ONTAPメディエーターとクラスタのSnapMirrorアクティブ同期の設定
-
このドキュメント ページのPDF
-
ボリューム管理
- CLI を使用した論理ストレージ管理
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
- SMB を使用したファイルアクセスの管理
-
CLIを使用したSMBの管理
-
ボリューム管理
PDF版ドキュメントのセット
Creating your file...
SnapMirrorアクティブ同期では、フェイルオーバーが発生した場合にデータの可用性を確保するために、ピアクラスタを利用します。ONTAPメディエーターは、ビジネス継続性を確保するための重要なリソースであり、各クラスタの健全性を監視します。SnapMirrorのアクティブな同期を設定するには、まずONTAPメディエーターをインストールし、プライマリクラスタとセカンダリクラスタが適切に設定されていることを確認する必要があります。
ONTAPメディエーターをインストールしてクラスタを設定したら、次の手順を実行する必要があります。 [initialize-the-ontap-mediator] SnapMirrorアクティブな同期で使用するONTAPメディエーター。次の手順に従ってください。 SnapMirrorアクティブ同期の整合性グループを作成、初期化、マッピングする。
ONTAP メディエーター
ONTAPメディエーターは、SnapMirrorのアクティブな同期関係にあるONTAPクラスタに対してクォーラムを確立します。障害が検出された場合に自動フェイルオーバーを調整し、プライマリとして機能するクラスタを特定して、正しいデスティネーションとの間でデータが提供されるようにします。
-
ONTAP メディエーターには独自の前提条件があります。メディエーターをインストールするには、あらかじめこれらの前提条件を満たしている必要があります。
詳細については、を参照してください "ONTAP メディエーターサービスをインストールする準備をします"。
-
ONTAP メディエーターは、デフォルトでは TCP ポート 31784 を使用してサービスを提供します。ONTAP クラスタとメディエーターの間でポート 31784 が開いて使用可能であることを確認する必要があります。
ONTAPメディエーターをインストールしてクラスタ構成を確認
次の各手順を実行します。手順ごとに、特定の設定が実行されたことを確認する必要があります。各手順のあとに記載されたリンクを使用して、必要に応じて詳細を確認します。
-
ソースクラスタとデスティネーションクラスタが正しく設定されていることを確認するために、 ONTAP メディエーターサービスをインストールします。
-
クラスタ間にクラスタピア関係が存在することを確認します。
クラスタピア関係のSnapMirror Active Syncでは、デフォルトのIPspaceが必要です。カスタムIPspaceはサポートされません。 -
各クラスタに Storage VM が作成されていることを確認します。
-
各クラスタの Storage VM 間にピア関係が存在することを確認します。
-
LUN に対応するボリュームが存在することを確認します。
-
クラスタ内の各ノードに少なくとも 1 つの SAN LIF が作成されていることを確認します。
-
必要なLUNが作成され、igroupにマッピングされていることを確認します。igroupは、アプリケーションホストのイニシエータにLUNをマッピングするために使用されます。
-
アプリケーションホストを再スキャンして新しい LUN を検出します。
自己署名証明書を使用してONTAPメディエーターのSnapMirrorアクティブ同期を初期化する
ONTAPメディエーターをインストールしてクラスタ構成を確認したら、クラスタの監視用にONTAPメディエーターを初期化する必要があります。ONTAPメディエーターは、System ManagerまたはONTAP CLIを使用して初期化できます。
System Managerでは、自動フェイルオーバー用にONTAPメディエーターサーバを設定できます。自己署名 SSL および CA をサードパーティによる検証済み SSL 証明書および CA に置き換えていない場合は、 CA に置き換えることもできます。
ONTAP 9.8~9.14.1では、SnapMirrorアクティブ同期をSnapMirrorビジネス継続性(SM-BC)と呼びます。 |
-
[* Protection] > [Overview] > [Mediator] > [Configure] * に移動します。
-
[追加]*を選択し、次のONTAPメディエーターサーバ情報を入力します。
-
IPv4 アドレス
-
ユーザ名
-
パスワード
-
証明書
-
-
証明書の入力は、次の2つの方法で指定できます。
-
オプション(A):*インポート*を選択して
.crt
ファイルを作成してインポートします。 -
オプション(b):
.crt
ファイルを作成し、* Certificate *フィールドに貼り付けます。すべての詳細を正しく入力すると、指定した証明書がすべてのピアクラスタにインストールされます。
証明書の追加が完了すると、ONTAPメディエーターがONTAPクラスタに追加されます。
次の図は、ONTAPメディエーターの設定を成功させる方法を示しています。
。
-
ONTAPメディエーターは、ONTAP CLIを使用してプライマリクラスタまたはセカンダリクラスタから初期化できます。問題 を実行すると mediator add
コマンド一方のクラスタでは、もう一方のクラスタにONTAPメディエーターが自動的に追加されます。
有効な認証局(CA)証明書がないと、ONTAPメディエーターをONTAPで初期化できません。そのため、ピアクラスタの証明書ストアに有効な認証局を追加する必要があります。
-
ONTAPメディエーターLinux VM /ホストソフトウェアのインストール先で、ONTAPメディエーターCA証明書を検索します。
cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
。 -
ピアクラスタの証明書ストアに有効な認証局を追加します。
-
例 *
[root@ontap-mediator server_config]# cat ca.crt -----BEGIN CERTIFICATE----- MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju … p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo= -----END CERTIFICATE-----
-
-
ONTAPメディエーターCA証明書をONTAPクラスタに追加します。プロンプトが表示されたら、ONTAPメディエーターから取得したCA証明書を挿入します。すべてのピアクラスタで上記の手順を繰り返します。
security certificate install -type server-ca -vserver <vserver_name>
-
例 *
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator server_config]# cat ca.crt -----BEGIN CERTIFICATE----- MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju … p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo= -----END CERTIFICATE-----
+
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju … p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo= -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
-
生成された証明書名を使用して、インストールされている自己署名CA証明書を表示します。
security certificate show -common-name <common_name>
-
例 *
C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ C1_test_cluster 6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX ONTAPMediatorCA server-ca Certificate Authority: ONTAP Mediator CA Expiration Date: Thu Feb 15 14:35:25 2029
-
-
いずれかのクラスタでONTAPメディエーターを初期化します。もう一方のクラスタにONTAPメディエーターが自動的に追加されます。
snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name
-
例 *
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: ****** Enter the password again: ******
-
-
ONTAPメディエーターの設定のステータスを確認します。
snapmirror mediator show
Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
Quorum Status
SnapMirror整合性グループ関係がONTAPメディエーターと同期されているかどうかを示します。ステータスはtrue
同期が成功したことを示します
サードパーティの証明書を使用してONTAP Mediatorを再初期化する
ONTAPメディエーターサービスの再初期化が必要になる場合があります。ONTAPメディエーターのIPアドレスの変更、証明書の有効期限など、ONTAPメディエーターサービスの再初期化が必要になる場合があります。
次の手順は、自己署名証明書をサードパーティの証明書に置き換える必要がある場合にONTAPメディエーターを再初期化する手順を示しています。
SM-BCクラスタの自己署名証明書をサードパーティの証明書に置き換え、ONTAPからONTAPメディエーターの設定を削除してから、ONTAPメディエーターを追加する必要があります。
System Managerで、古い自己署名証明書で設定されているONTAPメディエーターをONTAPクラスタから削除し、ONTAPクラスタを新しいサードパーティの証明書で再設定する必要があります。
-
メニューオプションアイコンを選択し、*[削除]*を選択してONTAPメディエーターを削除します。
この手順では、自己署名されたserver-caがONTAPクラスタから削除されることはありません。NetAppでは、次の手順を実行してサードパーティ証明書を追加する前に、*[証明書]*タブに移動して手動で削除することを推奨しています。 -
正しい証明書を使用してONTAPメディエーターを再度追加します。
これで、ONTAPメディエーターに新しいサードパーティの自己署名証明書が設定されました。
ONTAP CLIを使用して自己署名証明書をサードパーティの証明書に置き換えることで、プライマリクラスタまたはセカンダリクラスタからONTAPメディエーターを再初期化できます。
-
自己署名の削除
ca.crt
すべてのクラスタで自己署名証明書を使用した場合にインストールされます。次の例では、2つのクラスタがあります。-
例 *
C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA 2 entries were deleted. C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA * 2 entries were deleted.
-
-
次のコマンドを使用して、以前に設定したONTAPメディエーターをSM-BCクラスタから削除します。
-force true
:-
例 *
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration exists on the peer cluster C2_test_cluster and remove it as well. Do you want to continue? {y|n}: y Info: [Job 136] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty.
-
-
で説明されている手順を参照してください。 "自己署名証明書を信頼できるサードパーティ証明書に置き換える" 下位CAから証明書を取得する方法について
ca.crt
。。 ca.crt
ファイルに定義されているPKI権限に送信する必要がある要求から派生する特定のプロパティがある/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf
。 -
新しいサードパーティ製ONTAPメディエーターCA証明書の追加
ca.crt
ONTAPメディエーターLinux VM /ホストソフトウェアのインストール先から、次の手順を実行します。-
例 *
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator server_config]# cat ca.crt -----BEGIN CERTIFICATE----- MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju … p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo= -----END CERTIFICATE-----
-
-
を追加します
ca.crt
ファイルをピアクラスタに追加します。すべてのピアクラスタについて、この手順を繰り返します。-
例 *
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju … p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo= -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
-
以前に設定したONTAPメディエーターをSnapMirrorアクティブな同期クラスタから削除します。
-
例 *
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster Info: [Job 86] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty.
-
-
ONTAPメディエーターを再度追加します。
-
例 *
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
+
Quorum Status
SnapMirror整合性グループ関係がメディエーターと同期されているかどうかを示します。ステータスはtrue
同期が成功したことを示します -