发行说明
为ONTAP活动同步配置SnapMirror调解器和集群
建议更改-
本文档站点的 PDF
-
NAS 存储管理
-
单独 PDF 文档的收集
Creating your file...
SnapMirror主动同步会在发生故障转移时使用对等集群来保护数据。ONTAP调解器是一种关键资源、可通过监控每个集群的运行状况来实现业务连续性。要配置SnapMirror主动同步、必须先安装ONTAP调解器、并验证主集群和二级集群配置是否正确。
安装ONTAP调解器并配置集群后,使用自签名证书初始化用于SnapMirror活动同步的ONTAP调解器。您必须这样为SnapMirror活动同步创建、初始化和映射一致性组。
ONTAP 调解器
ONTAP调解器可为SnapMirror活动同步关系中的ONTAP集群使用的高可用性(HA)元数据提供永久性隔离存储。此外、ONTAP调解器还提供了同步节点运行状况查询功能来帮助确定仲裁、并充当用于检测控制器是否可用的ping代理。
每个集群对等关系只能与一个ONTAP调解器实例关联。不支持HA调解器实例。如果一个集群与其他集群处于多个对等关系中、则可以使用以下ONTAP调解器选项:
-
如果在每个关系上配置了SnapMirror主动同步、则每个集群对等关系都可以具有自己唯一的ONTAP调解器实例。
-
集群可以对所有对等关系使用同一个ONTAP调解器实例。
例如、如果集群B与集群A、集群C和集群D具有对等关系、则在为这三个集群对等关系配置了SnapMirror活动同步后、这三个关系都可以具有唯一关联的ONTAP调解器实例。或者、集群B也可以对所有三个对等关系使用同一个ONTAP调解器实例。在这种情况下、同一个ONTAP调解器实例会为集群列出三次。
-
ONTAP 调解器包括自己的一组前提条件。在安装ONTAP调解器之前、必须满足这些前提条件。
有关详细信息,请参见 "准备安装 ONTAP 调解器服务"。
-
默认情况下, ONTAP 调解器通过 TCP 端口 31784 提供服务。您应确保端口31784在ONTAP集群和ONTAP调解器之间处于打开状态且可用。
安装ONTAP调解器并确认集群配置
执行以下每个步骤以安装ONTAP调解器并验证集群配置。对于每个步骤,您都应确认已执行特定配置。每个步骤都包含一个指向需要遵循的特定过程的链接。
-
请先安装ONTAP调解器服务、然后再验证源集群和目标集群是否配置正确。
-
确认集群之间存在集群对等关系。
对于集群对等关系、SnapMirror活动同步需要默认IP空间。不支持自定义IP空间。 -
确认已在每个集群上创建SVM。
-
确认每个集群上的SVM之间存在对等关系。
-
确认 LUN 存在卷。
-
确认在集群中的每个节点上至少创建了一个 SAN LIF 。
-
确认已创建必要的LUN并将其映射到igrop、igrop用于将LUN映射到应用程序主机上的启动程序。
-
重新扫描应用程序主机以发现任何新的LUN。
使用自签名证书初始化用于SnapMirror活动同步的ONTAP调解器
安装ONTAP调解器并确认集群配置后、必须初始化ONTAP调解器以进行集群监控。您可以使用System Manager或ONTAP命令行界面初始化ONTAP调解器。
System Manager
使用System Manager、您可以配置ONTAP调解器服务器以实现自动故障转移。如果您尚未将自签名 SSL 和 CA 替换为经过第三方验证的 SSL 证书和 CA ,也可以将其替换为。
|
从ONTAP 9.8到9.14.1、SnapMirror主动同步称为SnapMirror业务连续性(SM-BC)。 |
-
导航到 * 保护 > 概述 > 调解器 > 配置 * 。
-
选择*Add*,然后输入以下ONTAP调解器服务器信息:
-
IPv4 地址
-
Username
-
Password
-
证书
-
-
您可以通过两种方式提供证书输入:
-
选项(A):选择*Import*导航到 `intermediate.crt`文件并导入。
-
选项(b):复制文件内容 `intermediate.crt`并将其粘贴到*Certifice*字段中。
正确输入所有详细信息后、提供的证书将安装在所有对等集群上。
证书添加完成后、ONTAP调解器将添加到ONTAP集群中。
下图显示了一个成功的ONTAP调解器配置:
。 -
-
导航到 * 保护 > 概述 > 调解器 > 配置 * 。
-
选择*Add*,然后输入以下ONTAP调解器服务器信息:
-
IPv4 地址
-
Username
-
Password
-
证书
-
-
您可以通过两种方式提供证书输入:
-
选项(A):选择*Import*导航到 `ca.crt`文件并导入。
-
选项(b):复制文件内容 `ca.crt`并将其粘贴到*Certifice*字段中。
正确输入所有详细信息后、提供的证书将安装在所有对等集群上。
证书添加完成后、ONTAP调解器将添加到ONTAP集群中。
下图显示了一个成功的ONTAP调解器配置:
。 -
命令行界面
您可以使用ONTAP命令行界面从主集群或二级集群初始化ONTAP调解器。问题描述时 mediator add 命令时、ONTAP调解器会自动添加到另一个集群上。
使用ONTAP调解器监控SnapMirror活动同步关系时、如果没有有效的自签名证书或证书颁发机构(CA)证书、则无法在ONTAP中初始化此调解器。您可以向对等集群的证书存储添加有效证书。使用ONTAP调解器监控MetroCluster IP系统时、初始配置后不会使用HTTPS;因此、不需要证书。
-
从ONTAP调解器Linux VM/主机软件安装位置查找ONTAP调解器CA证书
cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config。 -
向对等集群上的证书存储添加有效的证书颁发机构。
-
示例 *
[root@ontap-mediator server_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
-
将ONTAP调解器CA证书添加到ONTAP集群。出现提示时、插入从ONTAP调解器获取的CA证书。对所有对等集群重复上述步骤:
security certificate install -type server-ca -vserver <vserver_name>-
示例 *
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator server_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
+
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
-
查看使用生成的证书名称安装的自签名CA证书:
security certificate show -common-name <common_name>-
示例 *
C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ C1_test_cluster 6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX ONTAPMediatorCA server-ca Certificate Authority: ONTAP Mediator CA Expiration Date: Thu Feb 15 14:35:25 2029 -
-
在其中一个集群上初始化ONTAP调解器。系统会自动为另一个集群添加ONTAP调解器:
snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name-
示例 *
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: ****** Enter the password again: ******
-
-
(可选)检查作业ID状态 `job show -id`以验证SnapMirror调解器添加命令是否成功。
-
示例 *
C1_test_cluster::*> snapmirror mediator show This table is currently empty. C1_test_cluster::*> snapmirror mediator add -peer-cluster C2_test_cluster -type on-prem -mediator-address 1.2.3.4 -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Running Description: Creating a mediator entry C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Success Description: Creating a mediator entry C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status Type ---------------- ---------------- ----------------- ------------- ------- 1.2.3.4 C2_test_cluster connected true on-prem C1_test_cluster::*> -
-
检查ONTAP调解器配置的状态:
snapmirror mediator showMediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
Quorum Status指示SnapMirror一致性组关系是否已与ONTAP调解器同步;状态为true表示同步成功。
-
从ONTAP调解器Linux VM/主机软件安装位置查找ONTAP调解器CA证书
cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config。 -
向对等集群上的证书存储添加有效的证书颁发机构。
-
示例 *
[root@ontap-mediator server_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
-
将ONTAP调解器CA证书添加到ONTAP集群。出现提示时、插入从ONTAP调解器获取的CA证书。对所有对等集群重复上述步骤:
security certificate install -type server-ca -vserver <vserver_name>-
示例 *
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator server_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
+
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
-
查看使用生成的证书名称安装的自签名CA证书:
security certificate show -common-name <common_name>-
示例 *
C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ C1_test_cluster 6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX ONTAPMediatorCA server-ca Certificate Authority: ONTAP Mediator CA Expiration Date: Thu Feb 15 14:35:25 2029 -
-
在其中一个集群上初始化ONTAP调解器。系统会自动为另一个集群添加ONTAP调解器:
snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name-
示例 *
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: ****** Enter the password again: ******
-
-
(可选)检查作业ID状态 `job show -id`以验证SnapMirror调解器添加命令是否成功。
-
示例 *
C1_test_cluster::*> snapmirror mediator show This table is currently empty. C1_test_cluster::*> snapmirror mediator add -peer-cluster C2_test_cluster -type on-prem -mediator-address 1.2.3.4 -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Running Description: Creating a mediator entry C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Success Description: Creating a mediator entry C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status Type ---------------- ---------------- ----------------- ------------- ------- 1.2.3.4 C2_test_cluster connected true on-prem C1_test_cluster::*> -
-
检查ONTAP调解器配置的状态:
snapmirror mediator showMediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
Quorum Status指示SnapMirror一致性组关系是否已与ONTAP调解器同步;状态为true表示同步成功。
使用第三方证书重新初始化ONTAP调解器
您可能需要重新初始化ONTAP调解器服务。有时可能需要重新初始化ONTAP调解器服务、例如ONTAP调解器IP地址更改、证书到期等。
以下操作步骤说明了在需要将自签名证书替换为第三方证书的特定情况下重新初始化ONTAP调解器的过程。
您需要将SnapMirror活动同步集群的自签名证书替换为第三方证书、从ONTAP中删除ONTAP调解器配置、然后添加ONTAP调解器。
System Manager
使用System Manager时、您需要从ONTAP集群中删除使用旧自签名证书配置的ONTAP调解器、然后使用新的第三方证书重新配置ONTAP集群。
-
选择菜单选项图标并选择*Remove*以删除ONTAP调解器。
此步骤不会从ONTAP集群中删除自签名server-ca。NetApp建议在执行下面的步骤添加第三方证书之前,导航到*Certifice*选项卡并手动将其删除: 
-
使用正确的证书重新添加ONTAP调解器。
现在、ONTAP调解器已配置新的第三方自签名证书。
命令行界面
您可以从主集群或二级集群重新初始化ONTAP调解器、方法是使用ONTAP命令行界面将自签名证书替换为第三方证书。
-
删除先前在对所有集群使用自签名证书时安装的自签名 `intermediate.crt`证书。在以下示例中、有两个集群:
-
示例 *
C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA 2 entries were deleted. C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA * 2 entries were deleted.
-
-
使用从SnapMirror活动同步集群中删除先前配置的ONTAP调解器
-force true:-
示例 *
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration exists on the peer cluster C2_test_cluster and remove it as well. Do you want to continue? {y|n}: y Info: [Job 136] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty. -
-
有关如何从从属CA获取证书的说明,请参阅中所述的步骤"将自签名证书替换为受信任的第三方证书",称为
intermediate.crt。将自签名证书替换为受信任的第三方证书
具有某些属性、这些属性是从需要发送到PKI颁发机构的请求(在文件中定义)派生 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf`的 `intermediate.crt -
从ONTAP调解器Linux VM/主机软件安装位置添加新的第三方ONTAP调解器CA证书
intermediate.crt:-
示例 *
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator server_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
-
将文件添加 `intermediate.crt`到对等集群。对所有对等集群重复此步骤:
-
示例 *
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
-
从SnapMirror活动同步集群中删除先前配置的ONTAP调解器:
-
示例 *
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster Info: [Job 86] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty.
-
-
再次添加ONTAP调解器:
-
示例 *
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
+
Quorum Status指示SnapMirror一致性组关系是否与调解器同步;状态为true表示同步成功。 -
-
删除先前在对所有集群使用自签名证书时安装的自签名 `ca.crt`证书。在以下示例中、有两个集群:
-
示例 *
C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA 2 entries were deleted. C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA * 2 entries were deleted.
-
-
使用从SnapMirror活动同步集群中删除先前配置的ONTAP调解器
-force true:-
示例 *
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration exists on the peer cluster C2_test_cluster and remove it as well. Do you want to continue? {y|n}: y Info: [Job 136] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty. -
-
有关如何从从属CA获取证书的说明,请参阅中所述的步骤"将自签名证书替换为受信任的第三方证书",称为
ca.crt。将自签名证书替换为受信任的第三方证书
具有某些属性、这些属性是从需要发送到PKI颁发机构的请求(在文件中定义)派生 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf`的 `ca.crt -
从ONTAP调解器Linux VM/主机软件安装位置添加新的第三方ONTAP调解器CA证书
ca.crt:-
示例 *
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator server_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
-
将文件添加 `intermediate.crt`到对等集群。对所有对等集群重复此步骤:
-
示例 *
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
-
从SnapMirror活动同步集群中删除先前配置的ONTAP调解器:
-
示例 *
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster Info: [Job 86] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty.
-
-
再次添加ONTAP调解器:
-
示例 *
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
+
Quorum Status指示SnapMirror一致性组关系是否与调解器同步;状态为true表示同步成功。 -
