準備使用ONTAP 不含NAS的驅動程式來設定後端
瞭解使用 ONTAP NAS 驅動程式設定 ONTAP 後端的需求、驗證選項和匯出原則。
需求
-
對於所有ONTAP 的不支援端點、Astra Trident至少需要指派一個集合體給SVM。
-
您可以執行多個驅動程式、並建立指向其中一個或另一個的儲存類別。例如、您可以設定使用驅動程式的 Gold 類別
ontap-nas
、以及使用該類別的 Bronze 類別ontap-nas-economy
。 -
您所有的Kubernetes工作節點都必須安裝適當的NFS工具。如"請按這裡"需詳細資訊、請參閱。
-
Astra Trident僅支援安裝在Windows節點上執行的Pod上的SMB磁碟區。如 準備配置SMB磁碟區 需詳細資訊、請參閱。
驗證 ONTAP 後端
Astra Trident提供兩種驗ONTAP 證功能來驗證支援的後端。
-
認證型:此模式需要對 ONTAP 後端擁有足夠的權限。建議您使用與預先定義的安全登入角色相關聯的帳戶、例如 `admin`或、 `vsadmin`以確保與 ONTAP 版本的最大相容性。
-
憑證型:此模式需要在後端安裝憑證、 Astra Trident 才能與 ONTAP 叢集通訊。在此處、後端定義必須包含用戶端憑證、金鑰及信任的CA憑證(建議使用)的Base64編碼值。
您可以更新現有的後端、以便在認證型和憑證型方法之間移動。不過、一次只支援一種驗證方法。若要切換至不同的驗證方法、您必須從後端組態中移除現有方法。
如果您嘗試同時提供*認證與認證*、後端建立將會失敗、並在組態檔中提供多種驗證方法。 |
啟用認證型驗證
Astra Trident需要SVM範圍/叢集範圍管理員的認證資料、才能與ONTAP 該後端進行通訊。建議您使用標準的預先定義角色、例如 admin`或 `vsadmin
。這可確保與未來ONTAP 的支援版本保持前瞻相容、因為未來的Astra Trident版本可能會使用功能API。您可以建立自訂的安全登入角色、並與Astra Trident搭配使用、但不建議使用。
後端定義範例如下所示:
--- version: 1 backendName: ExampleBackend storageDriverName: ontap-nas managementLIF: 10.0.0.1 dataLIF: 10.0.0.2 svm: svm_nfs username: vsadmin password: password
{ "version": 1, "backendName": "ExampleBackend", "storageDriverName": "ontap-nas", "managementLIF": "10.0.0.1", "dataLIF": "10.0.0.2", "svm": "svm_nfs", "username": "vsadmin", "password": "password" }
請記住、後端定義是唯一以純文字儲存認證的位置。建立後端之後、使用者名稱/密碼會以Base64編碼、並儲存為Kubernetes機密。建立/更新後端是唯一需要知道認證資料的步驟。因此、這是一項純管理員操作、由Kubernetes /儲存管理員執行。
啟用憑證型驗證
新的和現有的後端可以使用憑證、並與ONTAP 該後端通訊。後端定義需要三個參數。
-
用戶端憑證:用戶端憑證的Base64編碼值。
-
用戶端私密金鑰:關聯私密金鑰的Base64編碼值。
-
信任的CACertifate:受信任CA憑證的Base64編碼值。如果使用信任的CA、則必須提供此參數。如果未使用信任的CA、則可忽略此問題。
典型的工作流程包括下列步驟。
-
產生用戶端憑證和金鑰。產生時、請將Common Name(CN)(一般名稱(CN))設定為ONTAP 驗證身分。
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout k8senv.key -out k8senv.pem -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=vsadmin"
-
將信任的CA憑證新增ONTAP 至整個叢集。這可能已由儲存管理員處理。如果未使用信任的CA、請忽略。
security certificate install -type server -cert-name <trusted-ca-cert-name> -vserver <vserver-name> ssl modify -vserver <vserver-name> -server-enabled true -client-enabled true -common-name <common-name> -serial <SN-from-trusted-CA-cert> -ca <cert-authority>
-
在ONTAP 支援叢集上安裝用戶端憑證和金鑰(步驟1)。
security certificate install -type client-ca -cert-name <certificate-name> -vserver <vserver-name> security ssl modify -vserver <vserver-name> -client-enabled true
-
確認 ONTAP 安全登入角色支援 `cert`驗證方法。
security login create -user-or-group-name vsadmin -application ontapi -authentication-method cert -vserver <vserver-name> security login create -user-or-group-name vsadmin -application http -authentication-method cert -vserver <vserver-name>
-
使用產生的憑證測試驗證。以ONTAP Management LIF IP和SVM名稱取代<SfManagement LIF>和<vserver name>。您必須確保 LIF 的服務原則設定為
default-data-management
。curl -X POST -Lk https://<ONTAP-Management-LIF>/servlets/netapp.servlets.admin.XMLrequest_filer --key k8senv.key --cert ~/k8senv.pem -d '<?xml version="1.0" encoding="UTF-8"?><netapp xmlns="http://www.netapp.com/filer/admin" version="1.21" vfiler="<vserver-name>"><vserver-get></vserver-get></netapp>'
-
使用Base64編碼憑證、金鑰和信任的CA憑證。
base64 -w 0 k8senv.pem >> cert_base64 base64 -w 0 k8senv.key >> key_base64 base64 -w 0 trustedca.pem >> trustedca_base64
-
使用從上一步取得的值建立後端。
cat cert-backend-updated.json { "version": 1, "storageDriverName": "ontap-nas", "backendName": "NasBackend", "managementLIF": "1.2.3.4", "dataLIF": "1.2.3.8", "svm": "vserver_test", "clientCertificate": "Faaaakkkkeeee...Vaaalllluuuueeee", "clientPrivateKey": "LS0tFaKE...0VaLuES0tLS0K", "storagePrefix": "myPrefix_" } #Update backend with tridentctl tridentctl update backend NasBackend -f cert-backend-updated.json -n trident +------------+----------------+--------------------------------------+--------+---------+ | NAME | STORAGE DRIVER | UUID | STATE | VOLUMES | +------------+----------------+--------------------------------------+--------+---------+ | NasBackend | ontap-nas | 98e19b74-aec7-4a3d-8dcf-128e5033b214 | online | 9 | +------------+----------------+--------------------------------------+--------+---------+
更新驗證方法或旋轉認證資料
您可以更新現有的後端、以使用不同的驗證方法或旋轉其認證資料。這兩種方法都可行:使用使用者名稱/密碼的後端可更新以使用憑證;使用憑證的後端可更新為使用者名稱/密碼。若要這麼做、您必須移除現有的驗證方法、然後新增驗證方法。然後使用包含執行所需參數的更新後端 .json 檔案 tridentctl update backend
。
cat cert-backend-updated.json { "version": 1, "storageDriverName": "ontap-nas", "backendName": "NasBackend", "managementLIF": "1.2.3.4", "dataLIF": "1.2.3.8", "svm": "vserver_test", "username": "vsadmin", "password": "password", "storagePrefix": "myPrefix_" } #Update backend with tridentctl tridentctl update backend NasBackend -f cert-backend-updated.json -n trident +------------+----------------+--------------------------------------+--------+---------+ | NAME | STORAGE DRIVER | UUID | STATE | VOLUMES | +------------+----------------+--------------------------------------+--------+---------+ | NasBackend | ontap-nas | 98e19b74-aec7-4a3d-8dcf-128e5033b214 | online | 9 | +------------+----------------+--------------------------------------+--------+---------+
當您旋轉密碼時、儲存管理員必須先更新ONTAP 使用者的密碼(位於BIOS)。接著是後端更新。在循環憑證時、可將多個憑證新增至使用者。然後更新後端以使用新的憑證、之後可從ONTAP 該叢集刪除舊的憑證。 |
更新後端不會中斷對已建立之磁碟區的存取、也不會影響之後建立的磁碟區連線。成功的後端更新顯示Astra Trident可以與ONTAP 該後端通訊、並處理未來的Volume作業。
管理NFS匯出原則
Astra Trident使用NFS匯出原則來控制其所配置之磁碟區的存取。
使用匯出原則時、Astra Trident提供兩種選項:
-
Astra Trident可動態管理匯出原則本身;在此作業模式中、儲存管理員會指定代表可接受IP位址的CIDR區塊清單。Astra Trident會自動將這些範圍內的節點IP新增至匯出原則。或者、如果未指定CIDR、則會將節點上找到的任何全域範圍單點傳送IP新增至匯出原則。
-
儲存管理員可以建立匯出原則、並手動新增規則。除非在組態中指定不同的匯出原則名稱、否則Astra Trident會使用預設的匯出原則。
動態管理匯出原則
Astra Trident 提供動態管理 ONTAP 後端匯出原則的能力。這可讓儲存管理員為工作節點IP指定允許的位址空間、而非手動定義明確的規則。它可大幅簡化匯出原則管理;修改匯出原則不再需要在儲存叢集上進行手動介入。此外、這有助於限制只有在指定範圍內有IP的工作者節點才能存取儲存叢集、以支援精細且自動化的管理。
使用動態匯出原則時、請勿使用網路位址轉譯( NAT )。使用 NAT 時、儲存控制器會看到前端 NAT 位址、而非實際 IP 主機位址、因此在匯出規則中找不到相符項目時、就會拒絕存取。 |
範例
必須使用兩種組態選項。以下是後端定義範例:
--- version: 1 storageDriverName: ontap-nas backendName: ontap_nas_auto_export managementLIF: 192.168.0.135 svm: svm1 username: vsadmin password: password autoExportCIDRs: - 192.168.0.0/24 autoExportPolicy: true
使用此功能時、您必須確保SVM中的根連接點具有先前建立的匯出原則、並具有允許節點CIDR區塊(例如預設匯出原則)的匯出規則。請務必遵循 NetApp 建議的最佳實務做法、將 SVM 專門用於 Astra Trident 。 |
以下是使用上述範例說明此功能的運作方式:
-
autoExportPolicy`設定為 `true
。這表示 Astra Trident 將為 SVM 建立匯出原則svm1
、並使用位址區塊處理規則的新增和刪除autoExportCIDRs
。例如、 UUID 為 403b5326-8482-40der-96d0-d83fb3f4daec 的後端、並autoExportPolicy`設為 `true`在 SVM 上建立名為的匯出原則 `trident-403b5326-8482-40db-96d0-d83fb3f4daec
。 -
`autoExportCIDRs`包含位址區塊清單。此欄位為選用欄位、預設為「0.00.0.0/0」、「:/0」。如果未定義、Astra Trident會新增在工作者節點上找到的所有全域範圍單點傳送位址。
在此範例中 192.168.0.0/24
、會提供位址空間。這表示、屬於此位址範圍的Kubernetes節點IP將新增至Astra Trident所建立的匯出原則。當 Astra Trident 登錄其執行的節點時、它會擷取節點的 IP 位址、並對照中提供的位址區塊進行檢查 autoExportCIDRs
。在篩選 IP 之後、 Astra Trident 會為其探索到的用戶端 IP 建立匯出原則規則、並針對其識別的每個節點建立一個規則。
您可以在建立後更新 autoExportPolicy`及 `autoExportCIDRs`以供後端使用。您可以為自動管理或刪除現有CIDR的後端附加新的CIDR。刪除CIDR時請務必謹慎、以確保不會中斷現有的連線。您也可以選擇針對後端停用 `autoExportPolicy
、然後回到手動建立的匯出原則。這需要在後端組態中設定 `exportPolicy`參數。
Astra Trident 建立或更新後端之後、您可以使用或對應的 tridentbackend
CRD 來檢查後端 tridentctl
:
