Configurare l'API REST dell'oggetto per Azure NetApp Files (anteprima)

Azure NetApp Files supporta l'accesso agli oggetti con la funzionalità REST object. Con l'API REST dell'oggetto è possibile connettersi a servizi quali Azure AI Search, Microsoft Fabric, Microsoft Foundry, Azure Databricks, OneLake e altri client compatibili con S3.

Questo articolo descrive come configurare l'accesso all'API REST degli oggetti e illustra i due flussi di lavoro dei certificati supportati. Scegliere il flusso di lavoro più adatto ai requisiti di sicurezza e operativi.

Registrare la funzionalità

La funzionalità API REST dell'oggetto in Azure NetApp Files è attualmente in anteprima. Per usare questa funzionalità, è necessario inviare una richiesta di elenco di attesa . L'attivazione richiede circa una settimana e si riceve una notifica tramite posta elettronica al termine della registrazione.

Creare il certificato autofirmato

Azure NetApp Files supporta due opzioni di certificato per l'accesso all'API REST dell'oggetto:

1. Certificati basati su Azure Key Vault (scelta consigliata): i certificati vengono creati e archiviati in Azure Key Vault e il certificato viene recuperato direttamente da Azure Key Vault durante la creazione del bucket.

2. Caricamento diretto del certificato: i certificati PEM vengono generati e caricati manualmente durante la creazione del bucket.

È necessario selezionare una delle opzioni seguenti:

Opzione 1 (scelta consigliata): certificato basato su Azure Key Vault

Usare questa opzione se si vuole Azure NetApp Files leggere il certificato direttamente da Azure Key Vault durante la creazione del bucket.

Vedere la documentazione Azure Key Vault per aggiungere un certificato a Key Vault.

Quando si crea il certificato in Azure Key Vault, assicurarsi di:

• Tipo di contenuto: PKCS#12
• Subject: indirizzo IP o nome di dominio completo (FQDN) dell'endpoint Azure NetApp Files usando il formato "CN=<IP or FQDN>"
• Nomi DNS: indirizzo IP o FQDN

Dopo aver creato il certificato, fare clic sul certificato dall'elenco ed esaminare le proprietà.

• Nel campo Identificatore certificato, annotare l'URI dell'insieme di credenziali "https://<vault_name>.azure.net"
• Prendere nota del nome del certificato

Autorizzazioni di Azure Key Vault necessarie

Per evitare errori di creazione di bucket, assicurarsi che il servizio Azure NetApp Files disponga dell'autorizzazione per leggere il certificato da Azure Key Vault.

Come minimo, è necessario concedere le autorizzazioni seguenti:

• Certificati: Ottieni, Elenca, Aggiorna, Crea, Importa, Gestisci le Autorità di Certificazione, Ottieni le Autorità di Certificazione, Elenca le Autorità di Certificazione, Imposta le Autorità di Certificazione, Elimina le Autorità di Certificazione
• Segreti: Ottieni, Elenca, Imposta, Elimina

Opzione 2: Caricamento diretto del certificato

Usare questa opzione se si prevede di generare il certificato e caricarlo manualmente durante la creazione del bucket.

Quando si crea il certificato, assicurarsi di:

• Tipo di contenuto: PEM
• Subject: indirizzo IP o nome di dominio completo (FQDN) dell'endpoint Azure NetApp Files usando il formato "CN=<IP or FQDN>"
• Nomi DNS: indirizzo IP o FQDN

Generare il certificato

Usare lo script fornito per generare un certificato PEM autofirmato. Lo script crea sia il certificato che i file di chiave privata necessari per il caricamento. Impostare il nome CN= del computer sull'indirizzo IP o sul nome di dominio completo (FQDN) dell'endpoint abilitato per l'API REST dell'oggetto. Questo script crea una cartella che include il file PEM e le chiavi private necessarie.

Creare ed eseguire lo script seguente:

#!/bin/sh
# Define certificate details 
CERT_DAYS=365 
RSA_STR_LEN=2048 
CERT_DIR="./certs" 
KEY_DIR="./certs/private" 
CN="mylocalsite.local" 

# Create directories if they don't exist 
mkdir -p $CERT_DIR 
mkdir -p $KEY_DIR 

# Generate private key 
openssl genrsa -out $KEY_DIR/server-key.pem $RSA_STR_LEN 

# Generate Certificate Signing Request (CSR) 
openssl req -new -key $KEY_DIR/server-key.pem -out $CERT_DIR/server-req.pem -subj "/C=US/ST=State/L=City/O=Organization/OU=Unit/CN=$CN" 

# Generate self-signed certificate 
openssl x509 -req -days $CERT_DAYS -in $CERT_DIR/server-req.pem -signkey $KEY_DIR/server-key.pem -out $CERT_DIR/server-cert.pem 

echo "Self-signed certificate created at $CERT_DIR/server-cert.pem"

Dopo aver creato il certificato, sarà necessario creare un bucket.

Creare un bucket

Per abilitare l'API REST dell'oggetto, è necessario creare un bucket in un volume Azure NetApp Files.

1. Nel volume NetApp selezionare Bucket.

2. Selezionare +Creare o aggiornare bucket.

3. In Creare o aggiornare bucket specificare le informazioni seguenti per il bucket:

   Configurazione del bucket

   • Nome

     Specificare il nome del bucket. Per le convenzioni di denominazione, vedere Regole di denominazione e restrizioni per le risorse Azure.

   • Percorso

     Il percorso della sottodirectory per l'API REST dell'oggetto. Per l'accesso al volume completo, lasciare vuoto questo campo o usare / per la directory principale.

   Accesso al protocollo

   • Volume NFS

     • ID utente (UID)

       UID usato per accedere al bucket.

     • GID (ID gruppo)

       GID usato per accedere al bucket.

   • Volume SMB

     • Nome utente

       L'ID utilizzato per leggere il bucket.

   • Autorizzazioni

     Selezionare Sola lettura o Lettura e scrittura.

   

4. Seleziona Salva.

   Sono necessari dettagli aggiuntivi per creare il primo bucket in un set di volumi che condividono lo stesso indirizzo IP.

   Gestione dei certificati

   • Nome di dominio completo

     Immettere il nome di dominio completo dell'endpoint usato dai client per accedere ai bucket.

   Fonte certificato

   • Azure Key Vault

     • URI di Vault

       Selezionare il nome dall'elenco a discesa.

     • Nome segreto

       Immettere il nome del certificato.

   • Caricare il certificato

     Selezionare l'opzione certificato per caricare direttamente un file di certificato.

     Se non è stato specificato un certificato, caricare il file PEM.

     • Origine certificato.

       Caricare il certificato appropriato. Sono supportati solo i file PEM.

   Archiviazione delle credenziali

   • Azure Key Vault

     • URI di Vault

       Selezionare il nome dall'elenco a discesa.

     • Nome segreto

       Immettere il nome del segreto. Il nome del segreto è definito dall'utente e può essere qualsiasi valore che soddisfi le linee guida per la denominazione.

   • Chiave di accesso

     Quando si seleziona questa opzione, le chiavi di accesso vengono generate dopo la creazione del bucket e vengono visualizzate una volta nel portale di Azure. È necessario copiare manualmente entrambi questi valori e archiviarli in modo sicuro.

5. Selezionare Salva per convalidare la configurazione.

6. Selezionare Crea per effettuare il provisioning del bucket.

Dopo aver creato un bucket, è necessario generare le credenziali per accedere al bucket.

Generare credenziali

Il comportamento di generazione delle credenziali dipende dall'opzione di archiviazione delle credenziali selezionata.

1. Passare al bucket appena creato.

2. Selezionare Genera credenziali.

3. Immettere la durata della chiave di accesso desiderata in giorni e quindi selezionare Genera credenziali.

   credenziali basate su Azure Key Vault

   • Le credenziali vengono generate e archiviate in modo sicuro in Azure Key Vault.
   • Le credenziali e i dati non vengono visualizzati nel portale di Azure.
   • È necessario recuperare le credenziali direttamente dal Key Vault configurato.

   Dopo aver generato le credenziali, eseguire le operazioni seguenti:

   1. Assicurarsi che il segreto venga creato nel Key Vault specificato.

   2. Verificare il segreto:

      1. Accedere al Key Vault nel portale di Azure.
      2. Selezionare Oggetti e quindi segreti.
      3. Verificare che <secret_name> sia stato creato.

   Accedere alle credenziali basate su chiavi

   Quando si usa il caricamento diretto del certificato:

   • La chiave di accesso e la chiave di accesso privata vengono visualizzate una volta nel portale di Azure.
   • È necessario copiare e archiviare entrambi i valori in modo sicuro.
   • Le credenziali non possono essere recuperate di nuovo dopo la visualizzazione iniziale.

   Importante

   La chiave di accesso e la chiave di accesso privata vengono visualizzate una sola volta. È necessario copiare e archiviare le chiavi in modo sicuro. In caso di perdita, è necessario generare nuove credenziali.

   Rigenerazione delle credenziali

   Dopo aver impostato le credenziali, è possibile generare nuove credenziali selezionando i tre puntini (…) nel bucket e selezionando Genera credenziali.

   Importante

   La generazione di nuove credenziali invalida immediatamente le credenziali esistenti.

Aggiornare l'accesso al bucket

È possibile modificare le impostazioni di gestione degli accessi di un bucket.

• ID utente/nome utente
• ID del Gruppo
• Autorizzazioni

1. Nel volume NetApp selezionare Bucket.
2. Selezionare +Creare o aggiornare bucket.
3. Immettere il nome del bucket da modificare.
4. Modificare le impostazioni di gestione degli accessi in base alle esigenze.
5. Fare clic su Salva per modificare il bucket esistente.

Eliminare un bucket

L'eliminazione di un bucket rimuove definitivamente e tutte le configurazioni associate. Non è possibile ripristinare il bucket dopo che è stato eliminato.

1. Nell'account NetApp, passare ai Bucket.
2. Selezionare i tre puntini (…) accanto al bucket da eliminare.
3. Seleziona Elimina.
4. Nella finestra Elimina bucket selezionare Elimina per confermare l'eliminazione del bucket.

Passaggi successivi

• Informazioni sull'API REST dell'oggetto
• Connettersi ad Azure Databricks
• Connettersi a un browser S3
• Connettersi a OneLake