설치 후 ONTAP 중재자 구성
변경 제안
PDF
ONTAP Mediator를 설치하고 실행한 후에는 ONTAP Mediator 기능을 사용하기 위해 ONTAP 스토리지 시스템에서 추가 구성 작업을 수행해야 합니다.
-
MetroCluster IP 구성에서 ONTAP Mediator를 사용하려면 다음을 참조하세요. "MetroCluster IP 구성에서 ONTAP Mediator 구성" .
-
SnapMirror 활성 동기화를 사용하려면 을 참조하십시오"ONTAP Mediator를 설치하고 ONTAP 클러스터 구성을 확인하세요.".
ONTAP 중재자 보안 정책을 구성합니다
ONTAP Mediator는 여러 가지 구성 가능한 보안 설정을 지원합니다. 모든 설정의 기본값은 low_space_threshold_mib: 10 읽기 전용 파일로 제공됩니다.
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
에 배치된 모든 값 ontap_mediator.user_config.yaml 는 기본값을 무시하고 모든 ONTAP 중재자 업그레이드에 대해 유지됩니다.
수정 후 ontap_mediator.user_config.yaml , ONTAP Mediator를 다시 시작하세요:
systemctl restart ontap_mediator
ONTAP 중재자 특성을 수정합니다
필요한 경우 이 섹션에 설명된 ONTAP 중재자 속성을 수정할 수 있습니다.
|
ONTAP 중재자 업그레이드 중에 수정된 값이 유지되지 않으므로 의 다른 기본값은 ontap_mediator.config.yaml 변경되지 않아야 합니다.
|
필요한 변수를 파일에 복사하여 기본 설정을 재정의하여 ONTAP 중재자 특성을 ontap_mediator.user_config.yaml 수정합니다.
타사 SSL 인증서를 설치합니다
자체 서명된 기본 인증서를 타사 SSL 인증서로 대체해야 하는 경우 다음 파일에서 특정 특성을 수정합니다.
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml -
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
이러한 파일의 변수는 ONTAP Mediator에서 사용되는 인증서 파일을 제어하는 데 사용됩니다.
다음 표에 나열된 기본 변수가 파일에 포함되어 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml 있습니다.
| 변수 | 경로 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
cert_valid_days클라이언트 인증서의 만료를 설정하는 데 사용됩니다. 최대값은 3년(1095일)입니다. -
x509_passin_pwd은 서명된 클라이언트 인증서의 암호입니다.
다음 표에 나열된 기본 변수가 파일에 포함되어 /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini 있습니다.
| 변수 | 경로 |
|---|---|
|
|
|
|
|
|
다음 표에 나열된 기본 변수가 파일에 포함되어 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml 있습니다.
| 변수 | 경로 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
cert_valid_days클라이언트 인증서의 만료를 설정하는 데 사용됩니다. 최대값은 3년(1095일)입니다. -
x509_passin_pwd은 서명된 클라이언트 인증서의 암호입니다.
다음 표에 나열된 기본 변수가 파일에 포함되어 /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini 있습니다.
| 변수 | 경로 |
|---|---|
|
|
|
|
|
|
이러한 속성을 수정한 경우 ONTAP Mediator를 다시 시작하여 변경 사항을 적용하세요. 기본 인증서를 타사 인증서로 교체하는 방법에 대한 자세한 지침은 을 참조하십시오"자체 서명된 인증서를 신뢰할 수 있는 타사 인증서로 바꿉니다".
암호 공격 보호
다음 설정은 무차별 암호 추측 공격에 대한 보호 기능을 제공합니다.
기능을 활성화하려면 및 retry_limit 의 값을 window_seconds 설정합니다.
예:
-
추측을 위한 5분 창을 제공한 다음 이 수를 0으로 재설정합니다.
authentication_lock_window_seconds: 300 -
기간 내에 5번의 장애가 발생할 경우 계정을 잠급니다.
authentication_retry_limit: 5 -
각 시도를 거부하기 전에 발생하는 지연을 설정하여 무차별 암호 추측 공격의 영향을 줄입니다.
authentication_failure_delay_seconds: 5authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
암호 복잡성 규칙
다음 필드는 ONTAP 중재자 API 사용자 계정의 암호 복잡성 규칙을 제어합니다.
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
사용 가능한 공간 제어
디스크에 필요한 여유 공간을 제어하는 설정이 /opt/netapp/lib/ontap_mediator 있습니다.
공간이 설정된 임계값보다 낮으면 서비스에서 경고 이벤트를 실행합니다.
low_space_threshold_mib: 10
예약 로그 공간을 제어합니다
reserve_log_space는 특정 설정에 의해 제어됩니다. 기본적으로 ONTAP Mediator 설치 시 로그를 위한 별도의 디스크 공간이 생성됩니다. 설치 프로그램은 ONTAP Mediator 로깅에 명시적으로 사용할 총 700MB의 디스크 공간을 가진 새로운 고정 크기 파일을 생성합니다.
이 기능을 비활성화하고 기본 디스크 공간을 사용하려면 다음 단계를 수행하십시오.
-
다음 파일에서 reserve_log_space 값을 1에서 0으로 변경합니다.
/opt/netapp/lib/ontap_mediator/tools/mediator_env -
중재자 다시 시작:
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
이 기능을 다시 활성화하려면 값을 0에서 1로 변경하고 중재자를 다시 시작하십시오.
|
|
디스크 공간 간에 전환하면 기존 로그가 지워지지 않습니다. 이전 로그는 모두 백업된 다음 중재자를 전환하고 다시 시작한 후 현재 디스크 공간으로 이동합니다. |