設定Astra控制中心
安裝 Astra Control Center 、登入 UI 並變更密碼之後、您將需要設定授權、新增叢集、啟用驗證、管理儲存設備及新增儲存區。
新增Astra Control Center授權
安裝 Astra Control Center 時、已安裝內嵌評估授權。如果您正在評估 Astra Control Center 、可以跳過此步驟。
您可以使用Astra Control UI或新增授權 "Astra Control API"。
Astra Control Center授權會使用Kubernetes CPU單元來測量CPU資源、並計算指派給所有受管理Kubernetes叢集之工作節點的CPU資源。授權是根據vCPU使用率而定。如需如何計算授權的詳細資訊、請參閱 "授權"。
如果您的安裝量成長到超過授權的CPU單元數量、Astra Control Center會防止您管理新的應用程式。超過容量時會顯示警示。 |
若要更新現有的評估或完整授權、請參閱 "更新現有授權"。 |
-
存取新安裝的Astra Control Center執行個體。
-
系統管理員角色權限。
-
答 "NetApp授權檔案" (lf)。
-
登入Astra Control Center UI。
-
選擇*帳戶*>*授權*。
-
選擇*新增授權*。
-
瀏覽至您下載的授權檔案(NLF)。
-
選擇*新增授權*。
「帳戶>*授權*」頁面會顯示授權資訊、到期日、授權序號、帳戶ID及使用的CPU單位。
如果您擁有評估授權、但並未將資料傳送AutoSupport 至效益分析系統、請務必儲存您的帳戶ID、以免發生Astra Control Center故障時發生資料遺失。 |
使用Astra Control為環境做好叢集管理準備
在新增叢集之前、您應確保符合下列先決條件。您也應該執行資格檢查、以確保叢集已準備好新增至Astra Control Center、並建立叢集管理的角色。
-
* 符合環境先決條件 * :您的環境符合 "營運環境需求" 適用於Astra Trident與Astra Control Center。
-
* 設定工作節點 * :請務必使用適當的儲存驅動程式來設定叢集中的工作節點、以便 Pod 與後端儲存設備互動。
-
* 讓 kubeconfig 可存取 * :您可以存取 "預設叢集 kubeconfig" 那 "您已在安裝期間進行設定"。
-
* 憑證授權單位考量 * :如果您要使用參考私有憑證授權單位( CA )的 kubeconfig 檔案來新增叢集、請在中新增下列一行
cluster
kubeconfig 檔案的一節。這可讓 Astra Control 新增叢集:insecure-skip-tls-verify: true
-
[[enable - psa]]*Enable PSA restrictions * :如果叢集已啟用 Pod 安全許可強制( Kubernetes 1.25 及更新叢集的標準)、則您必須啟用 PSA 對這些命名空間的限制:
-
netapp-acc-operator
命名空間:kubectl label --overwrite ns netapp-acc-operator pod-security.kubernetes.io/enforce=privileged
-
netapp monitoring
命名空間:kubectl label --overwrite ns netapp-monitoring pod-security.kubernetes.io/enforce=privileged
-
-
* Astra Trident 要求 * :
-
* 安裝支援的版本 * : Astra Trident 的版本 "由Astra Control Center支援" 已安裝:
您可以 "部署Astra Trident" 使用 Astra Trident 運算子(手動或使用 Helm 圖表)或 tridentctl
。在安裝或升級Astra Trident之前、請先檢閱 "支援的前端、後端及主機組態"。 -
* 設定 Astra Trident 儲存後端 * :至少必須有一個 Astra Trident 儲存後端 "已設定" 在叢集上。
-
* 設定 Astra Trident 儲存類別 * :至少必須有一個 Astra Trident 儲存類別 "已設定" 在叢集上。如果已設定預設儲存類別、請確定它是唯一具有預設註釋的儲存類別。
-
* 設定 Astra Trident Volume Snapshot 控制器並安裝 Volume Snapshot 類別 * : Volume Snapshot 控制器必須為 "已安裝" 以便在Astra Control中建立快照。至少有一個Astra Trident
VolumeSnapshotClass
過去了 "設定" 由系統管理員執行。
-
-
* Astra Control Provisioner* :若要使用 Astra Control Provisioner 進階管理和儲存資源配置功能、而 Astra Control 使用者只能存取這些功能、您必須安裝 Astra Trident 23.10 或更新版本並啟用 "Astra Control Provisioner 功能"。
-
《支援》認證:您需要使用支援版的支援版支援系統上設定的支援認證和超級使用者與使用者ID、才能使用Astra Control Center來備份及還原應用程式ONTAP ONTAP ONTAP 。
在flexf2命令列中執行下列命令ONTAP :
export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534
-
*僅限Rancher *:在Rancher環境中管理應用程式叢集時、請在Rancher提供的Kusbeconfig檔案中修改應用程式叢集的預設內容、以使用控制面內容而非Rancher API伺服器內容。如此可減少Rancher API伺服器的負載、並改善效能。
執行資格檢查
執行下列資格檢查、確保您的叢集已準備好新增至Astra控制中心。
-
檢查Astra Trident版本。
kubectl get tridentversions -n trident
如果 Astra Trident 存在、您會看到類似下列的輸出:
NAME VERSION trident 23.XX.X
如果 Astra Trident 不存在、您會看到類似下列的輸出:
error: the server doesn't have a resource type "tridentversions"
如果未安裝 Astra Trident 、或安裝的版本不是最新版本、則必須先安裝 Astra Trident 的最新版本、才能繼續。請參閱 "Astra Trident文件" 以取得相關指示。 -
確保Pod正在執行:
kubectl get pods -n trident
-
判斷儲存類別是否使用支援的 Astra Trident 驅動程式。置備程式名稱應為
csi.trident.netapp.io
。請參閱下列範例:kubectl get sc
回應範例:
NAME PROVISIONER RECLAIMPOLICY VOLUMEBINDINGMODE ALLOWVOLUMEEXPANSION AGE ontap-gold (default) csi.trident.netapp.io Delete Immediate true 5d23h
建立叢集角色庫比諾圖
您可以選擇性地為 Astra Control Center 建立有限權限或擴充權限管理員角色。這不是 Astra Control Center 設定的必要程序、因為您已將 Kribeconfig 設定為的一部分 "安裝程序"。
如果下列任一情況適用於您的環境、本程序可協助您建立個別的 Kubleconfig :
-
您想要限制其管理叢集的 Astra Control 權限
-
您使用多個內容範圍、無法使用安裝期間設定的預設 Astra Control Kbeconfig 、或是具有單一內容的受限角色、都無法在您的環境中運作
在完成程序步驟之前、請確定您要管理的叢集具備下列項目:
-
已安裝KECV1.23或更新版本
-
利用Astra Control Center來存取您要新增及管理的叢集
在此程序中、您不需要透過KECBECVL存取執行Astra Control Center的叢集。 -
使用叢集管理權限來管理作用中內容的叢集的作用中KECBEConfig
-
建立服務帳戶:
-
建立名為的服務帳戶檔案
astracontrol-service-account.yaml
。視需要調整名稱和命名空間。如果在此處進行變更、您應該在下列步驟中套用相同的變更。
astracontrol-service-account.yaml
+
apiVersion: v1 kind: ServiceAccount metadata: name: astracontrol-service-account namespace: default
-
套用服務帳戶:
kubectl apply -f astracontrol-service-account.yaml
-
-
為要由 Astra Control 管理的叢集建立具有足夠權限的下列叢集角色之一:
-
* 有限叢集角色 * :此角色包含由 Astra Control 管理叢集所需的最低權限:
展開步驟
-
建立
ClusterRole
例如、astra-admin-account.yaml
。視需要調整名稱和命名空間。如果在此處進行變更、您應該在下列步驟中套用相同的變更。
astra-admin-account.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: astra-admin-account rules: # Get, List, Create, and Update all resources # Necessary to backup and restore all resources in an app - apiGroups: - '*' resources: - '*' verbs: - get - list - create - patch # Delete Resources # Necessary for in-place restore and AppMirror failover - apiGroups: - "" - apps - autoscaling - batch - crd.projectcalico.org - extensions - networking.k8s.io - policy - rbac.authorization.k8s.io - snapshot.storage.k8s.io - trident.netapp.io resources: - configmaps - cronjobs - daemonsets - deployments - horizontalpodautoscalers - ingresses - jobs - namespaces - networkpolicies - persistentvolumeclaims - poddisruptionbudgets - pods - podtemplates - podsecuritypolicies - replicasets - replicationcontrollers - replicationcontrollers/scale - rolebindings - roles - secrets - serviceaccounts - services - statefulsets - tridentmirrorrelationships - tridentsnapshotinfos - volumesnapshots - volumesnapshotcontents verbs: - delete # Watch resources # Necessary to monitor progress - apiGroups: - "" resources: - pods - replicationcontrollers - replicationcontrollers/scale verbs: - watch # Update resources - apiGroups: - "" - build.openshift.io - image.openshift.io resources: - builds/details - replicationcontrollers - replicationcontrollers/scale - imagestreams/layers - imagestreamtags - imagetags verbs: - update # Use PodSecurityPolicies - apiGroups: - extensions - policy resources: - podsecuritypolicies verbs: - use
-
(僅限 OpenShift 叢集)在的結尾處附加下列項目
astra-admin-account.yaml
檔案或之後# Use PodSecurityPolicies
區段:# OpenShift security - apiGroups: - security.openshift.io resources: - securitycontextconstraints verbs: - use
-
套用叢集角色:
kubectl apply -f astra-admin-account.yaml
-
-
* 擴充叢集角色 * :此角色包含 Astra Control 所管理叢集的擴充權限。如果您使用多個內容範圍、且無法使用安裝期間設定的預設 Astra Control Kbeconfig 、或是具有單一內容的有限角色無法在您的環境中運作、則可以使用此角色:
以下內容 ClusterRole
步驟是 Kubernetes 的一般範例。請參閱 Kubernetes 散佈文件、以取得特定於您環境的指示。
展開步驟
-
建立
ClusterRole
例如、astra-admin-account.yaml
。視需要調整名稱和命名空間。如果在此處進行變更、您應該在下列步驟中套用相同的變更。
astra-admin-account.yaml
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: astra-admin-account rules: - apiGroups: - '*' resources: - '*' verbs: - '*' - nonResourceURLs: - '*' verbs: - '*'
-
套用叢集角色:
kubectl apply -f astra-admin-account.yaml
-
-
建立叢集角色與服務帳戶的叢集角色繫結:
-
建立
ClusterRoleBinding
檔案已呼叫astracontrol-clusterrolebinding.yaml
。視需要在建立服務帳戶時調整任何已修改的名稱和命名空間。
astracontrol-clusterrolebinding.yaml
+
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: astracontrol-admin roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: astra-admin-account subjects: - kind: ServiceAccount name: astracontrol-service-account namespace: default
-
套用叢集角色繫結:
kubectl apply -f astracontrol-clusterrolebinding.yaml
-
-
建立並套用權杖密碼:
-
建立一個稱為的權杖秘密檔案
secret-astracontrol-service-account.yaml
。secret-astracontrol-service-account.yaml
apiVersion: v1 kind: Secret metadata: name: secret-astracontrol-service-account namespace: default annotations: kubernetes.io/service-account.name: "astracontrol-service-account" type: kubernetes.io/service-account-token
-
套用權杖密碼:
kubectl apply -f secret-astracontrol-service-account.yaml
-
-
將權杖密碼新增至服務帳戶、將其名稱新增至
secrets
Array (以下範例中的最後一行):kubectl edit sa astracontrol-service-account
apiVersion: v1 imagePullSecrets: - name: astracontrol-service-account-dockercfg-48xhx kind: ServiceAccount metadata: annotations: kubectl.kubernetes.io/last-applied-configuration: | {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"name":"astracontrol-service-account","namespace":"default"}} creationTimestamp: "2023-06-14T15:25:45Z" name: astracontrol-service-account namespace: default resourceVersion: "2767069" uid: 2ce068c4-810e-4a96-ada3-49cbf9ec3f89 secrets: - name: astracontrol-service-account-dockercfg-48xhx - name: secret-astracontrol-service-account
-
列出取代的服務帳戶機密
<context>
正確的安裝環境:kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json
輸出的結尾應類似於下列內容:
"secrets": [ { "name": "astracontrol-service-account-dockercfg-48xhx"}, { "name": "secret-astracontrol-service-account"} ]
中每個元素的索引
secrets
陣列開頭為0。在上述範例中、索引為astracontrol-service-account-dockercfg-48xhx
將為0、索引則為secret-astracontrol-service-account
應該是1。在輸出中、記下服務帳戶密碼的索引編號。您在下一個步驟中需要此索引編號。 -
產生以下的Kbeconfig:
-
建立
create-kubeconfig.sh
檔案:更換TOKEN_INDEX
在下列指令碼開頭、使用正確的值。create-kubeconfig.sh
# Update these to match your environment. # Replace TOKEN_INDEX with the correct value # from the output in the previous step. If you # didn't change anything else above, don't change # anything else here. SERVICE_ACCOUNT_NAME=astracontrol-service-account NAMESPACE=default NEW_CONTEXT=astracontrol KUBECONFIG_FILE='kubeconfig-sa' CONTEXT=$(kubectl config current-context) SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \ --context ${CONTEXT} \ --namespace ${NAMESPACE} \ -o jsonpath='{.secrets[TOKEN_INDEX].name}') TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \ --context ${CONTEXT} \ --namespace ${NAMESPACE} \ -o jsonpath='{.data.token}') TOKEN=$(echo ${TOKEN_DATA} | base64 -d) # Create dedicated kubeconfig # Create a full copy kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp # Switch working context to correct context kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT} # Minify kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \ config view --flatten --minify > ${KUBECONFIG_FILE}.tmp # Rename context kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ rename-context ${CONTEXT} ${NEW_CONTEXT} # Create token user kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-credentials ${CONTEXT}-${NAMESPACE}-token-user \ --token ${TOKEN} # Set context to use token user kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user # Set context to correct namespace kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ set-context ${NEW_CONTEXT} --namespace ${NAMESPACE} # Flatten/minify kubeconfig kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \ view --flatten --minify > ${KUBECONFIG_FILE} # Remove tmp rm ${KUBECONFIG_FILE}.full.tmp rm ${KUBECONFIG_FILE}.tmp
-
請輸入命令以將其套用至Kubernetes叢集。
source create-kubeconfig.sh
-
-
(選用)將Kbeconfig重新命名為有意義的叢集名稱。
mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig
接下來呢?
現在您已確認已符合先決條件、您已經準備好了 新增叢集。
新增叢集
若要開始管理應用程式、請新增Kubernetes叢集、並將其當作運算資源來管理。您必須為Astra Control Center新增叢集、才能探索Kubernetes應用程式。
我們建議Astra Control Center先管理部署於上的叢集、再將其他叢集新增至Astra Control Center進行管理。需要管理初始叢集、才能傳送Kubmetrics資料和叢集相關資料、以供進行度量和疑難排解。 |
-
新增叢集之前、請先檢閱並執行必要的 必要工作。
-
如果您使用的是 ONTAP SAN 驅動程式、請務必在所有 Kubernetes 叢集上啟用多重路徑。
-
從儀表板或叢集功能表瀏覽:
-
從「資源摘要」的*「儀表板」中、從「叢集」窗格中選取「新增*」。
-
在左側導覽區域中、選取*叢集*、然後從「叢集」頁面選取*新增叢集*。
-
-
在打開的* Add Cluster-*(添加叢集)窗口中、上傳
kubeconfig.yaml
檔案或貼上的內容kubeconfig.yaml
檔案:。 kubeconfig.yaml
檔案應*僅包含一個叢集*的叢集認證資料。如果您自行建立 kubeconfig
檔案中、您應該只定義*一個*內容元素。請參閱 "Kubernetes文件" 以取得有關建立的資訊kubeconfig
檔案:如果您使用為有限的叢集角色建立了Kbeconfig 上述程序請務必在本步驟中上傳或貼上該KECBEConnfig。 -
提供認證名稱。根據預設、認證名稱會自動填入為叢集名稱。
-
選擇*下一步*。
-
選取要用於此Kubernetes叢集的預設儲存類別、然後選取* Next*。
您應該選取以 ONTAP 儲存設備為後盾的 Astra Trident 儲存類別。 -
檢閱資訊、如果一切看起來都很好、請選取*新增*。
叢集進入*探索*狀態、然後變更為*健全*。您現在正使用Astra Control Center來管理叢集。
在Astra Control Center中新增要管理的叢集之後、可能需要幾分鐘的時間來部署監控操作員。在此之前、通知圖示會變成紅色、並記錄*監控代理程式狀態檢查失敗*事件。您可以忽略這一點、因為當Astra Control Center取得正確狀態時、問題就能解決。如果幾分鐘內仍無法解決問題、請前往叢集並執行 oc get pods -n netapp-monitoring 做為起點。您需要查看監控操作員記錄、以偵錯問題。
|
在 ONTAP 儲存後端啟用驗證
Astra Control Center 提供兩種驗證 ONTAP 後端的模式:
-
* 認證型驗證 * :具有必要權限的 ONTAP 使用者的使用者名稱和密碼。您應該使用預先定義的安全登入角色、例如 admin 或 vsadmin 、以確保與 ONTAP 版本的最大相容性。
-
* 憑證型驗證 * : Astra 控制中心也可以使用安裝在後端的憑證與 ONTAP 叢集通訊。您應該使用用戶端憑證、金鑰和信任的 CA 憑證(如果使用)(建議使用)。
您可以稍後更新現有的後端、將某種驗證類型移至另一種方法。一次只支援一種驗證方法。
啟用認證型驗證
Astra Control Center 需要具備叢集範圍的認證 admin
與 ONTAP 後端通訊。您應該使用預先定義的標準角色、例如 admin
。這可確保與未來 ONTAP 版本的前移相容性、這些版本可能會公開未來 Astra 控制中心版本所使用的功能 API 。
您可以建立自訂安全登入角色、並與 Astra Control Center 搭配使用、但不建議使用。 |
後端定義範例如下:
{ "version": 1, "backendName": "ExampleBackend", "storageDriverName": "ontap-nas", "managementLIF": "10.0.0.1", "dataLIF": "10.0.0.2", "svm": "svm_nfs", "username": "admin", "password": "secret" }
後端定義是唯一以純文字儲存認證的地方。建立或更新後端是唯一需要具備認證知識的步驟。因此、這是僅供管理員使用的操作、由 Kubernetes 或儲存管理員執行。
啟用憑證型驗證
Astra 控制中心可以使用憑證與新的和現有的 ONTAP 後端通訊。您應該在後端定義中輸入下列資訊。
-
clientCertificate
:用戶端憑證。 -
clientPrivateKey
:關聯的私鑰。 -
trustedCACertificate
:可信 CA 證書。如果使用信任的CA、則必須提供此參數。如果未使用信任的CA、則可忽略此問題。
您可以使用下列其中一種類型的憑證:
-
自我簽署的憑證
-
協力廠商憑證
啟用自我簽署憑證的驗證
典型的工作流程包括下列步驟。
-
產生用戶端憑證和金鑰。產生時、請將一般名稱( CN )設定為 ONTAP 使用者、以驗證為。
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"
-
安裝用戶端類型的憑證
client-ca
以及 ONTAP 叢集上的金鑰。security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name> security ssl modify -vserver <vserver-name> -client-enabled true
-
確認 ONTAP 安全登入角色支援憑證驗證方法。
security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name> security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>
-
使用產生的憑證測試驗證。以管理 LIF IP 和 SVM 名稱取代 ONTAP Management LIF> 和 <vserver name> 。您必須確保LIF的服務原則設定為
default-data-management
。curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>
-
使用從上一步取得的值、在 Astra Control Center UI 中新增儲存後端。
啟用協力廠商憑證的驗證
如果您有協力廠商憑證、您可以使用這些步驟來設定憑證型驗證。
-
產生私密金鑰和 CSR :
openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”
-
將 CSR 傳遞至 Windows CA (協力廠商 CA )、然後核發簽署的憑證。
-
下載已簽署的憑證、並將其命名為「 ontap_signed_cert.crt 」
-
從 Windows CA (協力廠商 CA )匯出根憑證。
-
命名此檔案
ca_root.crt
您現在有下列三個檔案:
-
* 私密金鑰 * :
ontap_signed_request.key
(這是 ONTAP 中伺服器憑證的對應金鑰。安裝伺服器憑證時需要此功能。) -
* 簽署憑證 * :
ontap_signed_cert.crt
(這在 ONTAP 中也稱為伺服器憑證 _ 。) -
* 根 CA 憑證 * :
ca_root.crt
(這在 ONTAP 中也稱為 _server-ca 憑證 _ 。)
-
-
在 ONTAP 中安裝這些憑證。產生及安裝
server
和server-ca
ONTAP 上的憑證。展開 SAMPLE.Yaml
# Copy the contents of ca_root.crt and use it here. security certificate install -type server-ca Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate details> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: === # Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file. security certificate install -type server Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <certificate details> -----END CERTIFICATE----- Please enter Private Key: Press <Enter> when done -----BEGIN PRIVATE KEY----- <private key details> -----END PRIVATE KEY----- Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate. Do you want to continue entering root and/or intermediate certificates {y|n}: n The provided certificate does not have a common name in the subject field. Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME> You should keep a copy of the private key and the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: == # Modify the vserver settings to enable SSL for the installed certificate ssl modify -vserver <vserver_name> -ca <CA> -server-enabled true -serial <serial number> (security ssl modify) == # Verify if the certificate works fine: openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443 CONNECTED(00000005) depth=1 DC = local, DC = umca, CN = <CA> verify return:1 depth=0 verify return:1 write W BLOCK --- Certificate chain 0 s: i:/DC=local/DC=umca/<CA> -----BEGIN CERTIFICATE----- <Certificate details>
-
為同一主機建立用戶端憑證、以進行無密碼通訊。Astra 控制中心使用此程序與 ONTAP 通訊。
-
在 ONTAP 上產生及安裝用戶端憑證:
展開 SAMPLE.Yaml
# Use /CN=admin or use some other account which has privileges. openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin" Copy the content of ontap_test_client.pem file and use it in the below command: security certificate install -type client-ca -vserver <vserver_name> Please enter Certificate: Press <Enter> when done -----BEGIN CERTIFICATE----- <Certificate details> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: serial: The certificate's generated name for reference: == ssl modify -vserver <vserver_name> -client-enabled true (security ssl modify) # Setting permissions for certificates security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name> security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name> == #Verify passwordless communication works fine with the use of only certificates: curl --cacert ontap_signed_cert.crt --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates { "records": [ { "uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd", "name": "<aggr_name>", "node": { "uuid": "7835876c-3484-11ed-97bb-d039ea50375c", "name": "<node_name>", "_links": { "self": { "href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c" } } }, "_links": { "self": { "href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd" } } } ], "num_records": 1, "_links": { "self": { "href": "/api/storage/aggregates" } } }%
-
在 Astra Control Center UI 中新增儲存後端、並提供下列值:
-
* 用戶端憑證 * : ONTAP 測試用戶端 .pem
-
* 私密金鑰 * : ontap_test_client.key
-
* 可信 CA 證書 * : ONTAP 簽署的 _cert.crt
-
新增儲存後端
設定認證或憑證驗證資訊之後、您可以將現有的 ONTAP 儲存後端新增至 Astra 控制中心、以管理其資源。
將Astra Control中的儲存叢集管理為儲存後端、可讓您在持續磁碟區(PV)與儲存後端之間建立連結、以及取得額外的儲存指標。
Astra Control Provisioner : NetApp 如果您已啟用 Astra Control Center 23.10 或更新版本的 Astra Control Provisioner 、則在 Astra Control Center 中新增及管理 ONTAP 儲存後端時、是選用的。
-
從左側導覽區域的儀表板中、選取*後端*。
-
選取*「Add*」。
-
在「新增儲存設備後端」頁面的「使用現有的」區段中、選取 * ONTAP * 。
-
選取下列其中一項:
-
* 使用管理員認證 * :輸入 ONTAP 叢集管理 IP 位址和管理認證。認證資料必須是整個叢集的認證資料。
您在此處輸入認證的使用者必須擁有 ontapi
使用者登入存取方法已在ONTAP 支援的叢集上的「支援系統管理程式」中啟用ONTAP 。如果您打算使用SnapMirror複寫、請套用具有「admin」角色的使用者認證、該角色具有存取方法ontapi
和http
、在來源ONTAP 和目的地等叢集上。請參閱 "管理ONTAP 使用者帳戶、請參閱本文檔" 以取得更多資訊。 -
* 使用憑證 * :上傳憑證
.pem
檔案、憑證金鑰.key
檔案、以及選擇性的憑證授權單位檔案。
-
-
選擇*下一步*。
-
確認後端詳細資料、然後選取*管理*。
後端隨即出現在中 online
列出摘要資訊。
您可能需要重新整理頁面、以便顯示後端。 |
新增儲存庫
您可以使用Astra Control UI或來新增儲存區 "Astra Control API"。如果您想要備份應用程式和持續儲存設備、或是想要跨叢集複製應用程式、則必須新增物件存放區資源庫供應商。Astra Control會將這些備份或複製儲存在您定義的物件存放區中。
如果您要將應用程式組態和持續儲存設備複製到同一個叢集、則無需使用Astra Control中的儲存庫。應用程式快照功能不需要儲存庫。
-
確保您擁有一個可從 Astra Control Center 所管理的叢集存取的貯體。
-
確保您擁有貯體的認證。
-
確認貯體為下列其中一種類型:
-
NetApp ONTAP 產品S3
-
NetApp StorageGRID 產品S3
-
Microsoft Azure
-
一般S3
-
Amazon Web Services(AWS)和Google Cloud Platform(GCP)使用通用S3儲存區類型。 |
雖然Astra Control Center支援Amazon S3做為通用S3儲存區供應商、但Astra Control Center可能不支援所有聲稱Amazon S3支援的物件儲存區廠商。 |
-
在左側導覽區域中、選取*鏟斗*。
-
選取*「Add*」。
-
選取貯體類型。
新增儲存庫時、請選擇正確的儲存庫供應商、並提供該供應商的適當認證資料。例如、UI接受NetApp ONTAP S3作為類型並接受StorageGRID 驗證、但這將導致所有未來使用此儲存庫的應用程式備份與還原失敗。 -
輸入現有的庫位名稱和選用說明。
庫位名稱和說明會顯示為備份位置、您可以在建立備份時稍後選擇。此名稱也會在保護原則組態期間顯示。 -
輸入S3端點的名稱或IP位址。
-
在「選取認證」下、選擇「新增」或「使用現有」索引標籤。
-
如果您選擇*新增*:
-
在Astra Control中輸入認證與其他認證不同的名稱。
-
從剪貼簿貼上內容、輸入存取ID和秘密金鑰。
-
-
如果您選擇*使用現有*:
-
選取您要搭配儲存區使用的現有認證資料。
-
-
-
選取
Add
。當您新增貯體時、Astra Control會使用預設的貯體指標來標記一個貯體。您建立的第一個儲存區會成為預設儲存區。當您新增儲存庫時、可以稍後決定 "設定另一個預設儲存區"。
接下來呢?
現在您已經登入Astra Control Center並新增叢集、就能開始使用Astra Control Center的應用程式資料管理功能。