Delen via


Opslag configureren voor Azure-toepassing hulpprogramma Consistente momentopname

Dit artikel bevat een handleiding voor het configureren van de Azure-opslag die moet worden gebruikt met het hulpprogramma Azure-toepassing Consistente momentopname (AzAcSnap).

Selecteer de opslag die u gebruikt met AzAcSnap.

Stel een door het systeem beheerde identiteit in (aanbevolen) of genereer het verificatiebestand van de service-principal.

Wanneer u communicatie met Azure NetApp Files valideert, kan communicatie mislukken of een time-out optreden. Controleer of firewallregels uitgaand verkeer van het systeem met AzAcSnap niet blokkeren naar de volgende adressen en TCP/IP-poorten:

  • (https://)management.azure.com:443
  • (https://)login.microsoftonline.com:443

Communicatie met opslag inschakelen

In deze sectie wordt uitgelegd hoe u communicatie met opslag inschakelt. Gebruik de volgende tabbladen om de back-end van de opslag correct te selecteren die u gebruikt.

Er zijn twee manieren om te verifiëren bij Azure Resource Manager met behulp van een door het systeem beheerde identiteit of een service-principalbestand. De opties worden hier beschreven.

Door het Azure-systeem beheerde identiteit

Vanuit AzAcSnap 9 is het mogelijk om een door het systeem beheerde identiteit te gebruiken in plaats van een service-principal voor bewerking. Als u deze functie gebruikt, hoeft u geen referenties voor de service-principal op te slaan op een virtuele machine (VM). Voer de volgende stappen uit om een door Azure beheerde identiteit in te stellen met behulp van Azure Cloud Shell:

  1. Gebruik in een Cloud Shell-sessie met Bash het volgende voorbeeld om de shellvariabelen op de juiste manier in te stellen en toe te passen op het abonnement waarin u de beheerde Azure-identiteit wilt maken. Stel SUBSCRIPTION, VM_NAMEen RESOURCE_GROUP op uw sitespecifieke waarden in.

    export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
    export VM_NAME="MyVM"
    export RESOURCE_GROUP="MyResourceGroup"
    export ROLE="Contributor"
    export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"
    
  2. Stel Cloud Shell in op het juiste abonnement:

    az account set -s "${SUBSCRIPTION}"
    
  3. Maak de beheerde identiteit voor de virtuele machine. Met de volgende opdracht wordt de beheerde identiteit van de AzAcSnap-VM ingesteld (of wordt weergegeven als deze al is ingesteld):

    az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"
    
  4. Haal de principal-id op voor het toewijzen van een rol:

    PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)
    
  5. Wijs de rol Inzender toe aan de principal-id:

    az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"
    

Optionele RBAC

Het is mogelijk om de machtigingen voor de beheerde identiteit te beperken met behulp van een aangepaste roldefinitie in op rollen gebaseerd toegangsbeheer (RBAC). Maak een geschikte roldefinitie voor de virtuele machine om momentopnamen te kunnen beheren. U vindt voorbeelden van machtigingsinstellingen in Tips en trucs voor het gebruik van het hulpprogramma Azure-toepassing Consistente momentopname.

Wijs vervolgens de rol toe aan de principal-id van de Azure-VM (ook weergegeven als SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Een service-principalbestand genereren

  1. Zorg er in een Cloud Shell-sessie voor dat u bent aangemeld bij het abonnement waaraan u standaard wilt worden gekoppeld aan de service-principal:

    az account show
    
  2. Als het abonnement niet juist is, gebruikt u de az account set opdracht:

    az account set -s <subscription name or id>
    
  3. Maak een service-principal met behulp van de Azure CLI, zoals wordt weergegeven in dit voorbeeld:

    az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth
    

    De opdracht moet uitvoer genereren zoals in dit voorbeeld:

    {
      "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
      "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
      "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
      "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
      "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
      "resourceManagerEndpointUrl": "https://management.azure.com/",
      "activeDirectoryGraphResourceId": "https://graph.windows.net/",
      "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
      "galleryEndpointUrl": "https://gallery.azure.com/",
      "managementEndpointUrl": "https://management.core.windows.net/"
    }
    

    Met deze opdracht wordt automatisch de rol RBAC-inzender toegewezen aan de service-principal op abonnementsniveau. U kunt het bereik beperken tot de specifieke resourcegroep waarin uw tests de resources maken.

  4. Knip en plak de uitvoerinhoud in een bestand azureauth.json dat is opgeslagen op hetzelfde systeem als de azacsnap opdracht. Beveilig het bestand met de juiste systeemmachtigingen.

    Zorg ervoor dat de indeling van het JSON-bestand exact is zoals beschreven in de vorige stap, met de URL's tussen dubbele aanhalingstekens (").

Volgende stappen