Freigeben über

Konfigurieren der Objekt-REST-API für Azure NetApp Files (Vorschau)

Azure NetApp Files unterstützt den Zugriff auf Objekte mit der REST-API objekt. Mit der OBJEKT-REST-API können Sie eine Verbindung mit Diensten wie Azure KI-Suche, Microsoft Fabric, Microsoft Foundry, Azure Databricks, OneLake und anderen S3-kompatiblen Clients herstellen.

In diesem Artikel wird beschrieben, wie Sie den REST-API-Zugriff auf Objekte konfigurieren und führt Sie durch die beiden unterstützten Zertifikatsarbeitsabläufe. Wählen Sie den Workflow aus, der Ihren Sicherheits- und Betriebsanforderungen am besten entspricht.

Registrieren der Funktion

Das Objekt-REST-API-Feature in Azure NetApp Files befindet sich derzeit in der Vorschau. Sie müssen das Feature registrieren, bevor Sie sie zum ersten Mal verwenden.

  1. Registrieren Sie die Funktion:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEnableObjectRESTAPI

  2. Überprüfen Sie den Status der Funktionsregistrierung:

    Hinweis

    Der RegistrationState kann bis zu 60 Minuten lang den Wert Registering aufweisen, bevor er sich in Registered ändert. Warten Sie, bis der Status Registriert lautet, bevor Sie fortfahren.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEnableObjectRESTAPI

Sie können auch Azure CLI Befehleaz feature register und az feature show verwenden, um das Feature zu registrieren und den Registrierungsstatus anzuzeigen.

Erstellen des selbstsignierten Zertifikats

Azure NetApp Files unterstützt zwei Zertifikatoptionen für den REST-API-Zugriff des Objekts:

  1. Azure Key Vault-basierte Zertifikate (empfohlen): Zertifikate werden in Azure Key Vault erstellt und gespeichert, und das Zertifikat wird während der Bucketerstellung direkt aus Azure Key Vault abgerufen.

  2. Direkter Zertifikatupload: PEM-Zertifikate werden während der Bucketerstellung generiert und manuell hochgeladen.

Von Bedeutung

Die von Ihnen ausgewählten Optionen bestimmen das Zertifikatformat, das Sie generieren müssen (PKCS#12 vs PEM), und wie das Zertifikat während der Bucketerstellung bereitgestellt wird.

Sie müssen eine der folgenden Optionen auswählen:

Verwenden Sie diese Option, wenn Azure NetApp Files das Zertifikat während der Bucketerstellung direkt aus Azure Key Vault lesen soll.

Siehe die Dokumentation zu Azure Key Vault zum Hinzufügen eines Zertifikats zu Key Vault.

Stellen Sie beim Erstellen des Zertifikats in Azure Key Vault Folgendes sicher:

  • Inhaltstyp: PKCS#12
  • Subject: IP-Adresse oder vollqualifizierter Domänenname (FQDN) Ihres Azure NetApp Files Endpunkts mit dem Format "CN=<IP or FQDN>"
  • DNS-Namen: IP-Adresse oder FQDN

Screenshot der Erstellung von Zertifikatoptionen.

Nachdem das Zertifikat erfolgreich erstellt wurde, klicken Sie in der Liste auf das Zertifikat, und überprüfen Sie die Eigenschaften.

  • Notieren Sie sich im Feld „Zertifikat-ID“ den URI des Tresors „https://<vault_name>.azure.net“.
  • Notieren Sie sich den Namen des Zertifikats

Erforderliche Azure Key Vault Berechtigungen

Um Bucketerstellungsfehler zu vermeiden, stellen Sie sicher, dass der Azure NetApp Files-Dienst über die Berechtigung zum Lesen des Zertifikats von Azure Key Vault verfügt.

Mindestens müssen die folgenden Berechtigungen erteilt werden:

  • Zertifikate: Abrufen, Auflisten, Aktualisieren, Erstellen, Importieren, Verwalten von Zertifizierungsstellen, Zertifizierungsstellen abrufen, Zertifizierungsstellen auflisten, Zertifizierungsstellen festlegen, Zertifizierungsstellen löschen
  • Geheime Schlüssel: Abrufen, Auflisten, Festlegen, Löschen

Hinweis

Wenn diese Berechtigungen fehlen, schlägt die Bucketerstellung fehl, wenn Azure NetApp Files versucht, das Zertifikat abzurufen.

Option 2: Direkter Zertifikatupload

Verwenden Sie diese Option, falls Sie beabsichtigen, das Zertifikat zu generieren und es während der Bucketerstellung manuell hochzuladen.

Stellen Sie beim Erstellen des Zertifikats Folgendes sicher:

  • Inhaltstyp: PEM
  • Subject: IP-Adresse oder vollqualifizierter Domänenname (FQDN) Ihres Azure NetApp Files Endpunkts mit dem Format "CN=<IP or FQDN>"
  • DNS-Namen: IP-Adresse oder FQDN

Generieren des Zertifikats

Verwenden Sie das bereitgestellte Skript, um ein selbstsigniertes PEM-Zertifikat zu generieren. Das Skript erstellt sowohl das Zertifikat als auch die zum Hochladen erforderlichen privaten Schlüsseldateien. Legen Sie den Computernamen CN= auf die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den Objekt-REST-API-fähigen Endpunkt fest. Dieses Skript erstellt einen Ordner, der die erforderlichen PEM-Dateien und privaten Schlüssel enthält.

Erstellen und Ausführen des folgenden Skripts:

#!/bin/sh
# Define certificate details 
CERT_DAYS=365 
RSA_STR_LEN=2048 
CERT_DIR="./certs" 
KEY_DIR="./certs/private" 
CN="mylocalsite.local" 

# Create directories if they don't exist 
mkdir -p $CERT_DIR 
mkdir -p $KEY_DIR 

# Generate private key 
openssl genrsa -out $KEY_DIR/server-key.pem $RSA_STR_LEN 

# Generate Certificate Signing Request (CSR) 
openssl req -new -key $KEY_DIR/server-key.pem -out $CERT_DIR/server-req.pem -subj "/C=US/ST=State/L=City/O=Organization/OU=Unit/CN=$CN" 

# Generate self-signed certificate 
openssl x509 -req -days $CERT_DAYS -in $CERT_DIR/server-req.pem -signkey $KEY_DIR/server-key.pem -out $CERT_DIR/server-cert.pem 

echo "Self-signed certificate created at $CERT_DIR/server-cert.pem"

Nachdem das Zertifikat erstellt wurde, müssen Sie einen Bucket erstellen.

Erstellen eines Buckets

Um die OBJEKT-REST-API zu aktivieren, müssen Sie einen Bucket auf einem Azure NetApp Files Volume erstellen.

  1. Wählen Sie in Ihrem NetApp-Volume Buckets aus.

  2. Wählen Sie +Bucket erstellen oder aktualisieren.

  3. Geben Sie im Bucket "Erstellen" oder "Aktualisieren" die folgenden Informationen für den Bucket an:

    Bucketkonfiguration

    • Name

      Geben Sie den Namen für Ihren Bucket an. Informationen zu Benennungskonventionen finden Sie unter Namingregeln und Einschränkungen für Azure Ressourcen.

    • Pfad

      Der Unterverzeichnispfad für die OBJEKT-REST-API. Lassen Sie dieses Feld für den vollständigen Volume-Zugriff leer oder verwenden Sie / für das Stammverzeichnis.

    Protokollzugriff

    • NFS-Volume

      • Benutzer-ID (UID)

        Die UID, die für den Zugriff auf den Bucket verwendet wird.

      • Gruppen-ID (GID)

        Die GID, die für den Zugriff auf den Bucket verwendet wurde.

    • SMB-Volume

      • Nutzername

        Die ID, die zum Lesen des Bucket verwendet wird.

    • Erlaubnisse

      Wählen Sie "Nur Lesen" oder "Lesen und Schreiben" aus.

    Screenshot des Menüs

  4. Wählen Sie Speichern aus.

    Zusätzliche Details sind erforderlich, um den ersten Bucket für eine Gruppe von Volumes zu erstellen, die dieselbe IP-Adresse verwenden.

    Zertifikatverwaltung

    • Vollqualifizierter Domänenname

      Geben Sie den Endpunkt-FQDN ein, der von Clients für den Zugriff auf die Buckets verwendet wird.

    Zertifikatquelle

    • Azure Key Vault

      • Tresor-URI

        Wählen Sie den Namen aus der Dropdownliste aus.

      • Geheimer Name

        Geben Sie den Namen des Zertifikats ein.

    • Hochladen eines Zertifikats

      Wählen Sie die Zertifikatoption aus, um eine Zertifikatdatei direkt hochzuladen.

      Wenn Sie kein Zertifikat angegeben haben, laden Sie die PEM-Datei hoch.

      • Zertifikatquelle.

        Laden Sie das entsprechende Zertifikat hoch. Nur PEM-Dateien werden unterstützt.

    Speicher für Anmeldeinformationen

    • Azure Key Vault

      • Tresor-URI

        Wählen Sie den Namen aus der Dropdownliste aus.

      • Geheimer Name

        Geben Sie den Namen des geheimen Schlüssels ein. Der geheime Name ist benutzerdefinierter Name und kann ein beliebiger Wert sein, der den Benennungsrichtlinien entspricht.

    • Zugriffsschlüssel

      Wenn Sie diese Option auswählen, werden Zugriffsschlüssel generiert, nachdem der Bucket erstellt wurde und einmal im Azure-Portal angezeigt werden. Sie müssen beide Werte manuell kopieren und sicher speichern.

  5. Wählen Sie "Speichern" aus, um die Konfiguration zu überprüfen.

  6. Wählen Sie "Erstellen" aus, um den Bucket bereitzustellen.

Nachdem Sie einen Bucket erstellt haben, müssen Sie Anmeldeinformationen generieren, um auf den Bucket zuzugreifen.

Anmeldeinformationen generieren

Das Verhalten der Anmeldeinformationsgenerierung hängt von der ausgewählten Speicheroption für Anmeldeinformationen ab.

  1. Navigieren Sie zum neu erstellten Bucket.

  2. Wählen Sie " Anmeldeinformationen generieren" aus.

  3. Geben Sie die gewünschte Lebensdauer des Zugriffsschlüssels in Tagen ein, und wählen Sie dann " Anmeldeinformationen generieren" aus.

    Azure Key Vault-basierte Anmeldeinformationen

    • Die Anmeldeinformationen werden generiert und sicher in Azure Key Vault gespeichert.
    • Die Anmeldeinformationen und werden nicht im Azure Portal angezeigt.
    • Sie sollten die Anmeldeinformationen direkt aus der konfigurierten Key Vault abrufen.

    Führen Sie nach dem Generieren der Anmeldeinformationen Folgendes aus:

    1. Stellen Sie sicher, dass der geheime Schlüssel in der angegebenen Key Vault erstellt wird.

    2. Überprüfen Sie den geheimen Schlüssel:

      1. Navigieren Sie zu Ihrem Schlüsseltresor im Azure-Portal.
      2. Wählen Sie dann "Objekte " und dann "Geheime Schlüssel" aus.
      3. Vergewissern Sie sich, dass <secret_name> erstellt wurde.

    Zugriffsschlüsselbasierte Anmeldeinformationen

    Bei Verwendung des direkten Zertifikatuploads:

    • Der Zugriffsschlüssel und der geheime Zugriffsschlüssel werden einmalig im Azure-Portal angezeigt.
    • Sie sollten beide Werte sicher kopieren und speichern.
    • Die Anmeldeinformationen können nach der anfänglichen Anzeige nicht mehr abgerufen werden.

    Von Bedeutung

    Der Zugriffsschlüssel und der geheime Zugriffsschlüssel werden nur einmal angezeigt. Sie sollten die Schlüssel sicher kopieren und speichern. Wenn sie verloren gehen, müssen Sie neue Anmeldeinformationen generieren.

    Generieren von Anmeldeinformationen

    Nachdem die Anmeldeinformationen festgelegt wurden, können Sie neue Anmeldeinformationen generieren, indem Sie die drei Punkte () im Bucket auswählen und "Anmeldeinformationen generieren" auswählen.

    Von Bedeutung

    Durch das Generieren neuer Anmeldeinformationen werden vorhandene Anmeldeinformationen sofort ungültig.

Bucketzugriff aktualisieren

Sie können die Zugriffsverwaltungseinstellungen eines Buckets ändern.

  • Benutzer-ID/Benutzername
  • Gruppen-ID
  • Erlaubnisse
  1. Wählen Sie in Ihrem NetApp-Volume Buckets aus.
  2. Wählen Sie +Bucket erstellen oder aktualisieren.
  3. Geben Sie den Namen des Buckets ein, den Sie ändern möchten.
  4. Ändern Sie die Zugriffsverwaltungseinstellungen nach Bedarf.
  5. Klicken Sie auf "Speichern ", um den vorhandenen Bucket zu ändern.

Hinweis

Sie können den Pfad eines Buckets nicht ändern. Um den Pfad eines Buckets zu aktualisieren, löschen Sie den Bucket, und erstellen Sie den Bucket mit dem neuen Pfad erneut.

Einen Bucket löschen

Das dauerhafte Löschen eines Buckets entfernt den Bucket sowie alle zugehörigen Konfigurationen. Sie können den Bucket nach dem Löschen nicht wiederherstellen.

  1. Navigieren Sie in Ihrem NetApp-Konto zu Buckets.
  2. Wählen Sie die drei Punkte () neben dem Bucket aus, den Sie löschen möchten.
  3. Klicken Sie auf Löschen.
  4. Wählen Sie im Fenster "Bucket löschen" die Option "Löschen" aus, um zu bestätigen, dass Sie den Bucket löschen möchten.

Nächste Schritte

  • Last updated on