Opslag configureren voor Azure-toepassing hulpprogramma Consistente momentopname

Dit artikel bevat een handleiding voor het configureren van de Azure-opslag die moet worden gebruikt met het hulpprogramma Azure-toepassing Consistente momentopname (AzAcSnap).

Selecteer de opslag die u gebruikt met AzAcSnap.

Azure NetApp Files

Stel een door het systeem beheerde identiteit in (aanbevolen) of genereer het verificatiebestand van de service-principal.

Wanneer u communicatie met Azure NetApp Files valideert, kan communicatie mislukken of een time-out optreden. Controleer of firewallregels uitgaand verkeer van het systeem met AzAcSnap niet blokkeren naar de volgende adressen en TCP/IP-poorten:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Azure Large Instances (bare metal)

U moet uw eigen zelfondertekende certificaat genereren en vervolgens de inhoud van het PEM-bestand (Privacy Enhanced Mail) delen met Microsoft Operations, zodat het kan worden geïnstalleerd in de back-end van Storage, zodat AzAcSnap veilig kan worden geverifieerd met ONTAP.

Combineer de PEM en KEY in één PKCS12-bestand dat nodig is voor AzAcSnap voor verificatie op basis van certificaten voor ONTAP.

Test het PKCS12-bestand door verbinding curl te maken met een van de knooppunten.

Microsoft Operations biedt de gebruikersnaam en het IP-adres voor opslag op het moment van inrichten.

Communicatie met opslag inschakelen

In deze sectie wordt uitgelegd hoe u communicatie met opslag inschakelt. Gebruik de volgende tabbladen om de back-end van de opslag correct te selecteren die u gebruikt.

Azure NetApp Files (met virtuele machine)

Er zijn twee manieren om te verifiëren bij Azure Resource Manager met behulp van een door het systeem beheerde identiteit of een service-principalbestand. De opties worden hier beschreven.

Door het Azure-systeem beheerde identiteit

Vanuit AzAcSnap 9 is het mogelijk om een door het systeem beheerde identiteit te gebruiken in plaats van een service-principal voor bewerking. Als u deze functie gebruikt, hoeft u geen referenties voor de service-principal op te slaan op een virtuele machine (VM). Voer de volgende stappen uit om een door Azure beheerde identiteit in te stellen met behulp van Azure Cloud Shell:

1. Gebruik in een Cloud Shell-sessie met Bash het volgende voorbeeld om de shellvariabelen op de juiste manier in te stellen en toe te passen op het abonnement waarin u de beheerde Azure-identiteit wilt maken. Stel SUBSCRIPTION, VM_NAMEen RESOURCE_GROUP op uw sitespecifieke waarden in.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Stel Cloud Shell in op het juiste abonnement:

   az account set -s "${SUBSCRIPTION}"
   

3. Maak de beheerde identiteit voor de virtuele machine. Met de volgende opdracht wordt de beheerde identiteit van de AzAcSnap-VM ingesteld (of wordt weergegeven als deze al is ingesteld):

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Haal de principal-id op voor het toewijzen van een rol:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. Wijs de rol Inzender toe aan de principal-id:

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

Optionele RBAC

Het is mogelijk om de machtigingen voor de beheerde identiteit te beperken met behulp van een aangepaste roldefinitie in op rollen gebaseerd toegangsbeheer (RBAC). Maak een geschikte roldefinitie voor de virtuele machine om momentopnamen te kunnen beheren. U vindt voorbeelden van machtigingsinstellingen in Tips en trucs voor het gebruik van het hulpprogramma Azure-toepassing Consistente momentopname.

Wijs vervolgens de rol toe aan de principal-id van de Azure-VM (ook weergegeven als SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Een service-principalbestand genereren

1. Zorg er in een Cloud Shell-sessie voor dat u bent aangemeld bij het abonnement waaraan u standaard wilt worden gekoppeld aan de service-principal:

   az account show
   

2. Als het abonnement niet juist is, gebruikt u de az account set opdracht:

   az account set -s <subscription name or id>
   

3. Maak een service-principal met behulp van de Azure CLI, zoals wordt weergegeven in dit voorbeeld:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   De opdracht moet uitvoer genereren zoals in dit voorbeeld:

   {
     "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   Met deze opdracht wordt automatisch de rol RBAC-inzender toegewezen aan de service-principal op abonnementsniveau. U kunt het bereik beperken tot de specifieke resourcegroep waarin uw tests de resources maken.

4. Knip en plak de uitvoerinhoud in een bestand azureauth.json dat is opgeslagen op hetzelfde systeem als de azacsnap opdracht. Beveilig het bestand met de juiste systeemmachtigingen.

   Zorg ervoor dat de indeling van het JSON-bestand exact is zoals beschreven in de vorige stap, met de URL's tussen dubbele aanhalingstekens (").

Azure Large Instances (bare metal)

Belangrijk

Vanuit AzAcSnap 10 maakt communicatie met Azure Large Instance-opslag gebruik van de REST API via HTTPS. Versies vóór AzAcSnap 10 gebruiken de CLI via SSH.

AZURE Large Instance REST API via HTTPS

Communicatie met de back-end van de opslag vindt plaats via een versleuteld HTTPS-kanaal met behulp van verificatie op basis van certificaten. De volgende voorbeeldstappen bieden richtlijnen voor het instellen van het PKCS12-certificaat voor deze communicatie:

1. Genereer de PEM- en KEY-bestanden.

   De CN is gelijk aan de SVM-gebruikersnaam. Vraag Microsoft Operations om deze SVM-gebruikersnaam.

   In dit voorbeeld gebruiken svmadmin01 we deze als svm-gebruikersnaam, wijzig deze indien nodig voor uw installatie.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Raadpleeg de volgende uitvoer:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. Voer de inhoud van het PEM-bestand uit.

   De inhoud van het PEM-bestand wordt gebruikt voor het toevoegen van de client-ca aan de SVM.

   ! Verzend de inhoud van het PEM-bestand naar de beheerder van Microsoft BareMetal Infrastructure (BMI).

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. Combineer de PEM en KEY in één PKCS12-bestand (nodig voor AzAcSnap).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   Het bestand svmadmin01.p12 wordt gebruikt als de waarde voor certificateFile in de sectie aliStorageResource van het AzAcSnap-configuratiebestand.

4. Test het PKCS12-bestand met behulp van curl.

   Na bevestiging van Microsoft Operations hebben ze het certificaat toegepast op de SVM om aanmelding op basis van certificaten toe te staan en vervolgens de connectiviteit met de SVM te testen.

   In dit voorbeeld gebruiken we het PKCS12-bestand met de naam svmadmin01.p12 om verbinding te maken met de SVM-host X.X.X.X (dit IP-adres wordt geleverd door Microsoft Operations).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

Azure Large Instance CLI via SSH

Waarschuwing

Deze instructies zijn voor versies vóór AzAcSnap 10 en we werken deze sectie van de inhoud niet meer regelmatig bij.

Communicatie met de back-end van de opslag vindt plaats via een versleuteld SSH-kanaal. De volgende voorbeeldstappen bieden richtlijnen voor het instellen van SSH voor deze communicatie:

1. Wijzig het bestand /etc/ssh/ssh_config.

   Raadpleeg de volgende uitvoer, die de MACs hmac-sha regel bevat:

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. Gebruik de volgende voorbeeldopdracht om een persoonlijk/openbaar sleutelpaar te genereren. Voer geen wachtwoord in wanneer u een sleutel genereert.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. De uitvoer van de cat /root/.ssh/id_rsa.pub opdracht is de openbare sleutel. Verzend deze naar Microsoft Operations, zodat de hulpprogramma's voor momentopnamen kunnen communiceren met het opslagsubsysteem.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD
   

Volgende stappen

• Hulpprogramma voor Azure-toepassing consistente momentopname configureren