Azure 애플리케이션 일관성 있는 스냅샷 도구에 대한 스토리지 구성

이 문서에서는 AzAcSnap(Azure 애플리케이션 일치 스냅샷 도구)과 함께 사용할 Azure Storage를 구성하는 방법에 대한 가이드를 제공합니다.

AzAcSnap에서 사용 중인 스토리지를 선택합니다.

Azure NetApp Files

시스템 관리 ID를 설정하거나(권장) 서비스 주체의 인증 파일을 생성합니다.

Azure NetApp Files와의 통신 유효성을 검사하는 경우 통신이 실패하거나 시간이 초과될 수 있습니다. 방화벽 규칙이 AzAcSnap을 실행하는 시스템에서 다음 주소 및 TCP/IP 포트로의 아웃바운드 트래픽을 차단하지 않는지 확인합니다.

• (https://)management.azure.com:443
• (https://)login.microsoftonline.com:443

Azure 대규모 인스턴스(운영 체제 미설치)

자체 서명된 인증서를 생성한 다음, AzAcSnap이 ONTAP로 안전하게 인증할 수 있도록 스토리지 백 엔드에 설치할 수 있도록 PEM(개인 정보 보호 강화 메일) 파일의 내용을 Microsoft Operations와 공유해야 합니다.

PEM 및 KEY를 AzAcSnap에서 ONTAP에 대한 인증서 기반 인증에 필요한 단일 PKCS12 파일로 결합합니다.

노드 중 하나에 연결하는 데 사용하여 curl PKCS12 파일을 테스트합니다.

Microsoft Operations는 프로비전 시 스토리지 사용자 이름 및 스토리지 IP 주소를 제공합니다.

스토리지와의 통신 사용

이 섹션에서는 스토리지와의 통신을 사용하는 방법에 대해 설명합니다. 다음 탭을 사용하여 사용 중인 스토리지 백 엔드를 올바르게 선택합니다.

Azure NetApp Files(가상 머신 포함)

시스템 관리 ID 또는 서비스 주체 파일을 사용하여 Azure Resource Manager에 인증하는 방법에는 두 가지가 있습니다. 옵션은 여기에 설명되어 있습니다.

Azure 시스템 관리 ID

AzAcSnap 9에서는 작업용 서비스 주체 대신 시스템 관리 ID를 사용할 수 있습니다. 이 기능을 사용하면 VM(가상 머신)에 서비스 주체 자격 증명을 저장할 필요가 없습니다. Azure Cloud Shell을 사용하여 Azure 관리 ID를 설정하려면 다음 단계를 수행합니다.

1. Bash를 사용하는 Cloud Shell 세션 내에서 다음 예제를 사용하여 셸 변수를 적절하게 설정하고 Azure 관리 ID를 만들려는 구독에 적용합니다. SUBSCRIPTION, VM_NAME 및 RESOURCE_GROUP을 사이트별 값으로 설정합니다.

   export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
   export VM_NAME="MyVM"
   export RESOURCE_GROUP="MyResourceGroup"
   export ROLE="Contributor"
   export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
   

2. Cloud Shell을 올바른 구독으로 설정합니다.

   az account set -s "${SUBSCRIPTION}"
   

3. 가상 머신에 대한 관리 ID를 만듭니다. 다음 명령은 AzAcSnap VM의 관리 ID를 설정(또는 이미 설정된 경우 표시)합니다.

   az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
   

4. 역할을 할당하기 위한 보안 주체 ID를 가져옵니다.

   PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
   

5. 주 ID에 기여자 역할을 할당합니다.

   az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
   

선택적 RBAC

RBAC(역할 기반 액세스 제어)에서 사용자 지정 역할 정의를 사용하여 관리 ID에 대한 권한을 제한할 수 있습니다. 가상 머신이 스냅샷을 관리할 수 있도록 적합한 역할 정의를 만듭니다. Azure 애플리케이션 일치 스냅샷 도구를 사용하기 위한 팁과 요령에서 예제 사용 권한 설정을 찾을 수 있습니다.

그런 다음, Azure VM 보안 주체 ID에 역할을 할당합니다(SystemAssignedIdentity로도 표시됨).

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

서비스 주체 파일 생성

1. Cloud Shell 세션에서 기본적으로 서비스 주체와 연결하려는 구독에 로그온했는지 확인합니다.

   az account show
   

2. 구독이 올바르지 않으면 az account set 명령을 사용합니다.

   az account set -s <subscription name or id>
   

3. 다음 예제와 같이 Azure CLI를 사용하여 서비스 주체를 만듭니다.

   az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
   

   이 명령은 다음 예제와 같은 출력을 생성합니다.

   {
     "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
     "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
     "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
     "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
     "resourceManagerEndpointUrl": "https://management.azure.com/",
     "activeDirectoryGraphResourceId": "https://graph.windows.net/",
     "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
     "galleryEndpointUrl": "https://gallery.azure.com/",
     "managementEndpointUrl": "https://management.core.windows.net/"
   }
   

   이 명령은 구독 수준에서 서비스 주체에 RBAC 기여자 역할을 자동으로 할당합니다. 테스트에서 리소스를 만들 특정 리소스 그룹으로 범위를 좁힐 수 있습니다.

4. 출력 콘텐츠를 잘라내어 azacsnap 명령과 동일한 시스템에 저장된 azureauth.json이라는 파일로 붙여넣습니다. 적절한 시스템 권한으로 파일을 보호합니다.

   JSON 파일의 형식이 URL이 큰따옴표(")로 묶인 상태로 이전 단계에서 설명한 것과 정확히 일치하는지 확인합니다.

Azure 대규모 인스턴스(운영 체제 미설치)

Important

AzAcSnap 10에서 Azure 큰 인스턴스 스토리지와의 Communicatoin은 HTTPS를 통해 REST API를 사용합니다. AzAcSnap 10 이전 버전은 SSH를 통해 CLI를 사용합니다.

HTTPS를 통한 Azure 대규모 인스턴스 REST API

스토리지 백 엔드와의 통신은 인증서 기반 인증을 사용하여 암호화된 HTTPS 채널을 통해 발생합니다. 다음 예제 단계에서는 이 통신에 대한 PKCS12 인증서 설정에 대한 지침을 제공합니다.

1. PEM 및 KEY 파일을 생성합니다.

   CN은 SVM 사용자 이름과 같으며 이 SVM 사용자 이름에 대해 Microsoft Operations에 문의합니다.

   이 예제에서는 SVM 사용자 이름으로 사용하여 svmadmin01 설치에 필요한 대로 수정합니다.

   openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout svmadmin01.key -out svmadmin01.pem -subj "/C=US/ST=WA/L=Redmond/O=MSFT/CN=svmadmin01"
   

   다음 출력을 참조하세요.

   Generating a RSA private key
   ........................................................................................................+++++
   ....................................+++++
   writing new private key to 'svmadmin01.key'
   -----
   

2. PEM 파일의 내용을 출력합니다.

   PEM 파일의 내용은 SVM에 client-ca를 추가하는 데 사용됩니다.

   ! PEM 파일의 내용을 Microsoft BareMetal Infrastructure(BMI) 관리자에게 보냅니다.

   cat svmadmin01.pem
   

   -----BEGIN CERTIFICATE-----
   MIIDgTCCAmmgAwIBAgIUGlEfGBAwSzSFx8s19lsdn9EcXWcwDQYJKoZIhvcNAQEL
   /zANBgkqhkiG9w0BAQsFAAOCAQEAFkbKiQ3AF1kaiOpl8lt0SGuTwKRBzo55pwqf
   PmLUFF2sWuG5Yaw4sGPGPgDrkIvU6jcyHpFVsl6e1tUcECZh6lcK0MwFfQZjHwfs
   MRAwDgYDVQQHDAdSZWRtb25kMQ0wCwYDVQQKDARNU0ZUMRMwEQYDVQQDDApzdm1h
   ZG1pbjAxMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuE6H2/DK9xjz
   TY1JSYIeArJ3GQnBz7Fw2KBT+Z9dl2kO8p3hjSE/5W1vY+5NLDjEH6HG1xH12QUO
   y2+NoT2s4KhGgWbHuJHpQqLsNFqaOuLyc3ofK7BPz/9JHz5JKmNu1Fn9Ql8s4FRQ
   4GzXDf4qC+JhQBO3iSvXuwDRfGs9Ja2x1r8yOJEHxmnLgGVw6Q==
   -----END CERTIFICATE-----
   

3. PEM 및 KEY를 단일 PKCS12 파일(AzAcSnap에 필요)으로 결합합니다.

   openssl pkcs12 -export -out svmadmin01.p12 -inkey svmadmin01.key -in svmadmin01.pem
   

   svmadmin01.p12 파일은 AzAcSnap 구성 파일의 aliStorageResource 섹션에서 certificateFile의 값으로 사용됩니다.

4. curl을 사용하여 PKCS12 파일을 테스트합니다.

   Microsoft Operations에서 확인을 받은 후 인증서 기반 로그인을 허용하도록 인증서를 SVM에 적용한 다음 SVM에 대한 연결을 테스트합니다.

   이 예제에서는 svmadmin01.p12라는 PKCS12 파일을 사용하여 SVM 호스트 "X.X.X.X"에 연결합니다(이 IP 주소는 Microsoft Operations에서 제공됨).

   curl --cert-type P12 --cert svmadmin01.p12 -k 'https://X.X.X.X/api/cluster?fields=version'
   

   {
     "version": {
       "full": "NetApp Release 9.15.1: Wed Feb 21 05:56:27 UTC 2024",
       "generation": 9,
       "major": 15,
       "minor": 1
     },
     "_links": {
       "self": {
         "href": "/api/cluster"
       }
     }
   }
   

SSH를 통해 Azure 대규모 인스턴스 CLI

Warning

이러한 지침은 AzAcSnap 10 이전 버전에 대한 것이며 더 이상 이 콘텐츠 섹션을 정기적으로 업데이트하지 않습니다.

스토리지 백 엔드와의 통신은 암호화된 SSH 채널을 통해 실행됩니다. 다음 예제 단계는 이 통신에 대해 SSH를 설정하는 방법에 대한 지침을 제공합니다.

1. /etc/ssh/ssh_config 파일을 수정합니다.

   MACs hmac-sha 줄을 포함하는 다음 출력을 참조하세요.

   # RhostsRSAAuthentication no
   # RSAAuthentication yes
   # PasswordAuthentication yes
   # HostbasedAuthentication no
   # GSSAPIAuthentication no
   # GSSAPIDelegateCredentials no
   # GSSAPIKeyExchange no
   # GSSAPITrustDNS no
   # BatchMode no
   # CheckHostIP yes
   # AddressFamily any
   # ConnectTimeout 0
   # StrictHostKeyChecking ask
   # IdentityFile ~/.ssh/identity
   # IdentityFile ~/.ssh/id_rsa
   # IdentityFile ~/.ssh/id_dsa
   # Port 22
   Protocol 2
   # Cipher 3des
   # Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-
   cbc
   # MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd
   MACs hmac-sha
   # EscapeChar ~
   # Tunnel no
   # TunnelDevice any:any
   # PermitLocalCommand no
   # VisualHostKey no
   # ProxyCommand ssh -q -W %h:%p gateway.example.com
   

2. 다음 예제 명령을 사용하여 프라이빗/공개 키 쌍을 생성합니다. 키를 생성할 때 암호를 입력하지 마세요.

   ssh-keygen -t rsa –b 5120 -C ""
   

3. cat /root/.ssh/id_rsa.pub 명령의 출력은 공개 키입니다. 스냅샷 도구가 스토리지 하위 시스템과 통신할 수 있도록 Microsoft Operations로 보냅니다.

   cat /root/.ssh/id_rsa.pub
   

   ssh-rsa
   AAAAB3NzaC1yc2EAAAADAQABAAABAQDoaRCgwn1Ll31NyDZy0UsOCKcc9nu2qdAPHdCzleiTWISvPW
   FzIFxz8iOaxpeTshH7GRonGs9HNtRkkz6mpK7pCGNJdxS4wJC9MZdXNt+JhuT23NajrTEnt1jXiVFH
   bh3jD7LjJGMb4GNvqeiBExyBDA2pXdlednOaE4dtiZ1N03Bc/J4TNuNhhQbdsIWZsqKt9OPUuTfD
   j0XvwUTLQbR4peGNfN1/cefcLxDlAgI+TmKdfgnLXIsSfbacXoTbqyBRwCi7p+bJnJD07zSc9YCZJa
   wKGAIilSg7s6Bq/2lAPDN1TqwIF8wQhAg2C7yeZHyE/ckaw/eQYuJtN+RNBD
   

다음 단계

• Azure 애플리케이션 일치 스냅샷 도구 구성