Skip to main content
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

为SnapMirror主动同步配置ONTAP调解器

贡献者 netapp-sarajane netapp-aoife netapp-dbagwell netapp-lenida netapp-aaron-holt netapp-ranuk netapp-ahibbard
PDF

SnapMirror主动同步会在发生故障转移时使用对等集群来保护数据。ONTAP 调解器是一项关键资源,它通过监控每个集群的运行状况来确保业务连续性。要配置 SnapMirror 主动同步,您必须首先安装 ONTAP 调解器,并验证主集群和辅助集群是否已正确配置。

安装 ONTAP Mediator 并配置集群后, 使用自签名证书初始化 ONTAP 调解器以进行 SnapMirror 主动同步 。您必须这样为SnapMirror活动同步创建、初始化和映射一致性组

ONTAP 调解器

ONTAP 调解器为 SnapMirror 主动同步关系中的 ONTAP 集群使用的高可用性 (HA) 元数据提供持久且受保护的存储。此外、ONTAP调解器还提供了同步节点运行状况查询功能来帮助确定仲裁、并充当用于检测控制器是否可用的ping代理。

每个集群对等关系只能与一个ONTAP调解器实例关联。不支持HA调解器实例。如果一个集群与其他集群处于多个对等关系中、则可以使用以下ONTAP调解器选项:

  • 如果在每个关系上配置了SnapMirror主动同步、则每个集群对等关系都可以具有自己唯一的ONTAP调解器实例。

  • 集群可以对所有对等关系使用同一个ONTAP调解器实例。

例如、如果集群B与集群A、集群C和集群D具有对等关系、则在为这三个集群对等关系配置了SnapMirror活动同步后、这三个关系都可以具有唯一关联的ONTAP调解器实例。或者、集群B也可以对所有三个对等关系使用同一个ONTAP调解器实例。在这种情况下、同一个ONTAP调解器实例会为集群列出三次。

从ONTAP 9.17.1 开始,您可以配置"ONTAP云调解器"但是,要在SnapMirror主动同步配置中监控集群的运行状况,您不能同时使用这两个中介器。

重要说明 如果您将SnapMirror主动同步和ONTAP Mediator 或ONTAP Cloud Mediator 与ONTAP 9.17.1 一起使用,则应查看"《 ONTAP 发行说明》"有关这些配置的重要信息。
ONTAP 调解器的先决条件

  • ONTAP Mediator 本身包含一组先决条件。您必须先满足这些先决条件,然后才能安装 ONTAP Mediator。

    有关详细信息,请参阅"准备安装ONTAP调解器服务"

  • 默认情况下, ONTAP调解器通过 TCP 端口 31784 提供服务。您应确保端口 31784 在ONTAP集群和ONTAP调解器之间处于打开状态且可用。

安装 ONTAP 调解器并确认集群配置

执行以下每个步骤来安装 ONTAP 调解器并验证集群配置。对于每个步骤,您都应确认已执行特定配置。每个步骤都包含一个指向需要遵循的特定过程的链接。

步骤

  1. 在验证源集群和目标集群是否配置正确之前,请安装 ONTAP 调解器。

    准备安装或升级 ONTAP 调解器

  2. 确认集群之间存在集群对等关系。

    备注 对于集群对等关系、SnapMirror活动同步需要默认IP空间。不支持自定义IP空间。

    "为SnapMirror主动同步配置ONTAP集群"

使用自签名证书初始化 ONTAP 调解器以进行 SnapMirror 主动同步

安装 ONTAP 调解器并确认集群配置后,必须初始化 ONTAP 调解器以进行集群监控。您可以使用 System Manager 或 ONTAP CLI 初始化 ONTAP 调解器。

System Manager

使用系统管理器,您可以配置 ONTAP 调解器以实现自动故障转移。如果您尚未将自签名 SSL 和 CA 替换为经过第三方验证的 SSL 证书和 CA ,也可以将其替换为。

重要说明 从ONTAP 9.14.1 到 9.8, SnapMirror主动同步被称为SnapMirror业务连续性 (SM-BC)。
ONTAP调解器1.9及更高版本

  1. 导航到 * 保护 > 概述 > 调解器 > 配置 * 。

  2. 选择“添加”,然后输入以下 ONTAP 调解器信息:

    • IPv4 地址

    • Username

    • Password

    • 证书

  3. 您可以通过两种方式提供证书输入:

    • 选项(A):选择*Import*导航到 `intermediate.crt`文件并导入。

    • 选项(b):复制文件内容 `intermediate.crt`并将其粘贴到*Certifice*字段中。

      正确输入所有详细信息后、提供的证书将安装在所有对等集群上。

      添加System Manager调解器

      证书添加完成后,ONTAP 调解器将添加到 ONTAP 集群中。

      下图显示了一个成功的ONTAP调解器配置:

    调解器添加成功

ONTAP调解器1.8及更早版本

  1. 导航到 * 保护 > 概述 > 调解器 > 配置 * 。

  2. 选择“添加”,然后输入以下 ONTAP 调解器信息:

    • IPv4 地址

    • Username

    • Password

    • 证书

  3. 您可以通过两种方式提供证书输入:

    • 选项(A):选择*Import*导航到 `ca.crt`文件并导入。

    • 选项(b):复制文件内容 `ca.crt`并将其粘贴到*Certifice*字段中。

      正确输入所有详细信息后、提供的证书将安装在所有对等集群上。

      添加System Manager调解器

      证书添加完成后,ONTAP 调解器将添加到 ONTAP 集群中。

      下图显示了一个成功的ONTAP调解器配置:

    调解器添加成功

命令行界面

您可以使用 ONTAP CLI 从主集群或辅助集群初始化 ONTAP 调解器。当您发出 `mediator add`命令时,ONTAP Mediator 会自动添加到另一个集群中。

使用 ONTAP 调解器监控 SnapMirror 主动同步关系时,如果没有有效的自签名证书或证书颁发机构 (CA) 证书,则无法在 ONTAP 中初始化 ONTAP 调解器。您可以向对等集群的证书存储添加有效证书。使用 ONTAP 调解器监控 MetroCluster IP 系统时,初始配置后不会使用 HTTPS;因此,不需要证书。

ONTAP调解器1.9及更高版本

  1. 从ONTAP调解器Linux VM/主机软件安装位置查找ONTAP调解器CA证书 cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

  2. 向对等集群上的证书存储添加有效的证书颁发机构。

    示例

    [root@ontap-mediator_config]# cat intermediate.crt
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

  3. 将ONTAP调解器CA证书添加到ONTAP集群。出现提示时,插入从 ONTAP Mediator 获取的 CA 证书。对所有对等集群重复上述步骤:

    security certificate install -type server-ca -vserver <vserver_name>

    示例

    [root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@ontap-mediator_config]# cat intermediate.crt
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----
    C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster

Please enter Certificate: Press when done
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

You should keep a copy of the CA-signed digital certificate for future reference.

The installed certificate's CA and serial number for reference:
CA: ONTAP Mediator CA
serial: D86D8E4E87142XXX

The certificate's generated name for reference: ONTAPMediatorCA

C1_test_cluster::*>

  4. 查看使用生成的证书名称安装的自签名CA证书:

    security certificate show -common-name <common_name>

    示例

    C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA
Vserver    Serial Number   Certificate Name                       Type
---------- --------------- -------------------------------------- ------------
C1_test_cluster
           6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX
                           ONTAPMediatorCA                        server-ca
    Certificate Authority: ONTAP Mediator CA
          Expiration Date: Thu Feb 15 14:35:25 2029

  5. 在其中一个集群上初始化 ONTAP 调解器。ONTAP 调解器将自动添加到另一个集群:

    snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name

    示例

    C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin
Notice: Enter the mediator password.

Enter the password: ******
Enter the password again: ******

  6. (可选)检查作业ID状态 `job show -id`以验证SnapMirror调解器添加命令是否成功。

    示例

    C1_test_cluster::*> snapmirror mediator show
This table is currently empty.


C1_test_cluster::*> snapmirror mediator add -peer-cluster C2_test_cluster -type on-prem -mediator-address 1.2.3.4 -username mediatoradmin

Notice: Enter the mediator password.

Enter the password:
Enter the password again:

Info: [Job: 87] 'mediator add' job queued

C1_test_cluster::*> job show -id 87
                            Owning
Job ID Name                 Vserver           Node           State
------ -------------------- ----------------- -------------- ----------
87     mediator add         C1_test_cluster   C2_test        Running

Description: Creating a mediator entry

C1_test_cluster::*> job show -id 87
                            Owning
Job ID Name                 Vserver           Node           State
------ -------------------- ----------------- -------------- ----------
87     mediator add         C1_test_cluster   C2_test        Success

Description: Creating a mediator entry

C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status Type
---------------- ---------------- ----------------- ------------- -------
1.2.3.4          C2_test_cluster  connected         true          on-prem

C1_test_cluster::*>

  7. 检查ONTAP调解器配置的状态:

    snapmirror mediator show

    Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster   connected        true

    `Quorum Status`指示 SnapMirror 一致性组关系是否与 ONTAP 调解器同步;状态为 `true`表示同步成功。

ONTAP调解器1.8及更早版本

  1. 从ONTAP调解器Linux VM/主机软件安装位置查找ONTAP调解器CA证书 cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

  2. 向对等集群上的证书存储添加有效的证书颁发机构。

    示例

    [root@ontap-mediator_config]# cat ca.crt
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

  3. 将ONTAP调解器CA证书添加到ONTAP集群。出现提示时、插入从ONTAP调解器获取的CA证书。对所有对等集群重复上述步骤:

    security certificate install -type server-ca -vserver <vserver_name>

    示例

    [root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config

[root@ontap-mediator_config]# cat ca.crt
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----
    C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster

Please enter Certificate: Press when done
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

You should keep a copy of the CA-signed digital certificate for future reference.

The installed certificate's CA and serial number for reference:
CA: ONTAP Mediator CA
serial: D86D8E4E87142XXX

The certificate's generated name for reference: ONTAPMediatorCA

C1_test_cluster::*>

  4. 查看使用生成的证书名称安装的自签名CA证书:

    security certificate show -common-name <common_name>

    示例

    C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA
Vserver    Serial Number   Certificate Name                       Type
---------- --------------- -------------------------------------- ------------
C1_test_cluster
           6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX
                           ONTAPMediatorCA                        server-ca
    Certificate Authority: ONTAP Mediator CA
          Expiration Date: Thu Feb 15 14:35:25 2029

  5. 在其中一个集群上初始化 ONTAP 调解器。ONTAP 调解器将自动添加到另一个集群:

    snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name

    示例

    C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin
Notice: Enter the mediator password.

Enter the password: ******
Enter the password again: ******

  6. (可选)检查作业ID状态 `job show -id`以验证SnapMirror调解器添加命令是否成功。

    示例

    C1_test_cluster::*> snapmirror mediator show
This table is currently empty.


C1_test_cluster::*> snapmirror mediator add -peer-cluster C2_test_cluster -type on-prem -mediator-address 1.2.3.4 -username mediatoradmin

Notice: Enter the mediator password.

Enter the password:
Enter the password again:

Info: [Job: 87] 'mediator add' job queued

C1_test_cluster::*> job show -id 87
                            Owning
Job ID Name                 Vserver           Node           State
------ -------------------- ----------------- -------------- ----------
87     mediator add         C1_test_cluster   C2_test        Running

Description: Creating a mediator entry

C1_test_cluster::*> job show -id 87
                            Owning
Job ID Name                 Vserver           Node           State
------ -------------------- ----------------- -------------- ----------
87     mediator add         C1_test_cluster   C2_test        Success

Description: Creating a mediator entry

C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status Type
---------------- ---------------- ----------------- ------------- -------
1.2.3.4          C2_test_cluster  connected         true          on-prem

C1_test_cluster::*>

  7. 检查ONTAP调解器配置的状态:

    snapmirror mediator show

    Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster   connected        true

    `Quorum Status`指示 SnapMirror 一致性组关系是否与 ONTAP 调解器同步;状态为 `true`表示同步成功。

使用第三方证书重新初始化ONTAP调解器

您可能需要重新初始化 ONTAP 调解器。在某些情况下,例如 ONTAP 调解器 IP 地址更改、证书过期等,可能需要重新初始化 ONTAP 调解器。

以下操作步骤说明了在需要将自签名证书替换为第三方证书的特定情况下重新初始化ONTAP调解器的过程。

关于此任务

您需要将 SnapMirror 主动同步集群的自签名证书替换为第三方证书,从 ONTAP 中删除 ONTAP 调解器配置,然后添加 ONTAP 调解器。

System Manager

使用系统管理器,您需要从 ONTAP 集群中删除使用旧的自签名证书配置的 ONTAP 调解器版本,然后使用新的第三方证书重新配置 ONTAP 集群。

步骤

  1. 选择菜单选项图标并选择*删除*以删除 ONTAP Mediator。

    备注 此步骤不会从ONTAP集群中删除自签名server-ca。NetApp建议在执行下面的步骤添加第三方证书之前,导航到*Certifice*选项卡并手动将其删除:

    System Manager调解器已删除

  2. 使用正确的证书再次添加 ONTAP 调解器。

ONTAP 调解器现已配置新的第三方自签名证书。

添加System Manager调解器

命令行界面

您可以使用 ONTAP CLI 将自签名证书替换为第三方证书,从而从主集群或辅助集群重新初始化 ONTAP 调解器。

ONTAP调解器1.9及更高版本

  1. 删除先前在对所有集群使用自签名证书时安装的自签名 `intermediate.crt`证书。在以下示例中、有两个集群:

    示例

     C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA
 2 entries were deleted.

