Azure Uygulaması Tutarlı Anlık Görüntü aracı için depolamayı yapılandırma
Bu makalede, Azure Uygulaması Lication Consistent Snapshot aracı (AzAcSnap) ile kullanılacak Azure depolamayı yapılandırmaya yönelik bir kılavuz sağlanır.
AzAcSnap ile kullandığınız depolama alanını seçin.
Sistem tarafından yönetilen bir kimlik ayarlayın (önerilir) veya hizmet sorumlusunun kimlik doğrulama dosyasını oluşturun.
Azure NetApp Files ile iletişimi doğrularken iletişim başarısız olabilir veya zaman aşımına neden olabilir. Güvenlik duvarı kurallarının AzAcSnap çalıştıran sistemden aşağıdaki adreslere ve TCP/IP bağlantı noktalarına giden trafiği engellemediğinden emin olun:
- (https://)management.azure.com:443
- (https://)login.microsoftonline.com:443
Depolama ile iletişimi etkinleştirme
Bu bölümde depolama ile iletişimin nasıl etkinleştirileceği açıklanmaktadır. Kullandığınız depolama arka ucunu doğru seçmek için aşağıdaki sekmeleri kullanın.
Sistem tarafından yönetilen kimlik veya hizmet sorumlusu dosyası kullanarak Azure Resource Manager'da kimlik doğrulaması yapmanın iki yolu vardır. Seçenekler burada açıklanmıştır.
Azure sistem tarafından yönetilen kimlik
AzAcSnap 9'dan, işlem için hizmet sorumlusu yerine sistem tarafından yönetilen bir kimlik kullanmak mümkündür. Bu özelliğin kullanılması, hizmet sorumlusu kimlik bilgilerini bir sanal makinede (VM) depolama gereğini önler. Azure Cloud Shell kullanarak Azure yönetilen kimliği ayarlamak için şu adımları izleyin:
Bash ile bir Cloud Shell oturumunda, kabuk değişkenlerini uygun şekilde ayarlamak ve bunları Azure yönetilen kimliğini oluşturmak istediğiniz aboneliğe uygulamak için aşağıdaki örneği kullanın. ,
VM_NAME
veRESOURCE_GROUP
değerlerini sitenize özgü değerlere ayarlayınSUBSCRIPTION
.export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99" export VM_NAME="MyVM" export RESOURCE_GROUP="MyResourceGroup" export ROLE="Contributor" export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
Cloud Shell'i doğru aboneliğe ayarlayın:
az account set -s "${SUBSCRIPTION}"
Sanal makine için yönetilen kimliği oluşturun. Aşağıdaki komut AzAcSnap VM'sinin yönetilen kimliğini ayarlar (veya önceden ayarlanmış olup olmadığını gösterir):
az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
Rol atamak için sorumlu kimliğini alın:
PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
Katkıda Bulunan rolünü sorumlu kimliğine atayın:
az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
İsteğe bağlı RBAC
Rol tabanlı erişim denetiminde (RBAC) özel bir rol tanımı kullanarak yönetilen kimlik izinlerini sınırlandırmak mümkündür. Anlık görüntüleri yönetebilmek için sanal makine için uygun bir rol tanımı oluşturun. örnek izin ayarlarını Azure Uygulaması Lication Tutarlı Anlık Görüntü aracını kullanmaya yönelik ipuçları ve püf noktaları bölümünde bulabilirsiniz.
Ardından rolü Azure VM asıl kimliğine (olarak da görüntülenir) atayın SystemAssignedIdentity
:
az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"
Hizmet sorumlusu dosyası oluşturma
Cloud Shell oturumunda, hizmet sorumlusuyla varsayılan olarak ilişkilendirilmesi istediğiniz abonelikte oturum açtığınızdan emin olun:
az account show
Abonelik doğru değilse komutunu kullanın
az account set
:az account set -s <subscription name or id>
Bu örnekte gösterildiği gibi Azure CLI kullanarak bir hizmet sorumlusu oluşturun:
az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
Komutun aşağıdaki örneğe benzer bir çıkış oluşturması gerekir:
{ "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a", "activeDirectoryEndpointUrl": "https://login.microsoftonline.com", "resourceManagerEndpointUrl": "https://management.azure.com/", "activeDirectoryGraphResourceId": "https://graph.windows.net/", "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/", "galleryEndpointUrl": "https://gallery.azure.com/", "managementEndpointUrl": "https://management.core.windows.net/" }
Bu komut, RBAC Katkıda Bulunanı rolünü abonelik düzeyinde hizmet sorumlusuna otomatik olarak atar. Kapsamı, testlerinizin kaynakları oluşturacağı belirli bir kaynak grubuna daraltabilirsiniz.
Çıkış içeriğini kesin ve komutuyla aynı sistemde depolanan adlı
azureauth.json
bir dosyaya yapıştırınazacsnap
. Uygun sistem izinleriyle dosyanın güvenliğini sağlayın.JSON dosyasının biçiminin tam olarak önceki adımda açıklandığı gibi olduğundan ve URL'lerin çift tırnak işareti (") içine alındığından emin olun.
Sonraki adımlar
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin