Compartir vía


Configuración del almacenamiento para la herramienta Azure Application Consistent Snapshot

En este artículo se proporciona una guía para configurar el almacenamiento de Azure que se usará con la herramienta Azure Application Consistent Snapshot (AzAcSnap).

Seleccione el almacenamiento que usa con AzAcSnap.

Configure una identidad administrada por el sistema (recomendada) o genere el archivo de autenticación de la entidad de servicio.

Cuando valida la comunicación con Azure NetApp Files, se puede producir un error o agotarse el tiempo de espera. Asegúrese de que las reglas de firewall no bloqueen el tráfico de salida del sistema que ejecuta AzAcSnap en las siguientes direcciones y puertos TCP/IP:

  • (https://)management.azure.com:443
  • (https://)login.microsoftonline.com:443

Habilitación de la comunicación con el almacenamiento

En esta sección se explica cómo habilitar la comunicación con el almacenamiento. Use las pestañas siguientes para seleccionar correctamente el back-end de almacenamiento que está usando.

Hay dos maneras de autenticarse en Azure Resource Manager mediante una identidad administrada por el sistema o un archivo de entidad de servicio. Aquí se describen las opciones.

Identidad administrada por el sistema de Azure

Desde AzAcSnap 9, es posible usar una identidad administrada por el sistema en lugar de una entidad de servicio para la operación. El uso de esta característica evita la necesidad de almacenar credenciales de entidad de servicio en una máquina virtual (VM). Para configurar una identidad administrada de Azure mediante Azure Cloud Shell, siga estos pasos:

  1. En una sesión de Cloud Shell con Bash, use el ejemplo siguiente para establecer las variables de shell de forma adecuada y aplicarlas a la suscripción en la que desea crear la identidad administrada de Azure. Establezca SUBSCRIPTION, VM_NAME y RESOURCE_GROUP en los valores específicos del sitio.

    export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
    export VM_NAME="MyVM"
    export RESOURCE_GROUP="MyResourceGroup"
    export ROLE="Contributor"
    export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
    
  2. Establezca Cloud Shell en la suscripción correcta:

    az account set -s "${SUBSCRIPTION}"
    
  3. Cree la identidad administrada para la máquina virtual. El comando siguiente establece (o muestra, si ya está establecido) la identidad administrada de la máquina virtual de AzAcSnap:

    az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
    
  4. Obtenga el id. de entidad de seguridad para asignar un rol:

    PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
    
  5. Asigne el rol Colaborador al id. de entidad de seguridad:

    az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
    

RBAC opcional

Es posible limitar los permisos de la identidad administrada mediante una definición de rol personalizado en el control de acceso basado en rol (RBAC). Cree una definición de roles adecuada para que la máquina virtual pueda administrar instantáneas. Puede encontrar la configuración de permisos de ejemplo en Sugerencias y trucos para usar la herramienta Azure Application Consistent Snapshot.

A continuación, asigne el rol al id. de entidad de seguridad de máquina virtual de Azure (también se muestra como SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Generación de un archivo de entidad de servicio

  1. En una sesión de Cloud Shell, asegúrese de que ha iniciado sesión en la suscripción donde desee que se le asocie la entidad de servicio de manera predeterminada:

    az account show
    
  2. Si la suscripción no es correcta, use el comando az account set:

    az account set -s <subscription name or id>
    
  3. Cree una entidad de servicio mediante la CLI de Azure, como se muestra en este ejemplo:

    az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
    

    El comando debe generar una salida similar a la de este ejemplo:

    {
      "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
      "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
      "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
      "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
      "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
      "resourceManagerEndpointUrl": "https://management.azure.com/",
      "activeDirectoryGraphResourceId": "https://graph.windows.net/",
      "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
      "galleryEndpointUrl": "https://gallery.azure.com/",
      "managementEndpointUrl": "https://management.core.windows.net/"
    }
    

    Este comando asigna automáticamente el rol Colaborador de RBAC a la entidad de servicio en el nivel de suscripción. Puede restringir el ámbito al grupo de recursos específico donde las pruebas crearán los recursos.

  4. Corte y pegue el contenido de salida en un archivo denominado azureauth.json que se almacena en el mismo sistema que el comando azacsnap. Proteja el archivo con los permisos del sistema adecuados.

    Asegúrese de que el formato del archivo JSON es exactamente como se describe en el paso anterior, con las direcciones URL entre comillas dobles (").

Pasos siguientes