Tároló konfigurálása Azure-alkalmazás Konzisztens pillanatkép eszközhöz

Állítson be egy rendszer által felügyelt identitást (ajánlott), vagy hozza létre a szolgáltatásnév hitelesítési fájlját.

Ha az Azure NetApp Files szolgáltatással folytatott kommunikációt ellenőrzi, a kommunikáció meghiúsulhat vagy időtúllépést eredményezhet. Ellenőrizze, hogy a tűzfalszabályok nem blokkolják-e az AzAcSnap rendszert futtató rendszer kimenő forgalmát a következő címekre és TCP/IP-portokra:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Létre kell hoznia egy saját önaláírt tanúsítványt, majd meg kell osztania a PEM (Privacy Enhanced Mail) fájl tartalmát a Microsoft Operations szolgáltatással, hogy az telepíthető legyen a Storage háttérrendszerére, hogy az AzAcSnap biztonságosan hitelesíthesse magát az ONTAP-val.

Egyesítse a PEM-et és a KEY-t egyetlen PKCS12-fájlba, amelyre az AzAcSnapnak szüksége van a tanúsítványalapú hitelesítéshez az ONTAP-hoz.

Tesztelje a PKCS12 fájlt az egyik csomóponthoz való csatlakozással curl .

A Microsoft Operations a kiépítéskor megadja a tár felhasználónevet és a tár IP-címét.

Az Azure Resource Manager kétféleképpen hitelesíthető rendszer által felügyelt identitással vagy egyszerű szolgáltatásfájllal. A lehetőségeket itt ismertetjük.

Azure rendszer által felügyelt identitás

Az AzAcSnap 9 szolgáltatásnév helyett rendszer által felügyelt identitást is használhat a működéshez. Ezzel a funkcióval elkerülhető, hogy a szolgáltatásnév hitelesítő adatait egy virtuális gépen (virtuális gépen) tárolja. Ha azure-beli felügyelt identitást szeretne beállítani az Azure Cloud Shell használatával, kövesse az alábbi lépéseket:

1. A Basht használó Cloud Shell-munkamenetben az alábbi példában állítsa be a rendszerhéjváltozókat, és alkalmazza őket arra az előfizetésre, ahol létre szeretné hozni az Azure-beli felügyelt identitást. Állítsa be SUBSCRIPTIONa , VM_NAMEés RESOURCE_GROUP a webhelyspecifikus értékeket.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. A Cloud Shell beállítása a megfelelő előfizetésre:

   az account set -s "${SUBSCRIPTION}"
   

3. Hozza létre a virtuális gép felügyelt identitását. A következő parancskészletek (vagy ha már be van állítva) az AzAcSnap virtuális gép felügyelt identitása:

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Szerezze be a szerepkör hozzárendeléséhez szükséges egyszerű azonosítót:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. A közreműködői szerepkör hozzárendelése az egyszerű azonosítóhoz:

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

Választható RBAC

A felügyelt identitás engedélyeit egy egyéni szerepkördefinícióval korlátozhatja a szerepköralapú hozzáférés-vezérlésben (RBAC). Hozzon létre egy megfelelő szerepkördefiníciót a virtuális gép számára a pillanatképek kezeléséhez. A Azure-alkalmazás Konzisztens pillanatkép eszköz használatára vonatkozó tippekben és trükkökben talál példaengedély-beállításokat.

Ezután rendelje hozzá a szerepkört az Azure-beli virtuális gép egyszerű azonosítóhoz (a következőként SystemAssignedIdentityis megjelenítve):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Egyszerű szolgáltatásfájl létrehozása

1. Egy Cloud Shell-munkamenetben győződjön meg arról, hogy azon az előfizetésen van bejelentkezve, amelyhez alapértelmezés szerint hozzá szeretné rendelni a szolgáltatásnevet:

   az account show
   

2. Ha az előfizetés nem helyes, használja a az account set következő parancsot:

   az account set -s <subscription name or id>
   

3. Hozzon létre egy egyszerű szolgáltatást az Azure CLI használatával, ahogyan az ebben a példában látható:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   A parancsnak az alábbi példához hasonlóan kell kimenetet létrehoznia:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
     "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   Ez a parancs automatikusan hozzárendeli az RBAC-közreműködői szerepkört a szolgáltatásnévhez az előfizetés szintjén. A hatókört szűkítheti arra az erőforráscsoportra, ahol a tesztek létrehozzák az erőforrásokat.

4. Vágja ki és illessze be a kimeneti tartalmat egy olyan fájlba azureauth.json , amely a parancsmal azonos rendszeren azacsnap van tárolva. Biztonságossá teheti a fájlt a megfelelő rendszerengedélyekkel.

   Győződjön meg arról, hogy a JSON-fájl formátuma pontosan az előző lépésben leírtak szerint van megadva, dupla idézőjelek (").

Azure Large Instance REST API HTTPS-en keresztül

A háttérrendszerrel való kommunikáció titkosított HTTPS-csatornán keresztül történik, tanúsítványalapú hitelesítéssel. Az alábbi példalépések útmutatást nyújtanak a PKCS12-tanúsítvány beállításához ehhez a kommunikációhoz:

1. Hozza létre a PEM- és a KEY-fájlokat.

   A CN megegyezik az SVM-felhasználónévvel, kérje meg a Microsoft Operationstől ezt az SVM-felhasználónevet.

   Ebben a példában SVM-felhasználónévként használjuk svmadmin01 , módosítsa ezt a telepítéshez szükséges módon.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Tekintse meg a következő kimenetet:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. Adja ki a PEM-fájl tartalmát.

   A PEM-fájl tartalma az ügyfél-ca svM-hez való hozzáadására szolgál.

   ! Küldje el a PEM-fájl tartalmát a Microsoft BareMetal Infrastructure (BMI) rendszergazdájának.

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. Egyesítse a PEM-et és a KEY-t egyetlen PKCS12-fájlba (az AzAcSnaphoz szükséges).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   A rendszer az svmadmin01.p12 fájlt használja a certificateFile értékként az AzAcSnap konfigurációs fájl aliStorageResource szakaszában.

4. Tesztelje a PKCS12 fájlt a curl használatával.

   Miután megerősítést kapott a Microsoft Operationstől, a tanúsítványt az SVM-hez alkalmazták a tanúsítványalapú bejelentkezés engedélyezéséhez, majd tesztelték az SVM-hez való kapcsolódást.

   Ebben a példában az svmadmin01.p12 nevű PKCS12 fájlt használjuk az "X.X.X.X" SVM-gazdagéphez való csatlakozáshoz (ezt az IP-címet a Microsoft Operations adja meg).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

Azure Large Instance CLI SSH-on keresztül

A tároló háttérrendszerével folytatott kommunikáció titkosított SSH-csatornán keresztül történik. Az alábbi példalépések útmutatást nyújtanak az SSH beállításához ehhez a kommunikációhoz:

1. Módosítsa a /etc/ssh/ssh_config fájlt.

   Tekintse meg a következő kimenetet, amely tartalmazza a MACs hmac-sha sort:

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. A következő példaparancs használatával hozzon létre egy privát/nyilvános kulcspárt. Kulcs létrehozásakor ne adjon meg jelszót.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. A parancs kimenete cat /root/.ssh/id_rsa.pub a nyilvános kulcs. Küldje el a Microsoft Operationsnek, hogy a pillanatkép-eszközök kommunikálhassanak a tárolási alrendszerrel.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD