Настройка хранилища для средства приложение Azure согласованного моментального снимка
В этой статье приведено руководство по настройке хранилища Azure для использования с инструментом приложение Azure согласованного моментального снимка (AzAcSnap).
Выберите хранилище, используемое с AzAcSnap.
Настройте управляемое системой удостоверение (рекомендуется) или создайте файл проверки подлинности субъекта-службы.
При проверке связи с Azure NetApp Files связь может завершиться ошибкой или временем ожидания. Убедитесь, что правила брандмауэра не блокируют исходящий трафик из системы под управлением AzAcSnap на следующие адреса и порты TCP/IP:
- (https://)management.azure.com:443
- (https://)login.microsoftonline.com:443
Обеспечение обмена данными с хранилищем
В этом разделе объясняется, как включить связь с хранилищем. Используйте следующие вкладки, чтобы правильно выбрать конечную часть хранилища, которую вы используете.
Существует два способа проверки подлинности в Azure Resource Manager с помощью управляемого системой удостоверения или файла субъекта-службы. Здесь описаны параметры.
Управляемое системой удостоверение Azure
Из AzAcSnap 9 можно использовать управляемое системой удостоверение вместо субъекта-службы для операции. Использование этой функции позволяет избежать необходимости хранить учетные данные субъекта-службы на виртуальной машине. Чтобы настроить управляемое удостоверение Azure с помощью Azure Cloud Shell, выполните следующие действия.
В сеансе Cloud Shell с Bash используйте следующий пример, чтобы задать переменные оболочки соответствующим образом и применить их к подписке, в которой требуется создать управляемое удостоверение Azure. Задайте
SUBSCRIPTION
,VM_NAME
а такжеRESOURCE_GROUP
для ваших значений, относящихся к сайту.export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99" export VM_NAME="MyVM" export RESOURCE_GROUP="MyResourceGroup" export ROLE="Contributor" export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
Задайте Cloud Shell правильной подписке:
az account set -s "${SUBSCRIPTION}"
Создайте управляемое удостоверение для виртуальной машины. Следующие наборы команд (или показывает, уже ли он установлен) управляемого удостоверения виртуальной машины AzAcSnap:
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
Получите идентификатор субъекта для назначения роли:
PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
Назначьте роль участника идентификатору субъекта:
az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
Необязательный RBAC
Можно ограничить разрешения для управляемого удостоверения с помощью определения пользовательской роли в управлении доступом на основе ролей (RBAC). Создайте подходящее определение роли для виртуальной машины, чтобы управлять моментальными снимками. Примеры параметров разрешений можно найти в подсказках и рекомендации по использованию средства приложение Azure согласованного моментального снимка.
Затем назначьте роль идентификатору субъекта виртуальной машины Azure (также отображается как SystemAssignedIdentity
):
az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"
Создание файла субъекта-службы
В сеансе Cloud Shell убедитесь, что вы вошли в подписку, в которой вы хотите связаться с субъектом-службой по умолчанию:
az account show
Если подписка не правильна
az account set
, используйте команду:az account set -s <subscription name or id>
Создайте субъект-службу с помощью Azure CLI, как показано в этом примере:
az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
Команда должна создать выходные данные, как в следующем примере:
{ "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "activeDirectoryEndpointUrl": "https://login.microsoftonline.com", "resourceManagerEndpointUrl": "https://management.azure.com/", "activeDirectoryGraphResourceId": "https://graph.windows.net/", "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/", "galleryEndpointUrl": "https://gallery.azure.com/", "managementEndpointUrl": "https://management.core.windows.net/" }
Эта команда автоматически назначает роль участника RBAC субъекту-службе на уровне подписки. Область можно сузить до определенной группы ресурсов, в которой тесты будут создавать ресурсы.
Вырезать и вставить выходное содержимое в файл, который
azureauth.json
хранится в той же системе, чтоazacsnap
и команда. Защитите файл с соответствующими разрешениями системы.Убедитесь, что формат JSON-файла точно так же, как описано на предыдущем шаге, с URL-адресами, заключенными в двойные кавычки ().
Следующие шаги
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по