Mengonfigurasi penyimpanan untuk alat Azure Application Consistent Snapshot

Siapkan identitas yang dikelola sistem (disarankan) atau hasilkan file autentikasi perwakilan layanan.

Saat Anda memvalidasi komunikasi dengan Azure NetApp Files, komunikasi mungkin gagal atau waktu habis. Periksa apakah aturan firewall tidak memblokir lalu lintas keluar dari sistem yang menjalankan AzAcSnap ke alamat dan port TCP/IP berikut:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Anda harus membuat sertifikat yang ditandatangani sendiri dan kemudian membagikan konten file PEM (Privacy Enhanced Mail) dengan Microsoft Operations sehingga dapat diinstal ke back-end Storage untuk memungkinkan AzAcSnap mengautentikasi dengan aman dengan ONTAP.

Gabungkan PEM dan KEY ke dalam satu file PKCS12 yang diperlukan oleh AzAcSnap untuk autentikasi berbasis sertifikat ke ONTAP.

Uji file PKCS12 dengan menggunakan curl untuk menyambungkan ke salah satu simpul.

Microsoft Operations menyediakan nama pengguna penyimpanan dan alamat IP penyimpanan pada saat provisi.

Ada dua cara untuk mengautentikasi ke Azure Resource Manager menggunakan identitas yang dikelola sistem atau file perwakilan layanan. Opsi dijelaskan di sini.

Identitas yang dikelola sistem Azure

Dari AzAcSnap 9, dimungkinkan untuk menggunakan identitas yang dikelola sistem alih-alih perwakilan layanan untuk operasi. Menggunakan fitur ini menghindari kebutuhan untuk menyimpan kredensial perwakilan layanan pada komputer virtual (VM). Untuk menyiapkan identitas terkelola Azure dengan menggunakan Azure Cloud Shell, ikuti langkah-langkah berikut:

1. Dalam sesi Cloud Shell dengan Bash, gunakan contoh berikut untuk mengatur variabel shell dengan tepat dan menerapkannya ke langganan tempat Anda ingin membuat identitas terkelola Azure. Atur SUBSCRIPTION, VM_NAME, dan RESOURCE_GROUP ke nilai khusus situs Anda.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Atur Cloud Shell ke langganan yang benar:

   az account set -s "${SUBSCRIPTION}"
   

3. Buat identitas terkelola untuk komputer virtual. Perintah berikut menetapkan (atau menunjukkan apakah sudah diatur) identitas terkelola VM AzAcSnap:

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Dapatkan ID utama untuk menetapkan peran:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. Tetapkan peran Kontributor ke ID utama:

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

RBAC opsional

Dimungkinkan untuk membatasi izin untuk identitas terkelola dengan menggunakan definisi peran kustom dalam kontrol akses berbasis peran (RBAC). Buat definisi peran yang sesuai agar komputer virtual dapat mengelola rekam jepret. Anda dapat menemukan contoh pengaturan izin di Tips dan trik untuk menggunakan alat Azure Application Consistent Snapshot.

Kemudian tetapkan peran ke ID utama Azure VM (juga ditampilkan sebagai SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Membuat file perwakilan layanan

1. Dalam sesi Cloud Shell, pastikan Anda masuk di langganan tempat Anda ingin dikaitkan dengan perwakilan layanan secara default:

   az account show
   

2. Jika langganan tidak benar, gunakan az account set perintah :

   az account set -s <subscription name or id>
   

3. Buat perwakilan layanan dengan menggunakan Azure CLI, seperti yang ditunjukkan dalam contoh ini:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   Perintah harus menghasilkan output seperti contoh ini:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
     "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   Perintah ini secara otomatis menetapkan peran Kontributor RBAC ke perwakilan layanan di tingkat langganan. Anda dapat mempersempit cakupan ke grup sumber daya tertentu tempat pengujian Anda akan membuat sumber daya.

4. Potong dan tempel konten output ke dalam file yang disebut azureauth.json yang disimpan pada sistem yang sama dengan azacsnap perintah . Amankan file dengan izin sistem yang sesuai.

   Pastikan format file JSON persis seperti yang dijelaskan pada langkah sebelumnya, dengan URL yang diapit tanda kutip ganda (").

AZURE Large Instance REST API melalui HTTPS

Komunikasi dengan back end penyimpanan terjadi melalui saluran HTTPS terenkripsi menggunakan autentikasi berbasis sertifikat. Contoh langkah-langkah berikut memberikan panduan tentang penyiapan sertifikat PKCS12 untuk komunikasi ini:

1. Buat file PEM dan KEY.

   CN sama dengan nama pengguna SVM, tanyakan kepada Microsoft Operations untuk nama pengguna SVM ini.

   Dalam contoh ini kami menggunakan svmadmin01 sebagai nama pengguna SVM kami, ubah ini seperlunya untuk penginstalan Anda.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Lihat output berikut:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. Keluarkan isi file PEM.

   Konten file PEM digunakan untuk menambahkan client-ca ke SVM.

   ! Kirim konten file PEM ke administrator Microsoft BareMetal Infrastructure (BMI).

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. Gabungkan PEM dan KEY ke dalam satu file PKCS12 (diperlukan untuk AzAcSnap).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   File svmadmin01.p12 digunakan sebagai nilai untuk certificateFile di bagian aliStorageResource dari file konfigurasi AzAcSnap.

4. Uji file PKCS12 menggunakan curl.

   Setelah mendapatkan konfirmasi dari Microsoft Operations, mereka telah menerapkan sertifikat ke SVM untuk mengizinkan masuk berbasis sertifikat, lalu menguji konektivitas ke SVM.

   Dalam contoh ini kita menggunakan file PKCS12 yang disebut svmadmin01.p12 untuk terhubung ke host SVM "X.X.X.X" (alamat IP ini akan disediakan oleh Microsoft Operations).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

Azure Large Instance CLI melalui SSH

Komunikasi dengan back end penyimpanan terjadi melalui saluran SSH terenkripsi. Contoh langkah-langkah berikut memberikan panduan tentang penyiapan SSH untuk komunikasi ini:

1. Mengubah file /etc/ssh/ssh_config.

   Lihat output berikut, yang mencakup MACs hmac-sha baris:

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. Gunakan perintah contoh berikut untuk menghasilkan pasangan kunci privat/publik. Jangan masukkan kata sandi saat Anda membuat kunci.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. Output perintah cat /root/.ssh/id_rsa.pub adalah kunci publik. Kirimkan ke Microsoft Operations, sehingga alat rekam jepret dapat berkomunikasi dengan subsistem penyimpanan.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD