Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Conéctese a un sistema de archivos FSx para ONTAP con un enlace Lambda

Colaboradores netapp-rlithman netapp-mwallis
PDF

Para realizar operaciones de administración avanzadas de ONTAP , configure una conexión entre su cuenta de fábrica de carga de trabajo y uno o más sistemas de archivos FSx para ONTAP . Esto implica asociar enlaces Lambda nuevos y existentes y autenticar los enlaces. La asociación de enlaces le permite supervisar y administrar ciertas funciones directamente desde el sistema de archivos FSx para ONTAP que no están disponibles a través de la API de Amazon FSx para ONTAP .

"Obtenga más información sobre los enlaces".

Acerca de esta tarea

Los enlaces aprovechan AWS Lambda para ejecutar código en respuesta a eventos y administrar automáticamente los recursos informáticos requeridos por ese código. Los enlaces que cree forman parte de su cuenta de NetApp y están asociados a una cuenta de AWS.

Puede crear un enlace en su cuenta al definir un sistema de archivos FSx para ONTAP . El enlace se utiliza para ese sistema de archivos y se puede utilizar para otros sistemas de archivos FSx para ONTAP . También puedes asociar un enlace a un sistema de archivos más adelante.

Los enlaces requieren autenticación. Puede autenticar enlaces utilizando credenciales almacenadas en el servicio de credenciales de la fábrica de carga de trabajo o con sus credenciales almacenadas en AWS Secrets Manager. Solo se admite un método de autenticación por enlace. Por ejemplo, si selecciona la autenticación de enlace con AWS Secrets Manager, no podrá cambiar el método de autenticación más adelante.

Nota AWS Secrets Manager no es compatible cuando se utiliza un conector.

Asocie un nuevo enlace

La asociación de un nuevo enlace incluye la creación y asociación de enlaces.

Tiene dos opciones para crear enlaces en este flujo de trabajo: automáticamente o manualmente. Tendrás que iniciar una pila de AWS CloudFormation en tu cuenta de AWS para crear el vínculo.

  • Automáticamente: crea un vínculo con registro automático a través de la fábrica de carga de trabajo. Esto requiere tokens para la automatización de la fábrica de carga de trabajo y el código de CloudFormation es de corta duración y se puede utilizar durante hasta seis horas.

  • Manualmente: crea un enlace con registro manual utilizando CloudFormation o Terraform desde Codebox. El código persiste dándote más tiempo para completar la operación. Esto es útil cuando se trabaja con diferentes equipos, como Seguridad y DevOps, que primero podrían necesitar otorgar los permisos necesarios para completar la creación del enlace.

Antes de empezar

  • Deberías considerar qué opción de creación de enlaces usarás.

  • Debe tener al menos un sistema de archivos FSx for ONTAP en la fábrica de cargas de trabajo. Para descubrir o crear sistemas de archivos FSx para ONTAP, debe tener una cuenta de AWS con permisos para instancias FSx para ONTAP y "agregar credenciales en fábrica de carga de trabajo" con permisos de solo lectura o de lectura/escritura para la gestión del almacenamiento.

  • Los siguientes puertos deben estar abiertos en el grupo de seguridad asociado con el sistema de archivos FSx para ONTAP para la conectividad del enlace.

    • Para la consola de fábrica de carga de trabajo: puerto 443 (HTTPS)

    • Para CloudShell: puerto 22 (SSH)

  • Debe tener los siguientes permisos en su cuenta de AWS al agregar un enlace usando una pila de CloudFormation:

    Details 
    "cloudformation:GetTemplateSummary",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ListStackResources",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:DeleteRolePolicy",
"iam:CreateRole",
"iam:DetachRolePolicy",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"codestar-connections:GetSyncConfiguration",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
Crear automáticamente

Utilice CloudFormation para crear y registrar automáticamente el enlace dentro de la fábrica de cargas de trabajo.

Pasos

  1. Inicie sesión con uno de los "experiencias de consola"botones .

  2. En Almacenamiento, seleccione Ir al inventario de almacenamiento.

  3. En la pestaña FSX for ONTAP, seleccione el menú de tres puntos del sistema de archivos para asociar un enlace y luego seleccione Enlace asociado.

  4. En el cuadro de diálogo de enlace Asociado, seleccione Crear un nuevo enlace y seleccione Continuar.

  5. En la página Crear Enlace, proporcione lo siguiente:

    1. Nombre del enlace: Introduzca el nombre que desea utilizar para este enlace. El nombre debe ser único dentro de su cuenta.

    2. AWS Secrets Manager: Opcional. Permite que la fábrica de cargas de trabajo recupere las credenciales de acceso de FSx para ONTAP desde AWS Secrets Manager.

      La pila de implementación de enlaces agrega automáticamente la siguiente expresión regular ARN del administrador de secretos predeterminado a la política de permisos de Lambda: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      Puede crear secretos en alineación con los permisos predeterminados o asignar sus permisos personalizados para la política de enlaces.

    Configurar punto final privado de VPC en AWS Secrets Manager está desactivado de forma predeterminada. Al seleccionar esta opción, se almacena el secreto mediante el punto final privado de VPC en lugar de almacenarlo localmente.

    1. Permisos de enlace: seleccione una de las siguientes opciones para los permisos de enlace:

      • Automático: seleccione esta opción para que el código de AWS CloudFormation cree automáticamente la política de permisos de Lambda y la función de ejecución.

      • Proporcionado por el usuario: Seleccione esta opción para asignar un rol de ejecución de Lambda específico y sus políticas asociadas al enlace de Lambda. Se requieren los siguientes permisos para la política de permisos de Lambda . secretsmanager:GetSecretValue Solo se requiere permiso si habilitó AWS Secrets Manager.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses",
"secretsmanager:GetSecretValue"

        Ingrese el ARN del rol de ejecución de Lambda en el cuadro de texto.

    2. Etiquetas: Opcionalmente, agrega cualquier etiqueta que quieras asociar a este enlace para que puedas categorizar más fácilmente tus recursos. Por ejemplo, podría agregar una etiqueta que identifique este enlace como utilizado por FSX para sistemas de archivos ONTAP.

      La fábrica de carga de trabajo recupera automáticamente la cuenta de AWS, la ubicación y el grupo de seguridad en función del sistema de archivos FSx para ONTAP .

  6. Seleccione Crear.

    Aparece el cuadro de diálogo Redirigir a CloudFormation y explica cómo crear el enlace desde el servicio AWS CloudFormation.

  7. Seleccione Continuar para abrir la consola de administración de AWS y, a continuación, inicie sesión en la cuenta de AWS para este sistema de archivos de FSx para ONTAP.

  8. En la página Quick create stack, en Capacidades, seleccione Reconozco que AWS CloudFormation podría crear recursos de IAM.

    Tenga en cuenta que se conceden tres permisos a Lambda al iniciar la plantilla de CloudFormation. La fábrica de cargas de trabajo utiliza estos permisos cuando se utilizan enlaces.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

  9. Seleccione Crear pila y luego seleccione Continuar.

    Puede supervisar el estado de creación del enlace en la página Eventos. Esto no debería tomar más de 5 minutos.

  10. Vuelva a la interfaz de fábrica de la carga de trabajo y verá que el enlace está asociado con el sistema de archivos FSx para ONTAP.

Crear manualmente

Puede crear un enlace utilizando dos herramientas de Infraestructura como código (IaC) de Codebox: CloudFormation o Terraform. Con esta opción, extrae el ARN del enlace de AWS CloudFormation y lo informa aquí. La fábrica de carga de trabajo registra manualmente el enlace para usted.

Pasos

  1. Inicie sesión con uno de los "experiencias de consola"botones .

  2. En Almacenamiento, seleccione Ir al inventario de almacenamiento.

  3. En la pestaña FSX for ONTAP, seleccione el menú de tres puntos del sistema de archivos para asociar un enlace y luego seleccione Enlace asociado.

  4. En el cuadro de diálogo de enlace Asociado, seleccione Crear un nuevo enlace y seleccione Continuar.

  5. En la página Crear enlace, seleccione CloudFormation o Terraform en el cuadro de código y luego proporcione lo siguiente:

    1. Nombre del enlace: Introduzca el nombre que desea utilizar para este enlace. El nombre debe ser único dentro de su cuenta.

    2. AWS Secrets Manager: Opcional. Permite que la fábrica de cargas de trabajo recupere las credenciales de acceso de FSx para ONTAP desde AWS Secrets Manager.

      La pila de implementación de enlaces agrega automáticamente la siguiente expresión regular ARN del administrador de secretos predeterminado a la política de permisos de Lambda: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      Puede crear secretos en alineación con los permisos predeterminados o asignar sus permisos personalizados para la política de enlaces.

      Configurar punto final privado de VPC en AWS Secrets Manager está desactivado de forma predeterminada. Al seleccionar esta opción, se almacena el secreto mediante el punto final privado de VPC en lugar de almacenarlo localmente.

    3. Permisos de enlace: seleccione una de las siguientes opciones para los permisos de enlace:

      • Automático: seleccione esta opción para que el código de AWS CloudFormation cree automáticamente la política de permisos de Lambda y la función de ejecución.

      • Proporcionado por el usuario: Seleccione esta opción para asignar un rol de ejecución de Lambda específico y sus políticas asociadas al enlace de Lambda. Se requieren los siguientes permisos para la política de permisos de Lambda . secretsmanager:GetSecretValue Solo se requiere permiso si habilitó AWS Secrets Manager.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses"
"secretsmanager:GetSecretValue"

        Ingrese el ARN del rol de ejecución de Lambda en el cuadro de texto.

    4. Etiquetas: Opcionalmente, agrega cualquier etiqueta que quieras asociar a este enlace para que puedas categorizar más fácilmente tus recursos. Por ejemplo, podría agregar una etiqueta que identifique este enlace como utilizado por FSX para sistemas de archivos ONTAP.

    5. Registro de enlace: Seleccione CloudFormation o Terraform para obtener las instrucciones sobre cómo registrar el enlace y siga las instrucciones.

      Tenga en cuenta que se conceden tres permisos a Lambda al iniciar la plantilla de CloudFormation. La fábrica de cargas de trabajo utiliza estos permisos cuando se utilizan enlaces.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

    + Después de crear correctamente la pila, pegue el ARN de Lambda en el cuadro de texto.

    1. La fábrica de carga de trabajo recupera automáticamente la cuenta de AWS, la ubicación y el grupo de seguridad en función del sistema de archivos FSx para ONTAP .

  6. Seleccione Crear.

    Puede supervisar el estado de creación del enlace en la página Eventos. Esto no debería tomar más de 5 minutos.

  7. Vuelva a la interfaz de fábrica de la carga de trabajo y verá que el enlace está asociado con el sistema de archivos FSx para ONTAP.

Resultado

La fábrica de carga de trabajo asocia el enlace con el sistema de archivos FSx para ONTAP . Puede realizar operaciones ONTAP avanzadas.

Asocie un enlace existente a un sistema de archivos FSx for ONTAP

Después de crear un enlace, asócielo con uno o más FSX para el sistema de archivos ONTAP.

Pasos

  1. Inicie sesión con uno de los "experiencias de consola"botones .

  2. En Almacenamiento, seleccione Ir al inventario de almacenamiento.

  3. En la pestaña FSX for ONTAP, seleccione el menú de tres puntos del sistema de archivos para asociar un enlace y luego seleccione Enlace asociado.

  4. En la página de enlace Asociado, seleccione Asociar un enlace existente, seleccione el enlace y seleccione Continuar.

  5. Seleccione el modo de autenticación.

    • Workload Factory: Introduzca la contraseña dos veces.

    • AWS Secrets Manager: Introduzca el ARN secreto.

      Asegúrese de que el ARN secreto contenga los siguientes pares de claves válidos, aunque filesystemID es opcional.

      • filesystemID = FSx_filesystem_id (opcional)

      • usuario = FSx_user

      • password = user_password

        Nota La autenticación con AWS Secrets Manager requiere un usuario, ya sea el FSx_user que usted proporciona u otro usuario creado en el sistema de archivos FSx para ONTAP . El usuario predeterminado es fsxadmin Si no proporciona un usuario.

  6. Seleccione aplicar.

Resultado

El enlace está asociado con el sistema de archivos FSx para ONTAP. Es posible ejecutar operaciones de ONTAP avanzadas.

Solución de problemas con la autenticación de enlaces de AWS Secrets Manager

Problema

El enlace carece de permisos para recuperar el secreto.

Resolución: Añade permisos después de que el enlace esté activo. Inicie sesión en la consola de AWS, busque el enlace Lambda y edite la política de permisos adjunta.

Problema

El secreto no se encuentra.

Resolución: Proporcionar el ARN secreto correcto.

Problema

El secreto no está en el formato correcto.

Resolución: Ve a AWS Secrets Manager y edita el formato.

El secreto debe contener los siguientes pares válidos de claves:

  • ID de archivo = FSX_filesystem_id

  • nombre de usuario = FSx_user

  • password = user_password

Problema

El secreto no contiene credenciales de ONTAP válidas para la autenticación del sistema de archivos.

Resolución: Proporciona credenciales que puedan autenticar los sistemas de archivos FSX for ONTAP en AWS Secrets Manager.