Skip to main content
Amazon FSx for NetApp ONTAP
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Connectez-vous à un système de fichiers FSX pour ONTAP via un lien Lambda

Contributeurs netapp-rlithman netapp-mwallis
PDF

Pour effectuer des opérations de gestion ONTAP avancées, configurez une connexion entre votre compte d'usine de charge de travail et un ou plusieurs systèmes de fichiers FSx pour ONTAP . Cela implique d’associer des liens Lambda nouveaux et existants et d’authentifier les liens. L'association de liens vous permet de surveiller et de gérer certaines fonctionnalités directement à partir du système de fichiers FSx for ONTAP qui ne sont pas disponibles via l'API Amazon FSx for ONTAP .

"En savoir plus sur les liens".

Description de la tâche

La Lambda d'AWS est utilisé pour exécuter le code en réponse aux événements et gérer automatiquement les ressources de calcul requises par ce code. Les liens que vous créez font partie de votre compte NetApp et sont associés à un compte AWS.

Vous pouvez créer un lien dans votre compte lors de la définition d'un système de fichiers FSx pour ONTAP . Le lien est utilisé pour ce système de fichiers et peut être utilisé pour d'autres systèmes de fichiers FSx pour ONTAP . Vous pouvez également associer un lien pour un système de fichiers ultérieurement.

Les liens nécessitent une authentification. Vous pouvez authentifier les liens à l'aide des informations d'identification stockées dans le service d'informations d'identification de la fabrique de charges de travail ou avec vos informations d'identification stockées dans AWS Secrets Manager. Une seule méthode d’authentification est prise en charge par lien. Par exemple, si vous sélectionnez l’authentification par lien avec AWS Secrets Manager, vous ne pourrez pas modifier la méthode d’authentification ultérieurement.

Remarque AWS secrets Manager n'est pas pris en charge lors de l'utilisation d'un connecteur.

Associer un nouveau lien

L'association d'un nouveau lien inclut la création et l'association de liens.

Vous disposez de deux options pour créer des liens dans ce flux de travail : automatiquement ou manuellement. Pour créer le lien, vous devez lancer une pile AWS CloudFormation dans votre compte AWS.

  • Automatiquement : crée un lien avec l'enregistrement automatique via l'usine de charge de travail. Cela nécessite des jetons pour l'automatisation de l'usine de charge de travail et le code CloudFormation est de courte durée et utilisable jusqu'à six heures.

  • Manuellement : crée un lien avec une inscription manuelle à l'aide de CloudFormation ou de Terraform à partir de Codebox. Le code persiste, vous donnant plus de temps pour terminer l'opération. Cela est utile lorsque vous travaillez avec différentes équipes telles que la sécurité et DevOps qui peuvent d'abord avoir besoin d'accorder les autorisations nécessaires pour terminer la création du lien.

Avant de commencer

  • Vous devez considérer l'option de création de lien que vous utiliserez.

  • En usine de workloads, vous devez disposer d'au moins un système de fichiers FSX pour ONTAP. Pour découvrir ou créer des systèmes de fichiers FSx pour ONTAP, vous devez disposer d'un compte AWS avec des autorisations pour les instances FSx pour ONTAP et "ajoutez des informations d'identification à l'usine des charges de travail" avec des autorisations de lecture seule ou de lecture/écriture pour la gestion du stockage.

  • Les ports suivants doivent être ouverts dans le groupe de sécurité associé au système de fichiers FSx for ONTAP pour la connectivité de liaison.

    • Pour la console de l'usine de charge de travail : port 443 (HTTPS)

    • Pour CloudShell : port 22 (SSH)

  • Lorsque vous ajoutez un lien à l'aide d'une pile CloudFormation, vous devez disposer des autorisations suivantes dans votre compte AWS :

    Details 
    "cloudformation:GetTemplateSummary",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ListStackResources",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:DeleteRolePolicy",
"iam:CreateRole",
"iam:DetachRolePolicy",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"codestar-connections:GetSyncConfiguration",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
Créer automatiquement

Utilisez CloudFormation pour créer et enregistrer automatiquement le lien dans l'usine de la charge de travail.

