安裝後 ONTAP Mediator 組態
建議變更
PDF
安裝並執行 ONTAP Mediator 後,必須在 ONTAP 儲存系統中執行其他設定任務才能使用 ONTAP Mediator 功能:
-
若要在 MetroCluster IP 設定中使用 ONTAP 調解器,請參閱"透過 MetroCluster IP 配置來設定 ONTAP 調解器" 。
-
若要使用 SnapMirror 作用中同步處理,請參閱"安裝 ONTAP 調解器並確認 ONTAP 叢集配置"。
設定 ONTAP Mediator 安全性原則
ONTAP 調解器支援多種可設定的安全性設定。所有設定的預設值都是以唯讀檔案提供 low_space_threshold_mib: 10:
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.user_config.yaml
放置在中的所有值 ontap_mediator.user_config.yaml 會覆寫預設值、並在所有 ONTAP Mediator 升級中維護。
修改後 ontap_mediator.user_config.yaml ,重新啟動 ONTAP 調解器:
systemctl restart ontap_mediator
修改 ONTAP Mediator 屬性
如有需要,可修改本節所述的 ONTAP Mediator 屬性。
|
不應變更中的其他預設值 ontap_mediator.config.yaml,因為在 ONTAP Mediator 升級期間不會維護修改的值。
|
您可以將必要的變數複製到檔案中以覆寫預設設定,藉此修改 ONTAP Mediator 屬性 ontap_mediator.user_config.yaml。
安裝協力廠商 SSL 憑證
如果您需要以協力廠商 SSL 憑證取代預設的自我簽署憑證,請修改下列檔案中的某些屬性:
-
/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml -
/opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini
這些檔案中的變數用於控制 ONTAP Mediator 使用的憑證檔案。
下表列出的預設變數會包含在檔案中 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml。
| 變動 | 路徑 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
`cert_valid_days`用於設定用戶端憑證的到期日。最大值為三年( 1095 天)。
-
`x509_passin_pwd`是簽署用戶端憑證的密碼。
下表列出的預設變數會包含在檔案中 /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini。
| 變動 | 路徑 |
|---|---|
|
|
|
|
|
|
下表列出的預設變數會包含在檔案中 /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/ontap_mediator.config.yaml。
| 變動 | 路徑 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-
`cert_valid_days`用於設定用戶端憑證的到期日。最大值為三年( 1095 天)。
-
`x509_passin_pwd`是簽署用戶端憑證的密碼。
下表列出的預設變數會包含在檔案中 /opt/netapp/lib/ontap_mediator/uwsgi/ontap_mediator.ini。
| 變動 | 路徑 |
|---|---|
|
|
|
|
|
|
如果修改這些屬性,請重新啟動 ONTAP 調解器以套用變更。如需如何以協力廠商憑證取代預設憑證的詳細指示,請參閱"以信任的第三方憑證取代自我簽署的憑證"。
密碼攻擊保護
下列設定可防止暴力式密碼猜測攻擊。
若要啟用此功能,請設定和的 retry_limit`值 `window_seconds。
範例:
-
提供 5 分鐘的猜測時間、然後將計數重設為零故障:
authentication_lock_window_seconds: 300 -
如果在時間範圍內發生五次故障、請鎖定帳戶:
authentication_retry_limit: 5 -
設定在拒絕每次嘗試之前發生的延遲、以降低暴力式密碼猜測攻擊的影響、進而減緩攻擊速度。
authentication_failure_delay_seconds: 5authentication_failure_delay_seconds: 0 # seconds (float) to delay failed auth attempts prior to response, 0 = no delay authentication_lock_window_seconds: null # seconds (int) since the oldest failure before resetting the retry counter, null = no window authentication_retry_limit: null # number of retries to allow before locking API access, null = unlimited
密碼複雜度規則
下列欄位可控制 ONTAP Mediator API 使用者帳戶的密碼複雜度規則。
password_min_length: 8 password_max_length: 64 password_uppercase_chars: 0 # min. uppercase characters password_lowercase_chars: 1 # min. lowercase character password_special_chars: 1 # min. non-letter, non-digit password_nonletter_chars: 2 # min. non-letter characters (digits, specials, anything)
控制可用空間
有一些設定可控制磁碟上所需的可用空間 /opt/netapp/lib/ontap_mediator。
如果空間低於設定的臨界值、服務將會發出警告事件。
low_space_threshold_mib: 10
控制保留記錄空間
reserve_log_space 是由特定設定所控制。預設情況下,ONTAP Mediator 安裝會為日誌建立單獨的磁碟空間。安裝程式會建立一個新的固定大小文件,其磁碟空間總計為 700MB,專門用於 ONTAP Mediator 日誌記錄。
若要停用此功能並使用預設磁碟空間、請執行下列步驟:
-
將 reserve_log_space 的值從 1 變更為 0 :
/opt/netapp/lib/ontap_mediator/tools/mediator_env -
重新啟動 Mediator :
-
cat /opt/netapp/lib/ontap_mediator/tools/mediator_env | grep "RESERVE_LOG_SPACE"RESERVE_LOG_SPACE=0
-
systemctl restart ontap_mediator
-
若要重新啟用此功能,請將值從 0 變更為 1 ,然後重新啟動 Mediator 。
|
|
在磁碟空間之間切換不會清除現有記錄。 切換並重新啟動 Mediator 之後、所有先前的記錄都會備份、然後移至目前的磁碟空間。 |