Konfigurowanie magazynu dla narzędzia migawek spójnych aplikacja systemu Azure

Ten artykuł zawiera przewodnik konfigurowania usługi Azure Storage do użycia z narzędziem aplikacja systemu Azure Spójne migawki (AzAcSnap).

Wybierz magazyn używany za pomocą polecenia AzAcSnap.

Azure NetApp Files

Skonfiguruj tożsamość zarządzaną przez system (zalecaną) lub wygeneruj plik uwierzytelniania jednostki usługi.

Podczas walidacji komunikacji z usługą Azure NetApp Files komunikacja może zakończyć się niepowodzeniem lub przekroczeniem limitu czasu. Sprawdź, czy reguły zapory nie blokują ruchu wychodzącego z systemu z uruchomionym modułem AzAcSnap do następujących adresów i portów TCP/IP:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Duże wystąpienia platformy Azure (bez systemu operacyjnego)

Musisz wygenerować własny certyfikat z podpisem własnym, a następnie udostępnić zawartość pliku PEM (Privacy Enhanced Mail) w usłudze Microsoft Operations, aby można było go zainstalować w zapleczu usługi Storage, aby umożliwić usłudze AzAcSnap bezpieczne uwierzytelnianie przy użyciu protokołu ONTAP.

Połącz PEM i KEY w jeden plik PKCS12, który jest wymagany przez moduł AzAcSnap do uwierzytelniania opartego na certyfikatach na serwerze ONTAP.

Przetestuj plik PKCS12 przy użyciu polecenia curl , aby nawiązać połączenie z jednym z węzłów.

Operacje firmy Microsoft udostępnia nazwę użytkownika magazynu i adres IP magazynu w momencie aprowizacji.

Włączanie komunikacji z magazynem

W tej sekcji wyjaśniono, jak włączyć komunikację z magazynem. Użyj poniższych kart, aby poprawnie wybrać zaplecze magazynu, którego używasz.

Azure NetApp Files (z maszyną wirtualną)

Istnieją dwa sposoby uwierzytelniania w usłudze Azure Resource Manager przy użyciu tożsamości zarządzanej przez system lub pliku jednostki usługi. Opcje są opisane tutaj.

Tożsamość zarządzana przez system platformy Azure

Z poziomu modułu AzAcSnap 9 można użyć tożsamości zarządzanej przez system zamiast jednostki usługi dla operacji. Użycie tej funkcji pozwala uniknąć konieczności przechowywania poświadczeń jednostki usługi na maszynie wirtualnej. Aby skonfigurować tożsamość zarządzaną platformy Azure przy użyciu usługi Azure Cloud Shell, wykonaj następujące kroki:

1. W ramach sesji usługi Cloud Shell z powłoką Bash użyj poniższego przykładu, aby odpowiednio ustawić zmienne powłoki i zastosować je do subskrypcji, w której chcesz utworzyć tożsamość zarządzaną platformy Azure. Ustaw SUBSCRIPTIONwartości , VM_NAMEi RESOURCE_GROUP na wartości specyficzne dla witryny.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Ustaw usługę Cloud Shell na poprawną subskrypcję:

   az account set -s "${SUBSCRIPTION}"
   

3. Utwórz tożsamość zarządzaną dla maszyny wirtualnej. Następujące zestawy poleceń (lub pokazuje, czy jest już ustawiona) tożsamość zarządzana maszyny wirtualnej AzAcSnap:

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Pobierz identyfikator podmiotu zabezpieczeń na potrzeby przypisywania roli:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. Przypisz rolę Współautor do identyfikatora podmiotu zabezpieczeń:

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

Opcjonalna kontrola dostępu oparta na rolach

Istnieje możliwość ograniczenia uprawnień dla tożsamości zarządzanej przy użyciu niestandardowej definicji roli w kontroli dostępu opartej na rolach (RBAC). Utwórz odpowiednią definicję roli dla maszyny wirtualnej, aby móc zarządzać migawkami. Przykładowe ustawienia uprawnień można znaleźć w temacie Porady i wskazówki dotyczące korzystania z narzędzia aplikacja systemu Azure Spójne migawki.

Następnie przypisz rolę do identyfikatora jednostki maszyny wirtualnej platformy Azure (wyświetlanego również jako SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Generowanie pliku jednostki usługi

1. W sesji usługi Cloud Shell upewnij się, że zalogowano się w subskrypcji, w której chcesz domyślnie skojarzyć się z jednostką usługi:

   az account show
   

2. Jeśli subskrypcja nie jest poprawna, użyj az account set polecenia :

   az account set -s <subscription name or id>
   

3. Utwórz jednostkę usługi przy użyciu interfejsu wiersza polecenia platformy Azure, jak pokazano w tym przykładzie:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   Polecenie powinno wygenerować dane wyjściowe podobne do tego przykładu:

   {
     "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   To polecenie automatycznie przypisuje rolę współautora RBAC do jednostki usługi na poziomie subskrypcji. Zakres można zawęzić do określonej grupy zasobów, w której testy będą tworzyć zasoby.

4. Wytnij i wklej zawartość wyjściową do pliku o nazwie azureauth.json przechowywanej w tym samym systemie co azacsnap polecenie. Zabezpiecz plik przy użyciu odpowiednich uprawnień systemowych.

   Upewnij się, że format pliku JSON jest dokładnie taki, jak opisano w poprzednim kroku, z adresami URL ujętymi w podwójny cudzysłów (").

Duże wystąpienia platformy Azure (bez systemu operacyjnego)

Ważne

Z poziomu modułu AzAcSnap 10 aplikacja communicatoin z usługą Azure Large Instance Storage używa interfejsu API REST za pośrednictwem protokołu HTTPS. Wersje wcześniejsze niż AzAcSnap 10 używają interfejsu wiersza polecenia za pośrednictwem protokołu SSH.

Interfejs API REST dużego wystąpienia platformy Azure za pośrednictwem protokołu HTTPS

Komunikacja z zapleczem magazynu odbywa się za pośrednictwem szyfrowanego kanału HTTPS przy użyciu uwierzytelniania opartego na certyfikatach. Poniższe przykładowe kroki zawierają wskazówki dotyczące konfigurowania certyfikatu PKCS12 dla tej komunikacji:

1. Wygeneruj pliki PEM i KEY.

   Cn jest równa nazwie użytkownika svM, poproś microsoft Operations o tę nazwę użytkownika SVM.

   W tym przykładzie używamy svmadmin01 jako nazwy użytkownika svM, zmodyfikuj to w razie potrzeby dla instalacji.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Zapoznaj się z następującymi danymi wyjściowymi:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. Wyprowadź zawartość pliku PEM.

   Zawartość pliku PEM jest używana do dodawania klienta-ca do maszyny wektorów nośnych.

   ! Wyślij zawartość pliku PEM do administratora infrastruktury Microsoft BareMetal Infrastructure (BMI).

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. Połącz PEM i KLUCZ w jeden plik PKCS12 (wymagany dla polecenia AzAcSnap).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   Plik svmadmin01.p12 jest używany jako wartość certificateFile w sekcji aliStorageResource pliku konfiguracji AzAcSnap.

4. Przetestuj plik PKCS12 przy użyciu narzędzia curl.

   Po otrzymaniu potwierdzenia od firmy Microsoft Operations zastosowali certyfikat do maszyny svM, aby zezwolić na logowanie oparte na certyfikatach, a następnie przetestują łączność z maszyną wektorów nośnych.

   W tym przykładzie używamy pliku PKCS12 o nazwie svmadmin01.p12, aby nawiązać połączenie z hostem SVM "X.X.X.X.X".X" (ten adres IP zostanie udostępniony przez operację Firmy Microsoft).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

Interfejs wiersza polecenia dużego wystąpienia platformy Azure za pośrednictwem protokołu SSH

Ostrzeżenie

Te instrukcje dotyczą wersji wcześniejszych niż AzAcSnap 10 i nie aktualizujemy już tej sekcji zawartości regularnie.

Komunikacja z zapleczem magazynu odbywa się za pośrednictwem zaszyfrowanego kanału SSH. Poniższe przykładowe kroki zawierają wskazówki dotyczące konfigurowania protokołu SSH dla tej komunikacji:

1. Zmodyfikuj plik /etc/ssh/ssh_config.

   Zapoznaj się z następującymi danymi wyjściowymi, które zawierają MACs hmac-sha wiersz:

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. Użyj następującego przykładowego polecenia, aby wygenerować parę kluczy prywatnych/publicznych. Nie wprowadzaj hasła podczas generowania klucza.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. Dane wyjściowe cat /root/.ssh/id_rsa.pub polecenia to klucz publiczny. Wyślij go do programu Microsoft Operations, aby narzędzia migawek mogły komunikować się z podsystemem magazynowania.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD
   

Następne kroki

• Konfigurowanie narzędzia do tworzenia migawek spójnych aplikacja systemu Azure