Skip to main content
Upgrade Health Checker
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

下载并设置 Upgrade Health Checker

贡献者 netapp-yvonneo netapp-ivanad netapp-barbe
PDF

您可以下载 Upgrade Health Checker 来生成现场综合报告,然后再升级到较新版本的 ONTAP。

关于此任务

升级运行状况检查器支持本地 ONTAP 版本 9.11.1 及更高版本的升级。如果使用的是 Cloud Volumes ONTAP,请参阅 "升级 Cloud Volumes ONTAP" 以了解有关升级系统的信息。

开始之前

使用以下规范为 Upgrade Health Checker 设置虚拟机:

组件 规格

VM

m5.large VM 或同等产品,带 2 个 vCPU 和 8 GiB RAM

操作系统

任何带有 glibc 库版本 2.28 或更高版本的 Linux 操作系统(Ubuntu 22.04、RHEL8 或 RHEL9)

磁盘空间

至少有 4 GB 可用空间(建议 8 GB)在 `/tmp`中并具有执行权限

网络

与 ONTAP 集群管理 LIF 的 HTTPS 连接

ONTAP 版本

运行 ONTAP 9.11.1 或更高版本的集群

托管要求

将虚拟机放置在具有群集连接和互联网访问的位置,以允许自动工具更新。计算机应通过 HTTPS (443) 访问以下端点,以执行自动更新并启用 NetApp 接收有关升级计划的 AutoSupport 信息: https://support.netapp.com/ https://api.uhc.netapp.com https://gql.aiq.netapp.com https://api.activeiq.netapp.com

推荐软件包

安装 Web 服务器以方便访问
备注 确保虚拟机可以通过 HTTPS (443) 连接到自动更新和遥测端点((https://support.netapp.com/https://api.activeiq.netapp.com),以启用 NetApp 接收有关升级计划的 AutoSupport 信息。如果互联网访问不可用,您必须手动下载最新版本的 Upgrade Health Checker。
步骤

  1. 导航到 "NetApp Console 自动化中心" 并找到 Upgrade Health Checker 磁贴,下载 Upgrade Health Checker 二进制文件。

  2. 设置 Upgrade Health Checker 虚拟机并使用 SSH 将二进制文件放置在您选择的位置。

  3. 验证 Upgrade Health Checker 的数字签名。

    Upgrade Health Checker 具有公共代码签名证书 (UHC-Linux-codesigning-certificate-public.pem) 以及中级和根证书链 (UHC-Linux-chain-certificates-public.pem)。

    1. (可选)根据链验证代码签名证书:

      openssl verify -CAfile UHC-Linux-chain-certificates-public.pem UHC-Linux-codesigning-certificate-public.pem

      输出 `OK`确认了有效的信任链。

    2. 从代码签名证书中提取公钥:

      openssl x509 -in UHC-Linux-codesigning-certificate-public.pem -pubkey -noout -out UHC-Linux-public.pub

    3. 使用公钥针对 Upgrade Health Checker 二进制文件验证签名文件(uhc.sig

      openssl dgst -sha256 -verify UHC-Linux-public.pub -signature uhc.sig uhc
      `Verified OK` 的输出确认签名有效。

  4. 配置 ONTAP 集群访问的服务帐户和角色。对于通过 Upgrade Health Checker 进行的集群访问,请将服务角色创建为 REST 角色。

    备注 您可以构建 Ansible 剧本,以自动将角色和用户部署到所有 ONTAP 集群。

    必须为 HTTP 应用程序创建服务帐户。使用以下 CLI 命令配置必要的权限:

    security login rest-role create -role uhctool -api /api -access readonly -vserver

security login rest-role create -role uhctool -api /api/support/autosupport -access read_create_modify -vserver

security login rest-role create -role uhctool -api /api/support/autosupport/messages -access read_create_modify -vserver

vserver services web access create -name spi -role uhctool -vserver

security login create -user-or-group-name uhctool -role uhctool -application http -authentication-method password

security login create -user-or-group-name uhctool -role uhctool -application ssh -authentication-method password

  5. (可选)设置凭据管理以保护对应用程序的访问。

    例如,如果您有 CyberArk 和 Conjur,则可以配置环境以避免通过 yaml 文件或命令行传递凭据。

    1. 创建所需的 CyberArk 保险箱:

      1. 创建保存应用程序凭据和机密的 Safe(Main-Conjur-Safe)

      2. 创建包含 Conjur Host ID 和 API Key 的 Safe(API-Credentials-Safe)

      3. 创建持有必要证书的 Safe(Conjur-SSL-Certificate)

    2. 为此应用程序创建配置 (Conjur.conf) 和标识 (Conjur.identity) 文件:

      1. Conjur.conf

        account:
plugins:[]
appliance_url: https://FQDN
cert_file: /etc/conjur.pem

      2. Conjur.identity

        machine https://FQDN/authn
login host /prodvault/devops/<Main-Conjur-Safe>/host1
password XXXXXX

      以下是如何在 Ansible 剧本中使用 CyberArk 和 Conjur 的示例:

    3. 在 Ansible 主机上安装 Conjur Ansible Collection,其中包括 Conjur Ansible Lookup Plugin:

      ansible-galaxy collection install cyberark.conjur

    4. 在 yaml 文件中创建任务以从 CyberArk 获取用户名和密码:

      conjur_username: "{{ lookup('cyberark.conjur.conjur_variable', 'prodvault/devops/<Main-Conjur-Safe>/<Account name>/username', validate_certs=false) }}"
conjur_password: "{{ lookup('cyberark.conjur.conjur_variable', 'prodvault/devops/<Main-Conjur-Safe>/<Account name>/password', validate_certs=false) }}"
相关信息
下一步是什么?

您可以使用升级运行状况检查器帮助您计划 ONTAP 升级 "生成升级报告"