Skip to main content
Upgrade Health Checker
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Upgrade Health Checkerをダウンロードしてセットアップする

共同作成者 netapp-ivanad
PDF

アップグレードヘルスチェッカーをダウンロードして、新しいバージョンの ONTAP にアップグレードする前に、オンサイトで包括的なレポートを生成することができます。

タスク概要

Upgrade Health Checkerは、オンプレミスONTAPバージョン9.11.1以降のアップグレードをサポートしています。Cloud Volumes ONTAPを使用している場合は、システムのアップグレードに関する情報について"Cloud Volumes ONTAPのアップグレード"を参照してください。

開始する前に

次の仕様で、Upgrade Health Checker用の仮想マシンをセットアップします:

  • 処理とメモリ:2 つの vCPU と 8 GiB RAM を備えた m5.large VM または同等のもの。

  • 推奨オペレーティングシステム:最適な互換性を確保するため、glibcライブラリのバージョン2.28以降を搭載したLinux OS。これには以下が含まれます:

    • Ubuntu 22.04

    • RHEL8

    • RHEL9

  • ストレージ:仮想マシンが侵害された場合にデータを確実に保存できるように、最低100GBのルートボリュームと、少なくとも100GBの追加NFSボリュームを用意します。

  • ホスティング要件:ツールの自動更新を可能にするために、クラスター接続とインターネットアクセスのある場所にVMを配置します。自動更新を実行するには、マシンがHTTPS経由で次のエンドポイントにアクセスできる必要があります:

  • 推奨パッケージ:アクセスを容易にするために Web サーバーをインストールします。

さらに、仮想マシンがHTTPS経由でテレメトリエンドポイント(https://support.netapp.com/に接続できることを確認し、NetAppがアップグレードプランに関するAutoSupport情報を受信できるようにします。

手順

  1. アップグレードヘルスチェッカーのバイナリをダウンロードするには、"NetApp Console Automation Hubに移動"Upgrade Health Checkerタイルを見つけます。

  2. Upgrade Health Checker 仮想マシンをセットアップし、SSH を使用してバイナリを任意の場所に配置します。

  3. Upgrade Health Checkerのデジタル署名を検証します。

    Upgrade Health Checker には公開コード署名証明書((UHC-Linux-codesigning-certificate-public.pem)および中間証明書とルート証明書のチェーン((UHC-Linux-chain-certificates-public.pem)があります。

    1. (オプション)チェーンに対してコード署名証明書を検証します:

      openssl verify -CAfile UHC-Linux-chain-certificates-public.pem UHC-Linux-codesigning-certificate-public.pem
      `OK`の出力は、有効な信頼チェーンを確認します。

    2. コード署名証明書から公開鍵を抽出します:

      openssl x509 -in UHC-Linux-codesigning-certificate-public.pem -pubkey -noout -out UHC-Linux-public.pub

    3. 公開キーを使用して、Upgrade Health Checker バイナリに対して署名ファイル((uhc.sig)を検証します:

      openssl dgst -sha256 -verify UHC-Linux-public.pub -signature uhc.sig uhc
      `Verified OK`の出力は、署名が有効であることを確認します。

  4. ONTAP クラスタアクセス用のサービスアカウントとロールを設定します。Upgrade Health Checker を介したクラスタアクセスの場合は、サービスロールを REST ロールとして作成します。

    メモ Ansibleプレイブックを構築して、すべてのONTAPクラスタへのロールとユーザの導入を自動化できます。

    http アプリケーションのサービスアカウントを作成する必要があります。必要な権限を設定するには、次の CLI コマンドを使用します:

    security login rest-role create -role uhctool -api /api -access readonly -vserver

security login rest-role create -role uhctool -api /api/support/autosupport -access read_create_modify -vserver

security login rest-role create -role uhctool -api /api/support/autosupport/messages -access read_create_modify -vserver

vserver services web access create -name spi -role uhctool -vserver

security login create -user-or-group-name uhctool -role uhctool -application http -authentication-method password

security login create -user-or-group-name uhctool -role uhctool -application ssh -authentication-method password

  5. (オプション)アプリケーションへのアクセスを保護するために、認証情報管理を設定します。

    例えば、CyberArkとConjurを使用すると、yamlファイルまたはコマンドラインを介して資格情報を渡さないように環境を構成できます。

    1. 必要なCyberArk金庫を作成:

      1. アプリケーションの資格情報とシークレットを保持するSafe(Main-Conjur-Safe)を作成します

      2. Conjur ホスト ID と API キーを保持するセーフ(API-Credentials-Safe)を作成します。

      3. 必要な証明書を保持するSafe(Conjur-SSL-Certificate)を作成します。

    2. このアプリケーションの構成ファイル(Conjur.conf)と ID ファイル(Conjur.identity)を作成します:

      1. Conjur.conf

        account:
plugins:[]
appliance_url: https://FQDN
cert_file: /etc/conjur.pem

      2. Conjur.identity

        machine https://FQDN/authn
login host /prodvault/devops/<Main-Conjur-Safe>/host1
password XXXXXX

      Ansible プレイブックで CyberArk と Conjur を使用する方法の例を次に示します:

    3. Conjur Ansible Lookup Plugin を含む Conjur Ansible Collection を Ansible ホストにインストールします:

      ansible-galaxy collection install cyberark.conjur

    4. yamlファイルにCyberArkからユーザー名とパスワードを取得するタスクを作成します:

      conjur_username: "{{ lookup('cyberark.conjur.conjur_variable', 'prodvault/devops/<Main-Conjur-Safe>/<Account name>/username', validate_certs=false) }}"
conjur_password: "{{ lookup('cyberark.conjur.conjur_variable', 'prodvault/devops/<Main-Conjur-Safe>/<Account name>/password', validate_certs=false) }}"
次の手順

アップグレードヘルスチェッカーを使用すると、"アップグレードレポートの生成"によってONTAPアップグレードの計画を立てることができます。