 C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA *
 2 entries were deleted.

  2. 使用从SnapMirror活动同步集群中删除先前配置的ONTAP调解器 -force true

    示例

    C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster   connected         true

C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true

Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration
         exists on the peer cluster C2_test_cluster and remove it as well.
Do you want to continue? {y|n}: y

Info: [Job 136] 'mediator remove' job queued

C1_test_cluster::*> snapmirror mediator show
This table is currently empty.

  3. 有关如何从从属CA获取证书的说明,请参阅中所述的步骤"将自签名证书替换为受信任的第三方证书",称为 intermediate.crt。将自签名证书替换为受信任的第三方证书

    备注 具有某些属性、这些属性是从需要发送到PKI颁发机构的请求(在文件中定义)派生 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf`的 `intermediate.crt

  4. 从ONTAP调解器Linux VM/主机软件安装位置添加新的第三方ONTAP调解器CA证书 intermediate.crt

    示例

    [root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@ontap-mediator_config]# cat intermediate.crt
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

  5. 将文件添加 `intermediate.crt`到对等集群。对所有对等集群重复此步骤:

    示例

    C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster

Please enter Certificate: Press when done
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

You should keep a copy of the CA-signed digital certificate for future reference.

The installed certificate's CA and serial number for reference:
CA: ONTAP Mediator CA
serial: D86D8E4E87142XXX

The certificate's generated name for reference: ONTAPMediatorCA

C1_test_cluster::*>

  6. 从SnapMirror活动同步集群中删除先前配置的ONTAP调解器:

    示例

    C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster  connected         true

C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster

Info: [Job 86] 'mediator remove' job queued
C1_test_cluster::*> snapmirror mediator show
This table is currently empty.

  7. 再次添加 ONTAP 调解器:

    示例

    C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin

Notice: Enter the mediator password.

Enter the password:
Enter the password again:

Info: [Job: 87] 'mediator add' job queued

C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster  connected         true

    Quorum Status 指示SnapMirror一致性组关系是否与调解器同步;状态为 true 表示同步成功。

ONTAP调解器1.8及更早版本

  1. 删除先前在对所有集群使用自签名证书时安装的自签名 `ca.crt`证书。在以下示例中、有两个集群:

    示例

     C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA
 2 entries were deleted.

 C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA *
 2 entries were deleted.

  2. 使用从SnapMirror活动同步集群中删除先前配置的ONTAP调解器 -force true

    示例

    C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster   connected         true

C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true

Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration
         exists on the peer cluster C2_test_cluster and remove it as well.
Do you want to continue? {y|n}: y

Info: [Job 136] 'mediator remove' job queued

C1_test_cluster::*> snapmirror mediator show
This table is currently empty.

  3. 有关如何从从属CA获取证书的说明,请参阅中所述的步骤"将自签名证书替换为受信任的第三方证书",称为 ca.crt。将自签名证书替换为受信任的第三方证书

    备注 具有某些属性、这些属性是从需要发送到PKI颁发机构的请求(在文件中定义)派生 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf`的 `ca.crt

  4. 从ONTAP调解器Linux VM/主机软件安装位置添加新的第三方ONTAP调解器CA证书 ca.crt

    示例

    [root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config
[root@ontap-mediator_config]# cat ca.crt
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

  5. 将文件添加 `intermediate.crt`到对等集群。对所有对等集群重复此步骤:

    示例

    C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster

Please enter Certificate: Press when done
-----BEGIN CERTIFICATE-----
<certificate_value>
-----END CERTIFICATE-----

You should keep a copy of the CA-signed digital certificate for future reference.

The installed certificate's CA and serial number for reference:
CA: ONTAP Mediator CA
serial: D86D8E4E87142XXX

The certificate's generated name for reference: ONTAPMediatorCA

C1_test_cluster::*>

  6. 从SnapMirror活动同步集群中删除先前配置的ONTAP调解器:

    示例

    C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster  connected         true

C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster

Info: [Job 86] 'mediator remove' job queued
C1_test_cluster::*> snapmirror mediator show
This table is currently empty.

  7. 再次添加 ONTAP 调解器:

    示例

    C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin

Notice: Enter the mediator password.

Enter the password:
Enter the password again:

Info: [Job: 87] 'mediator add' job queued

C1_test_cluster::*> snapmirror mediator show
Mediator Address Peer Cluster     Connection Status Quorum Status
---------------- ---------------- ----------------- -------------
1.2.3.4          C2_test_cluster  connected         true

    Quorum Status 指示SnapMirror一致性组关系是否与调解器同步;状态为 true 表示同步成功。

相关信息