Tároló konfigurálása Azure-alkalmazás Konzisztens pillanatkép eszközhöz
Ez a cikk útmutatást nyújt az Azure Storage konfigurálásához a Azure-alkalmazás Konzisztens pillanatkép eszközzel (AzAcSnap).
Válassza ki az AzAcSnaptal használt tárterületet.
Állítson be egy rendszer által felügyelt identitást (ajánlott), vagy hozza létre a szolgáltatásnév hitelesítési fájlját.
Ha az Azure NetApp Files szolgáltatással folytatott kommunikációt ellenőrzi, a kommunikáció meghiúsulhat vagy időtúllépést eredményezhet. Ellenőrizze, hogy a tűzfalszabályok nem blokkolják-e az AzAcSnap rendszert futtató rendszer kimenő forgalmát a következő címekre és TCP/IP-portokra:
- (https://)management.azure.com:443
- (https://)login.microsoftonline.com:443
A tárterülettel való kommunikáció engedélyezése
Ez a szakasz a tárterülettel való kommunikáció engedélyezését ismerteti. Az alábbi lapok segítségével helyesen válassza ki a használt háttértárat.
Az Azure Resource Manager kétféleképpen hitelesíthető rendszer által felügyelt identitással vagy egyszerű szolgáltatásfájllal. A lehetőségeket itt ismertetjük.
Azure rendszer által felügyelt identitás
Az AzAcSnap 9 szolgáltatásnév helyett rendszer által felügyelt identitást is használhat a működéshez. Ezzel a funkcióval elkerülhető, hogy a szolgáltatásnév hitelesítő adatait egy virtuális gépen (virtuális gépen) tárolja. Ha azure-beli felügyelt identitást szeretne beállítani az Azure Cloud Shell használatával, kövesse az alábbi lépéseket:
A Basht használó Cloud Shell-munkamenetben az alábbi példában állítsa be a rendszerhéjváltozókat, és alkalmazza őket arra az előfizetésre, ahol létre szeretné hozni az Azure-beli felügyelt identitást. Állítsa be
SUBSCRIPTION
a ,VM_NAME
ésRESOURCE_GROUP
a webhelyspecifikus értékeket.export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99" export VM_NAME="MyVM" export RESOURCE_GROUP="MyResourceGroup" export ROLE="Contributor" export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
A Cloud Shell beállítása a megfelelő előfizetésre:
az account set -s "${SUBSCRIPTION}"
Hozza létre a virtuális gép felügyelt identitását. A következő parancskészletek (vagy ha már be van állítva) az AzAcSnap virtuális gép felügyelt identitása:
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
Szerezze be a szerepkör hozzárendeléséhez szükséges egyszerű azonosítót:
PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
A közreműködői szerepkör hozzárendelése az egyszerű azonosítóhoz:
az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
Választható RBAC
A felügyelt identitás engedélyeit egy egyéni szerepkördefinícióval korlátozhatja a szerepköralapú hozzáférés-vezérlésben (RBAC). Hozzon létre egy megfelelő szerepkördefiníciót a virtuális gép számára a pillanatképek kezeléséhez. A Azure-alkalmazás Konzisztens pillanatkép eszköz használatára vonatkozó tippekben és trükkökben talál példaengedély-beállításokat.
Ezután rendelje hozzá a szerepkört az Azure-beli virtuális gép egyszerű azonosítóhoz (a következőként SystemAssignedIdentity
is megjelenítve):
az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"
Egyszerű szolgáltatásfájl létrehozása
Egy Cloud Shell-munkamenetben győződjön meg arról, hogy azon az előfizetésen van bejelentkezve, amelyhez alapértelmezés szerint hozzá szeretné rendelni a szolgáltatásnevet:
az account show
Ha az előfizetés nem helyes, használja a
az account set
következő parancsot:az account set -s <subscription name or id>
Hozzon létre egy egyszerű szolgáltatást az Azure CLI használatával, ahogyan az ebben a példában látható:
az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
A parancsnak az alábbi példához hasonlóan kell kimenetet létrehoznia:
{ "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "activeDirectoryEndpointUrl": "https://login.microsoftonline.com", "resourceManagerEndpointUrl": "https://management.azure.com/", "activeDirectoryGraphResourceId": "https://graph.windows.net/", "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/", "galleryEndpointUrl": "https://gallery.azure.com/", "managementEndpointUrl": "https://management.core.windows.net/" }
Ez a parancs automatikusan hozzárendeli az RBAC-közreműködői szerepkört a szolgáltatásnévhez az előfizetés szintjén. A hatókört szűkítheti arra az erőforráscsoportra, ahol a tesztek létrehozzák az erőforrásokat.
Vágja ki és illessze be a kimeneti tartalmat egy olyan fájlba
azureauth.json
, amely a parancsmal azonos rendszerenazacsnap
van tárolva. Biztonságossá teheti a fájlt a megfelelő rendszerengedélyekkel.Győződjön meg arról, hogy a JSON-fájl formátuma pontosan az előző lépésben leírtak szerint van megadva, dupla idézőjelek (").
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: