Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Stellen Sie über einen Lambda-Link eine Verbindung zu einem FSX für ONTAP-Dateisystem her

Beitragende netapp-rlithman netapp-mwallis
PDFs

Um erweiterte ONTAP Verwaltungsvorgänge durchzuführen, richten Sie eine Verbindung zwischen Ihrem Workload Factory-Konto und einem oder mehreren FSx for ONTAP -Dateisystemen ein. Dabei werden neue und bestehende Lambda-Links verknüpft und die Links authentifiziert. Mithilfe der Link-Zuordnung können Sie bestimmte Funktionen direkt vom FSx for ONTAP -Dateisystem aus überwachen und verwalten, die über die Amazon FSx for ONTAP -API nicht verfügbar sind.

"Weitere Informationen zu Links".

Über diese Aufgabe

Links nutzen AWS Lambda, um Code als Reaktion auf Ereignisse auszuführen und die nach diesem Code erforderlichen Computing-Ressourcen automatisch zu managen. Die von Ihnen erstellten Links sind Teil Ihres NetApp Kontos und mit einem AWS Konto verknüpft.

Sie können in Ihrem Konto einen Link erstellen, wenn Sie ein FSx für ONTAP Dateisystem definieren. Der Link wird für dieses Dateisystem verwendet und kann für andere FSx for ONTAP Dateisysteme verwendet werden. Sie können auch später einen Link für ein Dateisystem zuordnen.

Für Links ist eine Authentifizierung erforderlich. Sie können Links mithilfe von Anmeldeinformationen authentifizieren, die im Anmeldeinformationsdienst der Workload Factory gespeichert sind, oder mit Ihren Anmeldeinformationen, die im AWS Secrets Manager gespeichert sind. Pro Link wird nur eine Authentifizierungsmethode unterstützt. Wenn Sie beispielsweise die Link-Authentifizierung mit AWS Secrets Manager auswählen, können Sie die Authentifizierungsmethode später nicht mehr ändern.

Hinweis AWS Secrets Manager wird bei der Verwendung eines Connectors nicht unterstützt.

Die Verknüpfung eines neuen Links umfasst die Erstellung und Verknüpfung.

Sie haben in diesem Workflow zwei Möglichkeiten, Links zu erstellen – automatisch oder manuell. Sie müssen einen AWS CloudFormation-Stack in Ihrem AWS-Konto starten, um den Link zu erstellen.

  • Automatisch: Erstellt einen Link mit automatischer Registrierung über die Workload Factory. Dies erfordert Token für die Workload-Fabrikautomatisierung und der CloudFormation-Code ist kurzlebig und bis zu sechs Stunden nutzbar.

  • Manuell: Erstellt einen Link mit manueller Registrierung mithilfe von CloudFormation oder Terraform aus der Codebox. Der Code bleibt bestehen und gibt Ihnen mehr Zeit, den Vorgang abzuschließen. Dies ist nützlich, wenn Sie mit verschiedenen Teams wie Security und DevOps arbeiten, die möglicherweise zuerst die erforderlichen Berechtigungen erteilen müssen, um die Linkerstellung abzuschließen.

Bevor Sie beginnen

  • Sie sollten überlegen, welche Link-Erstelloption Sie verwenden.

  • Sie benötigen mindestens ein FSX für ONTAP-Dateisystem in der Workload-Fabrik. Um FSx for ONTAP-Dateisysteme zu erkennen oder zu erstellen, benötigen Sie ein AWS-Konto mit Berechtigungen für FSx for ONTAP-Instanzen und "Fügen Sie Anmeldeinformationen in der Workload Factory hinzu" mit Nur-Lese- oder Lese-/Schreib-Berechtigungen für die Speicherverwaltung.

  • Die folgenden Ports müssen in der mit dem FSx for ONTAP-Dateisystem verknüpften Sicherheitsgruppe für die Link-Konnektivität geöffnet sein.

    • Für die Workload Factory-Konsole: Port 443 (HTTPS)

    • Für CloudShell: Port 22 (SSH)

  • Sie müssen über die folgenden Berechtigungen in Ihrem AWS-Konto verfügen, wenn Sie einen Link mit einem CloudFormation-Stack hinzufügen:

    Details 
    "cloudformation:GetTemplateSummary",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ListStackResources",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:DeleteRolePolicy",
"iam:CreateRole",
"iam:DetachRolePolicy",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"codestar-connections:GetSyncConfiguration",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
Automatisch erstellen

Erstellen und registrieren Sie den Link mit CloudFormation automatisch innerhalb der Workload Factory.

Schritte

  1. Melden Sie sich mit einem der "Konsolenerfahrungen"an.

  2. Wählen Sie unter Speicher die Option Gehe zu Lagerbestandsbestand aus.

  3. Wählen Sie auf der Registerkarte FSX for ONTAP das drei-Punkt-Menü des Dateisystems aus, um einen Link zu verknüpfen, und wählen Sie dann Link zuordnen.

  4. Wählen Sie im Dialogfeld „Verknüpfung zuordnen“ die Option Neuen Link erstellen und wählen Sie Weiter.

  5. Geben Sie auf der Seite „Link erstellen“ Folgendes an:

    1. Linkname: Geben Sie den Namen ein, den Sie für diesen Link verwenden möchten. Der Name muss innerhalb Ihres Kontos eindeutig sein.

    2. AWS Secrets Manager: Optional. Ermöglicht es der Workload Factory, FSX for ONTAP Zugangsdaten von Ihrem AWS Secrets Manager abzurufen.

      Der Link-Bereitstellungsstapel fügt der Lambda-Berechtigungsrichtlinie automatisch den folgenden standardmäßigen ARN-Regex des geheimen Managers hinzu: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      Sie können entweder Geheimnisse im Einklang mit den Standardberechtigungen erstellen oder Ihre benutzerdefinierten Berechtigungen für die Link-Richtlinie zuweisen.

    Konfigurieren des privaten VPC-Endpunkts zu AWS Secrets Manager ist standardmäßig deaktiviert. Bei Auswahl dieser Option wird das Secret über den privaten VPC-Endpunkt gespeichert, anstatt es lokal zu speichern.

    1. Linkberechtigungen: Wählen Sie eine der folgenden Optionen für Linkberechtigungen:

      • Automatisch: Wählen Sie diese Option, damit der AWS CloudFormation-Code automatisch die Lambda-Berechtigungsrichtlinie und Ausführungsrolle erstellt.

      • Vom Benutzer bereitgestellt: Wählen Sie diese Option, um dem Lambda-Link eine bestimmte Lambda-Ausführungsrolle und die zugehörigen Richtlinien zuzuweisen. Für die Lambda-Berechtigungsrichtlinie sind die folgenden Berechtigungen erforderlich. Die secretsmanager:GetSecretValue Die Berechtigung ist nur erforderlich, wenn Sie AWS Secrets Manager aktiviert haben.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses",
"secretsmanager:GetSecretValue"

        Geben Sie die ARN der Lambda-Ausführungsrolle in das Textfeld ein.

    2. Tags: Fügen Sie optional alle Tags hinzu, die Sie mit diesem Link verknüpfen möchten, damit Sie Ihre Ressourcen einfacher kategorisieren können. Sie könnten beispielsweise ein Tag hinzufügen, das diesen Link als von FSX für ONTAP-Dateisystemen verwendet identifiziert.

      Workload Factory ruft automatisch das AWS-Konto, den Standort und die Sicherheitsgruppe basierend auf dem FSx for ONTAP -Dateisystem ab.

  6. Wählen Sie Erstellen.

    Das Dialogfeld „Zu CloudFormation umleiten“ wird angezeigt und erläutert, wie der Link vom AWS CloudFormation-Dienst erstellt wird.

  7. Wählen Sie Weiter, um die AWS-Verwaltungskonsole zu öffnen, und melden Sie sich dann beim AWS-Konto für dieses FSX for ONTAP-Dateisystem an.

  8. Wählen Sie auf der Seite „schneller Stapel erstellen“ unter „Funktionen“ Ich bestätige, dass AWS CloudFormation IAM-Ressourcen erstellen könnte.

    Beachten Sie, dass Lambda drei Berechtigungen erteilt werden, wenn Sie die CloudFormation-Vorlage starten. Workload Factory verwendet diese Berechtigungen bei der Verwendung von Links.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

  9. Wählen Sie Stapel erstellen und dann Weiter.

    Sie können den Status der Linkerstellung auf der Seite „Ereignisse“ überwachen. Dies sollte nicht länger als 5 Minuten dauern.

  10. Kehren Sie zur Workload-Werkseinstellungen zurück, und Sie sehen, dass der Link mit dem FSX für ONTAP-Dateisystem verknüpft ist.

Manuell erstellen

Sie können eine Verknüpfung mit zwei Infrastructure-as-Code (IaC)-Tools aus der Codebox erstellen: CloudFormation oder Terraform. Mit dieser Option extrahieren Sie die ARN für den Link aus AWS CloudFormation und melden sie hier. Workload Factory registriert den Link manuell für Sie.

Schritte

  1. Melden Sie sich mit einem der "Konsolenerfahrungen"an.

  2. Wählen Sie unter Speicher die Option Gehe zu Lagerbestandsbestand aus.

  3. Wählen Sie auf der Registerkarte FSX for ONTAP das drei-Punkt-Menü des Dateisystems aus, um einen Link zu verknüpfen, und wählen Sie dann Link zuordnen.

  4. Wählen Sie im Dialogfeld „Verknüpfung zuordnen“ die Option Neuen Link erstellen und wählen Sie Weiter.

  5. Wählen Sie auf der Seite „Link erstellen“ CloudFormation oder Terraform aus der Codebox aus und geben Sie dann Folgendes ein:

    1. Linkname: Geben Sie den Namen ein, den Sie für diesen Link verwenden möchten. Der Name muss innerhalb Ihres Kontos eindeutig sein.

    2. AWS Secrets Manager: Optional. Ermöglicht es der Workload Factory, FSX for ONTAP Zugangsdaten von Ihrem AWS Secrets Manager abzurufen.

      Der Link-Bereitstellungsstapel fügt der Lambda-Berechtigungsrichtlinie automatisch den folgenden standardmäßigen ARN-Regex des geheimen Managers hinzu: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      Sie können entweder Geheimnisse im Einklang mit den Standardberechtigungen erstellen oder Ihre benutzerdefinierten Berechtigungen für die Link-Richtlinie zuweisen.

      Konfigurieren des privaten VPC-Endpunkts zu AWS Secrets Manager ist standardmäßig deaktiviert. Bei Auswahl dieser Option wird das Secret über den privaten VPC-Endpunkt gespeichert, anstatt es lokal zu speichern.

    3. Linkberechtigungen: Wählen Sie eine der folgenden Optionen für Linkberechtigungen:

      • Automatisch: Wählen Sie diese Option, damit der AWS CloudFormation-Code automatisch die Lambda-Berechtigungsrichtlinie und Ausführungsrolle erstellt.

      • Vom Benutzer bereitgestellt: Wählen Sie diese Option, um dem Lambda-Link eine bestimmte Lambda-Ausführungsrolle und die zugehörigen Richtlinien zuzuweisen. Für die Lambda-Berechtigungsrichtlinie sind die folgenden Berechtigungen erforderlich. Die secretsmanager:GetSecretValue Die Berechtigung ist nur erforderlich, wenn Sie AWS Secrets Manager aktiviert haben.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses"
"secretsmanager:GetSecretValue"

        Geben Sie die ARN der Lambda-Ausführungsrolle in das Textfeld ein.

    4. Tags: Fügen Sie optional alle Tags hinzu, die Sie mit diesem Link verknüpfen möchten, damit Sie Ihre Ressourcen einfacher kategorisieren können. Sie könnten beispielsweise ein Tag hinzufügen, das diesen Link als von FSX für ONTAP-Dateisystemen verwendet identifiziert.

    5. Linkregistrierung: Wählen Sie CloudFormation oder Terraform für die Anweisungen zur Registrierung des Links aus und folgen Sie den Anweisungen.

      Beachten Sie, dass Lambda drei Berechtigungen erteilt werden, wenn Sie die CloudFormation-Vorlage starten. Workload Factory verwendet diese Berechtigungen bei der Verwendung von Links.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

    + Nachdem Sie den Stapel erfolgreich erstellt haben, fügen Sie die Lambda-ARN in das Textfeld ein.

    1. Workload Factory ruft automatisch das AWS-Konto, den Standort und die Sicherheitsgruppe basierend auf dem FSx for ONTAP -Dateisystem ab.

  6. Wählen Sie Erstellen.

    Sie können den Status der Linkerstellung auf der Seite „Ereignisse“ überwachen. Dies sollte nicht länger als 5 Minuten dauern.

  7. Kehren Sie zur Workload-Werkseinstellungen zurück, und Sie sehen, dass der Link mit dem FSX für ONTAP-Dateisystem verknüpft ist.

Ergebnis

Workload Factory verknüpft den Link mit dem FSx for ONTAP Dateisystem. Sie können erweiterte ONTAP -Operationen durchführen.

Nachdem Sie einen Link erstellt haben, verknüpfen Sie ihn mit einem oder mehreren FSX for ONTAP-Dateisystemen.

Schritte

  1. Melden Sie sich mit einem der "Konsolenerfahrungen"an.

  2. Wählen Sie unter Speicher die Option Gehe zu Lagerbestandsbestand aus.

  3. Wählen Sie auf der Registerkarte FSX for ONTAP das drei-Punkt-Menü des Dateisystems aus, um einen Link zu verknüpfen, und wählen Sie dann Link zuordnen.

  4. Wählen Sie auf der Link-Seite „Mitarbeiter“ die Option vorhandenen Link verknüpfen, wählen Sie den Link aus und wählen Sie Weiter.

  5. Wählen Sie den Authentifizierungsmodus aus.

    • Workload Factory: Geben Sie das Passwort zweimal ein.

    • AWS Secrets Manager: Geben Sie den geheimen ARN ein.

      Stellen Sie sicher, dass die geheime ARN die folgenden gültigen Schlüsselpaare enthält, wobei die filesystemID optional ist.

      • Dateisystem-ID = FSx_Dateisystem-ID (optional)

      • Benutzer = FSx_Benutzer

      • Passwort = user_password

        Hinweis Für die Authentifizierung mit AWS Secrets Manager ist ein Benutzer erforderlich, entweder der von Ihnen angegebene FSx_user oder ein anderer Benutzer, der auf dem FSx for ONTAP Dateisystem erstellt wurde. Der Standardbenutzer ist fsxadmin wenn Sie keinen Benutzer angeben.

  6. Wählen Sie Anwenden.

Ergebnis

Der Link ist mit dem Dateisystem FSX für ONTAP verknüpft. Sie können erweiterte ONTAP-Vorgänge ausführen.

Problem

Der Link verfügt nicht über die erforderlichen Berechtigungen zum Abrufen des Geheimnisses.

Auflösung: Berechtigungen hinzufügen, nachdem der Link aktiv ist. Melden Sie sich bei der AWS-Konsole an, suchen Sie den Lambda-Link und bearbeiten Sie die angehängte Berechtigungsrichtlinie.

Problem

Das Geheimnis wurde nicht gefunden.

Auflösung: Geben Sie das korrekte Geheimnis ARN.

Problem

Das Geheimnis liegt nicht im richtigen Format vor.

Auflösung: Gehen Sie zu AWS Secrets Manager und bearbeiten Sie das Format.

Das Secret sollte die folgenden Schlüssel-gültigen Paare enthalten:

  • FilesystemID = FSX_Filesystem_id

  • Benutzername = FSx_user

  • Passwort = user_password

Problem

Der Schlüssel enthält keine gültigen ONTAP-Anmeldeinformationen für die Dateisystemauthentifizierung.

  • Auflösung*: Geben Sie Anmeldeinformationen an, die FSX für ONTAP-Dateisysteme im AWS Secrets Manager authentifizieren können.