Skip to main content
Upgrade Health Checker
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

下載並設定 Upgrade Health Checker

貢獻者 netapp-yvonneo netapp-ivanad netapp-barbe
PDF

您可以下載 Upgrade Health Checker,在升級到更新版本的 ONTAP 之前產生現場綜合報告。

關於此任務

Upgrade Health Checker 支援內部部署 ONTAP 9.11.1 及更新版本的升級。如果您使用 Cloud Volumes ONTAP,請參閱 "升級 Cloud Volumes ONTAP" 以取得系統升級資訊。

開始之前

使用以下規格為 Upgrade Health Checker 設定虛擬機器:

元件 規格

VM

m5.large VM 或同等配置,配備 2 個 vCPU 和 8 GiB RAM

作業系統

任何安裝了 glibc 函式庫版本 2.28 或更高版本的 Linux 作業系統(Ubuntu 22.04、RHEL8 或 RHEL9)

磁碟空間

至少 4 GB 可用空間(建議 8 GB)在 `/tmp`具有執行權限

網路

透過 HTTPS 連線至 ONTAP 叢集管理 LIF

ONTAP 版本

執行 ONTAP 9.11.1 或更新版本的叢集

託管需求

將 VM 放置在具有叢集連線和網際網路存取的位置,以便實現工具的自動更新。此機器應可透過 HTTPS(443)存取以下端點,以執行自動更新並讓 NetApp 接收有關升級計畫的 AutoSupport 資訊:https://support.netapp.com/[] https://api.uhc.netapp.com https://gql.aiq.netapp.com https://api.activeiq.netapp.com

建議套件

安裝 Web 伺服器以方便存取
註 請確保虛擬機器可以透過 HTTPS(443)連接到自動更新和遙測端點(https://support.netapp.com/https://api.activeiq.netapp.com,以便 NetApp 接收有關升級計劃的 AutoSupport 資訊。如果無法存取網際網路,則必須手動下載最新版本的 Upgrade Health Checker。
步驟

  1. 瀏覽至"NetApp Console 自動化中心"並找到 Upgrade Health Checker 磚,以下載 Upgrade Health Checker 二進位檔。

  2. 設定 Upgrade Health Checker 虛擬機器,並使用 SSH 將二進位檔案放置在您選擇的位置。

  3. 驗證 Upgrade Health Checker 的數位簽章。

    Upgrade Health Checker 具有公共代碼簽署憑證 (UHC-Linux-codesigning-certificate-public.pem)以及中間憑證和根憑證鏈 (UHC-Linux-chain-certificates-public.pem)。

    1. (選用)根據鏈驗證程式碼簽署憑證:

      openssl verify -CAfile UHC-Linux-chain-certificates-public.pem UHC-Linux-codesigning-certificate-public.pem
      `OK` 的輸出結果確認了有效的信任鏈。

    2. 從程式碼簽署憑證中提取公開金鑰:

      openssl x509 -in UHC-Linux-codesigning-certificate-public.pem -pubkey -noout -out UHC-Linux-public.pub

    3. 使用公開金鑰驗證簽章檔案((uhc.sig)與 Upgrade Health Checker 二進位檔案:

      openssl dgst -sha256 -verify UHC-Linux-public.pub -signature uhc.sig uhc
      `Verified OK`的輸出結果確認簽名有效。

  4. 為 ONTAP 叢集存取配置服務帳戶和角色。對於透過 Upgrade Health Checker 存取叢集的情況,請將服務角色建立為 REST 角色。

    註 您可以建立一個 Ansible playbook,以自動將角色和使用者部署到所有 ONTAP 叢集。

    您必須為 HTTP 應用程式建立服務帳戶。請使用以下 CLI 指令設定必要的權限:

    security login rest-role create -role uhctool -api /api -access readonly -vserver

security login rest-role create -role uhctool -api /api/support/autosupport -access read_create_modify -vserver

security login rest-role create -role uhctool -api /api/support/autosupport/messages -access read_create_modify -vserver

vserver services web access create -name spi -role uhctool -vserver

security login create -user-or-group-name uhctool -role uhctool -application http -authentication-method password

security login create -user-or-group-name uhctool -role uhctool -application ssh -authentication-method password

  5. (選用)設定認證管理以保護對應用程式的存取。

    例如,如果您有 CyberArk 和 Conjur,您可以設定您的環境,以避免透過 yaml 檔案或命令列傳遞認證資料。

    1. 建立所需的 CyberArk 保險箱:

      1. 建立一個 Safe(Main-Conjur-Safe),用於保存應用程式憑證和金鑰

      2. 建立一個安全庫(API 憑證安全庫),用於存放 Conjur 主機 ID 和 API 金鑰

      3. 建立一個存放必要憑證的保險箱(Conjur-SSL-Certificate)

    2. 為該應用程式建立設定檔(Conjur.conf)和身分檔(Conjur.identity):

      1. Conjur.conf

        account:
plugins:[]
appliance_url: https://FQDN
cert_file: /etc/conjur.pem

      2. Conjur.identity

        machine https://FQDN/authn
login host /prodvault/devops/<Main-Conjur-Safe>/host1
password XXXXXX

      以下是如何在 Ansible playbook 中使用 CyberArk 和 Conjur 的範例:

    3. 在 Ansible 主機上安裝 Conjur Ansible Collection,其中包含 Conjur Ansible Lookup Plugin:

      ansible-galaxy collection install cyberark.conjur

    4. 在 YAML 檔案中建立一個任務,用於從 CyberArk 取得使用者名稱和密碼:

      conjur_username: "{{ lookup('cyberark.conjur.conjur_variable', 'prodvault/devops/<Main-Conjur-Safe>/<Account name>/username', validate_certs=false) }}"
conjur_password: "{{ lookup('cyberark.conjur.conjur_variable', 'prodvault/devops/<Main-Conjur-Safe>/<Account name>/password', validate_certs=false) }}"
相關資訊
接下來呢?

您可以使用升級健康檢查器,透過"產生升級報告"來協助您規劃 ONTAP 升級。