./tridentctl get backends ontap_nas_auto_export -n trident -o yaml items: - backendUUID: 403b5326-8482-40db-96d0-d83fb3f4daec config: aggregate: "" autoExportCIDRs: - 192.168.0.0/24 autoExportPolicy: true backendName: ontap_nas_auto_export chapInitiatorSecret: "" chapTargetInitiatorSecret: "" chapTargetUsername: "" chapUsername: "" dataLIF: 192.168.0.135 debug: false debugTraceFlags: null defaults: encryption: "false" exportPolicy: <automatic> fileSystemType: ext4
當節點新增至 Kubernetes 叢集並向 Astra Trident 控制器註冊時、現有後端的匯出原則會更新(前提是它們位於為後端指定的位址範圍內 autoExportCIDRs
)。
移除節點時、Astra Trident會檢查所有線上的後端、以移除節點的存取規則。Astra Trident將此節點IP從託管後端的匯出原則中移除、可防止惡意掛載、除非叢集中的新節點重複使用此IP。
對於先前存在的後端、使用更新後端 `tridentctl update backend`可確保 Astra Trident 自動管理匯出原則。如此將會建立以後端 UUID 命名的新匯出原則、並在重新掛載後端上的磁碟區時、使用新建立的匯出原則。
刪除具有自動管理匯出原則的後端、將會刪除動態建立的匯出原則。如果重新建立後端、則會將其視為新的後端、並導致建立新的匯出原則。 |
如果即時節點的IP位址已更新、您必須重新啟動節點上的Astra Trident Pod。Astra Trident接著會更新其管理的後端匯出原則、以反映此IP變更。
準備配置SMB磁碟區
只需稍加準備、您就能使用驅動程式來配置 SMB 磁碟區 ontap-nas
。
您必須在 SVM 上同時設定 NFS 和 SMB/CIFS 通訊協定、才能為內部部署的 ONTAP 建立 ontap-nas-economy SMB 磁碟區。若未設定上述任一種通訊協定、將導致 SMB 磁碟區建立失敗。
|
在配置 SMB 磁碟區之前、您必須具備下列項目。
-
Kubernetes叢集具備Linux控制器節點、以及至少一個執行Windows Server 2022的Windows工作節點。Astra Trident僅支援安裝在Windows節點上執行的Pod上的SMB磁碟區。
-
至少有一個Astra Trident機密、其中包含您的Active Directory認證資料。產生機密
smbcreds
:kubectl create secret generic smbcreds --from-literal username=user --from-literal password='password'
-
設定為Windows服務的SCSI Proxy。若要設定
csi-proxy
、請參閱或"GitHub:適用於Windows的SCSI Proxy"、瞭"GitHub:csi Proxy"解在 Windows 上執行的 Kubernetes 節點。
-
對於內部部署 ONTAP 、您可以選擇性地建立 SMB 共用、或是 Astra Trident 可以為您建立一個。
Amazon FSX for ONTAP 需要 SMB 共享。 您可以使用共用資料夾嵌入式管理單元或使用 ONTAP CLI 、以兩種方式之一建立 SMB 管理員共用"Microsoft管理主控台"。若要使用ONTAP CLI建立SMB共用:
-
如有必要、請建立共用的目錄路徑結構。
命令會 `vserver cifs share create`在建立共用時檢查 -path 選項中指定的路徑。如果指定的路徑不存在、則命令會失敗。
-
建立與指定SVM相關的SMB共用區:
vserver cifs share create -vserver vserver_name -share-name share_name -path path [-share-properties share_properties,...] [other_attributes] [-comment text]
-
確認共用區已建立:
vserver cifs share show -share-name share_name
如需完整詳細資料、請參閱"建立SMB共用區"。
-
-
建立後端時、您必須設定下列項目以指定SMB Volume。有關 ONTAP 後端組態選項的所有 FSX "FSX提供ONTAP 各種組態選項和範例"、請參閱。
參數 說明 範例 smbShare
您可以指定下列其中一項:使用 Microsoft 管理主控台或 ONTAP CLI 建立的 SMB 共用名稱;允許 Astra Trident 建立 SMB 共用的名稱;或將參數保留空白以防止共用磁碟區存取。對於內部部署 ONTAP 、此參數為選用項目。Amazon FSX 需要此參數才能支援 ONTAP 後端、且不可為空白。
smb-share
nasType
* 必須設定為
smb
.*如果爲 null ,則默認爲nfs
。smb
securityStyle
新磁碟區的安全樣式。* 必須設定為
ntfs
SMB Volume 或mixed
。 *ntfs`或 `mixed
SMB VolumeunixPermissions
新磁碟區的模式。SMB磁碟區*必須保留為空白。*
"