Konfigurieren von Speicher für das Tool für konsistente Momentaufnahmen in Azure-Anwendungen

Richten Sie entweder eine vom System verwaltete Identität ein (empfohlen), oder generieren Sie die Authentifizierungsdatei des Dienstprinzipals.

Wenn Sie die Kommunikation mit Azure NetApp Files überprüfen, schlägt die Kommunikation möglicherweise fehl, oder es tritt ein Timeout auf. Stellen Sie sicher, dass Firewallregeln den ausgehenden Datenverkehr von dem System nicht blockiert, das AzAcSnap für die folgenden Adressen und TCP/IP-Ports ausführt:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Sie müssen Ihr eigenes selbstsigniertes Zertifikat erstellen und dann den Inhalt der PEM-Datei (Privacy Enhanced Mail) mit dem Microsoft-Betriebsteam teilen, damit sie im Storage-Backend installiert werden kann, damit AzAcSnap sich sicher bei ONTAP authentifizieren kann.

Kombinieren Sie PEM und KEY in einer einzelnen PKCS12-Datei, die von AzAcSnap für die zertifikatbasierte Authentifizierung bei ONTAP benötigt wird.

Testen Sie die PKCS12-Datei mithilfe von curl, um eine Verbindung mit einem der Knoten herzustellen.

Das Microsoft-Betriebsteam stellt den Benutzernamen und die IP-Adresse für den Speicher zum Zeitpunkt der Bereitstellung zur Verfügung.

Es gibt zwei Möglichkeiten, sich beim Azure Resource Manager mithilfe einer systemseitig verwalteten Identität oder einer Dienstprinzipaldatei zu authentifizieren. Die Optionen werden hier beschrieben.

Systemseitig verwaltete Azure-Identität

Von AzAcSnap 9 aus ist es möglich, eine systemseitig verwaltete Identität anstelle eines Dienstprinzipals für den Betrieb zu verwenden. Die Verwendung dieses Features vermeidet die Notwendigkeit, Anmeldeinformationen des Dienstprinzipals auf einem virtuellen Computer (VM) zu speichern. Führen Sie die folgenden Schritte aus, um eine von Azure verwaltete Identität mithilfe von Azure Cloud Shell einzurichten:

1. Verwenden Sie in einer Cloud Shell-Sitzung mit Bash das folgende Beispiel, um die Shellvariablen entsprechend festzulegen und auf das Abonnement anzuwenden, in dem Sie die von Azure verwaltete Identität erstellen möchten. Legen Sie SUBSCRIPTION, VM_NAME und RESOURCE_GROUP auf Ihre sitespezifischen Werte fest.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Legen Sie Cloud Shell auf das richtige Abonnement fest:

   az account set -s "${SUBSCRIPTION}"
   

3. Erstellen Sie die verwaltete Identität für den virtuellen Computer. Der folgende Befehl legt die verwaltete Identität der azAcSnap-VM fest (oder zeigt an, ob sie bereits festgelegt ist):

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Rufen Sie die Prinzipal-ID zum Zuweisen einer Rolle ab:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. Weisen Sie der Prinzipal-ID die Rolle „Mitwirkender” zu.

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

Optionale RBAC

Es ist möglich, die Berechtigungen für die verwaltete Identität mithilfe einer benutzerdefinierten Rollendefinition in der rollenbasierten Zugriffssteuerung (RBAC) einzuschränken. Erstellen Sie eine geeignete Rollendefinition für den virtuellen Computer, um Momentaufnahmen verwalten zu können. Sie finden Beispiele für Berechtigungseinstellungen unter Tipps und Tricks zur Verwendung des Tools für konsistente Momentaufnahmen in Azure-Anwendungen.

Weisen Sie die Rolle dann der Azure VM-Prinzipal-ID zu (auch als SystemAssignedIdentity angezeigt):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Generieren einer Dienstprinzipaldatei

1. Stellen Sie in einer Cloud Shell-Sitzung sicher, dass Sie bei dem Abonnement angemeldet sind, in dem Sie standardmäßig dem Dienstprinzipal zugeordnet werden möchten:

   az account show
   

2. Wenn das Abonnement nicht stimmt, verwenden Sie den Befehl az account set:

   az account set -s <subscription name or id>
   

3. Erstellen Sie einen Dienstprinzipal mithilfe der Azure CLI, wie in diesem Beispiel gezeigt:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   Der Befehl sollte die Ausgabe wie in diesem Beispiel generieren:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
     "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   Dieser Befehl weist dem Dienstprinzipal automatisch auf Abonnementebene die Rolle „RBAC-Mitwirkender” zu. Sie können den Bereich auf die bestimmte Ressourcengruppe einschränken, in der Ihre Tests die Ressourcen erstellen.

4. Kopieren Sie den ausgegebenen Inhalt in eine Datei namens azureauth.json, die auf demselben System wie der Befehl azacsnap gespeichert ist. Sichern Sie die Datei mit den entsprechenden Systemberechtigungen.

   Stellen Sie sicher, dass das Format der JSON-Datei genau wie im vorherigen Schritt beschrieben ist, wobei die URLs in doppelte Anführungszeichen (") eingeschlossen sein müssen.

REST-API für Azure Lage Instances über HTTPS

Die Kommunikation mit dem Speicher-Back-End erfolgt über einen verschlüsselten HTTPS-Kanal mithilfe der zertifikatbasierten Authentifizierung. Die folgenden Beispielschritte dienen als Anleitung für die Einrichtung des PKCS12-Zertifikats für diese Kommunikation.

1. Generieren Sie die PEM- und KEY-Dateien.

   Der CN entspricht dem SVM-Benutzernamen, fragen Sie das Microsoft-Betriebsteam nach diesem SVM-Benutzernamen.

   In diesem Beispiel verwenden wir svmadmin01 als SVM-Benutzernamen. Ändern Sie ihn bei Bedarf für Ihre Installation.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Sehen Sie sich die folgende Ausgabe an:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. Ausgabe des Inhalts der PEM-Datei.

   Der Inhalt der PEM-Datei wird zum Hinzufügen der client-ca zum SVM verwendet.

   ! Senden Sie den Inhalt der PEM-Datei an den BMI-Administrator (Microsoft BareMetal Infrastructure).

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. Kombinieren Sie PEM und KEY in einer einzelnen PKCS12-Datei (erforderlich für AzAcSnap).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   Die Datei svmadmin01.p12 wird als Wert für „certificateFile” im Abschnitt „aliStorageResource” der AzAcSnap-Konfigurationsdatei verwendet.

4. Testen Sie die PKCS12-Datei mit curl.

   Nachdem Sie die Bestätigung vom Microsoft-Betriebsteam erhalten haben, dass das Zertifikat auf das SVM angewendet wurde, um die zertifikatbasierte Anmeldung zuzulassen, testen Sie die Konnektivität mit dem SVM.

   In diesem Beispiel verwenden wir die PKCS12-Datei „svmadmin01.p12”, um eine Verbindung mit dem SVM-Host „X.X.X.X.X” herzustellen (diese IP-Adresse wird vom Microsoft-Betriebsteam bereitgestellt).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

Azure Large Instance-CLI über SSH

Die Kommunikation mit dem Speicher-Back-End erfolgt über einen verschlüsselten SSH-Kanal. Die folgenden Beispielschritte dienen als Anleitung für die Einrichtung von SSH für diese Kommunikation:

1. Ändern Sie die Datei /etc/ssh/ssh_config.

   Beachten Sie die folgende Ausgabe, die die Zeile MACs hmac-sha umfasst:

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. Verwenden Sie den folgenden Beispielbefehl, um ein Private/Public-Schlüsselpaar zu generieren. Geben Sie beim Generieren eines Schlüssels kein Kennwort ein.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. Die Ausgabe des Befehls cat /root/.ssh/id_rsa.pub ist der öffentliche Schlüssel. Senden Sie ihn an das Microsoft-Betriebsteam, damit die Momentaufnahmentools mit dem Speichersubsystem kommunizieren können.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD