SnapMirror アクティブ同期用に ONTAP Mediator を設定
変更を提案
PDF
SnapMirror active syncは、ピアクラスタを使用してフェイルオーバーシナリオ発生時にデータを保護します。ONTAP Mediatorは、各クラスタの健全性を監視することでビジネス継続性を実現する重要なリソースです。SnapMirror active syncを設定するには、まずONTAP Mediatorをインストールし、プライマリクラスタとセカンダリクラスタが適切に設定されていることを確認する必要があります。
ONTAP Mediator をインストールしてクラスタを設定したら、自己署名証明書を使用してSnapMirrorアクティブ同期用にONTAP Mediatorを初期化します。次に、SnapMirrorアクティブ同期の整合性グループを作成、初期化、およびマッピングするを実行する必要があります。
ONTAP Mediator
ONTAP Mediatorは、SnapMirrorアクティブ同期関係にあるONTAPクラスタで使用される高可用性(HA)メタデータのための永続的かつフェンスされたストアを提供します。さらに、ONTAP Mediatorは、クォーラムの決定を支援する同期ノードヘルスクエリ機能を提供し、コントローラの稼働状態検出のためのpingプロキシとして機能します。
各クラスタ ピア関係は、1つのONTAP Mediatorインスタンスにのみ関連付けることができます。HA Mediatorインスタンスはサポートされていません。クラスタが他のクラスタと複数のピア関係にある場合、以下のONTAP Mediatorオプションが利用可能です:
-
SnapMirror アクティブ同期が各関係で設定されている場合、各クラスタ ピア関係は独自の ONTAP Mediator インスタンスを持つことができます。
-
クラスタは、すべてのピア関係に対して同じ ONTAP Mediator インスタンスを使用できます。
たとえば、クラスタBがクラスタA、クラスタC、クラスタDとピア関係を持っている場合、各関係でSnapMirror Active Syncが設定されていれば、3つのクラスタピア関係すべてに固有の関連付けられたONTAP Mediatorインスタンスを持つことができます。または、クラスタBは3つのピア関係すべてに同じONTAP Mediatorインスタンスを使用することもできます。このシナリオでは、同じONTAP Mediatorインスタンスがクラスタに対して3回リストされます。
ONTAP 9.17.1 以降では、"ONTAP Cloud Mediator" を SnapMirror アクティブ同期構成でクラスタの健全性を監視するように設定できますが、両方のメディエーターを同時に使用することはできません。
|
ONTAP 9.17.1 で SnapMirror アクティブ同期と ONTAP Mediator または ONTAP Cloud Mediator を使用している場合は、これらの構成に関する重要な情報について "ONTAP Release Notes" の*既知の問題と制限事項*を確認する必要があります。 |
-
ONTAP Mediator には独自の前提条件が含まれています。ONTAP Mediator をインストールする前に、これらの前提条件を満たす必要があります。
詳細については、"ONTAP Mediatorサービスのインストールの準備"を参照してください。
-
デフォルトでは、ONTAP MediatorはTCPポート31784を介してサービスを提供します。ONTAPクラスタとONTAP Mediatorの間でポート31784が開いていて使用可能であることを確認する必要があります。
ONTAP Mediatorをインストールし、クラスタ構成を確認する
ONTAP Mediatorをインストールし、クラスタ構成を確認するには、以下の各手順を実行します。各手順で、特定の構成が実行されたことを確認する必要があります。各手順には、従う必要がある具体的な手順へのリンクが含まれています。
-
ソース クラスタとデスティネーション クラスタが正しく設定されていることを確認する前に、ONTAP Mediator をインストールします。
-
クラスタ間にクラスタ ピア関係が確立されていることを確認します。
SnapMirror Active Sync では、クラスタ ピア関係にデフォルトの IPspace が必要です。カスタム IPspace はサポートされていません。
自己署名証明書を使用してSnapMirrorアクティブ同期用にONTAP Mediatorを初期化します
ONTAP Mediatorをインストールし、クラスタ構成を確認したら、クラスタ監視のためにONTAP Mediatorを初期化する必要があります。ONTAP Mediatorの初期化は、System ManagerまたはONTAP CLIを使用して行うことができます。
System Manager
System Managerを使用すると、自動フェイルオーバー用にONTAP Mediatorを設定できます。また、まだ行っていない場合は、自己署名SSL証明書とCAをサードパーティの検証済みSSL証明書とCAに置き換えることもできます。
|
|
ONTAP 9.14.1から9.8では、SnapMirrorアクティブ同期はSnapMirror Business Continuity(SM-BC)と呼ばれます。 |
-
Protection > Overview > Mediator > Configure に移動します。
-
[追加]を選択し、次の ONTAP Mediator 情報を入力します:
-
IPv4 アドレス
-
ユーザー名
-
パスワード
-
Certificate
-
-
[Certificate]への入力は、以下の2つの方法で指定できます。
-
オプション(a):*インポート*を選択して `intermediate.crt`ファイルに移動し、インポートします。
-
オプション(b): `intermediate.crt`ファイルの内容をコピーし、*証明書*フィールドに貼り付けます。
すべての詳細を正しく入力すると、指定した証明書がすべてのピア クラスタにインストールされます。
証明書の追加が完了すると、ONTAP Mediator が ONTAP クラスタに追加されます。
次の図は、ONTAP Mediatorの設定に成功したことを示しています。
。 -
-
Protection > Overview > Mediator > Configure に移動します。
-
[追加]を選択し、次の ONTAP Mediator 情報を入力します:
-
IPv4 アドレス
-
ユーザー名
-
パスワード
-
Certificate
-
-
[Certificate]への入力は、以下の2つの方法で指定できます。
-
オプション(a):*インポート*を選択して `ca.crt`ファイルに移動し、インポートします。
-
オプション(b): `ca.crt`ファイルの内容をコピーし、*証明書*フィールドに貼り付けます。
すべての詳細を正しく入力すると、指定した証明書がすべてのピア クラスタにインストールされます。
証明書の追加が完了すると、ONTAP Mediator が ONTAP クラスタに追加されます。
次の図は、ONTAP Mediatorの設定に成功したことを示しています。
。 -
CLI
ONTAP CLIを使用して、プライマリクラスタまたはセカンダリクラスタのどちらからでもONTAP Mediatorを初期化できます。一方のクラスタで `mediator add`コマンドを実行すると、もう一方のクラスタにONTAP Mediatorが自動的に追加されます。
ONTAP Mediatorを使用してSnapMirrorアクティブ同期関係を監視する場合、有効な自己署名証明書または認証局(CA)証明書がないと、ONTAP MediatorをONTAPで初期化できません。ピアクラスタの証明書ストアに有効な証明書を追加します。ONTAP Mediatorを使用してMetroCluster IPシステムを監視する場合、初期設定後はHTTPSは使用されないため、証明書は必要ありません。
-
ONTAP Mediator Linux VM / ホスト ソフトウェアのインストール場所から ONTAP Mediator CA 証明書を見つけます
cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config。 -
ピア クラスタの証明書ストアに有効な認証局を追加します。
例:
[root@ontap-mediator_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
ONTAP Mediator CA証明書をONTAPクラスタに追加します。プロンプトが表示されたら、ONTAP Mediatorから取得したCA証明書を挿入します。すべてのピアクラスタでこの手順を繰り返します:
security certificate install -type server-ca -vserver <vserver_name>例:
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
生成された証明書名を使用して、インストールされている自己署名CA証明書を表示します。
security certificate show -common-name <common_name>例:
C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ C1_test_cluster 6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX ONTAPMediatorCA server-ca Certificate Authority: ONTAP Mediator CA Expiration Date: Thu Feb 15 14:35:25 2029 -
一方のクラスタでONTAP Mediatorを初期化します。もう一方のクラスタにはONTAP Mediatorが自動的に追加されます:
snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name例:
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: ****** Enter the password again: ******
-
必要に応じて、ジョブ ID のステータスをチェックして
job show -id、SnapMirror Mediator 追加コマンドが成功したかどうかを確認します。例:
C1_test_cluster::*> snapmirror mediator show This table is currently empty. C1_test_cluster::*> snapmirror mediator add -peer-cluster C2_test_cluster -type on-prem -mediator-address 1.2.3.4 -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Running Description: Creating a mediator entry C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Success Description: Creating a mediator entry C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status Type ---------------- ---------------- ----------------- ------------- ------- 1.2.3.4 C2_test_cluster connected true on-prem C1_test_cluster::*> -
ONTAP Mediator設定のステータスを確認します。
snapmirror mediator showMediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
`Quorum Status`は、SnapMirrorコンシステンシーグループの関係がONTAP Mediatorと同期されているかどうかを示します。 `true`のステータスは、同期が正常に行われたことを示します。
-
ONTAP Mediator Linux VM / ホスト ソフトウェアのインストール場所から ONTAP Mediator CA 証明書を見つけます
cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config。 -
ピア クラスタの証明書ストアに有効な認証局を追加します。
例:
[root@ontap-mediator_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
ONTAP MediatorのCA証明書をONTAPクラスタに追加します。プロンプトが表示されたら、ONTAP Mediatorから取得したCA証明書を挿入します。すべてのピア クラスタで同じ手順を繰り返します。
security certificate install -type server-ca -vserver <vserver_name>例:
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
生成された証明書名を使用して、インストールされている自己署名CA証明書を表示します。
security certificate show -common-name <common_name>例:
C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ C1_test_cluster 6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX ONTAPMediatorCA server-ca Certificate Authority: ONTAP Mediator CA Expiration Date: Thu Feb 15 14:35:25 2029 -
一方のクラスタでONTAP Mediatorを初期化します。もう一方のクラスタにはONTAP Mediatorが自動的に追加されます:
snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name例:
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: ****** Enter the password again: ******
-
必要に応じて、ジョブ ID のステータスをチェックして
job show -id、SnapMirror Mediator 追加コマンドが成功したかどうかを確認します。例:
C1_test_cluster::*> snapmirror mediator show This table is currently empty. C1_test_cluster::*> snapmirror mediator add -peer-cluster C2_test_cluster -type on-prem -mediator-address 1.2.3.4 -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Running Description: Creating a mediator entry C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Success Description: Creating a mediator entry C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status Type ---------------- ---------------- ----------------- ------------- ------- 1.2.3.4 C2_test_cluster connected true on-prem C1_test_cluster::*> -
ONTAP Mediator設定のステータスを確認します。
snapmirror mediator showMediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
`Quorum Status`SnapMirror整合性グループの関係がONTAP Mediatorと同期されているかどうかを示します。ステータスが `true`の場合は、同期が成功したことを示します。
サードパーティの証明書を使用したONTAP Mediatorの再初期化
ONTAP Mediator の再初期化が必要になる場合があります。ONTAP Mediator の IP アドレスの変更、証明書の有効期限切れなど、ONTAP Mediator の再初期化が必要になる状況が発生する場合があります。
以下の手順は、自己署名証明書をサードパーティの証明書に置き換える必要がある場合に、ONTAP Mediatorを再初期化する方法を示しています。
SnapMirror アクティブ同期クラスタの自己署名証明書をサードパーティの証明書に置き換え、ONTAP から ONTAP Mediator 設定を削除してから、ONTAP Mediator を追加する必要があります。
System Manager
System Manager では、古い自己署名証明書で設定された ONTAP Mediator バージョンを ONTAP クラスタから削除し、新しいサードパーティ証明書で ONTAP クラスタを再設定する必要があります。
-
メニュー オプション アイコンを選択し、[削除] を選択して ONTAP Mediator を削除します。
この手順では、ONTAP クラスタから自己署名された server-ca は削除されません。NetApp では、次の手順を実行してサードパーティの証明書を追加する前に、証明書 タブに移動して手動で削除することをお勧めします: 
-
正しい証明書を使用して ONTAP Mediator を再度追加します。
ONTAP Mediator に新しいサードパーティの自己署名証明書が設定されました。
CLI
ONTAP CLI を使用して自己署名証明書をサードパーティの証明書に置き換えることにより、プライマリ クラスタまたはセカンダリ クラスタから ONTAP Mediator を再初期化できます。
-
すべてのクラスタで自己署名証明書を使用した際にインストールした自己署名 `intermediate.crt`を削除します。以下の例では、2つのクラスタがあります:
例:
C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA 2 entries were deleted. C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA * 2 entries were deleted.
-
`-force true`を使用して、以前に設定したONTAP MediatorをSnapMirror Active Syncクラスタから削除します:
例:
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration exists on the peer cluster C2_test_cluster and remove it as well. Do you want to continue? {y|n}: y Info: [Job 136] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty. -
下位CA( `intermediate.crt`と呼ばれる)から証明書を取得する方法については、"信頼できるサードパーティの証明書への自己署名証明書の置き換え"に記載されている手順を参照してください。自己署名証明書を信頼できるサードパーティの証明書に置き換えます
`intermediate.crt`には、PKI機関に送信する必要のあるリクエストから派生した特定のプロパティがあり、ファイル `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf`で定義されています。 -
ONTAP Mediator Linux VM / ホスト ソフトウェアのインストール場所から、新しいサードパーティの ONTAP Mediator CA 証明書 `intermediate.crt`を追加します:
例:
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
`intermediate.crt`ファイルをピアクラスタに追加します。すべてのピアクラスタに対してこの手順を繰り返します:
例:
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
以前に設定したONTAP MediatorをSnapMirrorアクティブ同期クラスタから削除します。
例:
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster Info: [Job 86] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty.
-
ONTAP Mediator を再度追加します:
例:
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
`Quorum Status`SnapMirror整合性グループの関係がメディエータと同期されているかどうかを示します。 `true`のステータスは同期が成功したことを示します。
-
すべてのクラスターで自己署名証明書を使用した際にインストールした自己署名 `ca.crt`を削除します。以下の例では、2つのクラスターがあります:
例:
C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA 2 entries were deleted. C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA * 2 entries were deleted.
-
`-force true`を使用して、以前に設定したONTAP MediatorをSnapMirror Active Syncクラスタから削除します:
例:
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration exists on the peer cluster C2_test_cluster and remove it as well. Do you want to continue? {y|n}: y Info: [Job 136] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty. -
下位CA( `ca.crt`と呼ばれる)から証明書を取得する方法については、"信頼できるサードパーティの証明書への自己署名証明書の置き換え"に記載されている手順を参照してください。自己署名証明書を信頼できるサードパーティの証明書に置き換えます
`ca.crt`には、PKI機関に送信する必要のあるリクエストから派生した特定のプロパティがあり、ファイル `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf`で定義されています。 -
ONTAP Mediator Linux VM / ホスト ソフトウェアのインストール場所から、新しいサードパーティの ONTAP Mediator CA 証明書 `ca.crt`を追加します:
例:
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
`intermediate.crt`ファイルをピアクラスタに追加します。すべてのピアクラスタに対してこの手順を繰り返します:
例:
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
以前に設定したONTAP MediatorをSnapMirrorアクティブ同期クラスタから削除します。
例:
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster Info: [Job 86] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty.
-
ONTAP Mediator を再度追加します:
例:
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
`Quorum Status`SnapMirror整合性グループの関係がメディエータと同期されているかどうかを示します。 `true`のステータスは同期が成功したことを示します。