為SnapMirror主動同步配置ONTAP調解器
建議變更
PDF
SnapMirror 主動式同步使用對等叢集,在發生容錯移轉情況時保護您的資料。ONTAP 調解器是一項關鍵資源,它透過監控每個叢集的運作狀況來確保業務連續性。若要設定 SnapMirror 主動同步,您必須先安裝 ONTAP 調解器,並驗證主叢集和輔助叢集是否已正確設定。
安裝 ONTAP Mediator 並配置叢集後, 使用自簽名憑證初始化 ONTAP 調解器以進行 SnapMirror 主動同步 。您必須如此建立、初始化及對應 SnapMirror 主動式同步的一致性群組。
資訊媒體ONTAP
ONTAP 調解器為 SnapMirror 主動同步關係中的 ONTAP 叢集所使用的高可用性 (HA) 元資料提供持久且受保護的儲存。此外, ONTAP Mediator 還提供同步節點健全狀況查詢功能,以協助仲裁判斷,並做為偵測控制器活躍度的 Ping Proxy 。
每個叢集對等關係只能與單一 ONTAP Mediator 執行個體關聯。HA Mediator 執行個體不受支援。當叢集與其他叢集處於多個對等關係中時,可使用下列 ONTAP Mediator 選項:
-
如果在每個關係上設定 SnapMirror 主動式同步,則每個叢集對等關係都可以擁有自己唯一的 ONTAP Mediator 執行個體。
-
叢集可以對所有對等關係使用相同的 ONTAP Mediator 執行個體。
例如,如果叢集 B 與叢集 A ,叢集 C 和叢集 D 之間有對等關係,則在每個關係上設定 SnapMirror 作用中同步時,所有三個叢集對等關係都可以擁有唯一的關聯 ONTAP Mediator 執行個體。或者,叢集 B 也可以對所有三個對等關係使用相同的 ONTAP Mediator 執行個體。在此案例中,叢集會列出三次相同的 ONTAP Mediator 執行個體。
從ONTAP 9.17.1 開始,您可以設定"ONTAP雲端調解器"但是,要在SnapMirror主動同步配置中監控叢集的運作狀況,您不能同時使用這兩個中介器。
-
ONTAP Mediator 本身包含一組先決條件。您必須先滿足這些先決條件,然後才能安裝 ONTAP Mediator。
有關詳細信息,請參閱"準備安裝ONTAP調解器服務" 。
-
預設情況下, ONTAP調解器透過 TCP 連接埠 31784 提供服務。您應確保連接埠 31784 在ONTAP叢集和ONTAP調解器之間處於開啟狀態且可用。
安裝 ONTAP 調解器並確認叢集配置
執行下列每個步驟來安裝 ONTAP 調解器並驗證叢集配置。對於每個步驟、您都應該確認已執行特定組態。每個步驟都包含您需要遵循的特定程序連結。
-
在驗證來源叢集和目標叢集是否配置正確之前,請安裝 ONTAP 調解器。
-
確認叢集之間存在叢集對等關係。
SnapMirror 主動同步對於叢集對等關係而言、需要預設的 IPspace 。不支援自訂 IPspace 。
使用自簽名憑證初始化 ONTAP 調解器以進行 SnapMirror 主動同步
安裝 ONTAP 調解器並確認叢集配置後,必須初始化 ONTAP 調解器以進行叢集監控。您可以使用 System Manager 或 ONTAP CLI 初始化 ONTAP 調解器。
系統管理員
使用系統管理器,您可以設定 ONTAP 調解器以實現自動故障轉移。如果您尚未使用第三方驗證的SSL憑證和CA、也可以將自行簽署的SSL和CA更換為第三方驗證的SSL憑證和CA。
|
從ONTAP 9.14.1 到 9.8, SnapMirror主動同步被稱為SnapMirror業務連續性 (SM-BC)。 |
-
瀏覽至* Protection > Overview > Mediator > Configure *。
-
選擇“新增”,然後輸入下列 ONTAP 調解器資訊:
-
IPV4位址
-
使用者名稱
-
密碼
-
憑證
-
-
您可以使用兩種方式提供「憑證」輸入:
-
* 選項( a ) * :選取 * Import (匯入) * 以瀏覽至 `intermediate.crt`檔案並將其匯入。
-
* 選項( b ) * :複製檔案內容
intermediate.crt,並將其貼到 * 憑證 * 欄位。正確輸入所有詳細資料後、所提供的憑證會安裝在所有對等叢集上。
證書新增完成後,ONTAP 調解器將會新增至 ONTAP 叢集。
下列影像示範 ONTAP Mediator 組態成功:
。 -
-
瀏覽至* Protection > Overview > Mediator > Configure *。
-
選擇“新增”,然後輸入下列 ONTAP 調解器資訊:
-
IPV4位址
-
使用者名稱
-
密碼
-
憑證
-
-
您可以使用兩種方式提供「憑證」輸入:
-
* 選項( a ) * :選取 * Import (匯入) * 以瀏覽至 `ca.crt`檔案並將其匯入。
-
* 選項( b ) * :複製檔案內容
ca.crt,並將其貼到 * 憑證 * 欄位。正確輸入所有詳細資料後、所提供的憑證會安裝在所有對等叢集上。
證書新增完成後,ONTAP 調解器將會新增至 ONTAP 叢集。
下列影像示範 ONTAP Mediator 組態成功:
。 -
CLI
您可以使用 ONTAP CLI 從主叢集或輔助叢集初始化 ONTAP 調解器。當您發出 `mediator add`指令時,ONTAP Mediator 會自動新增到另一個叢集。
使用 ONTAP 調解器監控 SnapMirror 主動同步關係時,如果沒有有效的自簽名憑證或憑證授權單位 (CA) 證書,則無法在 ONTAP 中初始化 ONTAP 調解器。您可以將有效的憑證新增至對等叢集的憑證存放區。使用 ONTAP 調解器監控 MetroCluster IP 系統時,初始設定後不會使用 HTTPS;因此,不需要憑證。
-
從 ONTAP Mediator Linux VM/ 主機軟體安裝位置尋找 ONTAP Mediator CA 憑證
cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config。 -
將有效的憑證授權單位新增至對等叢集上的憑證存放區。
範例:
[root@ontap-mediator_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
將 ONTAP Mediator CA 憑證新增至 ONTAP 叢集。出現提示時,插入從 ONTAP Mediator 取得的 CA 憑證。在所有對等叢集上重複這些步驟:
security certificate install -type server-ca -vserver <vserver_name>範例:
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
檢視使用產生的憑證名稱所安裝的自我簽署 CA 憑證:
security certificate show -common-name <common_name>範例:
C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ C1_test_cluster 6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX ONTAPMediatorCA server-ca Certificate Authority: ONTAP Mediator CA Expiration Date: Thu Feb 15 14:35:25 2029 -
在其中一個叢集上初始化 ONTAP 調解器。ONTAP 調解器將自動新增至另一個叢集:
snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name範例:
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: ****** Enter the password again: ******
-
您也可以選擇檢查工作 ID 狀態
job show -id,以確認 SnapMirror Mediator ADD 命令是否成功。範例:
C1_test_cluster::*> snapmirror mediator show This table is currently empty. C1_test_cluster::*> snapmirror mediator add -peer-cluster C2_test_cluster -type on-prem -mediator-address 1.2.3.4 -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Running Description: Creating a mediator entry C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Success Description: Creating a mediator entry C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status Type ---------------- ---------------- ----------------- ------------- ------- 1.2.3.4 C2_test_cluster connected true on-prem C1_test_cluster::*> -
檢查 ONTAP Mediator 組態的狀態:
snapmirror mediator showMediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
`Quorum Status`指示 SnapMirror 一致性群組關係是否與 ONTAP 調解器同步;狀態為 `true`表示同步成功。
-
從 ONTAP Mediator Linux VM/ 主機軟體安裝位置尋找 ONTAP Mediator CA 憑證
cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config。 -
將有效的憑證授權單位新增至對等叢集上的憑證存放區。
範例:
[root@ontap-mediator_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
將 ONTAP Mediator CA 憑證新增至 ONTAP 叢集。出現提示時、請插入從 ONTAP Mediator 取得的 CA 憑證。在所有對等叢集上重複這些步驟:
security certificate install -type server-ca -vserver <vserver_name>範例:
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
檢視使用產生的憑證名稱所安裝的自我簽署 CA 憑證:
security certificate show -common-name <common_name>範例:
C1_test_cluster::*> security certificate show -common-name ONTAPMediatorCA Vserver Serial Number Certificate Name Type ---------- --------------- -------------------------------------- ------------ C1_test_cluster 6BFD17DXXXXX7A71BB1F44D0326D2DEEXXXXX ONTAPMediatorCA server-ca Certificate Authority: ONTAP Mediator CA Expiration Date: Thu Feb 15 14:35:25 2029 -
在其中一個叢集上初始化 ONTAP 調解器。ONTAP 調解器將自動新增至另一個叢集:
snapmirror mediator add -mediator-address <ip_address> -peer-cluster <peer_cluster_name> -username user_name範例:
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: ****** Enter the password again: ******
-
您也可以選擇檢查工作 ID 狀態
job show -id,以確認 SnapMirror Mediator ADD 命令是否成功。範例:
C1_test_cluster::*> snapmirror mediator show This table is currently empty. C1_test_cluster::*> snapmirror mediator add -peer-cluster C2_test_cluster -type on-prem -mediator-address 1.2.3.4 -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Running Description: Creating a mediator entry C1_test_cluster::*> job show -id 87 Owning Job ID Name Vserver Node State ------ -------------------- ----------------- -------------- ---------- 87 mediator add C1_test_cluster C2_test Success Description: Creating a mediator entry C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status Type ---------------- ---------------- ----------------- ------------- ------- 1.2.3.4 C2_test_cluster connected true on-prem C1_test_cluster::*> -
檢查 ONTAP Mediator 組態的狀態:
snapmirror mediator showMediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
`Quorum Status`指示 SnapMirror 一致性群組關係是否與 ONTAP 調解器同步;狀態為 `true`表示同步成功。
使用協力廠商憑證重新初始化 ONTAP Mediator
您可能需要重新初始化 ONTAP 調解器。在某些情況下,例如 ONTAP 調解器 IP 位址變更、憑證過期等,可能需要重新初始化 ONTAP 調解器。
下列程序說明當自我簽署的憑證需要由協力廠商憑證取代時,針對特定案例重新初始化 ONTAP Mediator 。
您需要將 SnapMirror 主動同步叢集的自簽名證書替換為第三方證書,從 ONTAP 中刪除 ONTAP 調解器配置,然後新增 ONTAP 調解器。
系統管理員
使用系統管理器,您需要從 ONTAP 叢集中刪除使用舊的自簽名憑證設定的 ONTAP 調解器版本,然後使用新的第三方憑證重新設定 ONTAP 叢集。
-
選擇選單選項圖示並選擇*刪除*以刪除 ONTAP Mediator。
此步驟不會從 ONTAP 叢集移除自我簽署的 server-ca 。NetApp 建議您先瀏覽 * 憑證 * 索引標籤、然後手動移除、再執行下列步驟以新增協力廠商憑證: 
-
使用正確的憑證再次新增 ONTAP 調解器。
ONTAP 調解器現已設定新的第三方自簽章憑證。
CLI
您可以使用 ONTAP CLI 將自簽名憑證取代為第三方證書,從而從主叢集或輔助叢集重新初始化 ONTAP 調解器。
-
當您為所有叢集使用自我簽署憑證時,請移除先前安裝的自我 `intermediate.crt`簽署憑證。在以下範例中、有兩個叢集:
範例:
C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA 2 entries were deleted. C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA * 2 entries were deleted.
