Configurer le stockage pour l'outil Azure Application Consistent Snapshot

Cet article fournit un guide pour configurer le stockage Azure à utiliser avec l'outil Azure Application Consistent Snapshot (AzAcSnap).

Sélectionnez le stockage que vous utilisez avec AzAcSnap.

Azure NetApp Files

Configurez une identité managée par le système (recommandée) ou générez le fichier d'authentification du principal de service.

Lorsque vous avez validé la communication avec Azure NetApp Files, la communication peut échouer ou expirer. Vérifiez que les règles de pare-feu ne bloquent pas le trafic sortant du système exécutant AzAcSnap vers les adresses et les ports TCP/IP suivants :

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Azure (grandes instances) (matériel nu)

Vous devez générer votre propre certificat auto-signé, puis partager le contenu du fichier PEM (Privacy Enhanced Mail) avec Microsoft Operations afin qu'il puisse être installé sur le back-end de stockage pour permettre à AzAcSnap de s'authentifier en toute sécurité auprès d'ONTAP.

Combinez le PEM et KEY dans un seul fichier PKCS12 qui est nécessaire par AzAcSnap pour l'authentification basée sur les certificats auprès d'ONTAP.

Testez le fichier PKCS12 à l'aide de curl pour vous connecter à l'un des nœuds.

Microsoft Operations fournit le nom d'utilisateur de stockage et l'adresse IP de stockage au moment de l'approvisionnement.

Activer la communication avec le stockage

Cette section explique comment activer la communication avec le stockage. Utilisez les onglets suivants pour sélectionner correctement le back-end de stockage que vous utilisez.

Azure NetApp Files (avec machine virtuelle)

Il existe deux façons de s'authentifier auprès d'Azure Resource Manager à l'aide d'une identité managée par le système ou d'un fichier de principal de service. Les options sont décrites ici.

Identité managée par le système Azure

À partir d'AzAcSnap 9, il est possible d'utiliser une identité managée par le système au lieu d'un principal de service pour l'opération. L'utilisation de cette fonctionnalité évite la nécessité de stocker les informations d'identification du principal de service sur une machine virtuelle. Pour configurer une identité managée Azure à l'aide d'Azure Cloud Shell, procédez comme suit :

1. Dans une session Cloud Shell avec Bash, utilisez l'exemple suivant pour définir les variables d'interpréteur de commandes de manière appropriée et les appliquer à l'abonnement dans lequel vous souhaitez créer l'identité managée Azure. Définissez SUBSCRIPTION, VM_NAME et RESOURCE_GROUP sur vos valeurs spécifiques au site.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Définissez Cloud Shell sur l'abonnement approprié :

   az account set -s "${SUBSCRIPTION}"
   

3. Créez l'identité managée pour la machine virtuelle. La commande suivante définit (ou indique s'il est déjà défini) l'identité managée de la machine virtuelle AzAcSnap :

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. Obtenez l'ID de principal pour l'attribution d'un rôle :

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. Attribuez le rôle Contributeur à l'identité principale :

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

RBAC facultatif

Il est possible de limiter les autorisations pour l'identité managée à l'aide d'une définition de rôle personnalisée dans le contrôle d'accès en fonction du rôle (RBAC). Créez une définition de rôle appropriée pour que la machine virtuelle puisse gérer les instantanés. Vous trouverez des exemples de paramètres d'autorisations dans conseils et astuces pour utiliser l'outil Azure Application Consistent Snapshot.

Ensuite, attribuez le rôle à l'ID du principal de machine virtuelle Azure (également affiché en tant que SystemAssignedIdentity) :

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Générer un fichier de principal de service

1. Dans une session Cloud Shell, vérifiez que vous êtes connecté à l'abonnement dans lequel vous voulez être associé au principal de service par défaut :

   az account show
   

2. Si l'abonnement n'est pas correct, utilisez la commande az account set :

   az account set -s <subscription name or id>
   

3. Créez un principal de service à l'aide de l'interface de ligne de commande Azure, comme illustré dans cet exemple :

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   La commande doit générer une sortie comme cet exemple :

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
     "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   Cette commande affecte automatiquement le rôle Contributeur RBAC au principal de service au niveau de l'abonnement. Vous pouvez limiter l'étendue au groupe de ressources spécifique dans lequel vos tests créent les ressources.

4. Coupez et collez le contenu de sortie dans un fichier appelé azureauth.json stocké sur le même système que la commande azacsnap. Sécurisez le fichier avec les autorisations système appropriées.

   Assurez-vous que le format du fichier JSON est exactement comme décrit à l'étape précédente, avec les URL placées entre guillemets doubles (").

Azure (grandes instances) (matériel nu)

Important

À partir d'AzAcSnap 10, la communication avec stockage Azure Large Instance utilise l'API REST sur HTTPS. Les versions antérieures à AzAcSnap 10 utilisent l'interface CLI via SSH.

API REST Azure Large Instance sur HTTPS

La communication avec le serveur principal de stockage se produit sur un canal HTTPS chiffré à l'aide de l'authentification basée sur des certificats. Les exemples d'étapes suivants fournissent des conseils sur la configuration du certificat PKCS12 pour cette communication :

1. Générez les fichiers PEM et KEY.

   Le CN est égal au nom d'utilisateur SVM, demandez à Microsoft Operations pour ce nom d'utilisateur SVM.

   Dans cet exemple, nous utilisons svmadmin01 en tant que nom d'utilisateur SVM, modifiez-le si nécessaire pour votre installation.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   Reportez-vous à la sortie suivante :

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. Affichez le contenu du fichier PEM.

   Le contenu du fichier PEM est utilisé pour ajouter l'autorité de certification client du SVM.

   ! Envoyez le contenu du fichier PEM à l'administrateur BMI (Microsoft BareMetal Infrastructure).

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. Combinez PEM et KEY dans un seul fichier PKCS12 (nécessaire pour AzAcSnap).

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   Le fichier svmadmin01.p12 est utilisé comme valeur pour certificateFile dans la section aliStorageResource du fichier de configuration AzAcSnap.

4. Testez le fichier PKCS12 à l'aide de curl.

   Après avoir obtenu la confirmation de Microsoft Operations, ils ont appliqué le certificat au SVM pour autoriser la connexion basée sur un certificat, puis tester la connectivité au SVM.

   Dans cet exemple, nous utilisons le fichier PKCS12 appelé svmadmin01.p12 pour nous connecter à l'hôte SVM « X.X.X.X.X » (cette adresse IP sera fournie par Microsoft Operations).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

Interface CLI de grande instance Azure sur SSH

Avertissement

Ces instructions concernent les versions antérieures à AzAcSnap 10 et nous ne mettons plus à jour cette section du contenu régulièrement.

La communication avec le serveur principal de stockage s'exécute sur un canal SSH chiffré. Les exemples d'étapes suivants fournissent des conseils sur la configuration de SSH pour cette communication :

1. Modifiez le fichier /etc/ssh/ssh_config.

   Reportez-vous à la sortie suivante, qui inclut la ligne de MACs hmac-sha :

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. Utilisez l'exemple de commande suivant pour générer une paire de clés privée/publique. N'entrez pas de mot de passe lorsque vous générez une clé.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. La sortie de la commande cat /root/.ssh/id_rsa.pub est la clé publique. Envoyez-le à Microsoft Operations afin que les outils d'instantané puissent communiquer avec le sous-système de stockage.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD
   

Étapes suivantes

• Configurer l’outil Azure Application Consistent Snapshot Tool