Поделиться через

Настройка хранилища для средства приложение Azure согласованного моментального снимка

  • Статья

В этой статье приведено руководство по настройке хранилища Azure для использования с инструментом приложение Azure согласованного моментального снимка (AzAcSnap).

Выберите хранилище, используемое с AzAcSnap.

Настройте управляемое системой удостоверение (рекомендуется) или создайте файл проверки подлинности субъекта-службы.

При проверке связи с Azure NetApp Files связь может завершиться ошибкой или временем ожидания. Убедитесь, что правила брандмауэра не блокируют исходящий трафик из системы под управлением AzAcSnap на следующие адреса и порты TCP/IP:

  • (https://)management.azure.com:443
  • (https://)login.microsoftonline.com:443

Обеспечение обмена данными с хранилищем

В этом разделе объясняется, как включить связь с хранилищем. Используйте следующие вкладки, чтобы правильно выбрать конечную часть хранилища, которую вы используете.

Существует два способа проверки подлинности в Azure Resource Manager с помощью управляемого системой удостоверения или файла субъекта-службы. Здесь описаны параметры.

Управляемое системой удостоверение Azure

Из AzAcSnap 9 можно использовать управляемое системой удостоверение вместо субъекта-службы для операции. Использование этой функции позволяет избежать необходимости хранить учетные данные субъекта-службы на виртуальной машине. Чтобы настроить управляемое удостоверение Azure с помощью Azure Cloud Shell, выполните следующие действия.

  1. В сеансе Cloud Shell с Bash используйте следующий пример, чтобы задать переменные оболочки соответствующим образом и применить их к подписке, в которой требуется создать управляемое удостоверение Azure. Задайте SUBSCRIPTION, VM_NAMEа также RESOURCE_GROUP для ваших значений, относящихся к сайту.

    export SUBSCRIPTION="99z999zz-99z9-99zz-99zz-9z9zz999zz99"
export VM_NAME="MyVM"
export RESOURCE_GROUP="MyResourceGroup"
export ROLE="Contributor"
export SCOPE="/subscriptions/${SUBSCRIPTION}/resourceGroups/${RESOURCE_GROUP}"

  2. Задайте Cloud Shell правильной подписке:

    az account set -s "${SUBSCRIPTION}"

  3. Создайте управляемое удостоверение для виртуальной машины. Следующие наборы команд (или показывает, уже ли он установлен) управляемого удостоверения виртуальной машины AzAcSnap:

    az vm identity assign --name "${VM_NAME}" --resource-group "${RESOURCE_GROUP}"

  4. Получите идентификатор субъекта для назначения роли:

    PRINCIPAL_ID=$(az resource list -n ${VM_NAME} --query [*].identity.principalId --out tsv)

  5. Назначьте роль участника идентификатору субъекта:

    az role assignment create --assignee "${PRINCIPAL_ID}" --role "${ROLE}" --scope "${SCOPE}"

Необязательный RBAC

Можно ограничить разрешения для управляемого удостоверения с помощью определения пользовательской роли в управлении доступом на основе ролей (RBAC). Создайте подходящее определение роли для виртуальной машины, чтобы управлять моментальными снимками. Примеры параметров разрешений можно найти в подсказках и рекомендации по использованию средства приложение Azure согласованного моментального снимка.

Затем назначьте роль идентификатору субъекта виртуальной машины Azure (также отображается как SystemAssignedIdentity):

az role assignment create --assignee ${PRINCIPAL_ID} --role "AzAcSnap on ANF" --scope "${SCOPE}"

Создание файла субъекта-службы

  1. В сеансе Cloud Shell убедитесь, что вы вошли в подписку, в которой вы хотите связаться с субъектом-службой по умолчанию:

    az account show

  2. Если подписка не правильна az account set , используйте команду:

    az account set -s <subscription name or id>

  3. Создайте субъект-службу с помощью Azure CLI, как показано в этом примере:

    az ad sp create-for-rbac --name "AzAcSnap" --role Contributor --scopes /subscriptions/{subscription-id} --sdk-auth

    Команда должна создать выходные данные, как в следующем примере:

    {
  "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
  "clientSecret": "Dd4Ee~5Ff6.-Gg7Hh8Ii9Jj0Kk1Ll2_Mm3Nn4Oo5",
  "subscriptionId": "cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
  "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}

    Эта команда автоматически назначает роль участника RBAC субъекту-службе на уровне подписки. Область можно сузить до определенной группы ресурсов, в которой тесты будут создавать ресурсы.

  4. Вырезать и вставить выходное содержимое в файл, который azureauth.json хранится в той же системе, что azacsnap и команда. Защитите файл с соответствующими разрешениями системы.

    Убедитесь, что формат JSON-файла точно так же, как описано на предыдущем шаге, с URL-адресами, заключенными в двойные кавычки ().

Следующие шаги