Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定Astra控制中心

貢獻者

安裝 Astra Control Center 、登入 UI 並變更密碼之後、您將需要設定授權、新增叢集、啟用驗證、管理儲存設備及新增儲存區。

新增Astra Control Center授權

安裝 Astra Control Center 時、已安裝內嵌評估授權。如果您正在評估 Astra Control Center 、可以跳過此步驟。

您可以使用Astra Control UI或新增授權 "Astra Control API"

Astra Control Center授權會使用Kubernetes CPU單元來測量CPU資源、並計算指派給所有受管理Kubernetes叢集之工作節點的CPU資源。授權是根據vCPU使用率而定。如需如何計算授權的詳細資訊、請參閱 "授權"

註 如果您的安裝量成長到超過授權的CPU單元數量、Astra Control Center會防止您管理新的應用程式。超過容量時會顯示警示。
註 若要更新現有的評估或完整授權、請參閱 "更新現有授權"
開始之前
  • 存取新安裝的Astra Control Center執行個體。

  • 系統管理員角色權限。

  • "NetApp授權檔案" (lf)。

步驟
  1. 登入Astra Control Center UI。

  2. 選擇*帳戶*>*授權*。

  3. 選擇*新增授權*。

  4. 瀏覽至您下載的授權檔案(NLF)。

  5. 選擇*新增授權*。

帳戶>*授權*」頁面會顯示授權資訊、到期日、授權序號、帳戶ID及使用的CPU單位。

註 如果您擁有評估授權、但並未將資料傳送AutoSupport 至效益分析系統、請務必儲存您的帳戶ID、以免發生Astra Control Center故障時發生資料遺失。

使用Astra Control為環境做好叢集管理準備

在新增叢集之前、您應確保符合下列先決條件。您也應該執行資格檢查、以確保叢集已準備好新增至Astra Control Center、並建立叢集管理的角色。

開始之前
  • * 符合環境先決條件 * :您的環境符合 "營運環境需求" 適用於Astra Trident與Astra Control Center。

  • * 設定工作節點 * :請務必使用適當的儲存驅動程式來設定叢集中的工作節點、以便 Pod 與後端儲存設備互動。

  • * 讓 kubeconfig 可存取 * :您可以存取 "預設叢集 kubeconfig""您已在安裝期間進行設定"

  • * 憑證授權單位考量 * :如果您要使用參考私有憑證授權單位( CA )的 kubeconfig 檔案來新增叢集、請在中新增下列一行 cluster kubeconfig 檔案的一節。這可讓 Astra Control 新增叢集:

    insecure-skip-tls-verify: true
  • [[enable - psa]]*Enable PSA restrictions * :如果叢集已啟用 Pod 安全許可強制( Kubernetes 1.25 及更新叢集的標準)、則您必須啟用 PSA 對這些命名空間的限制:

    • netapp-acc-operator 命名空間:

      kubectl label --overwrite ns netapp-acc-operator pod-security.kubernetes.io/enforce=privileged
    • netapp monitoring 命名空間:

      kubectl label --overwrite ns netapp-monitoring pod-security.kubernetes.io/enforce=privileged
  • * Astra Trident 要求 * :

    • * 安裝支援的版本 * : Astra Trident 的版本 "由Astra Control Center支援" 已安裝:

      註 您可以 "部署Astra Trident" 使用 Astra Trident 運算子(手動或使用 Helm 圖表)或 tridentctl。在安裝或升級Astra Trident之前、請先檢閱 "支援的前端、後端及主機組態"
    • * 設定 Astra Trident 儲存後端 * :至少必須有一個 Astra Trident 儲存後端 "已設定" 在叢集上。

    • * 設定 Astra Trident 儲存類別 * :至少必須有一個 Astra Trident 儲存類別 "已設定" 在叢集上。如果已設定預設儲存類別、請確定它是唯一具有預設註釋的儲存類別。

    • * 設定 Astra Trident Volume Snapshot 控制器並安裝 Volume Snapshot 類別 * : Volume Snapshot 控制器必須為 "已安裝" 以便在Astra Control中建立快照。至少有一個Astra Trident VolumeSnapshotClass 過去了 "設定" 由系統管理員執行。

  • * Astra Control Provisioner* :若要使用 Astra Control Provisioner 進階管理和儲存資源配置功能、而 Astra Control 使用者只能存取這些功能、您必須安裝 Astra Trident 23.10 或更新版本並啟用 "Astra Control Provisioner 功能"

  • 《支援》認證:您需要使用支援版的支援版支援系統上設定的支援認證和超級使用者與使用者ID、才能使用Astra Control Center來備份及還原應用程式ONTAP ONTAP ONTAP 。

    在flexf2命令列中執行下列命令ONTAP :

    export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -superuser sys
    export-policy rule modify -vserver <storage virtual machine name> -policyname <policy name> -ruleindex 1 -anon 65534
  • *僅限Rancher *:在Rancher環境中管理應用程式叢集時、請在Rancher提供的Kusbeconfig檔案中修改應用程式叢集的預設內容、以使用控制面內容而非Rancher API伺服器內容。如此可減少Rancher API伺服器的負載、並改善效能。

執行資格檢查

執行下列資格檢查、確保您的叢集已準備好新增至Astra控制中心。

步驟
  1. 檢查Astra Trident版本。

    kubectl get tridentversions -n trident

    如果 Astra Trident 存在、您會看到類似下列的輸出:

    NAME      VERSION
    trident   23.XX.X

    如果 Astra Trident 不存在、您會看到類似下列的輸出:

    error: the server doesn't have a resource type "tridentversions"
    註 如果未安裝 Astra Trident 、或安裝的版本不是最新版本、則必須先安裝 Astra Trident 的最新版本、才能繼續。請參閱 "Astra Trident文件" 以取得相關指示。
  2. 確保Pod正在執行:

    kubectl get pods -n trident
  3. 判斷儲存類別是否使用支援的 Astra Trident 驅動程式。置備程式名稱應為 csi.trident.netapp.io。請參閱下列範例:

    kubectl get sc

    回應範例:

    NAME                  PROVISIONER            RECLAIMPOLICY  VOLUMEBINDINGMODE  ALLOWVOLUMEEXPANSION  AGE
    ontap-gold (default)  csi.trident.netapp.io  Delete         Immediate          true                  5d23h

建立叢集角色庫比諾圖

您可以選擇性地為 Astra Control Center 建立有限權限或擴充權限管理員角色。這不是 Astra Control Center 設定的必要程序、因為您已將 Kribeconfig 設定為的一部分 "安裝程序"

如果下列任一情況適用於您的環境、本程序可協助您建立個別的 Kubleconfig :

  • 您想要限制其管理叢集的 Astra Control 權限

  • 您使用多個內容範圍、無法使用安裝期間設定的預設 Astra Control Kbeconfig 、或是具有單一內容的受限角色、都無法在您的環境中運作

開始之前

在完成程序步驟之前、請確定您要管理的叢集具備下列項目:

  • 已安裝KECV1.23或更新版本

  • 利用Astra Control Center來存取您要新增及管理的叢集

    註 在此程序中、您不需要透過KECBECVL存取執行Astra Control Center的叢集。
  • 使用叢集管理權限來管理作用中內容的叢集的作用中KECBEConfig

步驟
  1. 建立服務帳戶:

    1. 建立名為的服務帳戶檔案 astracontrol-service-account.yaml

      視需要調整名稱和命名空間。如果在此處進行變更、您應該在下列步驟中套用相同的變更。

    astracontrol-service-account.yaml

    +

    apiVersion: v1
    kind: ServiceAccount
    metadata:
      name: astracontrol-service-account
      namespace: default
    1. 套用服務帳戶:

      kubectl apply -f astracontrol-service-account.yaml
  2. 為要由 Astra Control 管理的叢集建立具有足夠權限的下列叢集角色之一:

    • * 有限叢集角色 * :此角色包含由 Astra Control 管理叢集所需的最低權限:

      展開步驟
      1. 建立 ClusterRole 例如、 astra-admin-account.yaml

        視需要調整名稱和命名空間。如果在此處進行變更、您應該在下列步驟中套用相同的變更。

        astra-admin-account.yaml
        apiVersion: rbac.authorization.k8s.io/v1
        kind: ClusterRole
        metadata:
          name: astra-admin-account
        rules:
        
        # Get, List, Create, and Update all resources
        # Necessary to backup and restore all resources in an app
        - apiGroups:
          - '*'
          resources:
          - '*'
          verbs:
          - get
          - list
          - create
          - patch
        
        # Delete Resources
        # Necessary for in-place restore and AppMirror failover
        - apiGroups:
          - ""
          - apps
          - autoscaling
          - batch
          - crd.projectcalico.org
          - extensions
          - networking.k8s.io
          - policy
          - rbac.authorization.k8s.io
          - snapshot.storage.k8s.io
          - trident.netapp.io
          resources:
          - configmaps
          - cronjobs
          - daemonsets
          - deployments
          - horizontalpodautoscalers
          - ingresses
          - jobs
          - namespaces
          - networkpolicies
          - persistentvolumeclaims
          - poddisruptionbudgets
          - pods
          - podtemplates
          - podsecuritypolicies
          - replicasets
          - replicationcontrollers
          - replicationcontrollers/scale
          - rolebindings
          - roles
          - secrets
          - serviceaccounts
          - services
          - statefulsets
          - tridentmirrorrelationships
          - tridentsnapshotinfos
          - volumesnapshots
          - volumesnapshotcontents
          verbs:
          - delete
        
        # Watch resources
        # Necessary to monitor progress
        - apiGroups:
          - ""
          resources:
          - pods
          - replicationcontrollers
          - replicationcontrollers/scale
          verbs:
          - watch
        
        # Update resources
        - apiGroups:
          - ""
          - build.openshift.io
          - image.openshift.io
          resources:
          - builds/details
          - replicationcontrollers
          - replicationcontrollers/scale
          - imagestreams/layers
          - imagestreamtags
          - imagetags
          verbs:
          - update
        
        # Use PodSecurityPolicies
        - apiGroups:
          - extensions
          - policy
          resources:
          - podsecuritypolicies
          verbs:
          - use
      2. (僅限 OpenShift 叢集)在的結尾處附加下列項目 astra-admin-account.yaml 檔案或之後 # Use PodSecurityPolicies 區段:

        # OpenShift security
        - apiGroups:
          - security.openshift.io
          resources:
          - securitycontextconstraints
          verbs:
          - use
      3. 套用叢集角色:

        kubectl apply -f astra-admin-account.yaml
    • * 擴充叢集角色 * :此角色包含 Astra Control 所管理叢集的擴充權限。如果您使用多個內容範圍、且無法使用安裝期間設定的預設 Astra Control Kbeconfig 、或是具有單一內容的有限角色無法在您的環境中運作、則可以使用此角色:

      註 以下內容 ClusterRole 步驟是 Kubernetes 的一般範例。請參閱 Kubernetes 散佈文件、以取得特定於您環境的指示。
    展開步驟
    1. 建立 ClusterRole 例如、 astra-admin-account.yaml

      視需要調整名稱和命名空間。如果在此處進行變更、您應該在下列步驟中套用相同的變更。

      astra-admin-account.yaml
      apiVersion: rbac.authorization.k8s.io/v1
      kind: ClusterRole
      metadata:
        name: astra-admin-account
      rules:
      - apiGroups:
        - '*'
        resources:
        - '*'
        verbs:
        - '*'
      - nonResourceURLs:
        - '*'
        verbs:
        - '*'
    2. 套用叢集角色:

      kubectl apply -f astra-admin-account.yaml
  3. 建立叢集角色與服務帳戶的叢集角色繫結:

    1. 建立 ClusterRoleBinding 檔案已呼叫 astracontrol-clusterrolebinding.yaml

      視需要在建立服務帳戶時調整任何已修改的名稱和命名空間。

    astracontrol-clusterrolebinding.yaml

    +

    apiVersion: rbac.authorization.k8s.io/v1
    kind: ClusterRoleBinding
    metadata:
      name: astracontrol-admin
    roleRef:
      apiGroup: rbac.authorization.k8s.io
      kind: ClusterRole
      name: astra-admin-account
    subjects:
    - kind: ServiceAccount
      name: astracontrol-service-account
      namespace: default
    1. 套用叢集角色繫結:

      kubectl apply -f astracontrol-clusterrolebinding.yaml
  4. 建立並套用權杖密碼:

    1. 建立一個稱為的權杖秘密檔案 secret-astracontrol-service-account.yaml

      secret-astracontrol-service-account.yaml
      apiVersion: v1
      kind: Secret
      metadata:
        name: secret-astracontrol-service-account
        namespace: default
        annotations:
          kubernetes.io/service-account.name: "astracontrol-service-account"
      type: kubernetes.io/service-account-token
    2. 套用權杖密碼:

      kubectl apply -f secret-astracontrol-service-account.yaml
  5. 將權杖密碼新增至服務帳戶、將其名稱新增至 secrets Array (以下範例中的最後一行):

    kubectl edit sa astracontrol-service-account
    apiVersion: v1
    imagePullSecrets:
    - name: astracontrol-service-account-dockercfg-48xhx
    kind: ServiceAccount
    metadata:
      annotations:
        kubectl.kubernetes.io/last-applied-configuration: |
          {"apiVersion":"v1","kind":"ServiceAccount","metadata":{"annotations":{},"name":"astracontrol-service-account","namespace":"default"}}
      creationTimestamp: "2023-06-14T15:25:45Z"
      name: astracontrol-service-account
      namespace: default
      resourceVersion: "2767069"
      uid: 2ce068c4-810e-4a96-ada3-49cbf9ec3f89
    secrets:
    - name: astracontrol-service-account-dockercfg-48xhx
    - name: secret-astracontrol-service-account
  6. 列出取代的服務帳戶機密 <context> 正確的安裝環境:

    kubectl get serviceaccount astracontrol-service-account --context <context> --namespace default -o json

    輸出的結尾應類似於下列內容:

    "secrets": [
    { "name": "astracontrol-service-account-dockercfg-48xhx"},
    { "name": "secret-astracontrol-service-account"}
    ]

    中每個元素的索引 secrets 陣列開頭為0。在上述範例中、索引為 astracontrol-service-account-dockercfg-48xhx 將為0、索引則為 secret-astracontrol-service-account 應該是1。在輸出中、記下服務帳戶密碼的索引編號。您在下一個步驟中需要此索引編號。

  7. 產生以下的Kbeconfig:

    1. 建立 create-kubeconfig.sh 檔案:更換 TOKEN_INDEX 在下列指令碼開頭、使用正確的值。

      create-kubeconfig.sh
      # Update these to match your environment.
      # Replace TOKEN_INDEX with the correct value
      # from the output in the previous step. If you
      # didn't change anything else above, don't change
      # anything else here.
      
      SERVICE_ACCOUNT_NAME=astracontrol-service-account
      NAMESPACE=default
      NEW_CONTEXT=astracontrol
      KUBECONFIG_FILE='kubeconfig-sa'
      
      CONTEXT=$(kubectl config current-context)
      
      SECRET_NAME=$(kubectl get serviceaccount ${SERVICE_ACCOUNT_NAME} \
        --context ${CONTEXT} \
        --namespace ${NAMESPACE} \
        -o jsonpath='{.secrets[TOKEN_INDEX].name}')
      TOKEN_DATA=$(kubectl get secret ${SECRET_NAME} \
        --context ${CONTEXT} \
        --namespace ${NAMESPACE} \
        -o jsonpath='{.data.token}')
      
      TOKEN=$(echo ${TOKEN_DATA} | base64 -d)
      
      # Create dedicated kubeconfig
      # Create a full copy
      kubectl config view --raw > ${KUBECONFIG_FILE}.full.tmp
      
      # Switch working context to correct context
      kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp config use-context ${CONTEXT}
      
      # Minify
      kubectl --kubeconfig ${KUBECONFIG_FILE}.full.tmp \
        config view --flatten --minify > ${KUBECONFIG_FILE}.tmp
      
      # Rename context
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        rename-context ${CONTEXT} ${NEW_CONTEXT}
      
      # Create token user
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-credentials ${CONTEXT}-${NAMESPACE}-token-user \
        --token ${TOKEN}
      
      # Set context to use token user
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-context ${NEW_CONTEXT} --user ${CONTEXT}-${NAMESPACE}-token-user
      
      # Set context to correct namespace
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        set-context ${NEW_CONTEXT} --namespace ${NAMESPACE}
      
      # Flatten/minify kubeconfig
      kubectl config --kubeconfig ${KUBECONFIG_FILE}.tmp \
        view --flatten --minify > ${KUBECONFIG_FILE}
      
      # Remove tmp
      rm ${KUBECONFIG_FILE}.full.tmp
      rm ${KUBECONFIG_FILE}.tmp
    2. 請輸入命令以將其套用至Kubernetes叢集。

      source create-kubeconfig.sh
  8. (選用)將Kbeconfig重新命名為有意義的叢集名稱。

    mv kubeconfig-sa YOUR_CLUSTER_NAME_kubeconfig

接下來呢?

現在您已確認已符合先決條件、您已經準備好了 新增叢集

新增叢集

若要開始管理應用程式、請新增Kubernetes叢集、並將其當作運算資源來管理。您必須為Astra Control Center新增叢集、才能探索Kubernetes應用程式。

提示 我們建議Astra Control Center先管理部署於上的叢集、再將其他叢集新增至Astra Control Center進行管理。需要管理初始叢集、才能傳送Kubmetrics資料和叢集相關資料、以供進行度量和疑難排解。
開始之前
  • 新增叢集之前、請先檢閱並執行必要的 必要工作

  • 如果您使用的是 ONTAP SAN 驅動程式、請務必在所有 Kubernetes 叢集上啟用多重路徑。

步驟
  1. 從儀表板或叢集功能表瀏覽:

    • 從「資源摘要」的*「儀表板」中、從「叢集」窗格中選取「新增*」。

    • 在左側導覽區域中、選取*叢集*、然後從「叢集」頁面選取*新增叢集*。

  2. 在打開的* Add Cluster-*(添加叢集)窗口中、上傳 kubeconfig.yaml 檔案或貼上的內容 kubeconfig.yaml 檔案:

    註 kubeconfig.yaml 檔案應*僅包含一個叢集*的叢集認證資料。
    重要 如果您自行建立 kubeconfig 檔案中、您應該只定義*一個*內容元素。請參閱 "Kubernetes文件" 以取得有關建立的資訊 kubeconfig 檔案:如果您使用為有限的叢集角色建立了Kbeconfig 上述程序請務必在本步驟中上傳或貼上該KECBEConnfig。
  3. 提供認證名稱。根據預設、認證名稱會自動填入為叢集名稱。

  4. 選擇*下一步*。

  5. 選取要用於此Kubernetes叢集的預設儲存類別、然後選取* Next*。

    註 您應該選取以 ONTAP 儲存設備為後盾的 Astra Trident 儲存類別。
  6. 檢閱資訊、如果一切看起來都很好、請選取*新增*。

結果

叢集進入*探索*狀態、然後變更為*健全*。您現在正使用Astra Control Center來管理叢集。

重要 在Astra Control Center中新增要管理的叢集之後、可能需要幾分鐘的時間來部署監控操作員。在此之前、通知圖示會變成紅色、並記錄*監控代理程式狀態檢查失敗*事件。您可以忽略這一點、因為當Astra Control Center取得正確狀態時、問題就能解決。如果幾分鐘內仍無法解決問題、請前往叢集並執行 oc get pods -n netapp-monitoring 做為起點。您需要查看監控操作員記錄、以偵錯問題。

在 ONTAP 儲存後端啟用驗證

Astra Control Center 提供兩種驗證 ONTAP 後端的模式:

  • * 認證型驗證 * :具有必要權限的 ONTAP 使用者的使用者名稱和密碼。您應該使用預先定義的安全登入角色、例如 admin 或 vsadmin 、以確保與 ONTAP 版本的最大相容性。

  • * 憑證型驗證 * : Astra 控制中心也可以使用安裝在後端的憑證與 ONTAP 叢集通訊。您應該使用用戶端憑證、金鑰和信任的 CA 憑證(如果使用)(建議使用)。

您可以稍後更新現有的後端、將某種驗證類型移至另一種方法。一次只支援一種驗證方法。

啟用認證型驗證

Astra Control Center 需要具備叢集範圍的認證 admin 與 ONTAP 後端通訊。您應該使用預先定義的標準角色、例如 admin。這可確保與未來 ONTAP 版本的前移相容性、這些版本可能會公開未來 Astra 控制中心版本所使用的功能 API 。

註 您可以建立自訂安全登入角色、並與 Astra Control Center 搭配使用、但不建議使用。

後端定義範例如下:

{
  "version": 1,
  "backendName": "ExampleBackend",
  "storageDriverName": "ontap-nas",
  "managementLIF": "10.0.0.1",
  "dataLIF": "10.0.0.2",
  "svm": "svm_nfs",
  "username": "admin",
  "password": "secret"
}

後端定義是唯一以純文字儲存認證的地方。建立或更新後端是唯一需要具備認證知識的步驟。因此、這是僅供管理員使用的操作、由 Kubernetes 或儲存管理員執行。

啟用憑證型驗證

Astra 控制中心可以使用憑證與新的和現有的 ONTAP 後端通訊。您應該在後端定義中輸入下列資訊。

  • clientCertificate:用戶端憑證。

  • clientPrivateKey:關聯的私鑰。

  • trustedCACertificate:可信 CA 證書。如果使用信任的CA、則必須提供此參數。如果未使用信任的CA、則可忽略此問題。

您可以使用下列其中一種類型的憑證:

  • 自我簽署的憑證

  • 協力廠商憑證

啟用自我簽署憑證的驗證

典型的工作流程包括下列步驟。

步驟
  1. 產生用戶端憑證和金鑰。產生時、請將一般名稱( CN )設定為 ONTAP 使用者、以驗證為。

    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=<common-name>"
  2. 安裝用戶端類型的憑證 client-ca 以及 ONTAP 叢集上的金鑰。

    security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name>
    security ssl modify -vserver <vserver-name> -client-enabled true
  3. 確認 ONTAP 安全登入角色支援憑證驗證方法。

    security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name>
    security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>
  4. 使用產生的憑證測試驗證。以管理 LIF IP 和 SVM 名稱取代 ONTAP Management LIF> 和 <vserver name> 。您必須確保LIF的服務原則設定為 default-data-management

    curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns=http://www.netapp.com/filer/admin version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>
  5. 使用從上一步取得的值、在 Astra Control Center UI 中新增儲存後端。

啟用協力廠商憑證的驗證

如果您有協力廠商憑證、您可以使用這些步驟來設定憑證型驗證。

步驟
  1. 產生私密金鑰和 CSR :

    openssl req -new -newkey rsa:4096 -nodes -sha256 -subj "/" -outform pem -out ontap_cert_request.csr -keyout ontap_cert_request.key -addext "subjectAltName = DNS:<ONTAP_CLUSTER_FQDN_NAME>,IP:<ONTAP_MGMT_IP>”
  2. 將 CSR 傳遞至 Windows CA (協力廠商 CA )、然後核發簽署的憑證。

  3. 下載已簽署的憑證、並將其命名為「 ontap_signed_cert.crt 」

  4. 從 Windows CA (協力廠商 CA )匯出根憑證。

  5. 命名此檔案 ca_root.crt

    您現在有下列三個檔案:

    • * 私密金鑰 * : ontap_signed_request.key (這是 ONTAP 中伺服器憑證的對應金鑰。安裝伺服器憑證時需要此功能。)

    • * 簽署憑證 * : ontap_signed_cert.crt (這在 ONTAP 中也稱為伺服器憑證 _ 。)

    • * 根 CA 憑證 * : ca_root.crt (這在 ONTAP 中也稱為 _server-ca 憑證 _ 。)

  6. 在 ONTAP 中安裝這些憑證。產生及安裝 serverserver-ca ONTAP 上的憑證。

    展開 SAMPLE.Yaml
    # Copy the contents of ca_root.crt and use it here.
    
    security certificate install -type server-ca
    
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <certificate details>
    -----END CERTIFICATE-----
    
    
    You should keep a copy of the CA-signed digital certificate for future reference.
    
    The installed certificate's CA and serial number for reference:
    
    CA:
    serial:
    
    The certificate's generated name for reference:
    
    
    ===
    
    # Copy the contents of ontap_signed_cert.crt and use it here. For key, use the contents of ontap_cert_request.key file.
    security certificate install -type server
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <certificate details>
    -----END CERTIFICATE-----
    
    Please enter Private Key: Press <Enter> when done
    
    -----BEGIN PRIVATE KEY-----
    <private key details>
    -----END PRIVATE KEY-----
    
    Enter certificates of certification authorities (CA) which form the certificate chain of the server certificate. This starts with the issuing CA certificate of the server certificate and can range up to the root CA certificate.
    Do you want to continue entering root and/or intermediate certificates {y|n}: n
    
    The provided certificate does not have a common name in the subject field.
    Enter a valid common name to continue installation of the certificate: <ONTAP_CLUSTER_FQDN_NAME>
    
    You should keep a copy of the private key and the CA-signed digital certificate for future reference.
    The installed certificate's CA and serial number for reference:
    CA:
    serial:
    The certificate's generated name for reference:
    
    
    ==
    # Modify the vserver settings to enable SSL for the installed certificate
    
    ssl modify -vserver <vserver_name> -ca <CA>  -server-enabled true -serial <serial number>       (security ssl modify)
    
    ==
    # Verify if the certificate works fine:
    
    openssl s_client -CAfile ca_root.crt -showcerts -servername server -connect <ONTAP_CLUSTER_FQDN_NAME>:443
    CONNECTED(00000005)
    depth=1 DC = local, DC = umca, CN = <CA>
    verify return:1
    depth=0
    verify return:1
    write W BLOCK
    ---
    Certificate chain
    0 s:
       i:/DC=local/DC=umca/<CA>
    
    -----BEGIN CERTIFICATE-----
    <Certificate details>
  7. 為同一主機建立用戶端憑證、以進行無密碼通訊。Astra 控制中心使用此程序與 ONTAP 通訊。

  8. 在 ONTAP 上產生及安裝用戶端憑證:

    展開 SAMPLE.Yaml
    # Use /CN=admin or use some other account which has privileges.
    openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout ontap_test_client.key -out ontap_test_client.pem -subj "/CN=admin"
    
    Copy the content of ontap_test_client.pem file and use it in the below command:
    security certificate install -type client-ca -vserver <vserver_name>
    
    Please enter Certificate: Press <Enter> when done
    
    -----BEGIN CERTIFICATE-----
    <Certificate details>
    -----END CERTIFICATE-----
    
    You should keep a copy of the CA-signed digital certificate for future reference.
    The installed certificate's CA and serial number for reference:
    
    CA:
    serial:
    The certificate's generated name for reference:
    
    
    ==
    
    ssl modify -vserver <vserver_name> -client-enabled true
    (security ssl modify)
    
    # Setting permissions for certificates
    security login create -user-or-group-name admin -application ontapi -authentication-method cert -role admin -vserver <vserver_name>
    
    security login create -user-or-group-name admin -application http -authentication-method cert -role admin -vserver <vserver_name>
    
    ==
    
    #Verify passwordless communication works fine with the use of only certificates:
    
    curl --cacert ontap_signed_cert.crt  --key ontap_test_client.key --cert ontap_test_client.pem https://<ONTAP_CLUSTER_FQDN_NAME>/api/storage/aggregates
    {
    "records": [
    {
    "uuid": "f84e0a9b-e72f-4431-88c4-4bf5378b41bd",
    "name": "<aggr_name>",
    "node": {
    "uuid": "7835876c-3484-11ed-97bb-d039ea50375c",
    "name": "<node_name>",
    "_links": {
    "self": {
    "href": "/api/cluster/nodes/7835876c-3484-11ed-97bb-d039ea50375c"
    }
    }
    },
    "_links": {
    "self": {
    "href": "/api/storage/aggregates/f84e0a9b-e72f-4431-88c4-4bf5378b41bd"
    }
    }
    }
    ],
    "num_records": 1,
    "_links": {
    "self": {
    "href": "/api/storage/aggregates"
    }
    }
    }%
  9. 在 Astra Control Center UI 中新增儲存後端、並提供下列值:

    • * 用戶端憑證 * : ONTAP 測試用戶端 .pem

    • * 私密金鑰 * : ontap_test_client.key

    • * 可信 CA 證書 * : ONTAP 簽署的 _cert.crt

新增儲存後端

設定認證或憑證驗證資訊之後、您可以將現有的 ONTAP 儲存後端新增至 Astra 控制中心、以管理其資源。

將Astra Control中的儲存叢集管理為儲存後端、可讓您在持續磁碟區(PV)與儲存後端之間建立連結、以及取得額外的儲存指標。

Astra Control Provisioner : NetApp 如果您已啟用 Astra Control Center 23.10 或更新版本的 Astra Control Provisioner 、則在 Astra Control Center 中新增及管理 ONTAP 儲存後端時、是選用的。

步驟
  1. 從左側導覽區域的儀表板中、選取*後端*。

  2. 選取*「Add*」。

  3. 在「新增儲存設備後端」頁面的「使用現有的」區段中、選取 * ONTAP * 。

  4. 選取下列其中一項:

    • * 使用管理員認證 * :輸入 ONTAP 叢集管理 IP 位址和管理認證。認證資料必須是整個叢集的認證資料。

      註 您在此處輸入認證的使用者必須擁有 ontapi 使用者登入存取方法已在ONTAP 支援的叢集上的「支援系統管理程式」中啟用ONTAP 。如果您打算使用SnapMirror複寫、請套用具有「admin」角色的使用者認證、該角色具有存取方法 ontapihttp、在來源ONTAP 和目的地等叢集上。請參閱 "管理ONTAP 使用者帳戶、請參閱本文檔" 以取得更多資訊。
    • * 使用憑證 * :上傳憑證 .pem 檔案、憑證金鑰 .key 檔案、以及選擇性的憑證授權單位檔案。

  5. 選擇*下一步*。

  6. 確認後端詳細資料、然後選取*管理*。

結果

後端隨即出現在中 online 列出摘要資訊。

註 您可能需要重新整理頁面、以便顯示後端。

新增儲存庫

您可以使用Astra Control UI或來新增儲存區 "Astra Control API"。如果您想要備份應用程式和持續儲存設備、或是想要跨叢集複製應用程式、則必須新增物件存放區資源庫供應商。Astra Control會將這些備份或複製儲存在您定義的物件存放區中。

如果您要將應用程式組態和持續儲存設備複製到同一個叢集、則無需使用Astra Control中的儲存庫。應用程式快照功能不需要儲存庫。

開始之前
  • 確保您擁有一個可從 Astra Control Center 所管理的叢集存取的貯體。

  • 確保您擁有貯體的認證。

  • 確認貯體為下列其中一種類型:

    • NetApp ONTAP 產品S3

    • NetApp StorageGRID 產品S3

    • Microsoft Azure

    • 一般S3

註 Amazon Web Services(AWS)和Google Cloud Platform(GCP)使用通用S3儲存區類型。
註 雖然Astra Control Center支援Amazon S3做為通用S3儲存區供應商、但Astra Control Center可能不支援所有聲稱Amazon S3支援的物件儲存區廠商。
步驟
  1. 在左側導覽區域中、選取*鏟斗*。

  2. 選取*「Add*」。

  3. 選取貯體類型。

    註 新增儲存庫時、請選擇正確的儲存庫供應商、並提供該供應商的適當認證資料。例如、UI接受NetApp ONTAP S3作為類型並接受StorageGRID 驗證、但這將導致所有未來使用此儲存庫的應用程式備份與還原失敗。
  4. 輸入現有的庫位名稱和選用說明。

    提示 庫位名稱和說明會顯示為備份位置、您可以在建立備份時稍後選擇。此名稱也會在保護原則組態期間顯示。
  5. 輸入S3端點的名稱或IP位址。

  6. 在「選取認證」下、選擇「新增」或「使用現有」索引標籤。

    • 如果您選擇*新增*:

      1. 在Astra Control中輸入認證與其他認證不同的名稱。

      2. 從剪貼簿貼上內容、輸入存取ID和秘密金鑰。

    • 如果您選擇*使用現有*:

      1. 選取您要搭配儲存區使用的現有認證資料。

  7. 選取 Add

    註 當您新增貯體時、Astra Control會使用預設的貯體指標來標記一個貯體。您建立的第一個儲存區會成為預設儲存區。當您新增儲存庫時、可以稍後決定 "設定另一個預設儲存區"

接下來呢?

現在您已經登入Astra Control Center並新增叢集、就能開始使用Astra Control Center的應用程式資料管理功能。

如需詳細資訊、請參閱