Azure Uygulaması Tutarlı Anlık Görüntü aracı için depolamayı yapılandırma

Sistem tarafından yönetilen bir kimlik ayarlayın (önerilir) veya hizmet sorumlusunun kimlik doğrulama dosyasını oluşturun.

Azure NetApp Files ile iletişimi doğrularken iletişim başarısız olabilir veya zaman aşımına neden olabilir. Güvenlik duvarı kurallarının AzAcSnap çalıştıran sistemden aşağıdaki adreslere ve TCP/IP bağlantı noktalarına giden trafiği engellemediğinden emin olun:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

AzAcSnap'ın ONTAP ile güvenli bir şekilde kimlik doğrulamasına izin vermek üzere Depolama arka ucuna yüklenebilmesi için kendi otomatik olarak imzalanan sertifikanızı oluşturmanız ve ardından PEM (Gizlilik Gelişmiş Posta) dosyasının içeriğini Microsoft İşlemleri ile paylaşmanız gerekir.

PEM ve KEY'yi, ONTAP'a sertifika tabanlı kimlik doğrulaması için AzAcSnap tarafından gereken tek bir PKCS12 dosyasında birleştirin.

Düğümlerden birine bağlanmak için kullanarak curl PKCS12 dosyasını test edin.

Microsoft İşlemleri, sağlama sırasında depolama kullanıcı adını ve depolama IP adresini sağlar.

Sistem tarafından yönetilen kimlik veya hizmet sorumlusu dosyası kullanarak Azure Resource Manager'da kimlik doğrulaması yapmanın iki yolu vardır. Seçenekler burada açıklanmıştır.

Azure sistem tarafından yönetilen kimlik

AzAcSnap 9'dan, işlem için hizmet sorumlusu yerine sistem tarafından yönetilen bir kimlik kullanmak mümkündür. Bu özelliğin kullanılması, hizmet sorumlusu kimlik bilgilerini bir sanal makinede (VM) depolama gereğini önler. Azure Cloud Shell kullanarak Azure yönetilen kimliği ayarlamak için şu adımları izleyin:

1. Bash ile bir Cloud Shell oturumunda, kabuk değişkenlerini uygun şekilde ayarlamak ve bunları Azure yönetilen kimliğini oluşturmak istediğiniz aboneliğe uygulamak için aşağıdaki örneği kullanın. , VM_NAMEve RESOURCE_GROUP değerlerini sitenize özgü değerlere ayarlayınSUBSCRIPTION.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Cloud Shell'i doğru aboneliğe ayarlayın:

   az account set -s "${SUBSCRIPTION}"
   

3. Sanal makine için yönetilen kimliği oluşturun. Aşağıdaki komut AzAcSnap VM'sinin yönetilen kimliğini ayarlar (veya önceden ayarlanmış olup olmadığını gösterir):

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Rol atamak için sorumlu kimliğini alın:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. Katkıda Bulunan rolünü sorumlu kimliğine atayın:

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

İsteğe bağlı RBAC

Rol tabanlı erişim denetiminde (RBAC) özel bir rol tanımı kullanarak yönetilen kimlik izinlerini sınırlandırmak mümkündür. Anlık görüntüleri yönetebilmek için sanal makine için uygun bir rol tanımı oluşturun. örnek izin ayarlarını Azure Uygulaması Lication Tutarlı Anlık Görüntü aracını kullanmaya yönelik ipuçları ve püf noktaları bölümünde bulabilirsiniz.

Ardından rolü Azure VM asıl kimliğine (olarak da görüntülenir) atayın SystemAssignedIdentity:

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Hizmet sorumlusu dosyası oluşturma

1. Cloud Shell oturumunda, hizmet sorumlusuyla varsayılan olarak ilişkilendirilmesi istediğiniz abonelikte oturum açtığınızdan emin olun:

   az account show
   

2. Abonelik doğru değilse komutunu kullanın az account set :

   az account set -s <subscription name or id>
   

3. Bu örnekte gösterildiği gibi Azure CLI kullanarak bir hizmet sorumlusu oluşturun:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   Komutun aşağıdaki örneğe benzer bir çıkış oluşturması gerekir:

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
     "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   Bu komut, RBAC Katkıda Bulunanı rolünü abonelik düzeyinde hizmet sorumlusuna otomatik olarak atar. Kapsamı, testlerinizin kaynakları oluşturacağı belirli bir kaynak grubuna daraltabilirsiniz.

4. Çıkış içeriğini kesin ve komutuyla aynı sistemde depolanan adlı azureauth.json bir dosyaya yapıştırın azacsnap . Uygun sistem izinleriyle dosyanın güvenliğini sağlayın.

   JSON dosyasının biçiminin tam olarak önceki adımda açıklandığı gibi olduğundan ve URL'lerin çift tırnak işareti (") içine alındığından emin olun.

HTTPS üzerinden Azure Büyük Örnek REST API'si

Depolama arka ucuyla iletişim, sertifika tabanlı kimlik doğrulaması kullanılarak şifrelenmiş bir HTTPS kanalı üzerinden gerçekleşir. Aşağıdaki örnek adımlar, bu iletişim için PKCS12 sertifikasının kurulumuyla ilgili rehberlik sağlar:

1. PEM ve KEY dosyalarını oluşturun.

   CN, SVM kullanıcı adına eşittir, Microsoft Operations'a bu SVM kullanıcı adını sorun.

   Bu örnekte SVM kullanıcı adı olarak kullanıyoruz svmadmin01 , bunu yüklemeniz için gerektiği şekilde değiştirin.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Aşağıdaki çıkışa bakın:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. PEM dosyasının içeriğinin çıkışını oluşturun.

   PEM dosyasının içeriği, client-ca'nın SVM'ye eklenmesi için kullanılır.

   ! PEM dosyasının içeriğini Microsoft BareMetal Infrastructure (BMI) yöneticisine gönderin.

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. PEM ve KEY'yi tek bir PKCS12 dosyasında birleştirin (AzAcSnap için gereklidir).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   svmadmin01.p12 dosyası, AzAcSnap yapılandırma dosyasının aliStorageResource bölümünde certificateFile değeri olarak kullanılır.

4. Curl kullanarak PKCS12 dosyasını test edin.

   Microsoft İşlemleri'nden onay aldıktan sonra sertifika tabanlı oturum açma izni vermek için sertifikayı SVM'ye uyguladıktan sonra SVM'ye bağlantıyı test edin.

   Bu örnekte, "X.X.X.X" SVM ana bilgisayarına bağlanmak için svmadmin01.p12 adlı PKCS12 dosyasını kullanıyoruz (bu IP adresi Microsoft İşlemleri tarafından sağlanacaktır).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

SSH üzerinden Azure Büyük Örnek CLI

Depolama arka ucuyla iletişim şifreli bir SSH kanalı üzerinden gerçekleşir. Aşağıdaki örnek adımlar, bu iletişim için SSH kurulumu hakkında rehberlik sağlar:

1. /etc/ssh/ssh_config dosyasını değiştirin.

   Satırı içeren aşağıdaki çıkışa MACs hmac-sha bakın:

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. Özel/ortak anahtar çifti oluşturmak için aşağıdaki örnek komutu kullanın. Anahtar oluştururken parola girmeyin.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. Komutun cat /root/.ssh/id_rsa.pub çıktısı ortak anahtardır. Anlık görüntü araçlarının depolama alt sistemiyle iletişim kurabilmesi için bunu Microsoft İşlemleri'ne gönderin.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD