Configurare l'archiviazione per lo strumento snapshot coerente app Azure

Configurare un'identità gestita dal sistema (scelta consigliata) o generare il file di autenticazione dell'entità servizio.

Quando si convalida la comunicazione con Azure NetApp Files, la comunicazione potrebbe non riuscire o scadere. Verificare che le regole del firewall non blocchino il traffico in uscita dal sistema che esegue AzAcSnap agli indirizzi e alle porte TCP/IP seguenti:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Sarà necessario generare il proprio certificato autofirmato e quindi condividere il contenuto del file PEM (Privacy Enhanced Mail) con Le operazioni Microsoft in modo che possa essere installato nel back-end di archiviazione per consentire ad AzAcSnap di eseguire l'autenticazione sicura con ONTAP.

Combinare PEM e KEY in un singolo file PKCS12 necessario da AzAcSnap per l'autenticazione basata su certificato in ONTAP.

Testare il file PKCS12 usando curl per connettersi a uno dei nodi.

Microsoft Operations fornisce il nome utente di archiviazione e l'indirizzo IP di archiviazione al momento del provisioning.

Esistono due modi per eseguire l'autenticazione in Azure Resource Manager usando un'identità gestita dal sistema o un file di entità servizio. Le opzioni sono descritte qui.

Identità gestita dal sistema di Azure

Da AzAcSnap 9 è possibile usare un'identità gestita dal sistema anziché un'entità servizio per l'operazione. L'uso di questa funzionalità evita la necessità di archiviare le credenziali dell'entità servizio in una macchina virtuale .Using this feature avoids the need to store service principal credentials on a virtual machine (VM). Per configurare un'identità gestita di Azure usando Azure Cloud Shell, seguire questa procedura:

1. All'interno di una sessione di Cloud Shell con Bash, usare l'esempio seguente per impostare le variabili della shell in modo appropriato e applicarle alla sottoscrizione in cui si vuole creare l'identità gestita di Azure. Impostare SUBSCRIPTION, VM_NAMEe RESOURCE_GROUP su valori specifici del sito.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Impostare Cloud Shell sulla sottoscrizione corretta:

   az account set -s "${SUBSCRIPTION}"
   

3. Creare l'identità gestita per la macchina virtuale. Il comando seguente imposta (o mostra se è già impostato) l'identità gestita della macchina virtuale AzAcSnap:

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Ottenere l'ID entità per l'assegnazione di un ruolo:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. Assegnare il ruolo Collaboratore all'ID entità:

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

Controllo degli accessi in base al ruolo facoltativo

È possibile limitare le autorizzazioni per l'identità gestita usando una definizione di ruolo personalizzata nel controllo degli accessi in base al ruolo. Creare una definizione di ruolo appropriata per la macchina virtuale in grado di gestire gli snapshot. È possibile trovare impostazioni di autorizzazioni di esempio in Suggerimenti e consigli per l'uso dello strumento snapshot coerente app Azure.

Assegnare quindi il ruolo all'ID entità macchina virtuale di Azure (visualizzato anche come SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Generare un file di entità servizio

1. In una sessione di Cloud Shell assicurarsi di aver eseguito l'accesso alla sottoscrizione in cui si vuole essere associati all'entità servizio per impostazione predefinita:

   az account show
   

2. Se la sottoscrizione non è corretta, usare il az account set comando :

   az account set -s <subscription name or id>
   

3. Creare un'entità servizio usando l'interfaccia della riga di comando di Azure, come illustrato in questo esempio:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   Il comando deve generare un output simile all'esempio seguente:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
     "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   Questo comando assegna automaticamente il ruolo Collaboratore controllo degli accessi in base al ruolo all'entità servizio a livello di sottoscrizione. È possibile limitare l'ambito al gruppo di risorse specifico in cui i test creeranno le risorse.

4. Tagliare e incollare il contenuto di output in un file denominato azureauth.json archiviato nello stesso sistema del azacsnap comando. Proteggere il file con le autorizzazioni di sistema appropriate.

   Assicurarsi che il formato del file JSON sia esattamente come descritto nel passaggio precedente, con gli URL racchiusi tra virgolette doppie (").

API REST di istanze Large di Azure su HTTPS

La comunicazione con il back-end di archiviazione avviene tramite un canale HTTPS crittografato usando l'autenticazione basata su certificati. I passaggi di esempio seguenti forniscono indicazioni sulla configurazione del certificato PKCS12 per questa comunicazione:

1. Generare i file PEM e KEY.

   Cn è uguale al nome utente SVM, chiedere a Microsoft Operations di specificare questo nome utente SVM.

   In questo esempio viene usato svmadmin01 come nome utente SVM, modificarlo in base alle esigenze per l'installazione.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Fare riferimento all'output seguente:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. Restituisce il contenuto del file PEM.

   Il contenuto del file PEM viene usato per aggiungere il client-ca alla SVM.

   ! Inviare il contenuto del file PEM all'amministratore di Microsoft BareMetal Infrastructure (BMI).

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. Combinare PEM e KEY in un singolo file PKCS12 (necessario per AzAcSnap).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   Il file svmadmin01.p12 viene usato come valore per certificateFile nella sezione aliStorageResource del file di configurazione AzAcSnap.

4. Testare il file PKCS12 usando curl.

   Dopo aver ottenuto la conferma dalle operazioni Microsoft, il certificato è stato applicato alla SVM per consentire l'accesso basato su certificati, quindi testare la connettività alla macchina virtuale SVM.

   In questo esempio viene usato il file PKCS12 denominato svmadmin01.p12 per connettersi all'host SVM "X.X.X.X.X" (questo indirizzo IP verrà fornito da Microsoft Operations).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

Interfaccia della riga di comando per istanze Large di Azure tramite SSH

La comunicazione con il back-end di archiviazione avviene tramite un canale SSH crittografato. I passaggi di esempio seguenti forniscono indicazioni sulla configurazione di SSH per questa comunicazione:

1. Modificare il file /etc/ssh/ssh_config.

   Fare riferimento all'output seguente, che include la MACs hmac-sha riga :

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. Usare il comando di esempio seguente per generare una coppia di chiavi privata/pubblica. Non immettere una password quando si genera una chiave.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. L'output del cat /root/.ssh/id_rsa.pub comando è la chiave pubblica. Inviarlo alle operazioni Microsoft, in modo che gli strumenti di snapshot possano comunicare con il sottosistema di archiviazione.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD