本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。
配置 Oracle Linux 9.x 和 NVMe-oF 以用於ONTAP存儲
貢獻者
建議變更
PDF
Oracle Linux 主機支援基於光纖通道的 NVMe (NVMe/FC) 和基於 TCP 的 NVMe (NVMe/TCP) 協議,並支援非對稱命名空間存取 (ANA)。ANA 提供與 iSCSI 和 FCP 環境中的非對稱邏輯單元存取 (ALUA) 等效的多路徑功能。
了解如何為 Oracle Linux 9.x 配置 NVMe over Fabrics (NVMe-oF) 主機。如需更多支援和功能信息,請參閱 "Oracle Linux ONTAP支援與功能"。
NVMe-oF 與 Oracle Linux 9.x 有以下已知限制:
-
這 `nvme disconnect-all`此命令會斷開根檔案系統和資料檔案系統,可能會導致系統不穩定。請勿在透過 NVMe-TCP 或 NVMe-FC 命名空間從 SAN 啟動的系統上執行此操作。
步驟 1 :選擇性啟用 SAN 開機
您可以設定主機以使用 SAN 啟動來簡化部署並提高可擴充性。使用"互通性對照表工具"驗證您的 Linux 作業系統、主機匯流排適配器 (HBA)、HBA 韌體、HBA 啟動 BIOS 和ONTAP版本是否支援 SAN 啟動。
步驟
-
在伺服器 BIOS 中為 SAN 啟動命名空間對應到的連接埠啟用 SAN 啟動。
如需如何啟用HBA BIOS的相關資訊、請參閱廠商專屬的文件。
-
重新啟動主機並驗證作業系統是否已啟動並正在運行。
步驟 2:安裝 Oracle Linux 和 NVMe 軟體並驗證配置
使用以下步驟驗證支援的最低 Oracle Linux 9.x 軟體版本。
步驟
-
在伺服器上安裝Oracle Linux 9.x。安裝完成後,請確認您執行的是指定的 Oracle Linux 9.x 核心。
uname -rOracle Linux 核心版本範例:
6.12.0-1.23.3.2.el9uek.x86_64
-
安裝「NVMe-CLI(NVMe - CLI)套件:
rpm -qa|grep nvme-cli下面的例子展示了 `nvme-cli`軟體包版本:
nvme-cli-2.11-5.el9.x86_64
-
安裝
libnvme套件:rpm -qa|grep libnvme下面的例子展示了 `libnvme`軟體包版本:
libnvme-1.11.1-1.el9.x86_64
-
在 Oracle Linux 9.x 主機上,檢查
hostnqn`字串 `/etc/nvme/hostnqn:cat /etc/nvme/hostnqn下面的例子展示了 `hostnqn`版本:
nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb
-
在ONTAP系統中,驗證以下資訊: `hostnqn`字串匹配 `hostnqn`ONTAP儲存系統中對應子系統的字串:
vserver nvme subsystem host show -vserver vs_203顯示範例
Vserver Subsystem Priority Host NQN ------- --------- -------- -------------------------------------------------------------------- vs_203 Nvme1 regular nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb Nvme10 regular nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb Nvme11 regular nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb Nvme12 regular nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb Nvme13 regular nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb Nvme14 regular nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb
如果 hostnqn`字串不相符,您可以使用 `vserver modify`命令來更新 `hostnqn`對應 ONTAP 陣列子系統上的字串,使其與主機上的字串 `/etc/nvme/hostnqn`相符 `hostnqn。
步驟 3:設定 NVMe/FC 和 NVMe/TCP
使用 Broadcom/Emulex 或 Marvell/QLogic 適配器配置 NVMe/FC,或使用手動發現和連接操作來設定 NVMe/TCP。
NVMe/FC - 博通/Emulex
為 Broadcom / Emulex 介面卡設定 NVMe / FC 。
-
確認您使用的是支援的介面卡機型:
-
顯示模型名稱:
cat /sys/class/scsi_host/host*/modelname您應該會看到下列輸出:
LPe36002-M64-D LPe36002-M64-D
-
顯示模型描述:
cat /sys/class/scsi_host/host*/modeldesc您應該會看到類似以下範例的輸出:
Emulex LPe36002-M64-D 2-Port 64Gb Fibre Channel Adapter Emulex LPe36002-M64-D 2-Port 64Gb Fibre Channel Adapter
-
-
驗證您使用的是建議的Broadcom
lpfc韌體與收件匣驅動程式:-
顯示韌體版本:
cat /sys/class/scsi_host/host*/fwrev以下範例顯示韌體版本:
14.4.576.17, sli-4:6:d 14.4.576.17, sli-4:6:d
-
顯示收件匣驅動程式版本:
cat /sys/module/lpfc/version以下範例顯示了驅動程式版本:
0:14.4.0.8
+
如需支援的介面卡驅動程式和韌體版本的最新清單,請參閱"互通性對照表工具"。 -
-
請確認
lpfc_enable_fc4_type設為3:cat /sys/module/lpfc/parameters/lpfc_enable_fc4_type -
確認您可以檢視啟動器連接埠:
cat /sys/class/fc_host/host*/<port_name>以下範例顯示連接埠標識:
0x2100f4c7aa9d7c5c 0x2100f4c7aa9d7c5d
-
驗證啟動器連接埠是否在線上:
cat /sys/class/fc_host/host*/port_state您應該會看到下列輸出:
Online Online
-
確認已啟用 NVMe / FC 啟動器連接埠、且目標連接埠可見:
cat /sys/class/scsi_host/host*/nvme_info顯示範例
NVME Initiator Enabled XRI Dist lpfc0 Total 6144 IO 5894 ELS 250 NVME LPORT lpfc0 WWPN x100000620b3c0869 WWNN x200000620b3c0869 DID x080e00 ONLINE NVME RPORT WWPN x2001d039eabac36f WWNN x2000d039eabac36f DID x021401 TARGET DISCSRVC ONLINE NVME RPORT WWPN x20e2d039eabac36f WWNN x20e1d039eabac36f DID x02141f TARGET DISCSRVC ONLINE NVME RPORT WWPN x2011d039eabac36f WWNN x2010d039eabac36f DID x021429 TARGET DISCSRVC ONLINE NVME RPORT WWPN x2002d039eabac36f WWNN x2000d039eabac36f DID x021003 TARGET DISCSRVC ONLINE NVME RPORT WWPN x20e4d039eabac36f WWNN x20e1d039eabac36f DID x02100f TARGET DISCSRVC ONLINE NVME RPORT WWPN x2012d039eabac36f WWNN x2010d039eabac36f DID x021015 TARGET DISCSRVC ONLINE NVME Statistics LS: Xmt 0000027ccf Cmpl 0000027cca Abort 00000014 LS XMIT: Err 00000005 CMPL: xb 00000014 Err 00000014 Total FCP Cmpl 00000000000613ff Issue 00000000000613fc OutIO fffffffffffffffd abort 00000007 noxri 00000000 nondlp 00000000 qdepth 00000000 wqerr 00000000 err 00000000 FCP CMPL: xb 0000000a Err 0000000d NVME Initiator Enabled XRI Dist lpfc1 Total 6144 IO 5894 ELS 250 NVME LPORT lpfc1 WWPN x100000620b3c086a WWNN x200000620b3c086a DID x080000 ONLINE NVME RPORT WWPN x2004d039eabac36f WWNN x2000d039eabac36f DID x021501 TARGET DISCSRVC ONLINE NVME RPORT WWPN x20e3d039eabac36f WWNN x20e1d039eabac36f DID x02150f TARGET DISCSRVC ONLINE NVME RPORT WWPN x2014d039eabac36f WWNN x2010d039eabac36f DID x021515 TARGET DISCSRVC ONLINE NVME RPORT WWPN x2003d039eabac36f WWNN x2000d039eabac36f DID x02110b TARGET DISCSRVC ONLINE NVME RPORT WWPN x20e5d039eabac36f WWNN x20e1d039eabac36f DID x02111f TARGET DISCSRVC ONLINE NVME RPORT WWPN x2013d039eabac36f WWNN x2010d039eabac36f DID x021129 TARGET DISCSRVC ONLINE NVME Statistics LS: Xmt 0000027ca3 Cmpl 0000027ca2 Abort 00000017 LS XMIT: Err 00000001 CMPL: xb 00000017 Err 00000017 Total FCP Cmpl 000000000006369d Issue 000000000006369a OutIO fffffffffffffffd abort 00000007 noxri 00000000 nondlp 00000011 qdepth 00000000 wqerr 00000000 err 00000000 FCP CMPL: xb 00000008 Err 0000000c
NVMe/FC - Marvell/QLogic
為 Marvell/QLogic 介面卡設定 NVMe / FC 。
-
確認您執行的是支援的介面卡驅動程式和韌體版本:
cat /sys/class/fc_host/host*/symbolic_name以下範例顯示了驅動程式和韌體版本:
QLE2872 FW:v9.15.03 DVR:v10.02.09.300-k
-
請確認
ql2xnvmeenable已設定。這可讓 Marvell 介面卡作為 NVMe / FC 啟動器運作:cat /sys/module/qla2xxx/parameters/ql2xnvmeenable預期輸出為 1 。
NVMe / TCP
NVMe/TCP 協定不支援自動連線操作。相反,您可以透過執行 NVMe/TCP 來發現 NVMe/TCP 子系統和命名空間 `connect`或者 `connect-all`手動操作。
-
確認啟動器連接埠可在支援的NVMe/TCP LIF中擷取探索記錄頁面資料:
nvme discover -t tcp -w host-traddr -a traddr顯示範例
nvme discover -t tcp -w 192.168.30.10 -a 192.168.30.58 =====Discovery Log Entry 0====== trtype: tcp adrfam: ipv4 subtype: current discovery subsystem treq: not specified portid: 8 trsvcid: 8009 subnqn: nqn.1992-08.com.netapp:sn.064a9b19b3ee11f09dcad039eabac370:discovery traddr: 192.168.31.99 eflags: explicit discovery connections, duplicate discovery information sectype: none =====Discovery Log Entry 1====== trtype: tcp adrfam: ipv4 subtype: current discovery subsystem treq: not specified portid: 6 trsvcid: 8009 subnqn: nqn.1992-08.com.netapp:sn.064a9b19b3ee11f09dcad039eabac370:discovery traddr: 192.168.30.99 eflags: explicit discovery connections, duplicate discovery information sectype: none =====Discovery Log Entry 2====== trtype: tcp adrfam: ipv4 subtype: current discovery subsystem treq: not specified portid: 7 trsvcid: 8009 subnqn: nqn.1992-08.com.netapp:sn.064a9b19b3ee11f09dcad039eabac370:discovery traddr: 192.168.31.98 eflags: explicit discovery connections, duplicate discovery information sectype: none =====Discovery Log Entry 3====== trtype: tcp adrfam: ipv4 subtype: current discovery subsystem treq: not specified portid: 5 trsvcid: 8009 subnqn: nqn.1992-08.com.netapp:sn.064a9b19b3ee11f09dcad039eabac370:discovery traddr: 192.168.30.98 eflags: explicit discovery connections, duplicate discovery information sectype: none =====Discovery Log Entry 4====== trtype: tcp adrfam: ipv4 subtype: nvme subsystem treq: not specified portid: 8 trsvcid: 4420 subnqn: nqn.1992-08.com.netapp:sn.064a9b19b3ee11f09dcad039eabac370:subsystem.subsys_kvm traddr: 192.168.31.99 eflags: none sectype: none =====Discovery Log Entry 5====== trtype: tcp adrfam: ipv4 subtype: nvme subsystem treq: not specified portid: 6 trsvcid: 4420 subnqn: nqn.1992-08.com.netapp:sn.064a9b19b3ee11f09dcad039eabac370:subsystem.subsys_kvm traddr: 192.168.30.99 eflags: none sectype: none =====Discovery Log Entry 6====== trtype: tcp adrfam: ipv4 subtype: nvme subsystem treq: not specified portid: 7 trsvcid: 4420 subnqn: nqn.1992-08.com.netapp:sn.064a9b19b3ee11f09dcad039eabac370:subsystem.subsys_kvm traddr: 192.168.31.98 eflags: none sectype: none =====Discovery Log Entry 7====== trtype: tcp adrfam: ipv4 subtype: nvme subsystem treq: not specified portid: 5 trsvcid: 4420 subnqn: nqn.1992-08.com.netapp:sn.064a9b19b3ee11f09dcad039eabac370:subsystem.subsys_kvm traddr: 192.168.30.98 eflags: none sectype: none
-
確認其他的 NVMe / TCP 啟動器目標 LIF 組合可以成功擷取探索記錄頁面資料:
nvme discover -t tcp -w host-traddr -a traddr顯示範例
nvme discover -t tcp -w 192.168.30.10 -a 192.168.30.58 nvme discover -t tcp -w 192.168.30.10 -a 192.168.30.59 nvme discover -t tcp -w 192.168.31.10 -a 192.168.31.58 nvme discover -t tcp -w 192.168.31.10 -a 192.168.31.59
-
執行
nvme connect-all跨所有節點支援的 NVMe / TCP 啟動器目標生命體執行命令:nvme connect-all -t tcp -w host-traddr -a traddr顯示範例
nvme connect-all -t tcp -w 192.168.30.10 -a 192.168.30.58 nvme connect-all -t tcp -w 192.168.30.10 -a 192.168.30.59 nvme connect-all -t tcp -w 192.168.31.10 -a 192.168.31.58 nvme connect-all -t tcp -w 192.168.31.10 -a 192.168.31.59
從 Oracle Linux 9.4 開始,NVMe/TCP 的設置 `ctrl_loss_tmo timeout`自動設定為“關閉”。因此:
-
重試次數沒有限制(無限重試)。
-
您不需要手動配置特定的 `ctrl_loss_tmo timeout`使用時長 `nvme connect`或者 `nvme connect-all`命令(選項 -l )。
-
如果發生路徑故障,NVMe/TCP 控制器不會逾時,並且會無限期地保持連線。
步驟 4:(可選)修改 udev 規則中的 iopolicy
主機上的 Oracle Linux 9.x 將 NVMe-oF 的預設 iopolicy 設定為 round-robin。從 Oracle Linux 9.6 開始,您可以將 iopolicy 變更為 queue-depth 透過修改 udev 規則檔。
步驟
-
使用 root 權限在文字編輯器中開啟 udev 規則檔:
/usr/lib/udev/rules.d/71-nvmf-netapp.rules您應該會看到下列輸出:
vi /usr/lib/udev/rules.d/71-nvmf-netapp.rules
-
找到設定NetApp ONTAP控制器 iopolicy 的那行程式碼。
以下範例展示了一條範例規則:
ACTION=="add", SUBSYSTEM=="nvme-subsystem", ATTR{subsystype}=="nvm", ATTR{model}=="NetApp ONTAP Controller", ATTR{iopolicy}="round-robin" -
修改規則,以便
round-robin`變成 `queue-depth:ACTION=="add", SUBSYSTEM=="nvme-subsystem", ATTR{subsystype}=="nvm", ATTR{model}=="NetApp ONTAP Controller", ATTR{iopolicy}="queue-depth" -
重新載入udev規則並套用變更:
udevadm control --reload udevadm trigger --subsystem-match=nvme-subsystem -
請檢查子系統的目前 I/O 策略。例如,替換<子系統>
nvme-subsys0。cat /sys/class/nvme-subsystem/<subsystem>/iopolicy您應該會看到下列輸出:
queue-depth.
|
|
新的 iopolicy 會自動套用於相符的NetApp ONTAP控制器設備。無需設定。 |
步驟 5:可選,啟用 NVMe/FC 的 1MB I/O。
ONTAP在識別控制器資料中報告最大資料傳輸大小 (MDTS) 為 8。這意味著最大 I/O 請求大小可達 1MB。若要向 Broadcom NVMe/FC 主機發出 1MB 大小的 I/O 要求,您應該會增加 `lpfc`的價值 `lpfc_sg_seg_cnt`參數從預設值 64 更改為 256。
|
|
這些步驟不適用於 Qlogic NVMe / FC 主機。 |
步驟
-
將 `lpfc_sg_seg_cnt`參數設定為 256 :
cat /etc/modprobe.d/lpfc.conf您應該會看到類似以下範例的輸出:
options lpfc lpfc_sg_seg_cnt=256
-
執行 `dracut -f`命令,然後重新啟動主機。
-
確認的值 `lpfc_sg_seg_cnt`為 256 :
cat /sys/module/lpfc/parameters/lpfc_sg_seg_cnt
步驟 6:驗證 NVMe 啟動服務
從 Oracle Linux 9.5 開始, `nvmefc-boot-connections.service`和 `nvmf-autoconnect.service`NVMe/FC 中包含的啟動服務 `nvme-cli`系統啟動時會自動啟用軟體包。
啟動完成後,驗證 `nvmefc-boot-connections.service`和 `nvmf-autoconnect.service`啟動服務已啟用。
步驟
-
確認 `nvmf-autoconnect.service`已啟用:
systemctl status nvmf-autoconnect.service顯示範例輸出
nvmf-autoconnect.service - Connect NVMe-oF subsystems automatically during boot Loaded: loaded (/usr/lib/systemd/system/nvmf-autoconnect.service; enabled; preset: disabled) Active: inactive (dead) since Tue 2025-10-07 09:48:11 EDT; 1 week 0 days ago Main PID: 2620 (code=exited, status=0/SUCCESS) CPU: 19ms Oct 07 09:48:11 R650xs-13-211 systemd[1]: Starting Connect NVMe-oF subsystems automatically during boot... Oct 07 09:48:11 R650xs-13-211 systemd[1]: nvmf-autoconnect.service: Deactivated successfully. Oct 07 09:48:11 R650xs-13-211 systemd[1]: Finished Connect NVMe-oF subsystems automatically during boot. -
確認 `nvmefc-boot-connections.service`已啟用:
systemctl status nvmefc-boot-connections.service顯示範例輸出
nvmefc-boot-connections.service - Auto-connect to subsystems on FC-NVME devices found during boot Loaded: loaded (/usr/lib/systemd/system/nvmefc-boot-connections.service; enabled; preset: enabled) Active: inactive (dead) since Tue 2025-10-07 09:47:07 EDT; 1 week 0 days ago Main PID: 1651 (code=exited, status=0/SUCCESS) CPU: 14ms Oct 07 09:47:07 R650xs-13-211 systemd[1]: Starting Auto-connect to subsystems on FC-NVME devices found during boot... Oct 07 09:47:07 R650xs-13-211 systemd[1]: nvmefc-boot-connections.service: Deactivated successfully. Oct 07 09:47:07 R650xs-13-211 systemd[1]: Finished Auto-connect to subsystems on FC-NVME devices found during boot.
步驟 7:驗證多路徑配置
驗證核心內建 NVMe 多重路徑狀態, ANA 狀態和 ONTAP 命名空間是否適用於 NVMe 組態。
步驟
-
確認已啟用核心內建 NVMe 多重路徑:
cat /sys/module/nvme_core/parameters/multipath您應該會看到下列輸出:
Y
-
驗證個別 ONTAP 命名空間的適當 NVMe 設定(例如、模型設定為 NetApp ONTAP 控制器、負載平衡 iopolicing 設定為循環)是否正確反映在主機上:
-
顯示子系統:
cat /sys/class/nvme-subsystem/nvme-subsys*/model您應該會看到下列輸出:
NetApp ONTAP Controller NetApp ONTAP Controller
-
顯示策略:
cat /sys/class/nvme-subsystem/nvme-subsys*/iopolicy您應該可以看到 iopolicy 的值設置,例如:
queue-depth queue-depth
-
-
確認已在主機上建立並正確探索命名空間:
nvme list顯示範例
Node Generic SN Model Namespace Usage Format FW Rev --------------- --------------- -------------------- ------------------------ ---------- -------------------------- ------------- -------- /dev/nvme102n1 /dev/ng102n1 81LLqNYTindCAAAAAAAk NetApp ONTAP Controller 0x1 2.25 GB / 5.37 GB 4 KiB + 0 B 9.17.1 /dev/nvme102n2 /dev/ng102n2 81LLqNYTindCAAAAAAAk NetApp ONTAP Controller 0x2 2.25 GB / 5.37 GB 4 KiB + 0 B 9.17.1 /dev/nvme106n1 /dev/ng106n1 81LLqNYTindCAAAAAAAs NetApp ONTAP Controller 0x1 2.25 GB / 5.37 GB 4 KiB + 0 B 9.17.1 /dev/nvme106n2 /dev/ng106n2 81LLqNYTindCAAAAAAAs NetApp ONTAP Controller 0x2 2.25 GB / 5.37 GB 4 KiB + 0 B 9.17.1
-
確認每個路徑的控制器狀態均為有效、且具有正確的ANA狀態:
NVMe / FCnvme list-subsys /dev/nvme4n5顯示範例
nvme-subsys4 - NQN=nqn.1992-08.com.netapp:sn.f9c6d0cb4fef11f08579d039eaa8138c:discovery hostnqn=nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb \ +- nvme2 fc traddr=nn-0x201ad039eabac36f:pn-0x201bd039eabac36f,host_traddr=nn-0x2000f4c7aa9d7c5c:pn-0x2100f4c7aa9d7c5c live optimized +- nvme8 fc traddr=nn-0x201ad039eabac36f:pn-0x201dd039eabac36f,host_traddr=nn-0x2000f4c7aa9d7c5d:pn-0x2100f4c7aa9d7c5d live non-optimized +- nvme2 fc traddr=nn-0x201ad039eabac36f:pn-0x201bd039eabac36f,host_traddr=nn-0x2000f4c7aa9d7c5c:pn-0x2100f4c7aa9d7c5c live non-optimized +- nvme8 fc traddr=nn-0x201ad039eabac36f:pn-0x201dd039eabac36f,host_traddr=nn-0x2000f4c7aa9d7c5d:pn-0x2100f4c7aa9d7c5d live optimized
NVMe / TCPnvme list-subsys /dev/nvme1n1顯示範例
nvme-subsys98 - NQN=nqn.1992-08.com.netapp:sn.f9c6d0cb4fef11f08579d039eaa8138c:subsystem.Nvme9 hostnqn=nqn.2014-08.org.nvmexpress:uuid:b1d95cd0-1f7c-11ec-b8d1-3a68dd61a1cb \ +- nvme100 fc traddr=nn-0x201ad039eabac36f:pn-0x201dd039eabac36f,host_traddr=nn-0x2000f4c7aa9d7c5d:pn-0x2100f4c7aa9d7c5d live non-optimized +- nvme101 fc traddr=nn-0x201ad039eabac36f:pn-0x201cd039eabac36f,host_traddr=nn-0x2000f4c7aa9d7c5c:pn-0x2100f4c7aa9d7c5c live non-optimized +- nvme98 fc traddr=nn-0x201ad039eabac36f:pn-0x201bd039eabac36f,host_traddr=nn-0x2000f4c7aa9d7c5c:pn-0x2100f4c7aa9d7c5c live optimized +- nvme99 fc traddr=nn-0x201ad039eabac36f:pn-0x201ed039eabac36f,host_traddr=nn-0x2000f4c7aa9d7c5d:pn-0x2100f4c7aa9d7c5d live optimized [root@SR630-13-203 ~]# -
驗證NetApp外掛程式是否顯示每ONTAP 個版本名稱空間裝置的正確值:
欄位nvme netapp ontapdevices -o column顯示範例
Device Vserver Namespace Path NSID UUID Size ---------------- ---------- ----------------------- ---- -------------------------------------- ------ /dev/nvme102n1 vs_203 /vol/Nvmevol35/ns35 1 00e760c9-e4ca-4d9f-b1d4-e9a930bf53c0 5.37GB /dev/nvme102n2 vs_203 /vol/Nvmevol83/ns83 2 1fa97524-7dc2-4dbc-b4cf-5dda9e7095c0 5.37GB
JSONnvme netapp ontapdevices -o json顯示範例
{ "ONTAPdevices":[ { "Device":"/dev/nvme11n1", "Vserver":"vs_203", "Namespace_Path":"/vol/Nvmevol16/ns16", "NSID":1, "UUID":"18a88771-8b5b-4eb7-bff0-2ae261f488e4", "LBA_Size":4096, "Namespace_Size":5368709120, "UsedBytes":2262282240, "Version":"9.17.1" } ] }
步驟 8:設定安全帶內身份驗證
Oracle Linux 9.x 主機和ONTAP控制器之間透過 NVMe/TCP 支援安全的帶內身份驗證。
每個主機或控制器都必須與一個 DH-HMAC-CHAP 金鑰關聯,才能建立安全性驗證。 DH-HMAC-CHAP 金鑰是 NVMe 主機或控制器的 NQN 與管理員設定的驗證金鑰的組合。為了驗證對等方的身份,NVMe 主機或控制器必須識別與對等方關聯的金鑰。
使用 CLI 或設定 JSON 檔案設定安全的帶內身份驗證。如果需要為不同的子系統指定不同的 dhchap 金鑰,請使用 config JSON 檔案。
CLI
使用 CLI 設定安全的頻內驗證。
-
取得主機 NQN :
cat /etc/nvme/hostnqn -
為 Linux 主機產生 dhchap 金鑰。
下列輸出說明 `gen-dhchap-key`命令參數:
nvme gen-dhchap-key -s optional_secret -l key_length {32|48|64} -m HMAC_function {0|1|2|3} -n host_nqn • -s secret key in hexadecimal characters to be used to initialize the host key • -l length of the resulting key in bytes • -m HMAC function to use for key transformation 0 = none, 1- SHA-256, 2 = SHA-384, 3=SHA-512 • -n host NQN to use for key transformation在下列範例中、會產生一個隨機的 dhchap 金鑰、其中 HMAC 設為 3 ( SHA-512 )。
# nvme gen-dhchap-key -m 3 -n nqn.2014-08.org.nvmexpress:uuid:4c4c4544-0056-5410-8048-c4c04f425633 DHHC-1:03:xhAfbAD5IVLZDxiVbmFEOA5JZ3F/ERqTXhHzZQJKgkYkTbPI9dhRyVtr4dBD+SGiAJO3by4FbnVtov1Lmk+86+nNc6k=:
-
在 ONTAP 控制器上、新增主機並指定兩個 dhchap 金鑰:
vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function {sha-256|sha-512} -dhchap-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} -
主機支援兩種驗證方法:單向和雙向。在主機上、連線至 ONTAP 控制器、並根據所選的驗證方法指定 dhchap 金鑰:
nvme connect -t tcp -w <host-traddr> -a <tr-addr> -n <host_nqn> -S <authentication_host_secret> -C <authentication_controller_secret> -
驗證
nvme connect authentication命令驗證主機和控制器 dhchap 金鑰:-
驗證主機 dhchap 金鑰:
cat /sys/class/nvme-subsystem/<nvme-subsysX>/nvme*/dhchap_secret顯示單向組態的輸出範例
cat /sys/class/nvme-subsystem/nvme-subsys1/nvme*/dhchap_secret DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=: DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=: DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=: DHHC-1:03:Y5VkkESgmtTGNdX842qemNpFK6BXYVwwnqErgt3IQKP5Fbjje\/JSBOjG5Ea3NBLRfuiAuUSDUto6eY\/GwKoRp6AwGkw=:
-
驗證控制器 dhchap 按鍵:
cat /sys/class/nvme-subsystem/<nvme-subsysX>/nvme*/dhchap_ctrl_secret顯示雙向組態的輸出範例
cat /sys/class/nvme-subsystem/nvme-subsys6/nvme*/dhchap_ctrl_secret DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=: DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=: DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=: DHHC-1:03:frpLlTrnOYtcWDxPzq4ccxU1UrH2FjV7hYw5s2XEDB+lo+TjMsOwHR\/NFtM0nBBidx+gdoyUcC5s6hOOtTLDGcz0Kbs=:
-
JSON
當 ONTAP 控制器組態上有多個 NVMe 子系統可供使用時、您可以搭配命令使用該 /etc/nvme/config.json`檔案 `nvme connect-all。
使用 `-o`選項來產生 JSON 檔案。如需更多語法選項,請參閱 NVMe Connect All 手冊頁。
-
設定Json檔案:
顯示範例
[ { "hostnqn":"nqn.2014-08.org.nvmexpress:uuid:4c4c4544-0056-5410-8048-c4c04f425633", "hostid":"4c4c4544-0056-5410-8048-c4c04f425633", "dhchap_key":"DHHC-1:01:nFg06gV0FNpXqoiLOF0L+swULQpZU/PjU9v/McDeJHjTZFlF:", "subsystems":[ { "nqn":"nqn.1992-08.com.netapp:sn.09035a8d8c8011f0ac0fd039eabac370:subsystem.subsys", "ports":[ { "transport":"tcp", "traddr":"192.168.30.69", "host_traddr":"192.168.30.10", "trsvcid":"4420", "dhchap_ctrl_key":"DHHC-1:03:n3F8d+bvxKW/s+lEhqXaOohI2sxrQ9iLutzduuFq49JgdjjaFtTpDSO9kQl/bvZj+Bo3rdHh3xPXeP6a4xyhcRyqdds=:" } ] } ] } ]
在上述範例中, dhchap_key`對應於 `dhchap_secret,並dhchap_ctrl_key`對應至 `dhchap_ctrl_secret。 -
使用組態 JSON 檔案連線至 ONTAP 控制器:
nvme connect-all -J /etc/nvme/config.json -
確認已為每個子系統的個別控制器啟用 dhchap 機密:
-
驗證主機 dhchap 金鑰:
cat /sys/class/nvme-subsystem/nvme-subsys0/nvme0/dhchap_secret以下範例顯示了 dhchap 金鑰:
DHHC-1:01:nFg06gV0FNpXqoiLOF0L+swULQpZU/PjU9v/McDeJHjTZFlF:
-
驗證控制器 dhchap 按鍵:
cat /sys/class/nvme-subsystem/nvme-subsys0/nvme0/dhchap_ctrl_secret您應該會看到類似以下範例的輸出:
DHHC-1:03:n3F8d+bvxKW/s+lEhqXaOohI2sxrQ9iLutzduuFq49JgdjjaFtTpDSO9kQl/bvZj+Bo3rdHh3xPXeP6a4xyhcRyqdds=:
-
步驟 9 :檢閱已知問題
沒有已知問題。