Konfigurace úložiště pro nástroj Aplikace Azure lication Consistent Snapshot

Článek
07/02/2024

Tento článek obsahuje průvodce konfigurací úložiště Azure, který se má použít s nástrojem Aplikace Azure lication Consistent Snapshot (AzAcSnap).

Vyberte úložiště, které používáte s AzAcSnap.

Azure NetApp Files
Azure Large Instances (holé počítače)

Buď nastavte identitu spravovanou systémem (doporučeno) nebo vygenerujte ověřovací soubor instančního objektu.

Při ověřování komunikace se službou Azure NetApp Files může dojít k selhání komunikace nebo vypršení časového limitu. Zkontrolujte, jestli pravidla brány firewall neblokují odchozí provoz ze systému, na kterém běží AzAcSnap, na následujících adresách a portech TCP/IP:

(https://)management.azure.com:443
(https://)login.microsoftonline.com:443

Budete muset vygenerovat vlastní certifikát podepsaný svým držitelem a pak sdílet obsah souboru PEM (Privacy Enhanced Mail) s operacemi Microsoftu, aby bylo možné ho nainstalovat do back-endu služby Storage, aby se nástroj AzAcSnap mohl bezpečně ověřit pomocí protokolu ONTAP.

Zkombinujte PEM a KEY do jednoho souboru PKCS12, který nástroj AzAcSnap potřebuje k ověřování na základě certifikátů do ONTAP.

Otestujte soubor PKCS12 pomocí připojení curl k jednomu z uzlů.

Operace Microsoftu poskytuje uživatelské jméno úložiště a IP adresu úložiště v době zřizování.

Povolení komunikace s úložištěm

Tato část vysvětluje, jak povolit komunikaci s úložištěm. Pomocí následujících karet můžete správně vybrat back-end úložiště, který používáte.

Azure NetApp Files (s virtuálním počítačem)
Azure Large Instances (holé počítače)

Existují dva způsoby ověřování v Azure Resource Manageru pomocí identity spravované systémem nebo souboru instančního objektu. Tady jsou popsané možnosti.

Identita spravovaná systémem Azure

Z AzAcSnap 9 je možné použít identitu spravovanou systémem místo instančního objektu pro provoz. Použitím této funkce se vyhnete nutnosti ukládat přihlašovací údaje instančního objektu na virtuálním počítači. Pokud chcete nastavit spravovanou identitu Azure pomocí Azure Cloud Shellu, postupujte takto:

V rámci relace Cloud Shellu s Bashem nastavte proměnné prostředí odpovídajícím způsobem pomocí následujícího příkladu a použijte je u předplatného, ve kterém chcete vytvořit spravovanou identitu Azure. VM_NAMENastavte SUBSCRIPTIONa RESOURCE_GROUP nastavte hodnoty specifické pro web.
```
export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
export VM_NAME="MyVM"
export RESOURCE_GROUP="MyResourceGroup"
export ROLE="Contributor"
export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
```
Nastavte Cloud Shell na správné předplatné:
```
az account set -s "${SUBSCRIPTION}"
```
Vytvořte spravovanou identitu pro virtuální počítač. Následující sady příkazů (nebo se zobrazí, jestli už je nastavená) spravovaná identita virtuálního počítače AzAcSnap:
```
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
```

Získejte ID objektu zabezpečení pro přiřazení role:

PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)

Přiřaďte roli Přispěvatel k ID objektu zabezpečení:

az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"

Volitelné řízení přístupu na základě role

Oprávnění pro spravovanou identitu je možné omezit pomocí vlastní definice role v řízení přístupu na základě role (RBAC). Vytvořte vhodnou definici role pro virtuální počítač, aby mohl spravovat snímky. Ukázková nastavení oprávnění najdete v tipech a trikech pro použití nástroje Aplikace Azure lication Consistent Snapshot.

Pak přiřaďte roli k ID objektu zabezpečení virtuálního počítače Azure (zobrazí se také takto SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Vygenerování souboru instančního objektu

V relaci Cloud Shellu se ujistěte, že jste přihlášeni k předplatnému, ke které chcete být ve výchozím nastavení přidruženi k instančnímu objektu:
```
az account show
```
Pokud předplatné není správné, použijte příkaz az account set :
```
az account set -s <subscription name or id>
```

Pomocí Azure CLI vytvořte instanční objekt, jak je znázorněno v tomto příkladu:

az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth

Příkaz by měl vygenerovat výstup podobný tomuto příkladu:

{
  "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}

Tento příkaz automaticky přiřadí roli Přispěvatel RBAC instančnímu objektu na úrovni předplatného. Rozsah můžete zúžit na konkrétní skupinu prostředků, ve které testy vytvoří prostředky.

Vyjměte a vložte výstupní obsah do souboru, azureauth.json který je uložený ve stejném systému jako azacsnap příkaz. Zabezpečte soubor s odpovídajícími systémovými oprávněními.

Ujistěte se, že formát souboru JSON je přesně popsaný v předchozím kroku s adresami URL uzavřenými v uvozovkách (").

Důležité

Z AzAcSnap 10, communicatoin s Azure Large Instance Storage používá rozhraní REST API přes HTTPS. Verze starší než AzAcSnap 10 používají rozhraní příkazového řádku přes SSH.

Rozhraní REST API služby Azure Large Instance přes HTTPS

Komunikace s back-endem úložiště probíhá přes šifrovaný kanál HTTPS pomocí ověřování na základě certifikátů. Následující příklad kroků obsahuje pokyny k nastavení certifikátu PKCS12 pro tuto komunikaci:

Vygenerujte soubory PEM a KEY.

CN se rovná uživatelskému jménu SVM, požádejte microsoft Operations o toto uživatelské jméno SVM.

V tomto příkladu používáme svmadmin01 jako uživatelské jméno SVM, upravte ho podle potřeby pro vaši instalaci.

openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"

Projděte si následující výstup:

Generating a RSA private key
........................................................................................................+++++
....................................+++++
writing new private key to 'svmadmin01.key'
-----

Výstupem je obsah souboru PEM.

Obsah souboru PEM se používá k přidání ca klienta do SVM.

! Odešle obsah souboru PEM správci BMI (Microsoft BareMetal Infrastructure).

cat svmadmin01.pem

Zkombinujte PEM a KEY do jednoho souboru PKCS12 (potřebný pro AzAcSnap).
```
openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
```
Soubor svmadmin01.p12 se používá jako hodnota certificateFile v části aliStorageResource konfiguračního souboru AzAcSnap.
Otestujte soubor PKCS12 pomocí nástroje curl.

Po potvrzení z operací Microsoftu použili certifikát na SVM, aby povolil přihlášení na základě certifikátu, a otestujte připojení k SVM.

V tomto příkladu používáme soubor PKCS12 s názvem svmadmin01.p12 pro připojení k hostiteli SVM X.X.X.X.X (tato IP adresa bude poskytována operací Microsoftu).
```
curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
```
```
{
  "version": {
    "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
    "generation": 9,
    "major": 15,
    "minor": 1
  },
  "_links": {
    "self": {
      "href": "/api/cluster"
    }
  }
}
```

Azure Large Instance CLI přes SSH

Upozorňující

Tyto pokyny platí pro verze starší než AzAcSnap 10 a tuto část obsahu už pravidelně neaktualizujeme.

Komunikace s back-endem úložiště probíhá přes šifrovaný kanál SSH. Následující příklad kroků obsahuje pokyny k nastavení protokolu SSH pro tuto komunikaci:

Upravte soubor /etc/ssh/ssh_config.

Podívejte se na následující výstup, který obsahuje MACs hmac-sha řádek:

# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# GSSAPIKeyExchange no
# GSSAPITrustDNS no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
Protocol 2
# Cipher 3des
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
MACs hmac-sha
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
# ProxyCommand ssh -q -W %h:%p gateway.example.com

Pomocí následujícího příkladu vygenerujte dvojici privátního a veřejného klíče. Při generování klíče nezadávejte heslo.
```
ssh-keygen -t rsa –b 5120 -C ""
```

Výstupem cat /root/.ssh/id_rsa.pub příkazu je veřejný klíč. Odešlete ho do operací Microsoftu, aby nástroje pro snímky mohly komunikovat s subsystémem úložiště.

cat /root/.ssh/id_rsa.pub

ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD

Další kroky

Konfigurace nástroje Aplikace Azure lication Consistent Snapshot

Sdílet prostřednictvím