5 1 0: NetApp spezifische NDMP Konfiguration
Übersicht
|
Unter SEP sesam YouTube Channel finden Sie aktuelle Videos und Webinare. |
|
Unter FAQ finden Sie Antworten auf die häufigsten Fragen. |
|
Im Problemfall nutzen Sie den Troubleshooting Guide. |
|
Falls Sie eine ältere SEP sesam Version verwenden, schauen Sie bitte ins Dokumentationsarchiv. |
SEP sesam ermöglicht es Ihnen, Ihre Dateiserver zu schützen und zu verwalten, indem es Unterstützung für das Network Data Management Protocol (NDMP) bietet. Um mehr über NDMP zu erfahren, siehe NDMP Sicherung.
Die folgenden Konfigurationsschritte sind ein NetApp-spezifischer Teil der NDMP Host Konfiguration. Sie basieren auf dem NetApp Artikel Verwendung von NDMP-basierten Kopierprogrammen. Die folgenden Schritte erläutern, wie Sie NDMP aktivieren und ein Passwort auf dem Quell- und Zielspeichersystem festlegen.
Indem Sie die NDMP-Unterstützung auf einem Speichersystem aktivieren, ermöglichen Sie dem Speichersystem die Kommunikation mit SEP sesam Data Management Application (SDMA), Datenservern und Bandservern, die an Sicherungs- oder Rücksicherungsvorgängen teilnehmen. Die gesamte Netzwerkkommunikation erfolgt über das TCP/IP-Netzwerk.
Sie können Bandsicherungen und -rücksicherungen entweder im node-scoped NDMP-Modus (Knoten-basierend) oder im Storage Virtual Machine (SVM)-scopted NDMP-Modus (auf der virtuellen Speichermaschine basierend) durchführen.
Über die NDMP-Betriebsarten
- Node-scoped NDMP-Modus
- In diesem Modus können Sie Sicherungs- und Rücksicherungsvorgänge auf Knotenebene durchführen - auf einem Knoten, dem das Volume gehört. Beachten Sie, dass dieser Modus bereits veraltet ist und in einer zukünftigen Major Version entfernt werden wird. Siehe die offizielle ONTAP 9-Dokumentation Über NDMP-Betriebsarten.
- SVM-scoped NDMP-Modus
- Sie können Sicherungen und Rücksicherungen auf der Ebene der virtuellen Speichermaschine (SVM, früher als Vserver bekannt) durchführen, wenn der NDMP-Dienst auf der SVM aktiviert ist. Sie können alle Volumes sichern und rücksichern, die auf verschiedenen Knoten in der SVM eines Clusters gehostet werden. Wenn ein Datenträger und das Bandgerät die gleiche Affinität haben, kann SEP sesam (unter Verwendung der CAB-Erweiterung) eine lokale Sicherungs- oder Rücksicherungsoperation durchführen.
Vorgehensweise
Verwenden Sie je nach Ihrer Konfiguration das für Ihren Modus spezifische NDMP-Aktivierungs- und Authentifizierungsverfahren.
7-Mode
- Aktivieren Sie NDMP.
- Erstellen Sie einen neuen Benutzer speziell für NDMP.
- Nicht-Root-Benutzer haben ein spezielles NDMP-Passwort, das sich von ihrem Anmeldepasswort unterscheidet und von diesem Befehl angezeigt wird.
- Legen Sie fest, dass NDMP die Authentifizierungsmethoden Klartext und md5 akzeptiert:
netapp> ndmpd on
netapp> useradmin user add sepbackup -g "Backup Operators" New password: XXXXXXXXX Retype new password: XXXXXXXXX User <sepbackup> added.
netapp> ndmpd password sepbackup password MzUV5p6R
|
Anmerkung |
| Dieses NDMP-Passwort muss in der Client-Konfiguration zusammen mit dem Benutzernamen festgelegt werden. |
netapp> options ndmpd.authtype plaintext,challenge
Clustered Data ONTAP
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob Ihr Cluster im SVM-scoped NDMP-Modus und nicht im node-scoped Modus läuft:
cluster::> system services ndmp node-scope-mode status
Wenn der node-scoped NDMP-Modus deaktiviert ist, wird der Cluster für den SVM-scoped NDMP-Modus konfiguriert.
SVM-scoped NDMP-Modus
Sie können die Befehle vserver services ndmp verwenden, um NDMP auf jeder virtuellen Speichermaschine (SVM, früher als Vserver bekannt) zu verwalten. Diese Befehle sind für Cluster-Administratoren mit der Berechtigungsstufe admin verfügbar.
Weitere Informationen zu den im Folgenden verwendeten vserver-Befehlen finden Sie im Handbuch zu vServer Befehlen.
Konfigurieren des SVM-scoped NDMP-Modus
Cluster Aware Backup (CAB) erfordert die Konfiguration von NDMP in einem SVM-scoped Knoten auf der Admin-SVM-Ebene. Mit diesem Knoten können Sie alle Volumes sichern, die auf verschiedenen Knoten des Clusters gehostet werden. Beachten Sie bei der Konfiguration dieses Knotens die folgenden Punkte:
- Im SVM-scoped NDMP-Modus ist die Benutzerauthentifizierung in den rollenbasierten Zugriffskontrollmechanismus integriert.
- Standardmäßig sollte NDMP in der Liste der zulässigen Protokolle enthalten sein. Ist dies nicht der Fall, können keine NDMP-Sitzungen aufgebaut werden.
- Sie können den LIF-Typ, über den eine NDMP-Datenverbindung aufgebaut wird, mit der Option -preferred interface-role steuern. Beim Aufbau einer NDMP-Datenverbindung wählt NDMP eine IP-Adresse aus, die zu dem durch diese Option angegebenen LIF-Typ gehört. Wenn die IP-Adressen nicht zu einem dieser LIF-Typen gehören, kann die NDMP-Datenverbindung nicht hergestellt werden.
Schritte
- Aktivieren des SVM-scoped NDMP-Modus auf dem Cluster.
- Konfigurieren eines Backup-Benutzerkontos auf dem Cluster.
- LIFs konfigurieren für Daten- und Steuerverbindungen.
Aktivieren des SVM-scoped NDMP-Modus auf dem Cluster
- Aktivieren Sie den SVM-scoped NDMP-Modus durch Verwendung des system services ndmp Befehls mit dem node-scope-mode Parameter.
- Aktivieren Sie den NDMP-Dienst auf Ihrer Admin-SVM. Der NDMP-Dienst muss immer auf allen Knoten in einem Cluster aktiviert sein.
- Überprüfen Sie, ob der NDMP-Dienst aktiviert ist.
- Überprüfen Sie, ob NDMP auf dem vServer erlaubt ist.
cluster::> system services ndmp node-scope-mode off
Beispiel
cluster1::> system services ndmp node-scope-mode off NDMP node-scope-mode is disabled.
cluster::> vserver services ndmp on -vserver <SVM-name>
Beispiel
cluster1::> vserver services ndmp on -vserver cluster1
Standardmäßig ist der Authentifizierungstyp auf challenge eingestellt und die Klartext-Authentifizierung ist deaktiviert. Es wird empfohlen, dass letztere deaktiviert bleibt, um eine sichere Kommunikation zu gewährleisten.
cluster::> vserver services ndmp on -vserver <SVM-name>
Beispiel
cluster1::> vserver services ndmp on -vserver cluster1
cluster::> vserver services ndmp show cluster::> vserver services ndmp on -vserver <vserver>
Beispiel
cluster1::> vserver services ndmp show Vserver Enabled Authentication type ------------- --------- ------------------- cluster1 true challenge vs1 false challenge
Konfigurieren eines Backup-Benutzerkontos für den Cluster
Um NDMP von SEP sesam zu authentifizieren, erstellen Sie ein lokales Backup-Benutzerkonto und generieren ein NDMP-Passwort für den Benutzer. Beachten Sie, dass Sie, wenn Sie einen NIS- oder LDAP-Benutzer für den Cluster mit der Admin- oder Backup-Rolle verwenden, keinen Active Directory-Benutzer verwenden können - Sie müssen den Benutzer auf dem jeweiligen Server erstellen.
- Erstellen Sie einen Backup-Benutzer mit der Backup-Rolle. Sie können einen lokalen Backup-Benutzernamen oder einen NIS- oder LDAP-Benutzernamen für den Parameter -user-or-group-name angeben.
- Erzeugen Sie ein NDMP Passwort für die admin SVM. Dieses Passwort ist nicht dasselbe wie das Passwort für das Benutzerkonto und wird zur Authentifizierung der NDMP-Verbindung durch SEP sesam verwendet.
cluster::> security login create -user-or-group <user> -application ssh -authmethod password -role backup
Beispiel: Mit dem folgenden Befehl wird der Backup-Benutzer ndmpuser mit der Backup-Rolle erstellt.
cluster1::> security login create -user-or-group-name ndmpuser -application ssh -authmethod password -role backup Please enter a password for user 'backup_admin1': Please enter it again:
cluster::> vserver services ndmp generate-password -vserver <SVM-name> -user <user>
Beispiel
cluster::> vserver services ndmp generate-password -vserver <SVM-name> -user <user>
Vserver: cluster1
User: ndmpuser
Password: yMGg5d0LyUG8l1kn
Konfigurieren von LIFs für Daten- und Steuerverbindungen
Sie müssen die logischen Schnittstellen (LIFs) identifizieren, die für den Aufbau der Datenverbindung verwendet werden, um die Sicherungsdaten an den SEP sesam Server oder RDS zu senden, und für den Aufbau der Kontrollverbindung zwischen der Admin SVM und SEP sesam. Sobald die LIFs identifiziert sind, müssen Sie überprüfen, ob die Firewall- und Failover-Policies korrekt eingestellt sind. Dann müssen Sie die bevorzugte Schnittstellenrolle angeben, die es Ihnen erlaubt, den LIF-Typ zu kontrollieren, auf dem die NDMP-Datenverbindung hergestellt wird. NDMP wird eine IP-Adresse wählen, die zu dem LIF-Typ gehört, der durch die -preferredinterface-role Option angegeben ist.
|
|
Anmerkung |
| Wenn die IP-Adressen nicht mit einem dieser LIF-Typen übereinstimmen, kann die NDMP-Datenverbindung nicht hergestellt werden und Ihre NDMP-Sicherungen mit dem vServer-Bereich schlagen mit einem Fehler fehl. |
- Um das Problem mit der NDMP-Datenverbindung zu beheben, lesen Sie den NetApp Knowledgebase-Artikel vServer-scoped NDMP fails to establish data connection.
- Einzelheiten zu den in Vserver-scope verfügbaren Ressourcen (die unterstützten NDMP-Datenverbindungstypen im Verhältnis zum NDMP-Steuerverbindungstyp LIF) finden Sie in der NetApp ONTAP Dokumentation NDMP-Datenverbindungstypen.
- Um zu verstehen, welcher LIF-Typ verwendet wird, lesen Sie die NetApp Knowledgebase-Artikel What is the LIF Choice order for Cluster Aware backups in NDMP? und How to identify which resources are available-through NDMP based on LIF-type.
Schritte
- Identifizierung der Schnittstellen für die Rollen vom Typ Daten, die LIFs Intercluster, Cluster-Management und Node-Management.
- Stellen Sie sicher, dass die Firewall-Richtlinie für NDMP auf allen LIF-Typen aktiviert ist.
- Wenn die Firewall-Richtlinie nicht aktiviert ist, aktivieren Sie sie mit dem Parameter -service. Beispiel: Mit dem folgenden Befehl wird die Firewall-Richtlinie für das Cluster-übergreifende LIF aktiviert.
- Stellen Sie sicher, dass die Failover-Richtlinie für alle LIFs richtig eingestellt ist: Die Failover-Richtlinie für das LIF cluster-management muss auf broadcast-domain-wide und die Richtlinie für die LIFs intercluster und node-management auf local-only eingestellt sein. Beispiel: Anzeige der Failover-Richtlinie für die LIFs cluster-management, intercluster und node-management.
- Stellen Sie sicher, dass die bevorzugten Schnittstellenrollen intercluster, cluster-mgmt und node-mgmt für den NDMP-Dienst definiert sind.
- Überprüfen Sie, ob die bevorzugte Schnittstellenrolle für den Cluster festgelegt ist.
- Legen Sie die bevorzugten Schnittstellenrollen fest, falls sie noch nicht festgelegt sind.
cluster::> network interface show -role >role-type>
Beispiel 1: Identifizieren Sie die LIFs zwischen den Clustern, die zuvor für den SVM-Cluster1 erstellt wurden.
cluster1::> network interface show -role intercluster
Logical Status Network Current Current Is
Vserver Interface Admin/Oper Address/Mask Node Port Home
----------- ---------- ---------- ------------------ ------------- ------- ----
cluster1 IC1 up/up 192.0.2.65/24 cluster1-1 e0a true
cluster1 IC2 up/up 192.0.2.68/24 cluster1-2 e0b true
Beispiel 2: Identifizieren Sie die cluster-mgmt LIFs, die zur Sicherung aller Volumes auf allen Knoten verwendet werden können.
cluster1::> network interface show -role cluster-mgmt
Logical Status Network Current Current Is
Vserver Interface Admin/Oper Address/Mask Node Port Home
----------- ---------- ---------- ------------------ ------------- ------- ----
cluster1 cluster_mgmt up/up 192.0.2.60/24 cluster1-2 e0M true
Beispiel 3: Identifizierung der node-mgmt-LIFs.
cluster1::> network interface show -role node-mgmt
Logical Status Network Current Current Is
Vserver Interface Admin/Oper Address/Mask Node Port Home
----------- ---------- ---------- ------------------ ------------ ------ ------
cluster1 cluster1-1_mgmt1 up/up 192.0.2.69/24 cluster1-1 e0M true
cluster1-2_mgmt1 up/up 192.0.2.70/24 cluster1-2 e0M true
cluster::> system services firewall policy show
Beispiel
cluster1::> system services firewall policy show
Vserver Policy Service Allowed
------- ------------ ---------- -------------------
cluster1
data
dns 0.0.0.0/0, ::/0
ndmp 0.0.0.0/0, ::/0
ndmps 0.0.0.0/0, ::/0
cluster1
intercluster
ndmp 0.0.0.0/0, ::/0
ndmps 0.0.0.0/0, ::/0
cluster1
mgmt
dns 0.0.0.0/0, ::/0
http 0.0.0.0/0, ::/0
https 0.0.0.0/0, ::/0
ndmp 0.0.0.0/0, ::/0
ndmps 0.0.0.0/0, ::/0
ntp 0.0.0.0/0, ::/0
snmp 0.0.0.0/0, ::/0
ssh 0.0.0.0/0, ::/0
cluster1::> system services firewall policy modify -vserver cluster1 -policy intercluster service ndmp 0.0.0.0/0
cluster1::> network interface show -failover
Logical Home Failover Failover
Vserver Interface Node:Port Policy Group
---------- ----------------- ----------------- -------------------- --------
cluster cluster1_clus1 cluster1-1:e0a local-only cluster
Failover Targets:
.......
cluster1 cluster_mgmt cluster1-1:e0m broadcast-domain-wide Default
Failover Targets:
.......
IC1 cluster1-1:e0a local-only Default
Failover Targets:
IC2 cluster1-1:e0b local-only Default
Failover Targets:
.......
cluster1-1 cluster1-1_mgmt1 cluster1-1:e0m local-only Default
Failover Targets:
......
cluster1-2 cluster1-2_mgmt1 cluster1-2:e0m local-only Default
Failover Targets:
......
Wenn die Failover-Richtlinien nicht richtig eingestellt sind, ändern Sie sie mit dem Befehl network interface modify mit dem Parameter -failover-policy. Einzelheiten zu diesem Befehl finden Sie im NetApp ONTAP Handbuch system services firewall policy commands.
cluster::> network interface modify -vserver <vserver> -lif <lif> -failover-policy <policy>
cluster::> vserver services ndmp modify -vserver <vserver> -preferred-interface-role intercluster,cluster-mgmt,node-mgmt
cluster::> vserver services ndmp show -vserver <vserver>
Beispiel
cluster1::> vserver services ndmp show -vserver cluster1
Vserver: cluster1
NDMP Version: 4
.......
.......
Preferred Interface Role: intercluster, cluster-mgmt, node-mgmt
cluster::> vserver services ndmp modify -vserver <vserver> -preferred-interface-role intercluster,cluster-mgmt,node-mgmt
Node-scoped NDMP-Modus
Sie müssen NDMP-spezifische Anmeldeinformationen verwenden, um auf ein Speichersystem zuzugreifen und eine Bandsicherung und -rücksicherung durchzuführen.
|
|
Anmerkung |
| Die folgenden Befehle sind veraltet und werden in einer zukünftigen Major Version entfernt. |
Weitere Informationen finden Sie im Handbuch system services ndmp commands.
- Aktivieren Sie NDMP.
- Legen Sie ein Passwort fest.
- Legen Sie fest, dass NDMP die Authentifizierungsmethoden Klartext und md5 akzeptiert.
::> system services ndmp on -node *
::> system services ndmp modify -node * -user-id root Please enter password: XXXXXXXXX Confirm password: XXXXXXXXX X entries were modified.
::>system services ndmp modify -node * -clear-text true
Firewall-Einstellungen
In Umgebungen, in denen das Quell- und das Zielnetz durch eine Netzwerk-Firewall getrennt sind, verwendet die NDMP-Verbindung standardmäßig den Kontrollport 10000, um Sicherungen und Rücksicherungen zu verwalten. Diese Verbindung wird zum Senden und Empfangen von NDMP-Anfragen verwendet. Die NDMP Datenverbindung, die für die Übertragung von Daten verwendet wird, kann jedoch jeden verfügbaren Port der Firewall-Konfiguration nach dem Zufallsprinzip verwenden.
Angabe des NDMP-Datenportbereichs
Im folgenden Beispiel wird der NDMP-Datenportbereich auf einem ONTAP 9.x-Knoten namens NODE1 geändert. Die Konfiguration setzt den NDMP-Datenportbereich vom Standardwert all auf 55100-55200.
NODE1::> vserver services ndmp modify -vserver NODE1 -data-port-range 55100-55200
Das Format dieser Option ist start_port und kann Werte zwischen [1024-65535] haben. NDMP verwendet einen Port innerhalb dieses Bereichs, um auf Datenverbindungen zu warten. Eine Anfrageanforderung schlägt fehl, wenn keine Ports im angegebenen Bereich frei sind. Der Standardwert für diese Option ist all. Diese Option bleibt über Neustarts hinweg bestehen. Weitere Informationen finden Sie in dem NetApp Artikel vserver services ndmp modify.
[-data-port-range <start_port>-<end port> | all] - Data Port Range
Sie können den verwendeten Datenportbereich mit dem folgenden Befehl anzeigen:
NODE1::> vserver services ndmp show -vserver NODE1 -fields data-port-range vserver data-port-range ------- --------------- NODE1 55100-55200
Ab DOT 7.3.5.1 und 8.0.1 kann der NDMP-Datenport wie folgt angegeben werden:
options ndmpd.data_port_range {start_port-end_port}
Seine Verwendung wird im NetApp Artikel Designating the range of ports for NDMP data connections erläutert. Die folgenden Informationen beruhen auf diesem Artikel.
Verwenden Sie den folgenden Befehl auf dem NetApp Controller, um einen Bereich von Ports anzugeben, der für die NDMP-Datenverbindung verwendet werden soll:
options ndmpd.data_port_range {start_port-end_port}
Syntax: options ndmpd.data_port_range {<start_port>-<end_port> | all }.
start_port and end_port can have values between 1024 and 65535
start_port must be less than or equal to end_port
It is best to use start_port and end_port values between 18600 and 18699.
Beispiel:
options ndmpd.data_port_range {11400-11800}
Der Standardwert für diese Option ist all, was bedeutet, dass jeder verfügbare Anschluss verwendet werden kann. Durch Angabe eines gültigen Bereichs wird ein Anschluss innerhalb dieses Bereichs verwendet. Eine Anfrageanforderung schlägt fehl, wenn keine Ports im angegebenen Bereich frei sind. Die zusätzlichen Ports müssen für Sicherungs- und Rücksicherungszwecke in beide Richtungen offen sein.
|
|
Anmerkung |
| Die Option ndmpd.data_port_range ist über Neustarts hinweg beständig. |
Nachdem Sie die Ports angegeben haben, starten Sie ndmpd auf dem NetApp Controller neu, indem Sie ndmpd {on|off} verwenden.
Bekannte Probleme
Wenn Sie Probleme mit der NDMP-Konfiguration haben, lesen Sie den NDMP Troubleshooting Guide.