Mengonfigurasi penyimpanan untuk alat Azure Application Consistent Snapshot
Artikel ini menyediakan panduan untuk mengonfigurasi penyimpanan Azure yang akan digunakan dengan alat Azure Application Consistent Snapshot (AzAcSnap).
Pilih penyimpanan yang Anda gunakan dengan AzAcSnap.
Siapkan identitas yang dikelola sistem (disarankan) atau hasilkan file autentikasi perwakilan layanan.
Saat Anda memvalidasi komunikasi dengan Azure NetApp Files, komunikasi mungkin gagal atau waktu habis. Periksa apakah aturan firewall tidak memblokir lalu lintas keluar dari sistem yang menjalankan AzAcSnap ke alamat dan port TCP/IP berikut:
- (https://)management.azure.com:443
- (https://)login.microsoftonline.com:443
Aktifkan komunikasi dengan penyimpanan
Bagian ini menjelaskan cara mengaktifkan komunikasi dengan penyimpanan. Gunakan tab berikut untuk memilih back end penyimpanan yang Anda gunakan dengan benar.
Ada dua cara untuk mengautentikasi ke Azure Resource Manager menggunakan identitas yang dikelola sistem atau file perwakilan layanan. Opsi dijelaskan di sini.
Identitas yang dikelola sistem Azure
Dari AzAcSnap 9, dimungkinkan untuk menggunakan identitas yang dikelola sistem alih-alih perwakilan layanan untuk operasi. Menggunakan fitur ini menghindari kebutuhan untuk menyimpan kredensial perwakilan layanan pada komputer virtual (VM). Untuk menyiapkan identitas terkelola Azure dengan menggunakan Azure Cloud Shell, ikuti langkah-langkah berikut:
Dalam sesi Cloud Shell dengan Bash, gunakan contoh berikut untuk mengatur variabel shell dengan tepat dan menerapkannya ke langganan tempat Anda ingin membuat identitas terkelola Azure. Atur
SUBSCRIPTION
,VM_NAME
, danRESOURCE_GROUP
ke nilai khusus situs Anda.export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99" export VM_NAME="MyVM" export RESOURCE_GROUP="MyResourceGroup" export ROLE="Contributor" export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
Atur Cloud Shell ke langganan yang benar:
az account set -s "${SUBSCRIPTION}"
Buat identitas terkelola untuk komputer virtual. Perintah berikut menetapkan (atau menunjukkan apakah sudah diatur) identitas terkelola VM AzAcSnap:
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
Dapatkan ID utama untuk menetapkan peran:
PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
Tetapkan peran Kontributor ke ID utama:
az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
RBAC opsional
Dimungkinkan untuk membatasi izin untuk identitas terkelola dengan menggunakan definisi peran kustom dalam kontrol akses berbasis peran (RBAC). Buat definisi peran yang sesuai agar komputer virtual dapat mengelola rekam jepret. Anda dapat menemukan contoh pengaturan izin di Tips dan trik untuk menggunakan alat Azure Application Consistent Snapshot.
Kemudian tetapkan peran ke ID utama Azure VM (juga ditampilkan sebagai SystemAssignedIdentity
):
az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"
Membuat file perwakilan layanan
Dalam sesi Cloud Shell, pastikan Anda masuk di langganan tempat Anda ingin dikaitkan dengan perwakilan layanan secara default:
az account show
Jika langganan tidak benar, gunakan
az account set
perintah :az account set -s <subscription name or id>
Buat perwakilan layanan dengan menggunakan Azure CLI, seperti yang ditunjukkan dalam contoh ini:
az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
Perintah harus menghasilkan output seperti contoh ini:
{ "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "activeDirectoryEndpointUrl": "https://login.microsoftonline.com", "resourceManagerEndpointUrl": "https://management.azure.com/", "activeDirectoryGraphResourceId": "https://graph.windows.net/", "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/", "galleryEndpointUrl": "https://gallery.azure.com/", "managementEndpointUrl": "https://management.core.windows.net/" }
Perintah ini secara otomatis menetapkan peran Kontributor RBAC ke perwakilan layanan di tingkat langganan. Anda dapat mempersempit cakupan ke grup sumber daya tertentu tempat pengujian Anda akan membuat sumber daya.
Potong dan tempel konten output ke dalam file yang disebut
azureauth.json
yang disimpan pada sistem yang sama denganazacsnap
perintah . Amankan file dengan izin sistem yang sesuai.Pastikan format file JSON persis seperti yang dijelaskan pada langkah sebelumnya, dengan URL yang diapit tanda kutip ganda (").
Langkah berikutnya
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk