Konfigurowanie magazynu dla narzędzia migawek spójnych aplikacja systemu Azure
Ten artykuł zawiera przewodnik konfigurowania usługi Azure Storage do użycia z narzędziem aplikacja systemu Azure Spójne migawki (AzAcSnap).
Wybierz magazyn używany za pomocą polecenia AzAcSnap.
Skonfiguruj tożsamość zarządzaną przez system (zalecaną) lub wygeneruj plik uwierzytelniania jednostki usługi.
Podczas walidacji komunikacji z usługą Azure NetApp Files komunikacja może zakończyć się niepowodzeniem lub przekroczeniem limitu czasu. Sprawdź, czy reguły zapory nie blokują ruchu wychodzącego z systemu z uruchomionym modułem AzAcSnap do następujących adresów i portów TCP/IP:
- (https://)management.azure.com:443
- (https://)login.microsoftonline.com:443
Włączanie komunikacji z magazynem
W tej sekcji wyjaśniono, jak włączyć komunikację z magazynem. Użyj poniższych kart, aby poprawnie wybrać zaplecze magazynu, którego używasz.
- Azure NetApp Files (z maszyną wirtualną)
- Duże wystąpienia platformy Azure (bez systemu operacyjnego)
Istnieją dwa sposoby uwierzytelniania w usłudze Azure Resource Manager przy użyciu tożsamości zarządzanej przez system lub pliku jednostki usługi. Opcje są opisane tutaj.
Tożsamość zarządzana przez system platformy Azure
Z poziomu modułu AzAcSnap 9 można użyć tożsamości zarządzanej przez system zamiast jednostki usługi dla operacji. Użycie tej funkcji pozwala uniknąć konieczności przechowywania poświadczeń jednostki usługi na maszynie wirtualnej. Aby skonfigurować tożsamość zarządzaną platformy Azure przy użyciu usługi Azure Cloud Shell, wykonaj następujące kroki:
W ramach sesji usługi Cloud Shell z powłoką Bash użyj poniższego przykładu, aby odpowiednio ustawić zmienne powłoki i zastosować je do subskrypcji, w której chcesz utworzyć tożsamość zarządzaną platformy Azure. Ustaw
SUBSCRIPTION
wartości ,VM_NAME
iRESOURCE_GROUP
na wartości specyficzne dla witryny.export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99" export VM_NAME="MyVM" export RESOURCE_GROUP="MyResourceGroup" export ROLE="Contributor" export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
Ustaw usługę Cloud Shell na poprawną subskrypcję:
az account set -s "${SUBSCRIPTION}"
Utwórz tożsamość zarządzaną dla maszyny wirtualnej. Następujące zestawy poleceń (lub pokazuje, czy jest już ustawiona) tożsamość zarządzana maszyny wirtualnej AzAcSnap:
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
Pobierz identyfikator podmiotu zabezpieczeń na potrzeby przypisywania roli:
PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
Przypisz rolę Współautor do identyfikatora podmiotu zabezpieczeń:
az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
Opcjonalna kontrola dostępu oparta na rolach
Istnieje możliwość ograniczenia uprawnień dla tożsamości zarządzanej przy użyciu niestandardowej definicji roli w kontroli dostępu opartej na rolach (RBAC). Utwórz odpowiednią definicję roli dla maszyny wirtualnej, aby móc zarządzać migawkami. Przykładowe ustawienia uprawnień można znaleźć w temacie Porady i wskazówki dotyczące korzystania z narzędzia aplikacja systemu Azure Spójne migawki.
Następnie przypisz rolę do identyfikatora jednostki maszyny wirtualnej platformy Azure (wyświetlanego również jako SystemAssignedIdentity
):
az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"
Generowanie pliku jednostki usługi
W sesji usługi Cloud Shell upewnij się, że zalogowano się w subskrypcji, w której chcesz domyślnie skojarzyć się z jednostką usługi:
az account show
Jeśli subskrypcja nie jest poprawna, użyj
az account set
polecenia :az account set -s <subscription name or id>
Utwórz jednostkę usługi przy użyciu interfejsu wiersza polecenia platformy Azure, jak pokazano w tym przykładzie:
az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
Polecenie powinno wygenerować dane wyjściowe podobne do tego przykładu:
{ "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "activeDirectoryEndpointUrl": "https://login.microsoftonline.com", "resourceManagerEndpointUrl": "https://management.azure.com/", "activeDirectoryGraphResourceId": "https://graph.windows.net/", "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/", "galleryEndpointUrl": "https://gallery.azure.com/", "managementEndpointUrl": "https://management.core.windows.net/" }
To polecenie automatycznie przypisuje rolę współautora RBAC do jednostki usługi na poziomie subskrypcji. Zakres można zawęzić do określonej grupy zasobów, w której testy będą tworzyć zasoby.
Wytnij i wklej zawartość wyjściową do pliku o nazwie
azureauth.json
przechowywanej w tym samym systemie coazacsnap
polecenie. Zabezpiecz plik przy użyciu odpowiednich uprawnień systemowych.Upewnij się, że format pliku JSON jest dokładnie taki, jak opisano w poprzednim kroku, z adresami URL ujętymi w podwójny cudzysłów (").
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla