Настройка хранилища для средства приложение Azure согласованного моментального снимка

Статья
07/02/2024

В этой статье приведено руководство по настройке хранилища Azure для использования с инструментом приложение Azure согласованного моментального снимка (AzAcSnap).

Выберите хранилище, используемое с AzAcSnap.

Azure NetApp Files
Крупные экземпляры Azure (без операционной системы)

Настройте управляемое системой удостоверение (рекомендуется) или создайте файл проверки подлинности субъекта-службы.

При проверке связи с Azure NetApp Files связь может завершиться ошибкой или временем ожидания. Убедитесь, что правила брандмауэра не блокируют исходящий трафик из системы под управлением AzAcSnap на следующие адреса и порты TCP/IP:

(https://)management.azure.com:443
(https://)login.microsoftonline.com:443

Вам потребуется создать собственный самозаверяющий сертификат, а затем предоставить общий доступ к содержимому файла PEM (Конфиденциальность расширенной почты) с помощью Microsoft Operations, чтобы его можно было установить в серверную часть хранилища, чтобы разрешить AzAcSnap безопасно пройти проверку подлинности с помощью ONTAP.

Объедините PEM и KEY в один PKCS12-файл, который необходим AzAcSnap для проверки подлинности на основе сертификатов в ONTAP.

Проверьте PKCS12-файл с помощью curl подключения к одному из узлов.

Microsoft Operations предоставляет имя пользователя хранилища и IP-адрес хранилища во время подготовки.

Обеспечение обмена данными с хранилищем

В этом разделе объясняется, как включить связь с хранилищем. Используйте следующие вкладки, чтобы правильно выбрать конечную часть хранилища, которую вы используете.

Azure NetApp Files (с виртуальной машиной)
Крупные экземпляры Azure (без операционной системы)

Существует два способа проверки подлинности в Azure Resource Manager с помощью управляемого системой удостоверения или файла субъекта-службы. Здесь описаны параметры.

Управляемое системой удостоверение Azure

Из AzAcSnap 9 можно использовать управляемое системой удостоверение вместо субъекта-службы для операции. Использование этой функции позволяет избежать необходимости хранить учетные данные субъекта-службы на виртуальной машине. Чтобы настроить управляемое удостоверение Azure с помощью Azure Cloud Shell, выполните следующие действия.

В сеансе Cloud Shell с Bash используйте следующий пример, чтобы задать переменные оболочки соответствующим образом и применить их к подписке, в которой требуется создать управляемое удостоверение Azure. Задайте SUBSCRIPTION, VM_NAMEа также RESOURCE_GROUP для ваших значений, относящихся к сайту.
```
export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
export VM_NAME="MyVM"
export RESOURCE_GROUP="MyResourceGroup"
export ROLE="Contributor"
export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
```
Задайте Cloud Shell правильной подписке:
```
az account set -s "${SUBSCRIPTION}"
```
Создайте управляемое удостоверение для виртуальной машины. Следующие наборы команд (или показывает, уже ли он установлен) управляемого удостоверения виртуальной машины AzAcSnap:
```
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
```
Получите идентификатор субъекта для назначения роли:
```
PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
```
Назначьте роль участника идентификатору субъекта:
```
az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
```

Необязательный RBAC

Можно ограничить разрешения для управляемого удостоверения с помощью определения пользовательской роли в управлении доступом на основе ролей (RBAC). Создайте подходящее определение роли для виртуальной машины, чтобы управлять моментальными снимками. Примеры параметров разрешений можно найти в подсказках и рекомендации по использованию средства приложение Azure согласованного моментального снимка.

Затем назначьте роль идентификатору субъекта виртуальной машины Azure (также отображается как SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Создание файла субъекта-службы

В сеансе Cloud Shell убедитесь, что вы вошли в подписку, в которой вы хотите связаться с субъектом-службой по умолчанию:
```
az account show
```
Если подписка не правильна az account set , используйте команду:
```
az account set -s <subscription name or id>
```

Создайте субъект-службу с помощью Azure CLI, как показано в этом примере:

az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth

Команда должна создать выходные данные, как в следующем примере:

{
  "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}

Эта команда автоматически назначает роль участника RBAC субъекту-службе на уровне подписки. Область можно сузить до определенной группы ресурсов, в которой тесты будут создавать ресурсы.

Вырезать и вставить выходное содержимое в файл, который azureauth.json хранится в той же системе, что azacsnap и команда. Защитите файл с соответствующими разрешениями системы.

Убедитесь, что формат JSON-файла точно так же, как описано на предыдущем шаге, с URL-адресами, заключенными в двойные кавычки ().

Внимание

Из AzAcSnap 10 communicatoin с хранилищем крупных экземпляров Azure использует REST API по протоколу HTTPS. Версии до AzAcSnap 10 используют интерфейс командной строки по протоколу SSH.

REST API крупных экземпляров Azure по протоколу HTTPS

Взаимодействие с серверной частью хранилища происходит через зашифрованный канал HTTPS с помощью проверки подлинности на основе сертификатов. Ниже приведены инструкции по настройке сертификата PKCS12 для этого сообщения:

Создайте ФАЙЛЫ PEM и KEY.

CN равен имени пользователя SVM, попросите Microsoft Operations указать это имя пользователя SVM.

В этом примере мы используем svmadmin01 в качестве имени пользователя SVM, измените это, как это необходимо для установки.
```
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
```
Ознакомьтесь со следующими выходными данными:
```
Generating a RSA private key
........................................................................................................+++++
....................................+++++
writing new private key to 'svmadmin01.key'
-----
```

Выводит содержимое PEM-файла.

Содержимое PEM-файла используется для добавления клиентского ЦС в SVM.

! Отправьте содержимое PEM-файла администратору инфраструктуры Microsoft BareMetal (BMI).

cat svmadmin01.pem

Объедините PEM и KEY в один PKCS12-файл (необходим для AzAcSnap).
```
openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
```
Файл svmadmin01.p12 используется в качестве значения для certificateFile в разделе aliStorageResource файла конфигурации AzAcSnap.
Проверьте PKCS12-файл с помощью curl.

После получения подтверждения от Microsoft Operations они применили сертификат к SVM, чтобы разрешить вход на основе сертификатов, а затем проверить подключение к SVM.

В этом примере мы используем PKCS12-файл svmadmin01.p12 для подключения к узлу SVM "X.X.X.X.X". (этот IP-адрес будет предоставлен Microsoft Operations).
```
curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
```
```
{
  "version": {
    "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
    "generation": 9,
    "major": 15,
    "minor": 1
  },
  "_links": {
    "self": {
      "href": "/api/cluster"
    }
  }
}
```

Интерфейс командной строки крупных экземпляров Azure по протоколу SSH

Предупреждение

Эти инструкции предназначены для версий до AzAcSnap 10, и мы больше не обновляем этот раздел содержимого регулярно.

Взаимодействие с внутренней частью хранилища происходит через зашифрованный канал SSH. Ниже приведены инструкции по настройке SSH для этого взаимодействия:

Измените файл /etc/ssh/ssh_config.

Ознакомьтесь со следующими выходными данными MACs hmac-sha , включая строку:

# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# GSSAPIKeyExchange no
# GSSAPITrustDNS no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
Protocol 2
# Cipher 3des
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
MACs hmac-sha
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
# ProxyCommand ssh -q -W %h:%p gateway.example.com

Используйте следующую команду, чтобы создать пару закрытых и открытых ключей. Не введите пароль при создании ключа.
```
ssh-keygen -t rsa –b 5120 -C ""
```

Выходные данные cat /root/.ssh/id_rsa.pub команды — это открытый ключ. Отправьте его в Microsoft Operations, чтобы средства моментального снимка могли взаимодействовать с подсистемой хранения.

cat /root/.ssh/id_rsa.pub

ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD

Следующие шаги

Настройка средства создания моментальных снимков с согласованием для приложений Azure

Поделиться через