تكوين التخزين لأداة Azure Application Consistent Snapshot

إما إعداد هوية مدارة من قبل النظام (مستحسن) أو إنشاء ملف مصادقة كيان الخدمة.

عند التحقق من صحة الاتصال مع Azure NetApp Files، قد يفشل الاتصال أو تنتهي مهلته. تحقق من أن قواعد جدار الحماية لا تمنع نسبة استخدام الشبكة الصادرة من النظام الذي يقوم بتشغيل AzAcSnap إلى العناوين التالية ومنافذ TCP/IP:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

ستحتاج إلى إنشاء الشهادة الموقعة ذاتيا الخاصة بك ثم مشاركة محتويات ملف PEM (البريد المحسن للخصوصية) مع عمليات Microsoft بحيث يمكن تثبيتها على الواجهة الخلفية للتخزين للسماح ل AzAcSnap بالمصادقة بأمان مع ONTAP.

ادمج PEM وKEY في ملف PKCS12 واحد مطلوب من قبل AzAcSnap للمصادقة المستندة إلى الشهادة إلى ONTAP.

اختبر ملف PKCS12 باستخدام curl للاتصال بإحدى العقد.

توفر عمليات Microsoft اسم مستخدم التخزين وعنوان IP للتخزين في وقت التوفير.

هناك طريقتان للمصادقة على Azure Resource Manager باستخدام هوية مدارة من قبل النظام أو ملف كيان الخدمة. يتم وصف الخيارات هنا.

الهوية المدارة بواسطة نظام Azure

من AzAcSnap 9، من الممكن استخدام هوية مدارة من قبل النظام بدلا من كيان الخدمة للعملية. يؤدي استخدام هذه الميزة إلى تجنب الحاجة إلى تخزين بيانات اعتماد كيان الخدمة على جهاز ظاهري (VM). لإعداد هوية مدارة من Azure باستخدام Azure Cloud Shell، اتبع الخطوات التالية:

1. ضمن جلسة عمل Cloud Shell مع Bash، استخدم المثال التالي لتعيين متغيرات shell بشكل مناسب وتطبيقها على الاشتراك حيث تريد إنشاء هوية Azure المدارة. قم بتعيين SUBSCRIPTIONو VM_NAMEو RESOURCE_GROUP إلى القيم الخاصة بالموقع.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. تعيين Cloud Shell إلى الاشتراك الصحيح:

   az account set -s "${SUBSCRIPTION}"
   

3. إنشاء الهوية المدارة للجهاز الظاهري. يقوم الأمر التالي بتعيين (أو إظهار ما إذا كان قد تم تعيينه بالفعل) الهوية المدارة لجهاز AzAcSnap الظاهري:

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. احصل على المعرف الأساسي لتعيين دور:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. تعيين دور المساهم إلى المعرف الأساسي:

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

التحكم في الوصول استنادا إلى الدور الاختياري

من الممكن تحديد أذونات الهوية المدارة باستخدام تعريف دور مخصص في التحكم في الوصول المستند إلى الدور (RBAC). إنشاء تعريف دور مناسب للجهاز الظاهري ليكون قادرا على إدارة اللقطات. يمكنك العثور على أمثلة لإعدادات الأذونات في تلميحات ونصائح لاستخدام أداة Azure Application Consistent Snapshot.

ثم قم بتعيين الدور إلى المعرف الأساسي لجهاز Azure الظاهري (المعروض أيضا على النحو SystemAssignedIdentityالتالي):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

إنشاء ملف كيان الخدمة

1. في جلسة عمل Cloud Shell، تأكد من تسجيل الدخول في الاشتراك حيث تريد أن تكون مقترنا بكيان الخدمة بشكل افتراضي:

   az account show
   

2. إذا لم يكن الاشتراك صحيحا، فاستخدم az account set الأمر :

   az account set -s <subscription name or id>
   

3. إنشاء كيان خدمة باستخدام Azure CLI، كما هو موضح في هذا المثال:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   يجب أن يقوم الأمر بإنشاء إخراج مثل هذا المثال:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
     "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   يقوم هذا الأمر تلقائيا بتعيين دور مساهم التحكم في الوصول استنادا إلى الدور إلى كيان الخدمة على مستوى الاشتراك. يمكنك تضييق النطاق إلى مجموعة الموارد المحددة حيث ستنشئ الاختبارات الموارد.

4. قص ولصق محتوى الإخراج في ملف يسمى azureauth.json مخزن على نفس النظام مثل azacsnap الأمر. تأمين الملف بأذونات النظام المناسبة.

   تأكد من أن تنسيق ملف JSON هو تماما كما هو موضح في الخطوة السابقة، مع تضمين عناوين URL بين علامتي اقتباس مزدوجتين (").

Azure Large Instance REST API عبر HTTPS

يحدث الاتصال مع نهاية التخزين الخلفية عبر قناة HTTPS مشفرة باستخدام المصادقة المستندة إلى الشهادة. توفر خطوات المثال التالية إرشادات حول إعداد شهادة PKCS12 لهذا الاتصال:

1. إنشاء ملفات PEM وKEY.

   يساوي CN اسم مستخدم SVM، واطلب من عمليات Microsoft اسم مستخدم SVM هذا.

   في هذا المثال نستخدم svmadmin01 اسم مستخدم SVM لدينا، قم بتعديل هذا حسب الضرورة للتثبيت الخاص بك.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   راجع الإخراج التالي:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. إخراج محتويات ملف PEM.

   يتم استخدام محتويات ملف PEM لإضافة client-ca إلى SVM.

   ! أرسل محتويات ملف PEM إلى مسؤول Microsoft BareMetal Infrastructure (BMI).

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. ادمج PEM وKEY في ملف PKCS12 واحد (مطلوب ل AzAcSnap).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   يتم استخدام الملف svmadmin01.p12 كقيمة certificateFile في قسم aliStorageResource من ملف تكوين AzAcSnap.

4. اختبر ملف PKCS12 باستخدام curl.

   بعد الحصول على تأكيد من عمليات Microsoft، قاموا بتطبيق الشهادة على SVM للسماح بتسجيل الدخول المستند إلى الشهادة، ثم اختبر الاتصال ب SVM.

   في هذا المثال نستخدم ملف PKCS12 المسمى svmadmin01.p12 للاتصال بمضيف SVM "X.X.X.X" (سيتم توفير عنوان IP هذا بواسطة عمليات Microsoft).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

Azure Large Instance CLI عبر SSH

يحدث الاتصال مع نهاية التخزين الخلفية عبر قناة SSH مشفرة. توفر خطوات المثال التالية إرشادات حول إعداد SSH لهذا الاتصال:

1. قم بتعديل الملف /etc/ssh/ssh_config.

   راجع الإخراج التالي، والذي يتضمن MACs hmac-sha السطر:

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. استخدم الأمر المثال التالي لإنشاء زوج مفاتيح خاص/عام. لا تدخل كلمة مرور عند إنشاء مفتاح.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. إخراج cat /root/.ssh/id_rsa.pub الأمر هو المفتاح العام. أرسلها إلى Microsoft Operations، بحيث يمكن لأدوات اللقطة الاتصال بنظام التخزين الفرعي.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD