Configurar armazenamento para a ferramenta Instantâneo Consistente de Aplicativo do Azure

Configure uma identidade gerenciada pelo sistema (recomendado) ou gere o arquivo de autenticação da entidade de serviço.

Quando você está validando a comunicação com os Arquivos NetApp do Azure, a comunicação pode falhar ou atingir o tempo limite. Verifique se as regras de firewall não estão bloqueando o tráfego de saída do sistema que executa o AzAcSnap para os seguintes endereços e portas TCP/IP:

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Você precisará gerar seu próprio certificado autoassinado e, em seguida, compartilhar o conteúdo do arquivo PEM (Privacy Enhanced Mail) com o Microsoft Operations para que ele possa ser instalado no back-end de armazenamento para permitir que o AzAcSnap se autentique com segurança com o ONTAP.

Combine o PEM e o KEY em um único arquivo PKCS12 que é necessário para o AzAcSnap para autenticação baseada em certificado para ONTAP.

Teste o arquivo PKCS12 usando curl para se conectar a um dos nós.

O Microsoft Operations fornece o nome de usuário e o endereço IP de armazenamento no momento do provisionamento.

Há duas maneiras de autenticar no Azure Resource Manager usando uma identidade gerenciada pelo sistema ou um arquivo principal de serviço. As opções estão descritas aqui.

Identidade gerenciada pelo sistema do Azure

A partir do AzAcSnap 9, é possível usar uma identidade gerenciada pelo sistema em vez de uma entidade de serviço para operação. O uso desse recurso evita a necessidade de armazenar credenciais da entidade de serviço em uma máquina virtual (VM). Para configurar uma identidade gerenciada do Azure usando o Azure Cloud Shell, siga estas etapas:

1. Em uma sessão do Cloud Shell com Bash, use o exemplo a seguir para definir as variáveis do shell adequadamente e aplicá-las à assinatura onde você deseja criar a identidade gerenciada do Azure. Defina SUBSCRIPTION, VM_NAMEe RESOURCE_GROUP para os valores específicos do seu site.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Defina o Cloud Shell para a assinatura correta:

   az account set -s "${SUBSCRIPTION}"
   

3. Crie a identidade gerenciada para a máquina virtual. O comando a seguir define (ou mostra se já está definido) a identidade gerenciada da VM AzAcSnap:

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Obtenha o ID principal para atribuir uma função:

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. Atribua a função de Colaborador à ID principal:

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

RBAC opcional

É possível limitar as permissões para a identidade gerenciada usando uma definição de função personalizada no RBAC (controle de acesso baseado em função). Crie uma definição de função adequada para que a máquina virtual possa gerenciar instantâneos. Você pode encontrar exemplos de configurações de permissões em Dicas e truques para usar a ferramenta Instantâneo Consistente do Aplicativo do Azure.

Em seguida, atribua a função à ID principal da VM do Azure (também exibida como SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Gerar um arquivo principal de serviço

1. Em uma sessão do Cloud Shell, verifique se você está conectado na assinatura em que deseja ser associado à entidade de serviço por padrão:

   az account show
   

2. Se a assinatura não estiver correta, use o az account set comando:

   az account set -s <subscription name or id>
   

3. Crie uma entidade de serviço usando a CLI do Azure, conforme mostrado neste exemplo:

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   O comando deve gerar saída como este exemplo:

   {
     "clientId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "clientSecret": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "subscriptionId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "tenantId": "00aa000a-aaaa-0000-00a0-00aa000aaa0a",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   Este comando atribui automaticamente a função de Colaborador RBAC à entidade de serviço no nível da assinatura. Você pode restringir o escopo para o grupo de recursos específico onde seus testes criarão os recursos.

4. Recorte e cole o conteúdo de saída em um arquivo chamado azureauth.json que está armazenado no mesmo sistema que o azacsnap comando. Proteja o arquivo com as permissões de sistema apropriadas.

   Verifique se o formato do arquivo JSON é exatamente como descrito na etapa anterior, com as URLs entre aspas duplas (").

API REST de instância grande do Azure sobre HTTPS

A comunicação com o back-end de armazenamento ocorre através de um canal HTTPS criptografado usando autenticação baseada em certificado. As etapas de exemplo a seguir fornecem orientação sobre a configuração do certificado PKCS12 para esta comunicação:

1. Gere os ficheiros PEM e KEY.

   O CN é igual ao nome de usuário SVM, peça ao Microsoft Operations esse nome de usuário SVM.

   Neste exemplo, estamos usando svmadmin01 como nosso nome de usuário SVM, modifique-o conforme necessário para sua instalação.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Consulte a seguinte saída:

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. Saída do conteúdo do arquivo PEM.

   O conteúdo do arquivo PEM é usado para adicionar o client-ca ao SVM.

   ! Envie o conteúdo do arquivo PEM para o administrador do Microsoft BareMetal Infrastructure (BMI).

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. Combine o PEM e a KEY em um único arquivo PKCS12 (necessário para AzAcSnap).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   O arquivo svmadmin01.p12 é usado como o valor para certificateFile na seção aliStorageResource do arquivo de configuração AzAcSnap.

4. Teste o arquivo PKCS12 usando curl.

   Depois de obter a confirmação do Microsoft Operations, eles aplicaram o certificado ao SVM para permitir o login baseado em certificado e, em seguida, testaram a conectividade com o SVM.

   Neste exemplo, estamos usando o arquivo PKCS12 chamado svmadmin01.p12 para se conectar ao host SVM "X.X.X.X" (este endereço IP será fornecido pelo Microsoft Operations).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

CLI de instância grande do Azure sobre SSH

A comunicação com o back-end de armazenamento ocorre através de um canal SSH criptografado. As etapas de exemplo a seguir fornecem orientação sobre a configuração de SSH para esta comunicação:

1. Modifique o ficheiro /etc/ssh/ssh_config.

   Consulte a seguinte saída, que inclui a MACs hmac-sha linha:

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. Use o comando de exemplo a seguir para gerar um par de chaves privadas/públicas. Não introduza uma palavra-passe quando estiver a gerar uma chave.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. A saída do cat /root/.ssh/id_rsa.pub comando é a chave pública. Envie-o para o Microsoft Operations, para que as ferramentas de snapshot possam se comunicar com o subsistema de armazenamento.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD