Configuração pós-instalação
Depois que o serviço do Mediador ONTAP for instalado e executado, tarefas de configuração adicionais devem ser executadas no sistema de storage ONTAP para usar os recursos do Mediador:
-
Para usar o serviço Mediador ONTAP em uma configuração IP do MetroCluster, "Configurando o serviço do Mediador ONTAP a partir de uma configuração IP do MetroCluster"consulte .
-
Para usar a sincronização ativa do SnapMirror, "Instale o Serviço do Mediador ONTAP e confirme a configuração do cluster do ONTAP"consulte .
Configurar as políticas de segurança do ONTAP Mediator
O servidor Mediador ONTAP suporta várias configurações de segurança configuráveis. Os valores padrão para todas as configurações são fornecidos em um low_space_threshold_mib: 10
arquivo somente leitura:
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
Todos os valores colocados no ontap_mediator.user_config.yaml
substituirão os valores padrão e serão mantidos em todas as atualizações do ONTAP Mediator.
Depois de modificar ontap_mediator.user_config.yaml
, reinicie o serviço ONTAP Mediator:
systemctl restart ontap_mediator
Modifique os atributos do Mediador ONTAP
Os atributos do Mediador ONTAP descritos nesta seção podem ser modificados se necessário.
Outros valores padrão no ontap_mediator.config.yaml não devem ser alterados porque os valores modificados não são mantidos durante as atualizações do ONTAP Mediator.
|
Você modifica os atributos do Mediador do ONTAP copiando as variáveis necessárias ontap_mediator.user_config.yaml
para o arquivo para substituir as configurações padrão.
Instale certificados SSL de terceiros
Se você precisar substituir os certificados autoassinados padrão por certificados SSL de terceiros, modifique determinados atributos nos seguintes arquivos:
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml
-
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
As variáveis nesses arquivos são usadas para controlar os arquivos de certificado usados pelo serviço do Mediador ONTAP.
As variáveis padrão listadas na tabela a seguir são incluídas no /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml
arquivo.
Variável | Caminho |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
cert_valid_days
é usado para definir a expiração dos certificados de cliente. O valor máximo é de três anos (1095 dias). -
x509_passin_pwd
é a senha para o certificado de cliente assinado.
As variáveis padrão listadas na tabela a seguir são incluídas no /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
arquivo.
Variável | Caminho |
---|---|
|
|
|
|
|
|
Se você modificar esses atributos, reinicie o serviço do ONTAP Mediator para aplicar as alterações. Para obter instruções detalhadas sobre como substituir certificados padrão por certificados de terceiros, "Substitua certificados autoassinados por certificados de terceiros confiáveis"consulte .
Proteção contra ataque por senha
As configurações a seguir fornecem proteção contra ataques de adivinhação de senha de força bruta.
Para ativar a funcionalidade, defina um valor para a window_seconds
e a retry_limit
.
Exemplos:
-
Forneça uma janela de 5 minutos para suposições e, em seguida, redefina a contagem para zero falhas:
authentication_lock_window_seconds: 300
-
Bloqueie a conta se ocorrerem cinco falhas dentro do período de tempo da janela:
authentication_retry_limit: 5
-
Reduza o impactos de ataques de adivinhação de senha de força bruta definindo um atraso que ocorre antes de rejeitar cada tentativa, o que retarda os ataques.
authentication_failure_delay_seconds: 5
authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
Regras de complexidade de senha
Os campos a seguir controlam as regras de complexidade de senha da conta de usuário da API do ONTAP Mediator.
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
Controle do espaço livre
Existem definições que controlam o espaço livre necessário no /opt/netapp/lib/ontap_mediator
disco.
Se o espaço for inferior ao limite definido, o serviço emitirá um evento de aviso.
low_space_threshold_mib: 10
Controle do espaço de Registro de reserva
O RESERVE_LOG_SPACE é controlado por configurações específicas. Por padrão, a instalação do servidor Mediador do ONTAP cria um espaço em disco separado para os logs. O instalador cria um novo arquivo de tamanho fixo com um total de 700 MB de espaço em disco para ser usado explicitamente para o Registro do Mediator.
Para desativar esse recurso e usar o espaço em disco padrão, execute as seguintes etapas:
-
Altere o valor de RESERVE_LOG_SPACE de 1 para 0 no seguinte arquivo:
/opt/netapp/lib/ontap_mediator/tools/mediator_env
-
Reinicie o Mediator:
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"
RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
Para reativar a funcionalidade, altere o valor de 0 para 1 e reinicie o Mediador.
Alternar entre espaços de disco não limpa logs existentes. Todos os logs anteriores são copiados e movidos para o espaço em disco atual depois de alternar e reiniciar o Mediator. |