Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为ONTAP活动同步配置SnapMirror调解器和集群

贡献者
PDF

SnapMirror主动同步利用对等集群来确保在发生故障转移时数据可用。ONTAP调解器是确保业务连续性的关键资源、可监控每个集群的运行状况。要配置SnapMirror活动同步、必须先安装ONTAP调解器、并确保已正确配置主集群和二级集群。

安装ONTAP调解器并配置集群后、必须执行此操作 [initialize-the-ontap-mediator] 用于SnapMirror活动同步的ONTAP调解器。您必须这样做 为SnapMirror活动同步创建、初始化和映射一致性组

ONTAP 调解器

ONTAP调解器可为SnapMirror活动同步关系中的ONTAP集群使用的高可用性(HA)元数据提供永久性隔离存储。此外、ONTAP调解器还提供了同步节点运行状况查询功能来帮助确定仲裁、并充当用于检测控制器是否可用的ping代理。

ONTAP 调解器的前提条件

  • ONTAP 调解器包括自己的一组前提条件。在安装调解器之前,必须满足这些前提条件。

    有关详细信息,请参见 "准备安装 ONTAP 调解器服务"

  • 默认情况下, ONTAP 调解器通过 TCP 端口 31784 提供服务。您应确保 ONTAP 集群和调解器之间的端口 31784 已打开且可用。

安装ONTAP调解器并确认集群配置

继续执行以下每个步骤。对于每个步骤,您都应确认已执行特定配置。使用每个步骤后面的链接根据需要获取更多信息。

步骤

  1. 请先安装 ONTAP 调解器服务,然后再确保源集群和目标集群配置正确。

    准备安装或升级ONTAP 调解器服务

  2. 确认集群之间存在集群对等关系。

    备注 对于集群对等关系、SnapMirror活动同步需要默认IP空间。不支持自定义IP空间。

    配置对等关系

  3. 确认已在每个集群上创建 Storage VM 。

    创建 SVM

  4. 确认每个集群上的 Storage VM 之间存在对等关系。

    创建 SVM 对等关系

  5. 确认 LUN 存在卷。

    Creating a volume

  6. 确认在集群中的每个节点上至少创建了一个 SAN LIF 。

    "集群 SAN 环境中 LIF 的注意事项"

    "创建 LIF"

  7. 确认已创建必要的LUN并将其映射到igrop、igrop用于将LUN映射到应用程序主机上的启动程序。

    创建 LUN 并映射 igroup

  8. 重新扫描应用程序主机以发现任何新的 LUN 。

使用自签名证书初始化用于SnapMirror活动同步的ONTAP调解器

安装ONTAP调解器并确认集群配置后、必须初始化ONTAP调解器以进行集群监控。您可以使用System Manager或ONTAP命令行界面初始化ONTAP调解器。

System Manager

使用System Manager、您可以配置ONTAP调解器服务器以实现自动故障转移。如果您尚未将自签名 SSL 和 CA 替换为经过第三方验证的 SSL 证书和 CA ,也可以将其替换为。

重要说明 从ONTAP 9.8到9.14.1、SnapMirror主动同步称为SnapMirror业务连续性(SM-BC)。
步骤

  1. 导航到 * 保护 > 概述 > 调解器 > 配置 * 。

  2. 选择*Add*,然后输入以下ONTAP调解器服务器信息:

    • IPv4 地址

    • Username

    • Password

    • 证书

  3. 您可以通过两种方式提供证书输入:

    • 选项(A):选择*导入*以导航到 .crt 文件并导入。

    • 选项(b):复制的内容 .crt 文件并粘贴到*证书*字段中。

      正确输入所有详细信息后、提供的证书将安装在所有对等集群上。

      添加System Manager调解器

      证书添加完成后、ONTAP调解器将添加到ONTAP集群中。

      下图显示了一个成功的ONTAP调解器配置:

    调解器添加成功

命令行界面

您可以使用ONTAP命令行界面从主集群或二级集群初始化ONTAP调解器。问题描述时 mediator add 命令时、ONTAP调解器会自动添加到另一个集群上。

使用调解器监控SnapMirror活动同步关系时、如果没有有效的自签名证书或证书颁发机构(CA)证书、则无法在ONTAP中初始化调解器。您可以向对等集群的证书存储添加有效证书。使用调解器监控MetroCluster IP系统时、初始配置后不会使用HTTPS;因此、不需要证书。

步骤

  1. 从ONTAP调解器Linux VM/主机软件安装位置查找ONTAP调解器CA证书 cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

  2. 向对等集群上的证书存储添加有效的证书颁发机构。

    • 示例 *

    [root@ontap-mediator server_config]# cat ca.crt
-----BEGIN CERTIFICATE-----
MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
…
p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
-----END CERTIFICATE-----

  3. 将ONTAP调解器CA证书添加到ONTAP集群。出现提示时、插入从ONTAP调解器获取的CA证书。对所有对等集群重复上述步骤:

    security certificate install -type server-ca -vserver <vserver_name>

    • 示例 *

    [root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@ontap-mediator server_config]# cat ca.crt
-----BEGIN CERTIFICATE-----
MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
…
p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
-----END CERTIFICATE-----

    +

    C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster

Please enter Certificate: Press when done
-----BEGIN CERTIFICATE-----
MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
…
p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
-----END CERTIFICATE-----

You should keep a copy of the CA-signed digital certificate for future reference.