Étapes

  1. Connectez-vous à l'aide de l'un des "expériences de la console".

  2. Dans stockage, sélectionnez accéder à l'inventaire de stockage.

  3. Dans l'onglet FSX pour ONTAP, sélectionnez le menu à trois points du système de fichiers auquel associer un lien, puis sélectionnez associer lien.

  4. Dans la boîte de dialogue associer un lien, sélectionnez Créer un nouveau lien et sélectionnez Continuer.

  5. Sur la page Créer un lien, indiquez les informations suivantes :

    1. Nom du lien : saisissez le nom que vous souhaitez utiliser pour ce lien. Le nom doit être unique dans votre compte.

    2. AWS secrets Manager: Facultatif. Permet à l'usine de workloads d'extraire les informations d'identification d'accès FSX pour ONTAP à partir de votre gestionnaire AWS secrets Manager.

      La pile de déploiement de liens ajoute automatiquement l'expression régulière ARN du gestionnaire de secrets par défaut suivante à la stratégie d'autorisation Lambda : arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      Vous pouvez créer des secrets en alignement avec les autorisations par défaut ou affecter vos autorisations personnalisées pour la stratégie de liens.

    Configurer le point final privé VPC sur AWS secrets Manager est désactivé par défaut. La sélection de cette option stocke le secret à l'aide du point de terminaison privé VPC au lieu de le stocker localement.

    1. Autorisations de lien : sélectionnez l'une des options suivantes pour les autorisations de lien :

      • Automatique : sélectionnez cette option pour que le code AWS CloudFormation crée automatiquement la stratégie d’autorisation Lambda et le rôle d’exécution.

      • Fourni par l'utilisateur : sélectionnez cette option pour attribuer un rôle d'exécution Lambda spécifié et ses politiques associées au lien Lambda. Les autorisations suivantes sont requises pour la politique d'autorisation Lambda . secretsmanager:GetSecretValue l'autorisation n'est requise que si vous avez activé AWS Secrets Manager.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses",
"secretsmanager:GetSecretValue"

        Saisissez l’ARN du rôle d’exécution Lambda dans la zone de texte.

    2. Tags: Facultatif, ajoutez les balises que vous voulez associer à ce lien pour pouvoir catégoriser plus facilement vos ressources. Par exemple, vous pouvez ajouter une balise qui identifie ce lien comme étant utilisé par FSX pour les systèmes de fichiers ONTAP.

      Workload Factory récupère automatiquement le compte AWS, l'emplacement et le groupe de sécurité en fonction du système de fichiers FSx for ONTAP .

  6. Sélectionnez Créer.

    La boîte de dialogue Redirection vers CloudFormation s'affiche et explique comment créer le lien à partir du service AWS CloudFormation.

  7. Sélectionnez Continuer pour ouvrir la console de gestion AWS, puis connectez-vous au compte AWS de ce système de fichiers FSX pour ONTAP.

  8. Sur la page pile de création rapide, sous fonctionnalités, sélectionnez Je reconnais que AWS CloudFormation peut créer des ressources IAM.

    Notez que trois autorisations sont accordées à Lambda lorsque vous lancez le modèle CloudFormation. L'usine de workloads utilise ces autorisations lors de l'utilisation de liens.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

  9. Sélectionnez Créer pile, puis sélectionnez Continuer.

    Vous pouvez surveiller l’état de création du lien sur la page Événements. Cela ne devrait pas prendre plus de 5 minutes.

  10. Revenez à l'interface d'usine des workloads et vous verrez que le lien est associé au système de fichiers FSX pour ONTAP.

Créer manuellement

Vous pouvez créer un lien à l'aide de deux outils Infrastructure-as-Code (IaC) de Codebox : CloudFormation ou Terraform. Avec cette option, vous extrayez l'ARN du lien depuis AWS CloudFormation et le signalez ici. Workload Factory enregistre manuellement le lien pour vous.

Étapes

  1. