utilizzare nelle future versioni Trident . È possibile creare e utilizzare un ruolo di accesso di sicurezza personalizzato con Trident, ma non è consigliato.

Un esempio di definizione del backend sarà simile a questo:

YAML
---
version: 1
backendName: ExampleBackend
storageDriverName: ontap-nas
managementLIF: 10.0.0.1
dataLIF: 10.0.0.2
svm: svm_nfs
credentials:
  name: secret-backend-creds
JSON
{
  "version": 1,
  "backendName": "ExampleBackend",
  "storageDriverName": "ontap-nas",
  "managementLIF": "10.0.0.1",
  "dataLIF": "10.0.0.2",
  "svm": "svm_nfs",
  "credentials": {
        "name": "secret-backend-creds"
    }
}

Tieni presente che la definizione del backend è l'unico posto in cui le credenziali vengono archiviate in testo normale. Dopo aver creato il backend, i nomi utente e le password vengono codificati con Base64 e memorizzati come segreti Kubernetes. La creazione/aggiornamento di un backend è l'unico passaggio che richiede la conoscenza delle credenziali. Si tratta pertanto di un'operazione riservata esclusivamente all'amministratore, che deve essere eseguita dall'amministratore di Kubernetes/archiviazione.

Abilita l'autenticazione basata su certificato

I backend nuovi ed esistenti possono utilizzare un certificato e comunicare con il backend ONTAP . Nella definizione del backend sono richiesti tre parametri.

  • clientCertificate: valore codificato in Base64 del certificato client.

  • clientPrivateKey: valore codificato in Base64 della chiave privata associata.

  • trustedCACertificate: valore codificato in Base64 del certificato CA attendibile. Se si utilizza una CA attendibile, è necessario fornire questo parametro. Questo può essere ignorato se non viene utilizzata alcuna CA attendibile.

Un flusso di lavoro tipico prevede i seguenti passaggi.

Passi

  1. Genera un certificato client e una chiave. Durante la generazione, impostare il nome comune (CN) sull'utente ONTAP con cui effettuare l'autenticazione.

    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=vsadmin"

  2. Aggiungere un certificato CA attendibile al cluster ONTAP . Questa operazione potrebbe essere già gestita dall'amministratore dell'archiviazione. Ignora se non viene utilizzata alcuna CA attendibile.

    security certificate install -type server -cert-name <trusted-ca-cert-name> -vserver <vserver-name>
ssl modify -vserver <vserver-name> -server-enabled true -client-enabled true -common-name <common-name> -serial <SN-from-trusted-CA-cert> -ca <cert-authority>

  3. Installare il certificato client e la chiave (dal passaggio 1) sul cluster ONTAP .

    security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name>
security ssl modify -vserver <vserver-name> -client-enabled true

  4. Conferma che il ruolo di accesso alla sicurezza ONTAP supporta cert metodo di autenticazione.

    security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name>
security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>

  5. Verifica l'autenticazione utilizzando il certificato generato. Sostituire < ONTAP Management LIF> e <nome vserver> con l'IP Management LIF e il nome SVM. È necessario assicurarsi che la politica di servizio del LIF sia impostata su default-data-management .

    curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns="http://www.netapp.com/filer/admin" version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>'

  6. Codifica il certificato, la chiave e il certificato CA attendibile con Base64.

    base64 -w 0 k8senv.pem >> cert_base64
base64 -w 0 k8senv.key >> key_base64
base64 -w 0 trustedca.pem >> trustedca_base64

  7. Creare il backend utilizzando i valori ottenuti dal passaggio precedente.

    cat cert-backend-updated.json
{
"version": 1,
"storageDriverName": "ontap-nas",
"backendName": "NasBackend",
"managementLIF": "1.2.3.4",
"dataLIF": "1.2.3.8",
"svm": "vserver_test",
"clientCertificate": "Faaaakkkkeeee...Vaaalllluuuueeee",
"clientPrivateKey": "LS0tFaKE...0VaLuES0tLS0K",
"storagePrefix": "myPrefix_"
}

#Update backend with tridentctl
tridentctl update backend NasBackend -f cert-backend-updated.json -n trident
+------------+----------------+--------------------------------------+--------+---------+
|    NAME    | STORAGE DRIVER |                 UUID                 | STATE  | VOLUMES |
+------------+----------------+--------------------------------------+--------+---------+
| NasBackend | ontap-nas      | 98e19b74-aec7-4a3d-8dcf-128e5033b214 | online |       9 |
+------------+----------------+--------------------------------------+--------+---------+

Aggiorna i metodi di autenticazione o ruota le credenziali

È possibile aggiornare un backend esistente per utilizzare un metodo di autenticazione diverso o per ruotare le credenziali. Funziona in entrambi i modi: i backend che utilizzano nome utente/password possono essere aggiornati per utilizzare certificati; i backend che utilizzano certificati possono essere aggiornati per utilizzare nome utente/password. Per fare ciò, è necessario rimuovere il metodo di autenticazione esistente e aggiungere il nuovo metodo di autenticazione. Quindi utilizzare il file backend.json aggiornato contenente i parametri richiesti per eseguire tridentctl update backend .

cat cert-backend-updated.json
{
"version": 1,
"storageDriverName": "ontap-nas",
"backendName": "NasBackend",
"managementLIF": "1.2.3.4",
"dataLIF": "1.2.3.8",
"svm": "vserver_test",
"username": "vsadmin",
"password": "password",
"storagePrefix": "myPrefix_"
}
#Update backend with tridentctl
tridentctl update backend NasBackend -f cert-backend-updated.json -n trident
+------------+----------------+--------------------------------------+--------+---------+
|    NAME    | STORAGE DRIVER |                 UUID                 | STATE  | VOLUMES |
+------------+----------------+--------------------------------------+--------+---------+
| NasBackend | ontap-nas      | 98e19b74-aec7-4a3d-8dcf-128e5033b214 | online |       9 |
+------------+----------------+--------------------------------------+--------+---------+
Nota Quando si ruotano le password, l'amministratore dell'archiviazione deve prima aggiornare la password per l'utente su ONTAP. Segue un aggiornamento del backend. Durante la rotazione dei certificati, è possibile aggiungere più certificati all'utente. Il backend viene quindi aggiornato per utilizzare il nuovo certificato, dopodiché il vecchio certificato può essere eliminato dal cluster ONTAP .

L'aggiornamento di un backend non interrompe l'accesso ai volumi già creati, né influisce sulle connessioni ai volumi effettuate in seguito. Un aggiornamento del backend riuscito indica che Trident può comunicare con il backend ONTAP e gestire le future operazioni sui volumi.

Crea un ruolo ONTAP personalizzato per Trident

È possibile creare un ruolo cluster ONTAP con privilegi minimi in modo da non dover utilizzare il ruolo di amministratore ONTAP per eseguire operazioni in Trident. Quando si include il nome utente in una configurazione backend Trident , Trident utilizza il ruolo del cluster ONTAP creato per eseguire le operazioni.

Fare riferimento a"Generatore di ruoli personalizzati Trident" per ulteriori informazioni sulla creazione di ruoli personalizzati Trident .

Utilizzo di ONTAP CLI

  1. Crea un nuovo ruolo utilizzando il seguente comando:

    security login role create <role_name\> -cmddirname "command" -access all –vserver <svm_name\>

  2. Crea un nome utente per l'utente Trident :

    security login create -username <user_name\> -application ontapi -authmethod <password\> -role <name_of_role_in_step_1\> –vserver <svm_name\> -comment "user_description"

  3. Assegna il ruolo all'utente:

    security login modify username <user_name\> –vserver <svm_name\> -role <role_name\> -application ontapi -application console -authmethod <password\>

Utilizzo di System Manager

Eseguire i seguenti passaggi in ONTAP System Manager:

  1. Crea un ruolo personalizzato:

    1. Per creare un ruolo personalizzato a livello di cluster, selezionare Cluster > Impostazioni.

      (Oppure) Per creare un ruolo personalizzato a livello SVM, selezionare Archiviazione > VM di archiviazione > required SVM > Impostazioni > Utenti e ruoli.

    2. Selezionare l'icona della freccia () accanto a Utenti e ruoli.

    3. Selezionare +Aggiungi in Ruoli.

    4. Definisci le regole per il ruolo e clicca su Salva.

  2. Assegnare il ruolo all'utente Trident *: + Eseguire i seguenti passaggi nella pagina *Utenti e ruoli:

    1. Selezionare Aggiungi icona + in Utenti.

    2. Selezionare il nome utente richiesto e selezionare un ruolo nel menu a discesa per Ruolo.

    3. Fare clic su Salva.

Per maggiori informazioni consultare le seguenti pagine:

Gestire le policy di esportazione NFS

Trident utilizza criteri di esportazione NFS per controllare l'accesso ai volumi di cui si occupa.

Trident offre due opzioni quando si lavora con le politiche di esportazione:

  • Trident può gestire dinamicamente la politica di esportazione autonomamente; in questa modalità di funzionamento, l'amministratore dell'archiviazione specifica un elenco di blocchi CIDR che rappresentano indirizzi IP ammissibili. Trident aggiunge automaticamente alla policy di esportazione gli IP dei nodi applicabili che rientrano in questi intervalli al momento della pubblicazione. In alternativa, se non vengono specificati CIDR, tutti gli IP unicast con ambito globale trovati sul nodo su cui viene pubblicato il volume verranno aggiunti alla policy di esportazione.

  • Gli amministratori di storage possono creare una policy di esportazione e aggiungere regole manualmente. Trident utilizza la policy di esportazione predefinita, a meno che non venga specificato un nome diverso nella configurazione.

Gestire dinamicamente le politiche di esportazione

Trident offre la possibilità di gestire dinamicamente le policy di esportazione per i backend ONTAP . Ciò consente all'amministratore dell'archiviazione di specificare uno spazio di indirizzamento consentito per gli IP dei nodi worker, anziché definire manualmente regole esplicite. Semplifica notevolmente la gestione delle policy di esportazione: le modifiche alle policy di esportazione non richiedono più un intervento manuale sul cluster di storage. Inoltre, ciò consente di limitare l'accesso al cluster di archiviazione solo ai nodi worker che montano volumi e hanno IP compresi nell'intervallo specificato, supportando una gestione automatizzata e dettagliata.

Nota Non utilizzare Network Address Translation (NAT) quando si utilizzano criteri di esportazione dinamici. Con NAT, il controller di archiviazione vede l'indirizzo NAT frontend e non l'indirizzo host IP effettivo, quindi l'accesso verrà negato se non viene trovata alcuna corrispondenza nelle regole di esportazione.

Esempio

Ci sono due opzioni di configurazione che devono essere utilizzate. Ecco un esempio di definizione del backend:

---
version: 1
storageDriverName: ontap-nas-economy
backendName: ontap_nas_auto_export
managementLIF: 192.168.0.135
svm: svm1
username: vsadmin
password: password
autoExportCIDRs:
  - 192.168.0.0/24
autoExportPolicy: true
Nota Quando si utilizza questa funzionalità, è necessario assicurarsi che la giunzione radice nella SVM disponga di una policy di esportazione creata in precedenza con una regola di esportazione che consenta il blocco CIDR del nodo (ad esempio la policy di esportazione predefinita). Seguire sempre le best practice consigliate NetApp per dedicare una SVM a Trident.

Ecco una spiegazione del funzionamento di questa funzionalità utilizzando l'esempio sopra riportato:

  • autoExportPolicy`è impostato su `true . Ciò indica che Trident crea una policy di esportazione per ogni volume fornito con questo backend per il svm1 SVM e gestire l'aggiunta e l'eliminazione delle regole utilizzando autoexportCIDRs blocchi di indirizzi. Finché un volume non viene collegato a un nodo, il volume utilizza una policy di esportazione vuota, senza regole, per impedire l'accesso indesiderato a tale volume. Quando un volume viene pubblicato su un nodo, Trident crea una policy di esportazione con lo stesso nome del qtree sottostante contenente l'IP del nodo all'interno del blocco CIDR specificato. Questi IP verranno aggiunti anche alla policy di esportazione utilizzata dal FlexVol volume padre

    • Per esempio:

      • UUID backend 403b5326-8482-40db-96d0-d83fb3f4daec

      • autoExportPolicy`impostato su `true

      • prefisso di archiviazione trident

      • Codice UUID PVC a79bcf5f-7b6d-4a40-9876-e2551f159c1c

      • qtree denominato trident_pvc_a79bcf5f_7b6d_4a40_9876_e2551f159c1c crea una politica di esportazione per FlexVol denominata trident-403b5326-8482-40db96d0-d83fb3f4daec , una politica di esportazione per il qtree denominato
        trident_pvc_a79bcf5f_7b6d_4a40_9876_e2551f159c1c e una politica di esportazione vuota denominata trident_empty sull'SVM. Le regole per la policy di esportazione FlexVol saranno un superset di tutte le regole contenute nelle policy di esportazione qtree. La policy di esportazione vuota verrà riutilizzata da tutti i volumi non collegati.

  • `autoExportCIDRs`contiene un elenco di blocchi di indirizzi. Questo campo è facoltativo e il suo valore predefinito è ["0.0.0.0/0", "::/0"]. Se non definito, Trident aggiunge tutti gli indirizzi unicast con ambito globale trovati sui nodi worker con pubblicazioni.

In questo esempio, il 192.168.0.0/24 è fornito lo spazio di indirizzamento. Ciò indica che gli IP dei nodi Kubernetes che rientrano in questo intervallo di indirizzi con pubblicazioni verranno aggiunti alla policy di esportazione creata Trident . Quando Trident registra un nodo su cui è in esecuzione, recupera gli indirizzi IP del nodo e li confronta con i blocchi di indirizzi forniti in autoExportCIDRs Al momento della pubblicazione, dopo aver filtrato gli IP, Trident crea le regole della policy di esportazione per gli IP client del nodo su cui sta pubblicando.

Puoi aggiornare autoExportPolicy E autoExportCIDRs per i backend dopo averli creati. È possibile aggiungere nuovi CIDR per un backend gestito automaticamente oppure eliminare i CIDR esistenti. Prestare attenzione quando si eliminano i CIDR per assicurarsi che le connessioni esistenti non vengano interrotte. Puoi anche scegliere di disabilitare autoExportPolicy per un backend e ripiegare su una policy di esportazione creata manualmente. Ciò richiederà l'impostazione del exportPolicy parametro nella configurazione del backend.

Dopo che Trident crea o aggiorna un backend, puoi controllare il backend utilizzando tridentctl o il corrispondente tridentbackend CRD:

./tridentctl get backends ontap_nas_auto_export -n trident -o yaml
items:
- backendUUID: 403b5326-8482-40db-96d0-d83fb3f4daec
  config:
    aggregate: ""
    autoExportCIDRs:
    - 192.168.0.0/24
    autoExportPolicy: true
    backendName: ontap_nas_auto_export
    chapInitiatorSecret: ""
    chapTargetInitiatorSecret: ""
    chapTargetUsername: ""
    chapUsername: ""
    dataLIF: 192.168.0.135
    debug: false
    debugTraceFlags: null
    defaults:
      encryption: "false"
      exportPolicy: <automatic>
      fileSystemType: ext4

Quando un nodo viene rimosso, Trident controlla tutte le policy di esportazione per rimuovere le regole di accesso corrispondenti al nodo. Rimuovendo questo IP del nodo dalle policy di esportazione dei backend gestiti, Trident impedisce i mount non autorizzati, a meno che questo IP non venga riutilizzato da un nuovo nodo nel cluster.

Per i backend già esistenti, aggiornare il backend con tridentctl update backend garantisce che Trident gestisca automaticamente le politiche di esportazione. In questo modo vengono create due nuove policy di esportazione denominate in base all'UUID del backend e al nome qtree quando necessario. I volumi presenti nel backend utilizzeranno i criteri di esportazione appena creati dopo essere stati smontati e montati nuovamente.

Nota L'eliminazione di un backend con criteri di esportazione gestiti automaticamente eliminerà il criterio di esportazione creato dinamicamente. Se il backend viene ricreato, viene trattato come un nuovo backend e comporterà la creazione di una nuova policy di esportazione.

Se l'indirizzo IP di un nodo attivo viene aggiornato, è necessario riavviare il pod Trident sul nodo. Trident aggiornerà quindi la politica di esportazione per i backend che gestisce per riflettere questa modifica dell'IP.

Prepararsi al provisioning dei volumi SMB

Con un po' di preparazione aggiuntiva, è possibile eseguire il provisioning dei volumi SMB utilizzando ontap-nas conducenti.

Attenzione È necessario configurare entrambi i protocolli NFS e SMB/CIFS sull'SVM per creare un ontap-nas-economy Volume SMB per cluster ONTAP on-premise. La mancata configurazione di uno di questi protocolli causerà il fallimento della creazione del volume SMB.
Nota `autoExportPolicy`non è supportato per i volumi SMB.
Prima di iniziare

Prima di poter effettuare il provisioning dei volumi SMB, è necessario disporre di quanto segue.

  • Un cluster Kubernetes con un nodo controller Linux e almeno un nodo worker Windows che esegue Windows Server 2022. Trident supporta volumi SMB montati su pod in esecuzione solo su nodi Windows.

  • Almeno un segreto Trident contenente le credenziali di Active Directory. Per generare segreto smbcreds :

    kubectl create secret generic smbcreds --from-literal username=user --from-literal password='password'

  • Un proxy CSI configurato come servizio Windows. Per configurare un csi-proxy , fare riferimento a"GitHub: Proxy CSI" O"GitHub: Proxy CSI per Windows" per i nodi Kubernetes in esecuzione su Windows.

Passi

  1. Per ONTAP on-premise, puoi facoltativamente creare una condivisione SMB oppure Trident può crearne una per te.

    Nota Le condivisioni SMB sono necessarie per Amazon FSx per ONTAP.

    È possibile creare le condivisioni amministrative SMB in uno dei due modi seguenti: utilizzando"Console di gestione Microsoft" Snap-in Cartelle condivise o tramite ONTAP CLI. Per creare le condivisioni SMB utilizzando ONTAP CLI:

    1. Se necessario, creare la struttura del percorso della directory per la condivisione.

      IL vserver cifs share create Il comando controlla il percorso specificato nell'opzione -path durante la creazione della condivisione. Se il percorso specificato non esiste, il comando fallisce.

    2. Crea una condivisione SMB associata all'SVM specificato:

      vserver cifs share create -vserver vserver_name -share-name share_name -path path [-share-properties share_properties,...] [other_attributes] [-comment text]

    3. Verificare che la condivisione sia stata creata:

      vserver cifs share show -share-name share_name
      Nota Fare riferimento a"Crea una condivisione SMB" per maggiori dettagli.

  2. Durante la creazione del backend, è necessario configurare quanto segue per specificare i volumi SMB. Per tutte le opzioni di configurazione del backend FSx for ONTAP , fare riferimento a"Opzioni di configurazione ed esempi di FSx per ONTAP" .

    Parametro Descrizione Esempio

    smbShare

    È possibile specificare uno dei seguenti elementi: il nome di una condivisione SMB creata tramite Microsoft Management Console o ONTAP CLI; un nome per consentire a Trident di creare la condivisione SMB; oppure è possibile lasciare il parametro vuoto per impedire l'accesso comune alla condivisione ai volumi. Questo parametro è facoltativo per ONTAP on-premise. Questo parametro è obbligatorio per i backend Amazon FSx per ONTAP e non può essere vuoto.

    smb-share

    nasType

    Deve essere impostato su smb . Se nullo, il valore predefinito è nfs .

    smb

    securityStyle

    Stile di sicurezza per i nuovi volumi. Deve essere impostato su ntfs O mixed per volumi SMB.

    ntfs`O `mixed per volumi SMB

    unixPermissions

    Modalità per nuovi volumi. Deve essere lasciato vuoto per i volumi SMB.

    ""

Abilita SMB sicuro

A partire dalla versione 25.06, NetApp Trident supporta il provisioning sicuro dei volumi SMB creati utilizzando ontap-nas E ontap-nas-economy backend. Quando è abilitato SMB sicuro, è possibile fornire un accesso controllato alle condivisioni SMB per gli utenti e i gruppi di utenti di Active Directory (AD) utilizzando gli elenchi di controllo di accesso (ACL).

Punti da ricordare

  • Importazione ontap-nas-economy volumi non è supportato.

  • Sono supportati solo i cloni di sola lettura per ontap-nas-economy volumi.

  • Se Secure SMB è abilitato, Trident ignorerà la condivisione SMB menzionata nel backend.

  • L'aggiornamento dell'annotazione PVC, dell'annotazione della classe di archiviazione e del campo backend non aggiorna l'ACL della condivisione SMB.

  • L'ACL di condivisione SMB specificato nell'annotazione del PVC clone avrà la precedenza su quelli presenti nel PVC di origine.

  • Assicurati di fornire utenti AD validi quando abiliti SMB sicuro. Gli utenti non validi non verranno aggiunti all'ACL.

  • Se si forniscono autorizzazioni diverse allo stesso utente AD nel backend, nella classe di archiviazione e nel PVC, la priorità delle autorizzazioni sarà: PVC, classe di archiviazione e quindi backend.

  • Secure SMB è supportato per ontap-nas importazioni di volumi gestiti e non applicabile alle importazioni di volumi non gestiti.

Passi

  1. Specificare adAdminUser in TridentBackendConfig come mostrato nell'esempio seguente:

    apiVersion: trident.netapp.io/v1
kind: TridentBackendConfig
metadata:
  name: backend-tbc-ontap
  namespace: trident
spec:
  version: 1
  storageDriverName: ontap-nas
  managementLIF: 10.193.176.x
  svm: svm0
  useREST: true
  defaults:
    adAdminUser: tridentADtest
  credentials:
    name: backend-tbc-ontap-invest-secret

  2. Aggiungere l'annotazione nella classe di archiviazione.

    Aggiungi il trident.netapp.io/smbShareAdUser annotazione alla classe di archiviazione per abilitare SMB sicuro senza errori. Il valore utente specificato per l'annotazione trident.netapp.io/smbShareAdUser dovrebbe essere lo stesso del nome utente specificato nel smbcreds segreto. Puoi scegliere una delle seguenti opzioni per smbShareAdUserPermission : full_control , change , O read . L'autorizzazione predefinita è full_control .

apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
  name: ontap-smb-sc
  annotations:
    trident.netapp.io/smbShareAdUserPermission: change
    trident.netapp.io/smbShareAdUser: tridentADuser
parameters:
  backendType: ontap-nas
  csi.storage.k8s.io/node-stage-secret-name: smbcreds
  csi.storage.k8s.io/node-stage-secret-namespace: trident
  trident.netapp.io/nasType: smb
provisioner: csi.trident.netapp.io
reclaimPolicy: Delete
volumeBindingMode: Immediate

  1. Creare un PVC.

    L'esempio seguente crea un PVC:

apiVersion: v1
kind: PersistentVolumeClaim
metadata:
  name: my-pvc4
  namespace: trident
  annotations:
    trident.netapp.io/snapshotDirectory: "true"
    trident.netapp.io/smbShareAccessControl: |
      read:
        - tridentADtest
spec:
  accessModes:
    - ReadWriteOnce
  resources:
    requests:
      storage: 1Gi
  storageClassName: ontap-smb-sc