NetApp Backup and Recovery 에서 StorageGRID 및 ONTAP 에 대한 보안 인증서 설정
변경 제안
PDF
NetApp Backup and Recovery 와 StorageGRID 또는 ONTAP 간 통신을 활성화하기 위해 보안 인증서를 만듭니다.
StorageGRID 에 대한 보안 인증서 생성
NetApp Backup and Recovery 컨테이너와 StorageGRID 간의 통신에서 StorageGRID 인증서를 확인해야 하는 경우 다음 단계를 완료하세요.
생성된 인증서에는 NetApp Backup and Recovery 에서 백업을 활성화할 때 제공한 이름과 동일한 CN 및 주체 대체 이름이 있어야 합니다.
-
StorageGRID 설명서의 단계에 따라 StorageGRID 인증서를 생성하세요.
-
아직 StorageGRID 인증서로 업데이트하지 않았다면 업데이트하세요.
-
루트 사용자로 콘솔 에이전트에 로그인합니다. 달리다:
sudo su -
NetApp Backup and Recovery (Cloud Backup Service) Docker 볼륨을 가져옵니다. 달리다:
docker volume ls | grep cbs출력 예:
local service-manager-2_cloudmanager_cbs_volume"
볼륨 이름은 표준, 개인, 제한 배포 모드에서 다릅니다. 이 예제에서는 표준 모드를 사용합니다. 참조하다 "NetApp Console 배포 모드" . -
NetApp Backup and Recovery 볼륨의 마운트 지점을 찾습니다. 달리다:
docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint출력 예:
"Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data"
마운트 지점은 표준, 개인 및 제한 배포 모드마다 다릅니다. 이 예에서는 표준 클라우드 배포를 보여줍니다. 참조하다 "NetApp Console 배포 모드" . -
MountPoint 디렉토리로 변경합니다. 달리다:
cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data -
StorageGRID 인증서가 루트 CA와 중간 CA에 의해 서명된 경우 다음을 추가합니다.
pem두 파일을 하나의 파일로 통합sgws.crt현재 위치에서. 이 파일에 리프 인증서를 추가하지 마세요.
cloudmanager_cbs 컨테이너에 대한 단계
NetApp Backup and Recovery (Cloud Backup Service )에서 StorageGRID Server 인증서 검증을 활성화해야 합니다.
-
이전 단계에서 얻은 Docker 볼륨으로 디렉토리를 변경합니다.
cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data -
디렉토리를 config 디렉토리로 변경합니다.
cd cbs_config -
배포 환경에 따라 다음 이름 중 하나를 사용하여 아래와 같이 구성 파일을 만들고 저장합니다.
-
`production-customer.json`표준 모드 및 제한 모드 배포에 사용됩니다.
-
`darksite-customer.json`개인 모드 배포에 사용됩니다.
참조하다 "NetApp Console 배포 모드" .
구성 파일
{ "protocols": { "sgws": { "certificates": { "reject-unauthorized": true, "ca-bundle": "/config/sgws.crt" } } } } -
-
컨테이너에서 나오세요. 달리다:
exit -
다시 시작
cloudmanager_cbs. 달리다:docker restart cloudmanager_cbs
cloudmanager_cbs_catalog 컨테이너에 대한 단계
다음으로, 카탈로그 서비스에 대한 StorageGRID Server 인증서 검증을 활성화해야 합니다.
-
Docker 볼륨으로 디렉토리를 변경합니다.
cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data -
카탈로그를 구성합니다. 달리다:
cd cbs_catalog_config -
배포 환경에 따라 다음 이름 중 하나를 사용하여 아래와 같이 구성 파일을 만듭니다.
-
`production-customer.json`표준 모드 및 제한 모드 배포에 사용됩니다.
-
`darksite-customer.json`개인 모드 배포에 사용됩니다.
참조하다 "NetApp Console 배포 모드" .
카탈로그 구성 파일
{ "protocols": { "sgws": { "certificates": { "reject-unauthorized": true, "ca-bundle": "/config/sgws.crt" } } } } -
-
카탈로그를 다시 시작합니다. 달리다:
docker restart cloudmanager_cbs_catalog
에이전트 운영 체제에 따라 StorageGRID 인증서로 콘솔 에이전트 인증서를 업데이트합니다.
우분투
-
SGWS 인증서를 복사하세요
/usr/local/share/ca-certificates. 다음은 그 예입니다.cp /config/sgws.crt /usr/local/share/ca-certificates/어디
sgws.crt루트 CA 인증서입니다. -
호스트 인증서를 StorageGRID 인증서로 업데이트합니다. 달리다
sudo update-ca-certificates
레드햇 엔터프라이즈 리눅스
-
SGWS 인증서를 복사하세요
/etc/pki/ca-trust/source/anchors/.cp /config/sgws.crt /etc/pki/ca-trust/source/anchors/어디
sgws.crt루트 CA 인증서입니다. -
호스트 인증서를 StorageGRID 인증서로 업데이트합니다.
update-ca-trust extract -
업데이트
ca-bundle.crtcd /etc/pki/tls/certs/ openssl x509 -in ca-bundle.crt -text -noout -
인증서가 있는지 확인하려면 다음 명령을 실행하세요.
openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs | grep subject | head
ONTAP 에 대한 보안 인증서 생성
NetApp Backup and Recovery 컨테이너와 ONTAP 간의 통신에서 ONTAP 인증서의 유효성을 검사해야 하는 경우 다음 단계를 완료하세요.
NetApp Backup and Recovery 클러스터 관리 IP를 사용하여 ONTAP 에 연결합니다. 인증서의 주체 대체 이름에 클러스터의 IP 주소를 입력합니다. 시스템 관리자 UI를 사용하여 CSR을 생성할 때 이 단계를 지정하세요.
시스템 관리자 설명서를 사용하여 ONTAP 에 대한 새로운 CA 인증서를 만듭니다.
-
콘솔 에이전트에 루트로 로그인합니다. 달리다:
sudo su -
NetApp Backup and Recovery Docker 볼륨을 받으세요. 달리다:
docker volume ls | grep cbs출력 예:
local service-manager-2_cloudmanager_cbs_volume
볼륨 이름은 표준, 개인, 제한 배포 모드에서 다릅니다. 이 예에서는 표준 클라우드 배포를 보여줍니다. 참조하다 "NetApp Console 배포 모드" . -
볼륨에 대한 마운트를 얻습니다. 달리다:
docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint출력 예:
"Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data
마운트 지점은 표준, 개인 및 제한 배포 모드마다 다릅니다. 이 예에서는 표준 클라우드 배포를 보여줍니다. 참조하다 "NetApp Console 배포 모드" . -
마운트 지점 디렉토리로 변경합니다. 달리다:
cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data -
다음 단계 중 하나를 완료하세요.
-
ONTAP 인증서가 루트 CA와 중간 CA에 의해 서명된 경우 다음을 추가합니다.
pem두 파일을 하나의 파일로 통합ontap.crt현재 위치에서. -
ONTAP 인증서가 단일 CA에 의해 서명된 경우 이름을 바꾸십시오.
pem파일로 저장ontap.crt현재 위치에 복사합니다. 이 파일에 리프 인증서를 추가하지 마세요.
-
cloudmanager_cbs 컨테이너에 대한 단계
다음으로 NetApp Backup and Recovery (Cloud Backup Service )에서 ONTAP 서버 인증서 검증을 활성화합니다.
-
이전 단계에서 얻은 Docker 볼륨으로 디렉토리를 변경합니다.
cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data -
config 디렉토리로 변경합니다. 달리다:
cd cbs_config -
배포 환경에 따라 다음 이름 중 하나를 사용하여 아래와 같이 구성 파일을 만듭니다.
-
`production-customer.json`표준 모드 및 제한 모드 배포에 사용됩니다.
-
`darksite-customer.json`개인 모드 배포에 사용됩니다.
참조하다 "NetApp Console 배포 모드" .
구성 파일
{ "ontap": { "certificates": { "reject-unauthorized": true, "ca-bundle": "/config/ontap.crt" } } } -
-
컨테이너에서 나오세요. 달리다:
exit -
NetApp Backup and Recovery 다시 시작합니다. 달리다:
docker restart cloudmanager_cbs
cloudmanager_cbs_catalog 컨테이너에 대한 단계
카탈로그 서비스에 대해 ONTAP 서버 인증서 검증을 활성화합니다.
-
Docker 볼륨으로 디렉토리를 변경합니다. 달리다:
cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data -
달리다:
cd cbs_catalog_config -
배포 환경에 따라 다음 이름 중 하나를 사용하여 아래와 같이 구성 파일을 만듭니다.
-
`production-customer.json`표준 모드 및 제한 모드 배포에 사용됩니다.
-
`darksite-customer.json`개인 모드 배포에 사용됩니다.
참조하다 "NetApp Console 배포 모드" .
구성 파일
{ "ontap": { "certificates": { "reject-unauthorized": true, "ca-bundle": "/config/ontap.crt" } } } -
-
NetApp Backup and Recovery 다시 시작합니다. 달리다:
docker restart cloudmanager_cbs_catalog
ONTAP 과 StorageGRID 에 대한 인증서 생성
ONTAP 과 StorageGRID 모두에 대한 인증서를 활성화해야 하는 경우 구성 파일은 다음과 같습니다.
-
ONTAP 및 StorageGRID 에 대한 구성 파일*
{
"protocols": {
"sgws": {
"certificates": {
"reject-unauthorized": true,
"ca-bundle": "/config/sgws.crt"
}
}
},
"ontap": {
"certificates": {
"reject-unauthorized": true,
"ca-bundle": "/config/ontap.crt"
}
}
}