The installed certificate's CA and serial number for reference:
CA: ONTAP Mediator CA
serial: D86D8E4E87142XXX

The certificate's generated name for reference: ONTAPMediatorCA

C1_test_cluster::*>

  4. 查看使用生成的证书名称安装的自签名CA证书:

    security certificate show -common-name <common_name>

    • 示例 *

    C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA
Vserver    Serial Number   Certificate Name                       Type
---------- --------------- -------------------------------------- ------------
C1_test_cluster
           6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX
                           ONTAPMediatorCA                        server-ca
    Certificate Authority: ONTAP Mediator CA
          Expiration Date: Thu Feb 15 14:35:25 2029

  5. 在其中一个集群上初始化ONTAP调解器。系统会自动为另一个集群添加ONTAP调解器:

    snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name

    • 示例 *

    C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin
Notice: Enter the mediator password.

Enter the password: ******
Enter the password again: ******

  6. 检查ONTAP调解器配置的状态:

    snapmirror mediator show

    Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster   connected        true

    Quorum Status 指示SnapMirror一致性组关系是否已与ONTAP调解器同步;状态为 true 表示同步成功。

使用第三方证书重新初始化ONTAP调解器

您可能需要重新初始化ONTAP调解器服务。有时可能需要重新初始化ONTAP调解器服务、例如ONTAP调解器IP地址更改、证书到期等。

以下操作步骤说明了在需要将自签名证书替换为第三方证书的特定情况下重新初始化ONTAP调解器的过程。

关于此任务

您需要将SM-BC集群的自签名证书替换为第三方证书、从ONTAP中删除ONTAP调解器配置、然后添加ONTAP调解器。

System Manager

使用System Manager时、您需要从ONTAP集群中删除使用旧自签名证书配置的ONTAP调解器、然后使用新的第三方证书重新配置ONTAP集群。

步骤

  1. 选择菜单选项图标并选择*Remove*以删除ONTAP调解器。

    备注 此步骤不会从ONTAP集群中删除自签名server-ca。NetApp建议在执行下面的步骤添加第三方证书之前,导航到*Certifice*选项卡并手动将其删除:

    System Manager调解器已删除

  2. 使用正确的证书重新添加ONTAP调解器。

现在、ONTAP调解器已配置新的第三方自签名证书。

添加System Manager调解器

命令行界面

您可以从主集群或二级集群重新初始化ONTAP调解器、方法是使用ONTAP命令行界面将自签名证书替换为第三方证书。

步骤

  1. 删除自签名 ca.crt 在先前为所有集群使用自签名证书时安装。在以下示例中、有两个集群:

    • 示例 *

     C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA
 2 entries were deleted.

 C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA *
 2 entries were deleted.

  2. 使用从SM-BC集群中删除先前配置的ONTAP调解器 -force true

    • 示例 *

    C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster   connected         true

C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true

Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration
         exists on the peer cluster C2_test_cluster and remove it as well.
Do you want to continue? {y|n}: y

Info: [Job 136] 'mediator remove' job queued

C1_test_cluster::*> snapmirror mediator show
This table is currently empty.

  3. 请参阅中介绍的有关如何从从属CA获取证书的步骤 "将自签名证书替换为受信任的第三方证书" ,称为 ca.crt。将自签名证书替换为受信任的第三方证书

    备注 ca.crt 具有某些属性,这些属性是从需要发送到PKI颁发机构的请求(在文件中定义)中派生的 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf

  4. 添加新的第三方ONTAP调解器CA证书 ca.crt 从ONTAP调解器Linux VM/主机软件安装位置:

    • 示例 *

    [root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@ontap-mediator server_config]# cat ca.crt
-----BEGIN CERTIFICATE-----
MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
…
p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
-----END CERTIFICATE-----

  5. 添加 ca.crt 文件到对等集群。对所有对等集群重复此步骤:

    • 示例 *

    C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster

Please enter Certificate: Press when done
-----BEGIN CERTIFICATE-----
MIIFxTCCA62gAwIBAgIJANhtjk6HFCiOMA0GCSqGSIb3DQEBCwUAMHgxFTATBgNV
BAoMDE5ldEFwcCwgSW5jLjELMAkGA1UEBhMCVVMxEzARBgNVBAgMCkNhbGlmb3Ju
…
p+jdg5bG61cxkuvbRm7ykFbih1b88/Sgu5XJg2KRhjdISF98I81N+Fo=
-----END CERTIFICATE-----

You should keep a copy of the CA-signed digital certificate for future reference.

The installed certificate's CA and serial number for reference:
CA: ONTAP Mediator CA
serial: D86D8E4E87142XXX

The certificate's generated name for reference: ONTAPMediatorCA

C1_test_cluster::*>

  6. 从SnapMirror活动同步集群中删除先前配置的ONTAP调解器:

    • 示例 *

    C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster  connected         true

C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster

Info: [Job 86] 'mediator remove' job queued
C1_test_cluster::*> snapmirror mediator show
This table is currently empty.

  7. 再次添加ONTAP调解器:

    • 示例 *

    C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin

Notice: Enter the mediator password.

Enter the password:
Enter the password again:

Info: [Job: 87] 'mediator add' job queued

C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster  connected         true

    +
    Quorum Status 指示SnapMirror一致性组关系是否与调解器同步;状态为 true 表示同步成功。