Azure Uygulaması Tutarlı Anlık Görüntü aracı için depolamayı yapılandırma

Makale
07/02/2024

Bu makalede, Azure Uygulaması Lication Consistent Snapshot aracı (AzAcSnap) ile kullanılacak Azure depolamayı yapılandırmaya yönelik bir kılavuz sağlanır.

AzAcSnap ile kullandığınız depolama alanını seçin.

Azure NetApp Files
Azure Büyük Örnekleri (çıplak)

Sistem tarafından yönetilen bir kimlik ayarlayın (önerilir) veya hizmet sorumlusunun kimlik doğrulama dosyasını oluşturun.

Azure NetApp Files ile iletişimi doğrularken iletişim başarısız olabilir veya zaman aşımına neden olabilir. Güvenlik duvarı kurallarının AzAcSnap çalıştıran sistemden aşağıdaki adreslere ve TCP/IP bağlantı noktalarına giden trafiği engellemediğinden emin olun:

(https://)management.azure.com:443
(https://)login.microsoftonline.com:443

AzAcSnap'ın ONTAP ile güvenli bir şekilde kimlik doğrulamasına izin vermek üzere Depolama arka ucuna yüklenebilmesi için kendi otomatik olarak imzalanan sertifikanızı oluşturmanız ve ardından PEM (Gizlilik Gelişmiş Posta) dosyasının içeriğini Microsoft İşlemleri ile paylaşmanız gerekir.

PEM ve KEY'yi, ONTAP'a sertifika tabanlı kimlik doğrulaması için AzAcSnap tarafından gereken tek bir PKCS12 dosyasında birleştirin.

Düğümlerden birine bağlanmak için kullanarak curl PKCS12 dosyasını test edin.

Microsoft İşlemleri, sağlama sırasında depolama kullanıcı adını ve depolama IP adresini sağlar.

Depolama ile iletişimi etkinleştirme

Bu bölümde depolama ile iletişimin nasıl etkinleştirileceği açıklanmaktadır. Kullandığınız depolama arka ucunu doğru seçmek için aşağıdaki sekmeleri kullanın.

Azure NetApp Files (sanal makine ile)
Azure Büyük Örnekleri (çıplak)

Sistem tarafından yönetilen kimlik veya hizmet sorumlusu dosyası kullanarak Azure Resource Manager'da kimlik doğrulaması yapmanın iki yolu vardır. Seçenekler burada açıklanmıştır.

Azure sistem tarafından yönetilen kimlik

AzAcSnap 9'dan, işlem için hizmet sorumlusu yerine sistem tarafından yönetilen bir kimlik kullanmak mümkündür. Bu özelliğin kullanılması, hizmet sorumlusu kimlik bilgilerini bir sanal makinede (VM) depolama gereğini önler. Azure Cloud Shell kullanarak Azure yönetilen kimliği ayarlamak için şu adımları izleyin:

Bash ile bir Cloud Shell oturumunda, kabuk değişkenlerini uygun şekilde ayarlamak ve bunları Azure yönetilen kimliğini oluşturmak istediğiniz aboneliğe uygulamak için aşağıdaki örneği kullanın. , VM_NAMEve RESOURCE_GROUP değerlerini sitenize özgü değerlere ayarlayınSUBSCRIPTION.
```
export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
export VM_NAME="MyVM"
export RESOURCE_GROUP="MyResourceGroup"
export ROLE="Contributor"
export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
```
Cloud Shell'i doğru aboneliğe ayarlayın:
```
az account set -s "${SUBSCRIPTION}"
```
Sanal makine için yönetilen kimliği oluşturun. Aşağıdaki komut AzAcSnap VM'sinin yönetilen kimliğini ayarlar (veya önceden ayarlanmış olup olmadığını gösterir):
```
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
```

Rol atamak için sorumlu kimliğini alın:

PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)

Katkıda Bulunan rolünü sorumlu kimliğine atayın:

az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"

İsteğe bağlı RBAC

Rol tabanlı erişim denetiminde (RBAC) özel bir rol tanımı kullanarak yönetilen kimlik izinlerini sınırlandırmak mümkündür. Anlık görüntüleri yönetebilmek için sanal makine için uygun bir rol tanımı oluşturun. örnek izin ayarlarını Azure Uygulaması Lication Tutarlı Anlık Görüntü aracını kullanmaya yönelik ipuçları ve püf noktaları bölümünde bulabilirsiniz.

Ardından rolü Azure VM asıl kimliğine (olarak da görüntülenir) atayın SystemAssignedIdentity:

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Hizmet sorumlusu dosyası oluşturma

Cloud Shell oturumunda, hizmet sorumlusuyla varsayılan olarak ilişkilendirilmesi istediğiniz abonelikte oturum açtığınızdan emin olun:
```
az account show
```
Abonelik doğru değilse komutunu kullanın az account set :
```
az account set -s <subscription name or id>
```

Bu örnekte gösterildiği gibi Azure CLI kullanarak bir hizmet sorumlusu oluşturun:

az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth

Komutun aşağıdaki örneğe benzer bir çıkış oluşturması gerekir:

{
  "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}

Bu komut, RBAC Katkıda Bulunanı rolünü abonelik düzeyinde hizmet sorumlusuna otomatik olarak atar. Kapsamı, testlerinizin kaynakları oluşturacağı belirli bir kaynak grubuna daraltabilirsiniz.

Çıkış içeriğini kesin ve komutuyla aynı sistemde depolanan adlı azureauth.json bir dosyaya yapıştırın azacsnap . Uygun sistem izinleriyle dosyanın güvenliğini sağlayın.

JSON dosyasının biçiminin tam olarak önceki adımda açıklandığı gibi olduğundan ve URL'lerin çift tırnak işareti (") içine alındığından emin olun.

Önemli

AzAcSnap 10'dan Azure Büyük Örnek depolama ile communicatoin, HTTPS üzerinden REST API'yi kullanıyor. AzAcSnap 10'un önceki sürümleri SSH üzerinden CLI kullanır.

HTTPS üzerinden Azure Büyük Örnek REST API'si

Depolama arka ucuyla iletişim, sertifika tabanlı kimlik doğrulaması kullanılarak şifrelenmiş bir HTTPS kanalı üzerinden gerçekleşir. Aşağıdaki örnek adımlar, bu iletişim için PKCS12 sertifikasının kurulumuyla ilgili rehberlik sağlar:

PEM ve KEY dosyalarını oluşturun.

CN, SVM kullanıcı adına eşittir, Microsoft Operations'a bu SVM kullanıcı adını sorun.

Bu örnekte SVM kullanıcı adı olarak kullanıyoruz svmadmin01 , bunu yüklemeniz için gerektiği şekilde değiştirin.

openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"

Aşağıdaki çıkışa bakın:

Generating a RSA private key
........................................................................................................+++++
....................................+++++
writing new private key to 'svmadmin01.key'
-----

PEM dosyasının içeriğinin çıkışını oluşturun.

PEM dosyasının içeriği, client-ca'nın SVM'ye eklenmesi için kullanılır.

! PEM dosyasının içeriğini Microsoft BareMetal Infrastructure (BMI) yöneticisine gönderin.

cat svmadmin01.pem

PEM ve KEY'yi tek bir PKCS12 dosyasında birleştirin (AzAcSnap için gereklidir).
```
openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
```
svmadmin01.p12 dosyası, AzAcSnap yapılandırma dosyasının aliStorageResource bölümünde certificateFile değeri olarak kullanılır.
Curl kullanarak PKCS12 dosyasını test edin.

Microsoft İşlemleri'nden onay aldıktan sonra sertifika tabanlı oturum açma izni vermek için sertifikayı SVM'ye uyguladıktan sonra SVM'ye bağlantıyı test edin.

Bu örnekte, "X.X.X.X" SVM ana bilgisayarına bağlanmak için svmadmin01.p12 adlı PKCS12 dosyasını kullanıyoruz (bu IP adresi Microsoft İşlemleri tarafından sağlanacaktır).
```
curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
```
```
{
  "version": {
    "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
    "generation": 9,
    "major": 15,
    "minor": 1
  },
  "_links": {
    "self": {
      "href": "/api/cluster"
    }
  }
}
```

SSH üzerinden Azure Büyük Örnek CLI

Uyarı

Bu yönergeler AzAcSnap 10 öncesi sürümlere yöneliktir ve artık içeriğin bu bölümünü düzenli olarak güncelleştiriyoruz.

Depolama arka ucuyla iletişim şifreli bir SSH kanalı üzerinden gerçekleşir. Aşağıdaki örnek adımlar, bu iletişim için SSH kurulumu hakkında rehberlik sağlar:

/etc/ssh/ssh_config dosyasını değiştirin.

Satırı içeren aşağıdaki çıkışa MACs hmac-sha bakın:

# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# GSSAPIKeyExchange no
# GSSAPITrustDNS no
# BatchMode no
# CheckHostIP yes
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
Protocol 2
# Cipher 3des
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
cbc
# MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
MACs hmac-sha
# EscapeChar ~
# Tunnel no
# TunnelDevice any:any
# PermitLocalCommand no
# VisualHostKey no
# ProxyCommand ssh -q -W %h:%p gateway.example.com

Özel/ortak anahtar çifti oluşturmak için aşağıdaki örnek komutu kullanın. Anahtar oluştururken parola girmeyin.
```
ssh-keygen -t rsa –b 5120 -C ""
```

Komutun cat /root/.ssh/id_rsa.pub çıktısı ortak anahtardır. Anlık görüntü araçlarının depolama alt sistemiyle iletişim kurabilmesi için bunu Microsoft İşlemleri'ne gönderin.

cat /root/.ssh/id_rsa.pub

ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD

Sonraki adımlar

Azure Uygulaması Tutarlı Anlık Görüntü aracını yapılandırma

Aracılığıyla paylaş