-
使用從 SnapMirror 主動式同步叢集移除先前設定的 ONTAP Mediator
-force true:範例:
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration exists on the peer cluster C2_test_cluster and remove it as well. Do you want to continue? {y|n}: y Info: [Job 136] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty. -
請參閱中所述的步驟"以信任的協力廠商憑證取代自我簽署的憑證",以取得如何從次級 CA 取得憑證的指示,稱為
intermediate.crt。以信任的協力廠商憑證取代自我簽署的憑證
具有某些屬性,這些屬性是從需要傳送至檔案中定義的 PKI 授權單位的要求所 intermediate.crt`衍生而來 `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf -
從 ONTAP Mediator Linux VM/ 主機軟體安裝位置新增第三方 ONTAP Mediator CA 憑證
intermediate.crt:範例:
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator_config]# cat intermediate.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
將檔案新增 `intermediate.crt`至對等叢集。對所有對等叢集重複此步驟:
範例:
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
從 SnapMirror 主動同步叢集移除先前設定的 ONTAP Mediator :
範例:
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster Info: [Job 86] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty.
-
再次新增 ONTAP 調解器:
範例:
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
Quorum Status指出 SnapMirror 一致性群組關係是否與中介者同步;狀態為true表示同步成功。
-
當您為所有叢集使用自我簽署憑證時,請移除先前安裝的自我 `ca.crt`簽署憑證。在以下範例中、有兩個叢集:
範例:
C1_test_cluster::*> security certificate delete -vserver C1_test_cluster -common-name ONTAPMediatorCA 2 entries were deleted. C2_test_cluster::*> security certificate delete -vserver C2_test_cluster -common-name ONTAPMediatorCA * 2 entries were deleted.
-
使用從 SnapMirror 主動式同步叢集移除先前設定的 ONTAP Mediator
-force true:範例:
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -force true Warning: You are trying to remove the ONTAP Mediator configuration with force. If this configuration exists on the peer cluster, it could lead to failure of a SnapMirror failover operation. Check if this configuration exists on the peer cluster C2_test_cluster and remove it as well. Do you want to continue? {y|n}: y Info: [Job 136] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty. -
請參閱中所述的步驟"以信任的協力廠商憑證取代自我簽署的憑證",以取得如何從次級 CA 取得憑證的指示,稱為
ca.crt。以信任的協力廠商憑證取代自我簽署的憑證
具有某些屬性,這些屬性是從需要傳送至檔案中定義的 PKI 授權單位的要求所 ca.crt`衍生而來 `/opt/netapp/lib/ontap_mediator/ontap_mediator/server_config/openssl_ca.cnf -
從 ONTAP Mediator Linux VM/ 主機軟體安裝位置新增第三方 ONTAP Mediator CA 憑證
ca.crt:範例:
[root@ontap-mediator ~]# cd /opt/netapp/lib/ontap_mediator/ontap_mediator/server_config [root@ontap-mediator_config]# cat ca.crt -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE-----
-
將檔案新增 `intermediate.crt`至對等叢集。對所有對等叢集重複此步驟:
範例:
C1_test_cluster::*> security certificate install -type server-ca -vserver C1_test_cluster Please enter Certificate: Press when done -----BEGIN CERTIFICATE----- <certificate_value> -----END CERTIFICATE----- You should keep a copy of the CA-signed digital certificate for future reference. The installed certificate's CA and serial number for reference: CA: ONTAP Mediator CA serial: D86D8E4E87142XXX The certificate's generated name for reference: ONTAPMediatorCA C1_test_cluster::*>
-
從 SnapMirror 主動同步叢集移除先前設定的 ONTAP Mediator :
範例:
C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true C1_test_cluster::*> snapmirror mediator remove -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster Info: [Job 86] 'mediator remove' job queued C1_test_cluster::*> snapmirror mediator show This table is currently empty.
-
再次新增 ONTAP 調解器:
範例:
C1_test_cluster::*> snapmirror mediator add -mediator-address 1.2.3.4 -peer-cluster C2_test_cluster -username mediatoradmin Notice: Enter the mediator password. Enter the password: Enter the password again: Info: [Job: 87] 'mediator add' job queued C1_test_cluster::*> snapmirror mediator show Mediator Address Peer Cluster Connection Status Quorum Status ---------------- ---------------- ----------------- ------------- 1.2.3.4 C2_test_cluster connected true
Quorum Status指出 SnapMirror 一致性群組關係是否與中介者同步;狀態為true表示同步成功。