Mengonfigurasi penyimpanan untuk alat Azure Application Consistent Snapshot

Artikel
07/02/2024

Artikel ini menyediakan panduan untuk mengonfigurasi penyimpanan Azure yang akan digunakan dengan alat Azure Application Consistent Snapshot (AzAcSnap).

Pilih penyimpanan yang Anda gunakan dengan AzAcSnap.

Azure NetApp Files
Azure Large Instances (bare metal)

Siapkan identitas yang dikelola sistem (disarankan) atau hasilkan file autentikasi perwakilan layanan.

Saat Anda memvalidasi komunikasi dengan Azure NetApp Files, komunikasi mungkin gagal atau waktu habis. Periksa apakah aturan firewall tidak memblokir lalu lintas keluar dari sistem yang menjalankan AzAcSnap ke alamat dan port TCP/IP berikut:

(https://)management.azure.com:443
(https://)login.microsoftonline.com:443

Anda harus membuat sertifikat yang ditandatangani sendiri dan kemudian membagikan konten file PEM (Privacy Enhanced Mail) dengan Microsoft Operations sehingga dapat diinstal ke back-end Storage untuk memungkinkan AzAcSnap mengautentikasi dengan aman dengan ONTAP.

Gabungkan PEM dan KEY ke dalam satu file PKCS12 yang diperlukan oleh AzAcSnap untuk autentikasi berbasis sertifikat ke ONTAP.

Uji file PKCS12 dengan menggunakan curl untuk menyambungkan ke salah satu simpul.

Microsoft Operations menyediakan nama pengguna penyimpanan dan alamat IP penyimpanan pada saat provisi.

Aktifkan komunikasi dengan penyimpanan

Bagian ini menjelaskan cara mengaktifkan komunikasi dengan penyimpanan. Gunakan tab berikut untuk memilih back end penyimpanan yang Anda gunakan dengan benar.

Azure NetApp Files (dengan komputer virtual)
Azure Large Instances (bare metal)

Ada dua cara untuk mengautentikasi ke Azure Resource Manager menggunakan identitas yang dikelola sistem atau file perwakilan layanan. Opsi dijelaskan di sini.

Identitas yang dikelola sistem Azure

Dari AzAcSnap 9, dimungkinkan untuk menggunakan identitas yang dikelola sistem alih-alih perwakilan layanan untuk operasi. Menggunakan fitur ini menghindari kebutuhan untuk menyimpan kredensial perwakilan layanan pada komputer virtual (VM). Untuk menyiapkan identitas terkelola Azure dengan menggunakan Azure Cloud Shell, ikuti langkah-langkah berikut:

Dalam sesi Cloud Shell dengan Bash, gunakan contoh berikut untuk mengatur variabel shell dengan tepat dan menerapkannya ke langganan tempat Anda ingin membuat identitas terkelola Azure. Atur SUBSCRIPTION, VM_NAME, dan RESOURCE_GROUP ke nilai khusus situs Anda.
```
export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
export VM_NAME="MyVM"
export RESOURCE_GROUP="MyResourceGroup"
export ROLE="Contributor"
export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
```
Atur Cloud Shell ke langganan yang benar:
```
az account set -s "${SUBSCRIPTION}"
```
Buat identitas terkelola untuk komputer virtual. Perintah berikut menetapkan (atau menunjukkan apakah sudah diatur) identitas terkelola VM AzAcSnap:
```
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
```

Dapatkan ID utama untuk menetapkan peran:

PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)

Tetapkan peran Kontributor ke ID utama:

az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"

RBAC opsional

Dimungkinkan untuk membatasi izin untuk identitas terkelola dengan menggunakan definisi peran kustom dalam kontrol akses berbasis peran (RBAC). Buat definisi peran yang sesuai agar komputer virtual dapat mengelola rekam jepret. Anda dapat menemukan contoh pengaturan izin di Tips dan trik untuk menggunakan alat Azure Application Consistent Snapshot.

Kemudian tetapkan peran ke ID utama Azure VM (juga ditampilkan sebagai SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Membuat file perwakilan layanan

Dalam sesi Cloud Shell, pastikan Anda masuk di langganan tempat Anda ingin dikaitkan dengan perwakilan layanan secara default:
```
az account show
```
Jika langganan tidak benar, gunakan az account set perintah :
```
az account set -s <subscription name or id>
```

Buat perwakilan layanan dengan menggunakan Azure CLI, seperti yang ditunjukkan dalam contoh ini:

az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth

Perintah harus menghasilkan output seperti contoh ini:

{
  "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}

Perintah ini secara otomatis menetapkan peran Kontributor RBAC ke perwakilan layanan di tingkat langganan. Anda dapat mempersempit cakupan ke grup sumber daya tertentu tempat pengujian Anda akan membuat sumber daya.

Potong dan tempel konten output ke dalam file yang disebut azureauth.json yang disimpan pada sistem yang sama dengan azacsnap perintah . Amankan file dengan izin sistem yang sesuai.

Pastikan format file JSON persis seperti yang dijelaskan pada langkah sebelumnya, dengan URL yang diapit tanda kutip ganda (").

Penting

Dari AzAcSnap 10, communicatoin dengan penyimpanan Instans Besar Azure menggunakan REST API melalui HTTPS. Versi sebelum AzAcSnap 10 menggunakan CLI melalui SSH.

AZURE Large Instance REST API melalui HTTPS

Komunikasi dengan back end penyimpanan terjadi melalui saluran HTTPS terenkripsi menggunakan autentikasi berbasis sertifikat. Contoh langkah-langkah berikut memberikan panduan tentang penyiapan sertifikat PKCS12 untuk komunikasi ini:

Buat file PEM dan KEY.

CN sama dengan nama pengguna SVM, tanyakan kepada Microsoft Operations untuk nama pengguna SVM ini.

Dalam contoh ini kami menggunakan svmadmin01 sebagai nama pengguna SVM kami, ubah ini seperlunya untuk penginstalan Anda.

openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"

Lihat output berikut:

Generating a RSA private key
........................................................................................................+++++
....................................+++++
writing new private key to 'svmadmin01.key'
-----

Keluarkan isi file PEM.

Konten file PEM digunakan untuk menambahkan client-ca ke SVM.

! Kirim konten file PEM ke administrator Microsoft BareMetal Infrastructure (BMI).

cat svmadmin01.pem

Gabungkan PEM dan KEY ke dalam satu file PKCS12 (diperlukan untuk AzAcSnap).
```
openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
```
File svmadmin01.p12 digunakan sebagai nilai untuk certificateFile di bagian aliStorageResource dari file konfigurasi AzAcSnap.
Uji file PKCS12 menggunakan curl.

Setelah mendapatkan konfirmasi dari Microsoft Operations, mereka telah menerapkan sertifikat ke SVM untuk mengizinkan masuk berbasis sertifikat, lalu menguji konektivitas ke SVM.

Dalam contoh ini kita menggunakan file PKCS12 yang disebut svmadmin01.p12 untuk terhubung ke host SVM "X.X.X.X" (alamat IP ini akan disediakan oleh Microsoft Operations).
```
curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
```
```
{
  "version": {
    "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
    "generation": 9,
    "major": 15,
    "minor": 1
  },
  "_links": {
    "self": {
      "href": "/api/cluster"
    }
  }
}
```

Azure Large Instance CLI melalui SSH

Peringatan

Instruksi ini untuk versi sebelum AzAcSnap 10 dan kami tidak lagi memperbarui bagian konten ini secara teratur.

Komunikasi dengan back end penyimpanan terjadi melalui saluran SSH terenkripsi. Contoh langkah-langkah berikut memberikan panduan tentang penyiapan SSH untuk komunikasi ini:

Mengubah file /etc/ssh/ssh_config.

Lihat output berikut, yang mencakup MACs hmac-sha baris:

# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# GSSAPIKeyExchange no
# GSSAPITrustDNS no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
Protocol 2
# Cipher 3des
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
MACs hmac-sha
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
# ProxyCommand ssh -q -W %h:%p gateway.example.com

Gunakan perintah contoh berikut untuk menghasilkan pasangan kunci privat/publik. Jangan masukkan kata sandi saat Anda membuat kunci.
```
ssh-keygen -t rsa –b 5120 -C ""
```

Output perintah cat /root/.ssh/id_rsa.pub adalah kunci publik. Kirimkan ke Microsoft Operations, sehingga alat rekam jepret dapat berkomunikasi dengan subsistem penyimpanan.

cat /root/.ssh/id_rsa.pub

ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD

Langkah berikutnya

Mengonfigurasi alat Rekam Jepret Konsisten Aplikasi Azure

Bagikan melalui