Multistore и использование vFiler

Ну и, чтобы не превращать этот блог в одни сплошные опросы, вот вам сегодня и новая статья.

Я уже писал в этом блоге о такой любопытной штуке в системах NetApp, как так называемый Multistore, или возможности создать в одном “физическом” файлере множество “логических”, виртуальных, так называемых vFilers. Хотя эта опция существует аж с 2002 года, она все еще, как я заметил, не слишком популярна и даже не слишком известна.

В двух словах, Multistore (можете также посмотреть мою заметку о нем ранее) это способ создать “виртуальные мини-нетаппы” внутри физического, которые будут почти полностью такие же, как и физические, за исключением отсутствия в них протокола FC, но с наличием iSCSI, NFS, CIFS и так далее, если они лицензированы на “большом” нетаппе.

Такие “виртуальные файлеры” можно применять, например, при необходимости разделять данные по зонам безопасности (secure multi-tenant). Например на одной системе хранения могут располагаться виртуальные файлеры с данными внутренней сети, и “внешние”, например для DMZ или данными внешнего вебсайта, или же между разным клиентами, использующими один сторадж (что полезно, например, при построении “облака”). Изоляция между такими виртуальными файлерами достаточно безопасна для такого использования и независимый аудит безопасности показал отсутствие проблем с безопасностью и изоляцией данных. vFiler также может располагаться в своем собственном IP space, то есть независимо маршрутизируемом пространстве, и даже на отдельном физическом интерфейсе.

Другой популярный способ использования Multistore это включение системы хранения в многодоменную сеть. Один физический NetApp FAS может быть включен как член домена только в один домен (не рассматриваем сейчас ситуацию с доверительными междоменными отношениями), поэтому для организации с несколькими доменами или лесами потребуется либо купить отдельные стораджи для каждого домена, либо воспользоваться таким “партиционированием”, и включить в домены виртуальные файлеры, базирующиеся на одном физическом.

Наконец, как я также уже немного рассказывал ранее, с помощью vFilers можно использовать сравнительно новую возможность, под названием NetApp Data Motion.

Data Motion это возможность делать с виртуальными системами хранения vFiler то же, что VMware делает с виртуальными машинами при VMotion, то есть не прерывая их работы мигрировать их с одного физического контроллера на другой. Эта возможность работает для любых приложений, использующих сторадж NetApp с Data Motion, не обязательно для виртуальных машин, например. Также обратите внимание, что при такой миграции мигрируют, например, и отношения репликации. То есть если у вас мигрируемый vFiler располагался на контроллере fas1, и реплицировал через SnapMirror свои данные в резервный датацентр на контроллер drnetapp, а потом был мигрирован с помощью Data Motion на контроллер fas2, например чтобы снизить нагрузку на загруженный fas1 и сбалансировать ее на недогруженный fas2, то его данные по прежнему будут, без вмешательства администратора и перенастройки, реплицироваться на drnetapp уже с контроллера fas2.

Но для того, чтобы всем этим воспользоваться, надо, во-первых, vFiler-ы создать.

Убедитесь, что лицензия multistore у вас имеется, иначе остальное не получится. С новыми системами, серии 3200/6200 она поставляется в base pack и включена по умолчанию, для остальных вы можете попросить у партнера NetApp сгенерировать вам time-limited триал.

vfiler create vfiler_name -i ip_address [ -i ip_address ] … path [ path ] …

Где:

vfiler_name – произвольное имя вашего создаваемого “виртуального файлера”

ip_address – его IP-адрес

path – путь к тому или qtree, который будет его rootvol, и где будет располагаться его индивидуальная копия /etc


itsotuc3> vfiler create yournamevfiler -i 9.11.218.199 /vol/yourname
Mon Nov 19 12:03:02 MST [yournamevfiler@itsotuc3: export.file.missing:warning]:
Could not open ‘/etc/exports’ for reading.
Mon Nov 19 12:03:02 MST [yournamevfiler@itsotuc3: rc:notice]: vFiler yournamevfi
ler initialized.
The etc configuration directory for vfiler "yournamevfiler" is /vol/yourname/etc
.
Setting up vfiler yournamevfiler
Configure vfiler IP address 9.11.218.199? [y]: y
Interface to assign this address to {e0a, e0b, e0c, e0d}: e0b
Netmask to use: [255.255.255.0]:
        The administration host is given root access to the filer’s
        /etc files for system administration.  To allow /etc root access
        to all NFS clients enter RETURN below.
Please enter the name or IP address of the administration host: 9.11.218.250
Do you want to run DNS resolver? [n]: n
Do you want to run NIS client? [n]: n
Mon Nov 19 12:03:24 MST [yournamevfiler@itsotuc3: useradmin.added.deleted:info]:
The user ‘root’ has been added.
Default password for root on vfiler yournamevfiler is "".
New password:
Retype new password:
Mon Nov 19 12:03:29 MST [yournamevfiler@itsotuc3: passwd.changed:info]: passwd f
or user ‘root’ changed.
Do you want to setup CIFS? [y]: y
This process will enable CIFS access to the filer from a Windows(R) system.
Use "?" for help at any prompt and Ctrl-C to exit without committing changes.
        Your filer does not have WINS configured and is visible only to
        clients on the same subnet.
Do you want to make the system visible via WINS? [n]: n
        A filer can be configured for multiprotocol access, or as an NTFS-only
        filer. Since multiple protocols are currently licensed on this filer,
        we recommend that you configure this filer as a multiprotocol filer
(1) Multiprotocol filer
(2) NTFS-only filer
Selection (1-2)? [1]: 1
        CIFS requires local /etc/passwd and /etc/group files and default files
        will be created.  The default passwd file contains entries for ‘root’,
        ‘pcuser’, and ‘nobody’.
Enter the password for the root user []:
Retype the password:
        The default name for this CIFS server is ‘YOURNAMEVFILER’.
Would you like to change this name? [n]: n
        Data ONTAP CIFS services support four styles of user authentication.
        Choose the one from the list below that best suits your situation.
(1) Active Directory domain authentication (Active Directory domains only)
(2) Windows NT 4 domain authentication (Windows NT or Active Directory domains)
(3) Windows Workgroup authentication using the filer’s local user accounts
(4) /etc/passwd and/or NIS/LDAP authentication
Selection (1-4)? [1]: 1
        In order to operate correctly within an Active Directory-based Windows
        domain, CIFS must use the DNS resolver service. That service is
        currently not configured on the filer. You must either configure DNS
        resolver services or choose a different authentication style.
Do you want to configure the filer’s DNS resolver service? [y]: y
What is the filer’s DNS domain name? []: itso.tucson
What are the IPv4 address(es) of your authoritative DNS name server(s)? []:
9.11.218.250
Would you like to specify additional DNS name servers? [n]: y
What are the IPv4 address(es) of your authoritative DNS name server(s)? []:
192.168.3.242
Would you like to specify additional DNS name servers? [n]: n
What is the name of the Active Directory domain? [itso.tucson]:
***     In Active Directory-based domains, it is essential that the filer’s
***     time match the domain’s internal time so that the Kerberos-based
***     authentication system works correctly. If the time difference between
***     the filer and the domain controllers is more than 5 minutes,
***     authentication will fail. Time services are currently not configured
***     on this filer. Since time services are configured on the local default
***     vfiler (vfiler0),, and since this particular setup is for a different
***     vfiler, we cannot configure time services now.  We recommend that you
***     terminate setup with Ctrl-C, configure time services on local vfiler0,
***     and then re-run CIFS setup.
In order to create an Active Directory machine account for the filer,
        you must supply the name and password of a Windows account with
        sufficient privileges to add computers to the ITSO.TUCSON domain.
Enter the name of the Windows user [Administrator@ITSO.TUCSON]:
Password for Administrator@ITSO.TUCSON:
CIFS - Logged in as Administrator@ITSO.TUCSON.
        An account that matches the name ‘YOURNAMEVFILER’ already exists in
        Active Directory: ‘cn=yournamevfiler,cn=computers,dc=itso,dc=tucson’.
        This is normal if you are re-running CIFS Setup. You may continue by
        using this account or changing the name of this CIFS server.
Do you want to re-use this machine account? [y]: y
CIFS - Starting SMB protocol…
        It is highly recommended that you create the local administrator
        account (YOURNAMEVFILER\administrator) for this filer. This account
        allows access to CIFS from Windows when domain controllers are not
        accessible.
Do you want to create the YOURNAMEVFILER\administrator account? [y]: y
Enter the new password for YOURNAMEVFILER\administrator:
Retype the password:
Welcome to the ITSO.TUCSON (ITSO) Active Directory(R) domain.
itsotuc3> Mon Nov 19 12:05:42 MST [yournamevfiler@itsotuc3: cifs.startup.local.s
ucceeded:info]: CIFS: CIFS local server is running.
itsotuc3> Mon Nov 19 12:05:55 MST [yournamevfiler@itsotuc3: nbt.nbns.registratio
nComplete:info]: NBT: All CIFS name registrations have completed for the local s
erver.

Готово. Мы создали новый виртуальный, сидящий на отдельном IP, и даже на отдельном физическом интерфейсе сторадж, и включили на нем CIFS. Теперь вы увидите в сети кроме вашего основного NetApp, еще один, с именем (в данном случае, для демонстрации: yournamevfiler)

Это можно проделать и из веб-интерфейса FilerView, если он вам более близок.

image

image

image

И так далее.

image

Чтобы проверить, что все работает:

itsotuc3> vfiler status
vfiler0                      running
yournamevfiler               running

Под ‘vfiler0’ в данном случае понимается “физический” файлер, который с точки зрения vfiler-ов называется vfiler0.

В завершение хочу отметить еще одну особенность. Несмотря не то, что созданный vfiler и имеет свой собственный IP-адрес, войти в его консоль администрирования как привычно, просто зайдя на этот адрес телнетом или SSH нельзя. Отсюда я часто встречаю утверждения, что, якобы, у vfiler нет, дескать, административной консоли. Это не совсем так. Да, действительно, непосредственно войти по IP-адресу vfiler в интерактивный shell нельзя, и сделано это, как я понимаю, намеренно, по соображениям безопасности (однако можно, например, подключить к vfiler Windows MMC для администрирования CIFS ил исполнять на одном или сразу группе отдельные команды с помощью vfiler run).

Однако при необходимости получить командную строку, следует войти на основной, физический файлер, так сказать vfiler0, и в нем дать команду переключения контекста консоли: vfiler context vfiler_name, где vfiler_name это имя нужного вам vfiler.

При необходимости это можно делать и с помощью позволяемых многими клиентами ssh скриптами входа, чтобы сразу попадать в контекст нужного vfiler.

Для возвращения консоли в контекст физического файлера дайте команду vfiler context vfiler0.

Один комментарий

  1. Nikolay:

    Я бы упомянул еще об интересной фиче Multistore - DR vfiler.
    Цитата:
    One of the real advantages of using MultiStore and vFilers is the data migration and disaster recovery functionality that it enables when used in conjunction with SnapMirror.
    Если я правильно понял, то на соседнем массиве (именно массиве, а не контроллере-партнере) можно создать dr vfiler и смигрировать на него сервисы (например виртуальную инфраструктуру) в случае падения основного vfiler. Правда встает вопрос с синхронизацией данных между двумя vfiler, т. к. синхронный SnapMirror не везде можно запустить из-за тех. ограничений.

Оставить комментарий

20/0.143

Данный блог не спонсируется, не аффилирован, и не санкционирован компанией NetApp, Inc. Излагаемая в этом блоге точка зрения выражает мнение исключительно его автора и может не совпадать с позицией NetApp, Inc.

This content is not endorsed, sponsored or affiliated with NetApp, Inc. The views expressed in this blog are solely those of the author and do not represent the views of NetApp, Inc.