Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPメディエーターとクラスタのSnapMirrorアクティブ同期の設定

共同作成者

SnapMirrorアクティブ同期では、フェイルオーバーが発生した場合にデータの可用性を確保するために、ピアクラスタを利用します。ONTAPメディエーターは、ビジネス継続性を確保するための重要なリソースであり、各クラスタの健全性を監視します。SnapMirrorのアクティブな同期を設定するには、まずONTAPメディエーターをインストールし、プライマリクラスタとセカンダリクラスタが適切に設定されていることを確認する必要があります。

ONTAPメディエーターをインストールしてクラスタを設定したら、次の手順を実行する必要があります。 [initialize-the-ontap-mediator] SnapMirrorアクティブな同期で使用するONTAPメディエーター。次の手順に従ってください。 SnapMirrorアクティブ同期の整合性グループを作成、初期化、マッピングする

ONTAP メディエーター

ONTAPメディエーターは、SnapMirrorのアクティブな同期関係にあるONTAPクラスタに対してクォーラムを確立します。障害が検出された場合に自動フェイルオーバーを調整し、プライマリとして機能するクラスタを特定して、正しいデスティネーションとの間でデータが提供されるようにします。

ONTAP メディエーターの前提条件
  • ONTAP メディエーターには独自の前提条件があります。メディエーターをインストールするには、あらかじめこれらの前提条件を満たしている必要があります。

  • ONTAP メディエーターは、デフォルトでは TCP ポート 31784 を使用してサービスを提供します。ONTAP クラスタとメディエーターの間でポート 31784 が開いて使用可能であることを確認する必要があります。

ONTAPメディエーターをインストールしてクラスタ構成を確認

次の各手順を実行します。手順ごとに、特定の設定が実行されたことを確認する必要があります。各手順のあとに記載されたリンクを使用して、必要に応じて詳細を確認します。

手順
  1. ソースクラスタとデスティネーションクラスタが正しく設定されていることを確認するために、 ONTAP メディエーターサービスをインストールします。

  2. クラスタ間にクラスタピア関係が存在することを確認します。

    メモ クラスタピア関係のSnapMirror Active Syncでは、デフォルトのIPspaceが必要です。カスタムIPspaceはサポートされません。
  3. 各クラスタに Storage VM が作成されていることを確認します。

  4. 各クラスタの Storage VM 間にピア関係が存在することを確認します。

  5. LUN に対応するボリュームが存在することを確認します。

  6. クラスタ内の各ノードに少なくとも 1 つの SAN LIF が作成されていることを確認します。

  7. 必要なLUNが作成され、igroupにマッピングされていることを確認します。igroupは、アプリケーションホストのイニシエータにLUNをマッピングするために使用されます。

  8. アプリケーションホストを再スキャンして新しい LUN を検出します。

自己署名証明書を使用してONTAPメディエーターのSnapMirrorアクティブ同期を初期化する

ONTAPメディエーターをインストールしてクラスタ構成を確認したら、クラスタの監視用にONTAPメディエーターを初期化する必要があります。ONTAPメディエーターは、System ManagerまたはONTAP CLIを使用して初期化できます。

System Manager の略

System Managerでは、自動フェイルオーバー用にONTAPメディエーターサーバを設定できます。自己署名 SSL および CA をサードパーティによる検証済み SSL 証明書および CA に置き換えていない場合は、 CA に置き換えることもできます。

重要 ONTAP 9.8~9.14.1では、SnapMirrorアクティブ同期をSnapMirrorビジネス継続性(SM-BC)と呼びます。
手順
  1. [* Protection] > [Overview] > [Mediator] > [Configure] * に移動します。

  2. [追加]*を選択し、次のONTAPメディエーターサーバ情報を入力します。

    • IPv4 アドレス

    • ユーザ名

    • パスワード

    • 証明書

  3. 証明書の入力は、次の2つの方法で指定できます。

    • オプション(A):*インポート*を選択して .crt ファイルを作成してインポートします。

    • オプション(b).crt ファイルを作成し、* Certificate *フィールドに貼り付けます。

      すべての詳細を正しく入力すると、指定した証明書がすべてのピアクラスタにインストールされます。

      System Managerのメディエーター追加

      証明書の追加が完了すると、ONTAPメディエーターがONTAPクラスタに追加されます。

      次の図は、ONTAPメディエーターの設定を成功させる方法を示しています。

    メディエーターの追加が完了しました

CLI の使用

ONTAPメディエーターは、ONTAP CLIを使用してプライマリクラスタまたはセカンダリクラスタから初期化できます。問題 を実行すると mediator add コマンド一方のクラスタでは、もう一方のクラスタにONTAPメディエーターが自動的に追加されます。

有効な認証局(CA)証明書がないと、ONTAPメディエーターをONTAPで初期化できません。そのため、ピアクラスタの証明書ストアに有効な認証局を追加する必要があります。

手順
  1. ONTAPメディエーターLinux VM /ホストソフトウェアのインストール先で、ONTAPメディエーターCA証明書を検索します。 cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

  2. ピアクラスタの証明書ストアに有効な認証局を追加します。

    • 例 *

    [root@ontap-mediator server_config]# cat ca.crt
    -----BEGIN CERTIFICATE-----
    MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
    BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
    …
    p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
    -----END CERTIFICATE-----
  3. ONTAPメディエーターCA証明書をONTAPクラスタに追加します。プロンプトが表示されたら、ONTAPメディエーターから取得したCA証明書を挿入します。すべてのピアクラスタで上記の手順を繰り返します。

    security certificate install -type server-ca -vserver <vserver_name>

    • 例 *

    [root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
    
    [root@ontap-mediator server_config]# cat ca.crt
    -----BEGIN CERTIFICATE-----
    MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
    BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
    …
    p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
    -----END CERTIFICATE-----

    +

    C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster
    
    Please enter Certificate: Press when done
    -----BEGIN CERTIFICATE-----
    MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
    BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
    …
    p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
    -----END CERTIFICATE-----
    
    You should keep a copy of the CA-signed digital certificate for future reference.
    
    The installed certificate's CA and serial number for reference:
    CA: ONTAP Mediator CA
    serial: D86D8E4E87142XXX
    
    The certificate's generated name for reference: ONTAPMediatorCA
    
    C1_test_cluster::*>
  4. 生成された証明書名を使用して、インストールされている自己署名CA証明書を表示します。

    security certificate show -common-name <common_name>

    • 例 *

    C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA
    Vserver    Serial Number   Certificate Name                       Type
    ---------- --------------- -------------------------------------- ------------
    C1_test_cluster
               6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX
                               ONTAPMediatorCA                        server-ca
        Certificate Authority: ONTAP Mediator CA
              Expiration Date: Thu Feb 15 14:35:25 2029
  5. いずれかのクラスタでONTAPメディエーターを初期化します。もう一方のクラスタにONTAPメディエーターが自動的に追加されます。

    snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name

    • 例 *

    C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin
    Notice: Enter the mediator password.
    
    Enter the password: ******
    Enter the password again: ******
  6. ONTAPメディエーターの設定のステータスを確認します。

    snapmirror mediator show

    Mediator Address Peer Cluster     Connection Status Quorum Status
    ---------------- ---------------- ----------------- -------------
    1.2.3.4          C2_test_cluster   connected        true

    Quorum Status SnapMirror整合性グループ関係がONTAPメディエーターと同期されているかどうかを示します。ステータスは true 同期が成功したことを示します

サードパーティの証明書を使用してONTAP Mediatorを再初期化する

ONTAPメディエーターサービスの再初期化が必要になる場合があります。ONTAPメディエーターのIPアドレスの変更、証明書の有効期限など、ONTAPメディエーターサービスの再初期化が必要になる場合があります。

次の手順は、自己署名証明書をサードパーティの証明書に置き換える必要がある場合にONTAPメディエーターを再初期化する手順を示しています。

このタスクについて

SM-BCクラスタの自己署名証明書をサードパーティの証明書に置き換え、ONTAPからONTAPメディエーターの設定を削除してから、ONTAPメディエーターを追加する必要があります。

System Manager の略

System Managerで、古い自己署名証明書で設定されているONTAPメディエーターをONTAPクラスタから削除し、ONTAPクラスタを新しいサードパーティの証明書で再設定する必要があります。

手順
  1. メニューオプションアイコンを選択し、*[削除]*を選択してONTAPメディエーターを削除します。

    メモ この手順では、自己署名されたserver-caがONTAPクラスタから削除されることはありません。NetAppでは、次の手順を実行してサードパーティ証明書を追加する前に、*[証明書]*タブに移動して手動で削除することを推奨しています。

    System Managerメディエーターの削除

  2. 正しい証明書を使用してONTAPメディエーターを再度追加します。

これで、ONTAPメディエーターに新しいサードパーティの自己署名証明書が設定されました。

System Managerのメディエーター追加

CLI の使用

ONTAP CLIを使用して自己署名証明書をサードパーティの証明書に置き換えることで、プライマリクラスタまたはセカンダリクラスタからONTAPメディエーターを再初期化できます。

手順
  1. 自己署名の削除 ca.crt すべてのクラスタで自己署名証明書を使用した場合にインストールされます。次の例では、2つのクラスタがあります。

    • 例 *

     C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA
     2 entries were deleted.
    
     C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA *
     2 entries were deleted.
  2. 次のコマンドを使用して、以前に設定したONTAPメディエーターをSM-BCクラスタから削除します。 -force true

    • 例 *

    C1_test_cluster::*> snapmirror mediator show
    Mediator Address Peer Cluster     Connection Status Quorum Status
    ---------------- ---------------- ----------------- -------------
    1.2.3.4          C2_test_cluster   connected         true
    
    C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true
    
    Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration
             exists on the peer cluster C2_test_cluster and remove it as well.
    Do you want to continue? {y|n}: y
    
    Info: [Job 136] 'mediator remove' job queued
    
    C1_test_cluster::*> snapmirror mediator show
    This table is currently empty.
  3. で説明されている手順を参照してください。 "自己署名証明書を信頼できるサードパーティ証明書に置き換える" 下位CAから証明書を取得する方法について ca.crt

    メモ ca.crt ファイルに定義されているPKI権限に送信する必要がある要求から派生する特定のプロパティがある /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf
  4. 新しいサードパーティ製ONTAPメディエーターCA証明書の追加 ca.crt ONTAPメディエーターLinux VM /ホストソフトウェアのインストール先から、次の手順を実行します。

    • 例 *

    [root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
    [root@ontap-mediator server_config]# cat ca.crt
    -----BEGIN CERTIFICATE-----
    MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
    BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
    …
    p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
    -----END CERTIFICATE-----
  5. を追加します ca.crt ファイルをピアクラスタに追加します。すべてのピアクラスタについて、この手順を繰り返します。

    • 例 *

    C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster
    
    Please enter Certificate: Press when done
    -----BEGIN CERTIFICATE-----
    MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
    BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
    …
    p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
    -----END CERTIFICATE-----
    
    You should keep a copy of the CA-signed digital certificate for future reference.
    
    The installed certificate's CA and serial number for reference:
    CA: ONTAP Mediator CA
    serial: D86D8E4E87142XXX
    
    The certificate's generated name for reference: ONTAPMediatorCA
    
    C1_test_cluster::*>
  6. 以前に設定したONTAPメディエーターをSnapMirrorアクティブな同期クラスタから削除します。

    • 例 *

    C1_test_cluster::*> snapmirror mediator show
    Mediator Address Peer Cluster     Connection Status Quorum Status
    ---------------- ---------------- ----------------- -------------
    1.2.3.4          C2_test_cluster  connected         true
    
    C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster
    
    Info: [Job 86] 'mediator remove' job queued
    C1_test_cluster::*> snapmirror mediator show
    This table is currently empty.
  7. ONTAPメディエーターを再度追加します。

    • 例 *

    C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin
    
    Notice: Enter the mediator password.
    
    Enter the password:
    Enter the password again:
    
    Info: [Job: 87] 'mediator add' job queued
    
    C1_test_cluster::*> snapmirror mediator show
    Mediator Address Peer Cluster     Connection Status Quorum Status
    ---------------- ---------------- ----------------- -------------
    1.2.3.4          C2_test_cluster  connected         true

    +
    Quorum Status SnapMirror整合性グループ関係がメディエーターと同期されているかどうかを示します。ステータスは true 同期が成功したことを示します