Skip to main content
NetApp Backup and Recovery
Todos os provedores de nuvem
  • Serviços Web da Amazon
  • Google Cloud
  • Microsoft Azure
  • Todos os provedores de nuvem
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar certificados de segurança para StorageGRID e ONTAP no NetApp Backup and Recovery

Colaboradores netapp-mwallis
PDFs

Crie um certificado de segurança para permitir a comunicação entre o NetApp Backup and Recovery e o StorageGRID ou ONTAP.

Crie um certificado de segurança para StorageGRID

Se a comunicação entre os contêineres do NetApp Backup and Recovery e o StorageGRID verificar o certificado do StorageGRID , conclua as etapas a seguir.

O certificado gerado deve ter CN e Nome Alternativo do Assunto como o nome fornecido no NetApp Backup and Recovery quando você ativou o backup.

Passos

  1. Siga as etapas na documentação do StorageGRID para criar o certificado do StorageGRID .

    "Informações do StorageGRID sobre a configuração de certificados"

  2. Atualize o StorageGRID com o certificado, caso ainda não tenha feito isso.

  3. Efetue login no agente do Console como usuário root. Correr:

    sudo su

  4. Obtenha o volume do Docker do NetApp Backup and Recovery (Cloud Backup Service). Correr:

    docker volume ls | grep cbs

    Exemplo de saída:

    local service-manager-2_cloudmanager_cbs_volume"
    Observação O nome do volume difere entre os modos de implantação Padrão, Privado e Restrito. Este exemplo usa o modo Padrão. Consulte "Modos de implantação do NetApp Console" .

  5. Localize o ponto de montagem do volume do NetApp Backup and Recovery . Correr:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Exemplo de saída:

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data"
    Observação O ponto de montagem difere entre os modos de implantação Padrão, Privado e Restrito. Este exemplo mostra uma implantação de nuvem padrão. Consulte "Modos de implantação do NetApp Console" .

  6. Mude para o diretório MountPoint. Correr:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  7. Se o certificado do StorageGRID for assinado pela CA raiz e uma CA intermediária, anexe o pem arquivos de ambos em um arquivo chamado sgws.crt no local atual. Não adicione o certificado de folha a este arquivo.

Etapas para o contêiner cloudmanager_cbs

Você precisará habilitar a verificação do certificado do StorageGRID Server no NetApp Backup and Recovery (Cloud Backup Service).

  1. Altere os diretórios para o volume do Docker obtido nas etapas anteriores.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Altere os diretórios para o diretório config.

    cd cbs_config

  3. Crie e salve um arquivo de configuração conforme mostrado abaixo com um dos seguintes nomes com base no seu ambiente de implantação:

    • `production-customer.json`Usado para implantações de modo Padrão e modo Restrito.

    • `darksite-customer.json`Usado para implantações em modo privado.

      Consulte "Modos de implantação do NetApp Console" .

      Arquivo de configuração

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Saia do contêiner. Correr:

    exit

  5. Reiniciar cloudmanager_cbs . Correr:

    docker restart cloudmanager_cbs

Etapas para o contêiner cloudmanager_cbs_catalog

Em seguida, você precisará habilitar a verificação do certificado do StorageGRID Server para o Cataloging Service.

  1. Alterar diretórios para o volume do Docker:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Configurar o catálogo. Correr:

    cd cbs_catalog_config

  3. Crie um arquivo de configuração conforme mostrado abaixo com um dos seguintes nomes com base no seu ambiente de implantação:

    • `production-customer.json`Usado para implantações de modo Padrão e modo Restrito.

    • `darksite-customer.json`Usado para implantações em modo privado.

      Consulte "Modos de implantação do NetApp Console" .

      Arquivo de configuração do catálogo

    {
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  }
}

  4. Reinicie o catálogo. Correr:

    docker restart cloudmanager_cbs_catalog

Atualizar o certificado do agente do Console com o certificado StorageGRID com base no sistema operacional do agente

Ubuntu

  1. Copie o certificado SGWS para /usr/local/share/ca-certificates . Aqui está um exemplo:

    cp /config/sgws.crt /usr/local/share/ca-certificates/

    onde sgws.crt é o certificado da CA raiz.

  2. Atualize os certificados do host com o certificado StorageGRID . Correr

    sudo update-ca-certificates

Red Hat Enterprise Linux

  1. Copie o certificado SGWS para /etc/pki/ca-trust/source/anchors/ .

    cp /config/sgws.crt /etc/pki/ca-trust/source/anchors/

    onde sgws.crt é o certificado da CA raiz.

  2. Atualize os certificados do host com o certificado StorageGRID .

    update-ca-trust extract

  3. Atualizar o ca-bundle.crt

    cd /etc/pki/tls/certs/
openssl x509 -in ca-bundle.crt -text -noout

  4. Para verificar se os certificados estão presentes, execute o seguinte comando:

    openssl crl2pkcs7 -nocrl -certfile /etc/pki/tls/certs/ca-bundle.crt | openssl pkcs7 -print_certs | grep subject | head

Crie um certificado de segurança para o ONTAP

Se a comunicação entre os contêineres do NetApp Backup and Recovery e o ONTAP validar o certificado ONTAP , conclua as etapas a seguir.

O NetApp Backup and Recovery usa o IP de gerenciamento de cluster para se conectar ao ONTAP. Insira o endereço IP do cluster em Assunto Nomes alternativos do certificado. Especifique esta etapa ao gerar o CSR usando a interface do usuário do System Manager.

Use a documentação do System Manager para criar um novo certificado CA para o ONTAP.

Passos

  1. Efetue login no agente do Console como root. Correr:

    sudo su

  2. Obtenha o volume do Docker do NetApp Backup and Recovery . Correr:

    docker volume ls | grep cbs

    Exemplo de saída:

    local service-manager-2_cloudmanager_cbs_volume
    Observação O nome do volume difere entre os modos de implantação Padrão, Privado e Restrito. Este exemplo mostra uma implantação de nuvem padrão. Consulte "Modos de implantação do NetApp Console" .

  3. Obtenha a montagem para o volume. Correr:

    docker volume inspect service-manager-2_cloudmanager_cbs_volume | grep Mountpoint

    Exemplo de saída:

    "Mountpoint": "/var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data
    Observação O ponto de montagem difere entre os modos de implantação Padrão, Privado e Restrito. Este exemplo mostra uma implantação de nuvem padrão. Consulte "Modos de implantação do NetApp Console" .

  4. Mude para o diretório do ponto de montagem. Correr:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  5. Conclua uma das seguintes etapas:

    • Se o certificado ONTAP for assinado pela CA raiz e uma CA intermediária, anexe o pem arquivos de ambos em um arquivo chamado ontap.crt no local atual.

    • Se o certificado ONTAP for assinado por uma única CA, renomeie o pem arquivar como ontap.crt e copie-o no local atual. Não adicione o certificado de folha a este arquivo.

Etapas para o contêiner cloudmanager_cbs

Em seguida, ative a verificação do certificado do servidor ONTAP no NetApp Backup and Recovery (Cloud Backup Service).

  1. Altere os diretórios para o volume do Docker obtido nas etapas anteriores.

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Mude para o diretório de configuração. Correr:

    cd cbs_config

  3. Crie um arquivo de configuração conforme mostrado abaixo com um dos seguintes nomes com base no seu ambiente de implantação:

    • `production-customer.json`Usado para implantações de modo Padrão e modo Restrito.

    • `darksite-customer.json`Usado para implantações em modo privado.

      Consulte "Modos de implantação do NetApp Console" .

      Arquivo de configuração

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Saia do contêiner. Correr:

    exit

  5. Reinicie o NetApp Backup and Recovery. Correr:

    docker restart cloudmanager_cbs

Etapas para o contêiner cloudmanager_cbs_catalog

Habilite a verificação do certificado do servidor ONTAP para o Serviço de Catalogação.

  1. Altere os diretórios para o volume do Docker. Correr:

    cd /var/lib/docker/volumes/service-manager-2_cloudmanager_cbs_volume/_data

  2. Correr:

    cd cbs_catalog_config

  3. Crie um arquivo de configuração conforme mostrado abaixo com um dos seguintes nomes com base no seu ambiente de implantação:

    • `production-customer.json`Usado para implantações de modo Padrão e modo Restrito.

    • `darksite-customer.json`Usado para implantações em modo privado.

      Consulte "Modos de implantação do NetApp Console" .

      Arquivo de configuração

    {
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}

  4. Reinicie o NetApp Backup and Recovery. Correr:

    docker restart cloudmanager_cbs_catalog

Crie um certificado para ONTAP e StorageGRID

Se você precisar habilitar o certificado para ONTAP e StorageGRID, o arquivo de configuração ficará assim:

Arquivo de configuração para ONTAP e StorageGRID

{
  "protocols": {
    "sgws": {
      "certificates": {
        "reject-unauthorized": true,
        "ca-bundle": "/config/sgws.crt"
      }
    }
  },
  "ontap": {
    "certificates": {
      "reject-unauthorized": true,
      "ca-bundle": "/config/ontap.crt"
    }
  }
}