跳到主要内容

创建集群对等关系(ONTAP 9.4 和更高版本)

可以使用 cluster peer create 命令来创建本地和远程集群之间的对等关系。创建对等关系之后,可以在远程集群上运行 cluster peer create 以将其认证到本地集群。

开始之前

  • 必须在正在建立对等关系的集群中的每个节点上创建集群间 LIF。

  • 集群必须运行 ONTAP 9.4 或更高版本。

关于本任务

从 ONTAP 9.4 开始,可以使用生成密码短语 功能来与您事先不知道集群间 LIF IP 地址的集群建立对等关系。这样一来,发起集群不需要向远程集群认证其身份。

通常情况下,数据保护目标集群中的管理员运行附带 -generate-passphrase 选项的 cluster peer create 命令,将输出的拷贝发送给数据保护源集群的管理员:

cluster02::> cluster peer create -generate-passphrase -offer-expiration 2days -initial-allowed-vserver-peers vs1,vs2
                     
                     Passphrase: UCa+6lRVICXeL/gq1WrK7ShR
                Expiration Time: 6/7/2020 08:16:10 EST
  Initial Allowed Vserver Peers: vs1,vs2
            Intercluster LIF IP: 192.140.112.101
              Peer Cluster Name: Clus_7ShR (temporary generated)

然后,源集群可以使用生成的密码向目标集群自我认证(只要在指定的到期时间内完成自我认证即可)。该密码短语只能由一个集群使用。

从 ONTAP 9.4 开始,可以在创建集群对等关系时在 -initial-allowed-vserver 选项中列出多个 SVM,从而为发起集群上的多个 SVM 预授权对等关系。通过指定*可以对发起集群上的所有 SVM 进行预授权。

仍然需要为预授权的 SVM 创建实际对等关系。

从 ONTAP 9.6 开始,默认情况下会在所有新创建的集群对等关系上启用集群对等加密。对于在升级到 ONTAP 9.6 或更高版本之前创建的对端关系,必须手动启用集群对等加密。集群对等加密不适用于运行 ONTAP 9.5 或更低版本的集群,因此,对等关系中的两个集群都必须运行 ONTAP 9.6 或更高版本才能手动启用集群对等加密。

  1. 在目标集群上,创建与源集群之间的对等关系:cluster peer create -generate-passphrase -offer-expiration MM/DD/YYYY HH:MM:SS|1...7days|1...168hours -peer-addrs peer_LIF_IPs -initial-allowed-vserver-peers svm_name,..|* -ipspace ipspace

    如果同时指定 -generate-passphrase-peer-addrs,只有在 -peer-addrs 中指定了集群间 LIF 的集群才可以使用生成的密码。

    如果没有使用自定义 Ipspace,可以忽略 -ipspace 选项。有关完整的命令语法,请参见手册页(man <command_name>)或选项(<command_name> ?)。

    如果要在 ONTAP 9.6 或更高版本中创建对等关系,并且不希望加密跨集群的对等通信,则必须使用 -encryption-protocol-proposed none 选项禁用加密。

    示例

    以下示例将创建与未指定的远程集群之间的集群对等关系,并预授权与本地集群上的 SVM vs1vs2 之间的对等关系:

    cluster02::> cluster peer create -generate-passphrase -offer-expiration 2days -initial-allowed-vserver-peers vs1,vs2 

                         Passphrase: UCa+6lRVICXeL/gq1WrK7ShR
                    Expiration Time: 6/7/2020 08:16:10 EST
      Initial Allowed Vserver Peers: vs1,vs2
                Intercluster LIF IP: 192.140.112.101
                  Peer Cluster Name: Clus_7ShR (temporary generated)

    Warning: make a note of the passphrase - it cannot be displayed again.

    示例

    以下示例将创建与集群间 LIF IP 地址为 192.140.112.103 和 192.140.112.104 的远程集群之间的集群对端关系,并预授权与本地集群上任何 SVM 之间的对端关系:
    cluster02::> cluster peer create -generate-passphrase -peer-addrs 192.140.112.103,192.140.112.104 -offer-expiration 2days -initial-allowed-vserver-peers *  

                         Passphrase: UCa+6lRVICXeL/gq1WrK7ShR
                    Expiration Time: 6/7/2020 08:16:10 EST
      Initial Allowed Vserver Peers: vs1,vs2
                Intercluster LIF IP: 192.140.112.101,192.140.112.102
                  Peer Cluster Name: Clus_7ShR (temporary generated)

    Warning: make a note of the passphrase - it cannot be displayed again.
  2. 在源集群上,向目标集群认证源集群:cluster peer create -peer-addrs peer_LIF_IPs -ipspace ipspace

    有关完整的命令语法,请参见手册页(man <command_name>)或选项(<command_name> ?)。

    示例

    以下示例将向集群间 LIF IP 地址为 192.140.112.101 和 192.140.112.102 的远程集群认证本地集群:
    cluster01::> cluster peer create -peer-addrs 192.140.112.101,192.140.112.102

    Notice: Use a generated passphrase or choose a passphrase of 8 or more characters.
            To ensure the authenticity of the peering relationship, use a phrase or sequence of characters        that would be hard to guess.

    Enter the passphrase:
    Confirm the passphrase:

    Clusters cluster02 and cluster01 are peered.

    出现系统提示时,输入对等关系的密码短语。
  3. 验证是否已创建集群对等关系:cluster peer show -instance

    示例

    cluster01::> cluster peer show -instance

                                   Peer Cluster Name: cluster02
                       Remote Intercluster Addresses: 192.140.112.101, 192.140.112.102
                  Availability of the Remote Cluster: Available
                                 Remote Cluster Name: cluster2
                                 Active IP Addresses: 192.140.112.101, 192.140.112.102
                               Cluster Serial Number: 1-80-123456
                      Address Family of Relationship: ipv4
                Authentication Status Administrative: no-authentication
                   Authentication Status Operational: absent
                                    Last Update Time: 02/05 21:05:41
                        IPspace for the Relationship: Default
  4. 检查对等关系中节点的连接和状态:cluster peer health show

    示例

    cluster01::> cluster peer health show
    Node       cluster-Name                Node-Name
                 Ping-Status               RDB-Health Cluster-Health  Avail…
    ---------- --------------------------- ---------  --------------- --------
    cluster01-01
               cluster02                   cluster02-01
                 Data: interface_reachable
                 ICMP: interface_reachable true       true            true
                                           cluster02-02
                 Data: interface_reachable
                 ICMP: interface_reachable true       true            true
    cluster01-02
               cluster02                   cluster02-01
                 Data: interface_reachable
                 ICMP: interface_reachable true       true            true
                                           cluster02-02
                 Data: interface_reachable
                 ICMP: interface_reachable true       true            true
相关任务