Skip to main content
本製品の最新リリースがご利用いただけます。
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Astra Control Center をセットアップします

共同作成者
PDF

Astra Control Centerをインストールし、UIにログインしてパスワードを変更したら、ライセンスのセットアップ、クラスタの追加、認証の有効化、ストレージの管理、バケットの追加を行うことができます。

タスク

Astra Control Center のライセンスを追加します

Astra Control Centerをインストールすると、組み込みの評価用ライセンスがすでにインストールされています。Astra Control Centerを評価する場合は、この手順を省略できます。

新しいライセンスは、Astra Control UIまたはを使用して追加できます "API"

Astra Control Centerライセンスは、Kubernetes CPUユニットを使用してCPUリソースを測定し、すべての管理対象Kubernetesクラスタのワーカーノードに割り当てられたCPUリソースを考慮します。ライセンスはvCPUの使用量に基づいています。ライセンスの計算方法の詳細については、を参照してください "ライセンス"

メモ インストールがライセンス数を超えると、 Astra Control Center は新しいアプリケーションを管理できなくなります。容量を超えるとアラートが表示されます。
メモ 既存の評価版またはフルライセンスを更新するには、を参照してください "既存のライセンスを更新する"
作業を開始する前に
手順

  1. Astra Control Center UI にログインします。

  2. 「 * アカウント * > * ライセンス * 」を選択します。

  3. 「 * ライセンスの追加 * 」を選択します。

  4. ダウンロードしたライセンスファイル( NLF )を参照します。

  5. 「 * ライセンスの追加 * 」を選択します。

Account>*License* ページには、ライセンス情報、有効期限、ライセンスシリアル番号、アカウント ID 、および使用されている CPU ユニットが表示されます。

メモ 評価用ライセンスをお持ちで、AutoSupport にデータを送信していない場合は、Astra Control Centerに障害が発生したときにデータが失われないように、アカウントIDを必ず保存してください。

Astra Controlを使用して、クラスタ管理のための環境を準備する

クラスタを追加する前に、次の前提条件を満たしていることを確認する必要があります。また、資格チェックを実行して、クラスタをAstra Control Centerに追加し、クラスタ管理の役割を作成する準備ができていることを確認する必要もあります。

作業を開始する前に

  • クラスタ内のワーカーノードで適切なストレージドライバが設定されていることを確認します。これにより、ポッドがバックエンドストレージと通信できるようになります。

  • が環境に合っている "運用環境の要件" Astra TridentとAstra Control Centerに最適。

  • Astra Tridentの一バージョン "Astra Control Centerによってサポートされます" がインストールされている:

    メモ 可能です "Astra Tridentを導入" Astra Tridentオペレータ(手動またはHelmチャートを使用)またはを使用 tridentctl。Astra Tridentのインストールまたはアップグレードを行う前に、を参照してください "サポートされるフロントエンド、バックエンド、およびホスト構成"

    • * Astra Tridentストレージバックエンドの設定*:Astra Tridentストレージバックエンドが少なくとも1つ必要です "を設定します" クラスタのポリシーを確認してください。

    • * Astra Tridentストレージクラスを設定*:Astra Tridentストレージクラスを少なくとも1つ設定する必要があります "を設定します" クラスタのポリシーを確認してください。デフォルトのストレージクラスが設定されている場合は、そのストレージクラスがデフォルトのアノテーションを持つ唯一のストレージクラスであることを確認します。

    • * Astra Tridentボリュームスナップショットコントローラとボリュームスナップショットクラスがインストールおよび設定されている*:ボリュームスナップショットコントローラがである必要があります "インストール済み" Astra Controlでスナップショットを作成できるようにします。Astra Tridentが少なくとも1つ VolumeSnapshotClass はい "セットアップ" 管理者による。

  • Kubeconfigにアクセス可能:にアクセスできます "クラスタkubeconfig" コンテキスト要素が1つだけ含まれます。

  • * ONTAP クレデンシャル*:Astra Control Centerを使用してアプリケーションをバックアップおよびリストアするには、バックアップONTAP システムでONTAP クレデンシャルとスーパーユーザーIDを設定する必要があります。

    ONTAP コマンドラインで次のコマンドを実行します。

    export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys
export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534

  • rancherのみ: Rancher環境でアプリケーションクラスタを管理する場合、rancherから提供されたkubeconfigファイルでアプリケーションクラスタのデフォルトコンテキストを変更して、rancher APIサーバコンテキストではなくコントロールプレーンコンテキストを使用します。これにより、 Rancher API サーバの負荷が軽減され、パフォーマンスが向上します。

資格チェックを実行します

次の資格チェックを実行して、 Astra Control Center にクラスタを追加する準備ができていることを確認します。

手順

  1. Astra Tridentのバージョンを確認

    kubectl get tridentversions -n trident

    Astra Tridentが存在する場合は、次のような出力が表示されます。

    NAME      VERSION
trident   22.10.0

    Astra Tridentが存在しない場合は、次のような出力が表示されます。

    error: the server doesn't have a resource type "tridentversions"
    メモ Astra Tridentがインストールされていない場合やインストールされているバージョンが最新でない場合は、続行する前に最新バージョンのAstra Tridentをインストールする必要があります。を参照してください "Astra Trident のドキュメント" 手順については、を参照し

  2. ポッドが実行されていることを確認します。

    kubectl get pods -n trident

  3. サポートされているAstra Tridentドライバをストレージクラスで使用しているかどうかを確認プロビジョニング担当者の名前はとします csi.trident.netapp.io。次の例を参照してください。

    kubectl get sc

    回答例:

    NAME                  PROVISIONER            RECLAIMPOLICY  VOLUMEBINDINGMODE  ALLOWVOLUMEEXPANSION  AGE
ontap-gold (default)  csi.trident.netapp.io  Delete         Immediate          true                  5d23h

制限されたクラスタロールkubeconfigを作成します

必要に応じて、Astra Control Centerの限定管理者ロールを作成できます。これは、Astra Control Centerのセットアップに必要な手順 ではありません。この手順 を使用すると、管理対象のクラスタのAstra Control権限を制限する別のkubeconfigを作成できます。

作業を開始する前に

手順 の手順を実行する前に、管理するクラスタに次の情報があることを確認してください。

  • kubectl v1.23以降がインストールされている

  • Astra Control Centerを使用して追加および管理するクラスタへのアクセス

    メモ この手順 では、Astra Control Centerを実行しているクラスタにkubectlでアクセスする必要はありません。

  • アクティブなコンテキストのクラスタ管理者の権限で管理するクラスタのアクティブなkubeconfigです

手順

  1. サービスアカウントを作成します。

    1. という名前のサービスアカウントファイルを作成します astracontrol-service-account.yaml

      名前と名前空間を必要に応じて調整します。ここで変更を行った場合は、以降の手順でも同じ変更を適用する必要があります。

    astracontrol-service-account.yaml

    +

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: astracontrol-service-account
  namespace: default

    1. サービスアカウントを適用します。

      kubectl apply -f astracontrol-service-account.yaml

  2. Astra Controlでクラスタを管理するために必要な最小限の権限を持つ、制限付きのクラスタロールを作成します。

    1. を作成します ClusterRole という名前のファイルです astra-admin-account.yaml

      名前と名前空間を必要に応じて調整します。ここで変更を行った場合は、以降の手順でも同じ変更を適用する必要があります。

    astra-admin-account.yaml

    +

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: astra-admin-account
rules:

# Get, List, Create, and Update all resources
# Necessary to backup and restore all resources in an app
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - get
  - list
  - create
  - patch

# Delete Resources
# Necessary for in-place restore and AppMirror failover
- apiGroups:
  - ""
  - apps
  - autoscaling
  - batch
  - crd.projectcalico.org
  - extensions
  - networking.k8s.io
  - policy
  - rbac.authorization.k8s.io
  - snapshot.storage.k8s.io
  - trident.netapp.io
  resources:
  - configmaps
  - cronjobs
  - daemonsets
  - deployments
  - horizontalpodautoscalers
  - ingresses
  - jobs
  - namespaces
  - networkpolicies
  - persistentvolumeclaims
  - poddisruptionbudgets
  - pods
  - podtemplates
  - podsecuritypolicies
  - replicasets
  - replicationcontrollers
  - replicationcontrollers/scale
  - rolebindings
  - roles
  - secrets
  - serviceaccounts
  - services
  - statefulsets
  - tridentmirrorrelationships
  - tridentsnapshotinfos
  - volumesnapshots
  - volumesnapshotcontents
  verbs:
  - delete

# Watch resources
# Necessary to monitor progress
- apiGroups:
  - ""
  resources:
  - pods
  - replicationcontrollers
  - replicationcontrollers/scale
  verbs:
  - watch

# Update resources
- apiGroups:
  - ""
  - build.openshift.io
  - image.openshift.io
  resources:
  - builds/details
  - replicationcontrollers
  - replicationcontrollers/scale
  - imagestreams/layers
  - imagestreamtags
  - imagetags
  verbs:
  - update

# Use PodSecurityPolicies
- apiGroups:
  - extensions
  - policy
  resources:
  - podsecuritypolicies
  verbs:
  - use

    1. クラスタロールを適用します。

      kubectl apply -f astra-admin-account.yaml

  3. サービスアカウントへのクラスタロールバインド用に、クラスタロールを作成します。

    1. を作成します ClusterRoleBinding という名前のファイルです astracontrol-clusterrolebinding.yaml

      必要に応じて、サービスアカウントの作成時に変更した名前と名前空間を調整します。

    astracontrol-clusterrolebinding.yaml

    +

    apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: astracontrol-admin
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: astra-admin-account
subjects:
- kind: ServiceAccount
  name: astracontrol-service-account
  namespace: default

    1. クラスタロールバインドを適用します。

      kubectl apply -f astracontrol-clusterrolebinding.yaml

  4. サービスアカウントのシークレットを一覧表示します(置き換えます) <context> インストールに適したコンテキストを使用して、次の操作を行います。

    kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json

    出力の末尾は次のようになります。

    "secrets": [
{ "name": "astracontrol-service-account-dockercfg-vhz87"},
{ "name": "astracontrol-service-account-token-r59kr"}
]

    内の各要素のインデックス secrets アレイは0から始まります。上記の例では、のインデックスです astracontrol-service-account-dockercfg-vhz87 は0、のインデックスです astracontrol-service-account-token-r59kr は1です。出力で、 "token" という単語が含まれるサービスアカウント名のインデックスをメモしてください。

  5. 次のように kubeconfig を生成します。

    1. を作成します create-kubeconfig.sh ファイル。交換してください TOKEN_INDEX 次のスクリプトの先頭に正しい値を入力します。

      create-kubeconfig.sh
      # Update these to match your environment.
# Replace TOKEN_INDEX with the correct value
# from the output in the previous step. If you
# didn't change anything else above, don't change
# anything else here.

SERVICE_ACCOUNT_NAME=astracontrol-service-account
NAMESPACE=default
NEW_CONTEXT=astracontrol
KUBECONFIG_FILE='kubeconfig-sa'

CONTEXT=$(kubectl config current-context)

SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \
  --context ${CONTEXT} \
  --namespace ${NAMESPACE} \
  -o jsonpath='{.secrets[TOKEN_INDEX].name}')
TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \
  --context ${CONTEXT} \
  --namespace ${NAMESPACE} \
  -o jsonpath='{.data.token}')

TOKEN=$(echo ${TOKEN_DATA} | base64 -d)

# Create dedicated kubeconfig
# Create a full copy
kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp

# Switch working context to correct context
kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT}

# Minify
kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \
  config view --flatten --minify > ${KUBECONFIG_FILE}.tmp

# Rename context
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  rename-context ${CONTEXT} ${NEW_CONTEXT}

# Create token user
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  set-credentials ${CONTEXT}-${NAMESPACE}-token-user \
  --token ${TOKEN}

# Set context to use token user
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user

# Set context to correct namespace
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  set-context ${NEW_CONTEXT} --namespace ${NAMESPACE}

# Flatten/minify kubeconfig
kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
  view --flatten --minify > ${KUBECONFIG_FILE}

# Remove tmp
rm ${KUBECONFIG_FILE}.full.tmp
rm ${KUBECONFIG_FILE}.tmp

    2. コマンドをソースにし、 Kubernetes クラスタに適用します。

      source create-kubeconfig.sh

  6. (オプション)クラスタにわかりやすい名前にコバーベキューの名前を変更します。

    mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig

次の手順

前提条件が満たされていることを確認したら、次は準備ができています クラスタを追加

クラスタを追加

アプリケーションの管理を開始するには、 Kubernetes クラスタを追加し、コンピューティングリソースとして管理します。Kubernetes アプリケーションを検出するには、 Astra Control Center のクラスタを追加する必要があります。

ヒント 他のクラスタを Astra Control Center に追加して管理する前に、 Astra Control Center が最初に導入したクラスタを管理することをお勧めします。指標およびトラブルシューティング用の Kubemetrics データとクラスタ関連データを送信するには、最初のクラスタを管理下に配置する必要があります。
作業を開始する前に
手順

  1. ダッシュボードまたはクラスタメニューのいずれかから移動します。

    • リソースサマリの*ダッシュボード*で、クラスタペインから*追加*を選択します。

    • 左側のナビゲーション領域で、*クラスタ*を選択し、クラスタページから*クラスタの追加*を選択します。

  2. 表示された*クラスタの追加*ウィンドウで、をアップロードします kubeconfig.yaml の内容をファイルまたは貼り付けます kubeconfig.yaml ファイル。

    メモ kubeconfig.yaml ファイルには、1つのクラスタのクラスタクレデンシャルのみを含める必要があります*。
    重要 自分で作成する場合は kubeconfig ファイルには、* 1つの*コンテキストエレメントのみを定義する必要があります。を参照してください "Kubernetes のドキュメント" を参照してください kubeconfig ファイル。を使用して、制限されたクラスタロールのkubeconfigを作成した場合 上記のプロセスこの手順では、kubeconfigをアップロードまたは貼り付けてください。

  3. クレデンシャル名を指定します。デフォルトでは、クレデンシャル名がクラスタの名前として自動的に入力されます。

  4. 「 * 次へ * 」を選択します。

  5. このKubernetesクラスタに使用するデフォルトのストレージクラスを選択し、* Next *を選択します。

    メモ ONTAP ストレージをベースとするAstra Tridentストレージクラスを選択する必要があります。

  6. 情報を確認し、すべてが良好な場合は、「*追加」を選択します。

結果

クラスタが「* discovering *」状態になり、「Healthy *」に変わります。これで、Astra Control Centerを使用してクラスタを管理できるようになりました。

重要 Astra Control Center で管理するクラスタを追加したあと、監視オペレータの配置に数分かかる場合があります。それまでは、通知アイコンが赤に変わり、 * モニタリングエージェントステータスチェック失敗 * イベントが記録されます。この問題は無視してかまいません。問題は、 Astra Control Center が正しいステータスを取得したときに解決します。数分経っても問題 が解決しない場合は、クラスタに移動してを実行します oc get pods -n netapp-monitoring を開始点として指定します。問題をデバッグするには、監視オペレータのログを調べる必要があります。

ONTAP ストレージバックエンドで認証を有効にします

Astra Control Centerには、ONTAP バックエンドの認証に次の2つのモードがあります。

  • クレデンシャルベースの認証:必要な権限を持つONTAP ユーザのユーザ名とパスワード。ONTAP のバージョンとの互換性を最大限に高めるには、adminやvsadminなどの事前定義されたセキュリティログインロールを使用する必要があります。

  • 証明書ベースの認証:Astra Control Centerは、バックエンドにインストールされている証明書を使用してONTAP クラスタと通信することもできます。クライアント証明書、キー、および信頼されたCA証明書を使用する(推奨)。

後で既存のバックエンドを更新して、あるタイプの認証から別の方法に移行することができます。一度にサポートされる認証方式は1つだけです。

クレデンシャルベースの認証を有効にします

Astra Control Centerには、クラスタを対象としたクレデンシャルが必要です admin ONTAP バックエンドと通信するため。事前定義された標準のロール(など)を使用する必要があります admin。これにより、Astra Control Centerの今後のリリースで使用する機能APIが公開される可能性がある、将来のONTAP リリースとの前方互換性が確保されます。

メモ カスタムのセキュリティログインロールはAstra Control Centerで作成して使用できますが、推奨されません。

バックエンド定義の例を次に示します。

{
  "version": 1,
  "backendName": "ExampleBackend",
  "storageDriverName": "ontap-nas",
  "managementLIF": "10.0.0.1",
  "dataLIF": "10.0.0.2",
  "svm": "svm_nfs",
  "username": "admin",
  "password": "secret"
}

クレデンシャルがプレーンテキストで保存されるのは、バックエンド定義のみです。クレデンシャルの知識が必要なのは、バックエンドの作成または更新だけです。そのため、Kubernetes管理者またはストレージ管理者が実行するのは管理者専用の操作です。

証明書ベースの認証を有効にします

Astra Control Centerでは、証明書を使用して新規および既存のONTAP バックエンドと通信できます。バックエンド定義には、次の情報を入力する必要があります。

  • clientCertificate:クライアント証明書。

  • clientPrivateKey:関連付けられた秘密鍵。

  • trustedCACertificate:信頼されたCA証明書。信頼された CA を使用する場合は、このパラメータを指定する必要があります。信頼された CA が使用されていない場合は無視してかまいません。

次のいずれかのタイプの証明書を使用できます。

  • 自己署名証明書

  • サードパーティの証明書

自己署名証明書による認証を有効にします

一般的なワークフローは次の手順で構成されます。

手順

  1. クライアント証明書とキーを生成します。生成時に、認証に使用するONTAP ユーザに共通名(CN)を設定します。

    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"

  2. タイプがのクライアント証明書をインストールします client-ca とキーをONTAP 入力します。

    security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name>
security ssl modify -vserver <vserver-name> -client-enabled true

  3. ONTAP のセキュリティログインロールが証明書認証方式をサポートしていることを確認します。

    security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name>
security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>

  4. 生成した証明書を使用して認証をテストします。ONTAP 管理LIF>と<vserver name> を管理のIPと名前に置き換えてください。LIFのサービスポリシーがに設定されていることを確認する必要があります default-data-management

    curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>

  5. 前の手順で得た値を使用して、Astra Control CenterのUIでストレージバックエンドを追加します。

サードパーティの証明書による認証を有効にします

サードパーティの証明書がある場合は、次の手順で証明書ベースの認証を設定できます。

手順

  1. 秘密鍵とCSRを生成します。

    openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”

  2. CSRをWindows CA(サードパーティCA)に渡し、署名済み証明書を問題 します。

  3. 署名済み証明書をダウンロードし、「ontap_signed_cert.crt」という名前を付けます。

  4. Windows CA(サードパーティCA)からルート証明書をエクスポートします。

  5. このファイルに名前を付けます ca_root.crt

    これで、次の3つのファイルが作成されました。

    • 秘密鍵ontap_signed_request.key (これは、ONTAP のサーバ証明書に対応するキーです。サーバ証明書のインストール時に必要です)。

    • 署名済み証明書ontap_signed_cert.crt (これは、ONTAP の_server certificate_inとも呼ばれます)。

    • ルートCA証明書ca_root.crt (これは、ONTAP の_server-ca certificate_inとも呼ばれます)。

  6. これらの証明書をONTAP にインストールします。生成してインストールします server および server-ca ONTAP の証明書。

    詳細はsample.yamlを参照してください

    Details 
    # Copy the contents of ca_root.crt and use it here.

security certificate install -type server-ca

Please enter Certificate: Press <Enter> when done

-----BEGIN CERTIFICATE-----
<certificate details>
-----END CERTIFICATE-----


You should keep a copy of the CA-signed digital certificate for future reference.

The installed certificate's CA and serial number for reference:

CA:
serial:

The certificate's generated name for reference:


===

# Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file.
security certificate install -type server
Please enter Certificate: Press <Enter> when done

-----BEGIN CERTIFICATE-----
<certificate details>
-----END CERTIFICATE-----

Please enter Private Key: Press <Enter> when done

-----BEGIN PRIVATE KEY-----
<private key details>
-----END PRIVATE KEY-----

Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate.
Do you want to continue entering root and/or intermediate certificates {y|n}: n

The provided certificate does not have a common name in the subject field.
Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME>

You should keep a copy of the private key and the CA-signed digital certificate for future reference.
The installed certificate's CA and serial number for reference:
CA:
serial:
The certificate's generated name for reference:


==
# Modify the vserver settings to enable SSL for the installed certificate

ssl modify -vserver <vserver_name> -ca <CA>  -server-enabled true -serial <serial number>       (security ssl modify)

==
# Verify if the certificate works fine:

openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443
CONNECTED(00000005)
depth=1 DC = local, DC = umca, CN = <CA>
verify return:1
depth=0
verify return:1
write W BLOCK
---
Certificate chain
0 s:
   i:/DC=local/DC=umca/<CA>

-----BEGIN CERTIFICATE-----
<Certificate details>

  7. パスワードを使用しない通信用に同じホストのクライアント証明書を作成します。Astra Control Centerは、このプロセスを使用してONTAP と通信します。

  8. クライアント証明書を生成してONTAP にインストールします。

    詳細はsample.yamlを参照してください

    Details 
    # Use /CN=admin or use some other account which has privileges.
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin"

Copy the content of ontap_test_client.pem file and use it in the below command:
security certificate install -type client-ca -vserver <vserver_name>

Please enter Certificate: Press <Enter> when done

-----BEGIN CERTIFICATE-----
<Certificate details>
-----END CERTIFICATE-----

You should keep a copy of the CA-signed digital certificate for future reference.
The installed certificate’s CA and serial number for reference:

CA:
serial:
The certificate’s generated name for reference:


==

ssl modify -vserver <vserver_name> -client-enabled true
(security ssl modify)

# Setting permissions for certificates
security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name>

security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name>

==

#Verify passwordless communication works fine with the use of only certificates:

curl --cacert ontap_signed_cert.crt  --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates
{
"records": [
{
"uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd",
"name": "<aggr_name>",
"node": {
"uuid": "7835876c-3484-11ed-97bb-d039ea50375c",
"name": "<node_name>",
"_links": {
"self": {
"href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c"
}
}
},
"_links": {
"self": {
"href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd"
}
}
}
],
"num_records": 1,
"_links": {
"self": {
"href": "/api/storage/aggregates"
}
}
}%

  9. Astra Control CenterのUIでストレージバックエンドを追加し、次の値を指定します。

    • クライアント証明書:ontap_test_client.pem

    • 秘密鍵:ontap_test_client.key

    • 信頼されたCA証明書:ontap_signed_cert.crt

ストレージバックエンドを追加します

既存のONTAP ストレージバックエンドをAstra Control Centerに追加して、そのリソースを管理できます。

ストレージバックエンドとして Astra Control のストレージクラスタを管理することで、永続ボリューム( PVS )とストレージバックエンドの間のリンケージを取得できるだけでなく、追加のストレージ指標も取得できます。

クレデンシャルまたは証明書認証情報を設定したら、Astra Control Centerに既存のONTAP ストレージバックエンドを追加してリソースを管理できます。

手順

  1. 左側のナビゲーション領域のダッシュボードで、* Backends *を選択します。

  2. 「 * 追加」を選択します。

  3. [Add storage backend]ページの[Use existing]セクションで、* ONTAP *を選択します。

  4. 次のいずれかを選択します。

    • 管理者のクレデンシャルを使用:ONTAP クラスタ管理IPアドレスと管理者のクレデンシャルを入力します。クレデンシャルはクラスタ全体のクレデンシャルである必要があります。

      メモ ここで入力するクレデンシャルのユーザは、を持っている必要があります ontapi ONTAP クラスタのONTAP System Managerで有効になっているユーザログインアクセス方法。SnapMirrorレプリケーションを使用する場合は、アクセス方法が指定された「admin」ロールのユーザクレデンシャルを適用します ontapi および http、ソースとデスティネーションの両方のONTAP クラスタ。を参照してください "ONTAP ドキュメントの「ユーザーアカウントの管理」を参照してください" を参照してください。

    • 証明書を使用:証明書をアップロードします .pem ファイル、証明書キー .key ファイルを指定し、必要に応じて認証局ファイルを指定します。

  5. 「 * 次へ * 」を選択します。

  6. バックエンドの詳細を確認し、 * Manage * を選択します。

結果

バックエンドがに表示されます online リストに概要情報を表示します。

メモ バックエンドが表示されるようにページを更新する必要がある場合があります。

バケットを追加します

バケットは、Astra Control UIまたはを使用して追加できます "API"。アプリケーションと永続的ストレージをバックアップする場合や、クラスタ間でアプリケーションのクローニングを行う場合は、オブジェクトストアバケットプロバイダの追加が不可欠です。Astra Control は、これらのバックアップまたはクローンを、定義したオブジェクトストアバケットに格納します。

アプリケーション構成と永続的ストレージを同じクラスタにクローニングする場合、Astra Controlにバケットを作成する必要はありません。アプリケーションのSnapshot機能にはバケットは必要ありません。

作業を開始する前に

  • Astra Control Centerで管理しているクラスタから到達できるバケット。

  • バケットのクレデンシャル。

  • 次のタイプのバケット

    • NetApp ONTAP S3の略

    • NetApp StorageGRID S3 の略

    • Microsoft Azure

    • 汎用 S3

メモ Amazon Web Services(AWS)とGoogle Cloud Platform(GCP)では、汎用のS3バケットタイプを使用します。
メモ Astra Control CenterはAmazon S3を汎用のS3バケットプロバイダとしてサポートしていますが、Astra Control Centerは、AmazonのS3をサポートしていると主張するすべてのオブジェクトストアベンダーをサポートしているわけではありません。
手順

  1. 左側のナビゲーション領域で、 * バケット * を選択します。

  2. 「 * 追加」を選択します。

  3. バケットタイプを選択します。

    メモ バケットを追加するときは、正しいバケットプロバイダを選択し、そのプロバイダに適したクレデンシャルを指定します。たとえば、タイプとして NetApp ONTAP S3 が許可され、 StorageGRID クレデンシャルが受け入れられますが、このバケットを使用して原因の以降のアプリケーションのバックアップとリストアはすべて失敗します。

  4. 既存のバケット名とオプションの概要 を入力します。

    ヒント バケット名と概要 はバックアップ先として表示されるため、あとでバックアップを作成する際に選択できます。この名前は、保護ポリシーの設定時にも表示されます。

  5. S3 エンドポイントの名前または IP アドレスを入力します。

  6. [資格情報の選択*]で、[追加]または[*既存の*を使用]タブのいずれかを選択します。

    • 「*追加」を選択した場合:

      1. Astra Control の他のクレデンシャルと区別するクレデンシャルの名前を入力します。

      2. クリップボードからコンテンツを貼り付けて、アクセス ID とシークレットキーを入力します。

    • [既存の使用*]を選択した場合:

      1. バケットで使用する既存のクレデンシャルを選択します。

  7. 選択するオプション Add

    メモ バケットを追加すると、デフォルトのバケットインジケータで1つのバケットがAstra Controlによってマークされます。最初に作成したバケットがデフォルトバケットになります。バケットを追加する際、あとでを選択できます "別のデフォルトバケットを設定する"

次の手順

Astra Control Centerにログインしてクラスタを追加したので、Astra Control Centerのアプリケーションデータ管理機能を使い始めることができます。

詳細については、こちらをご覧ください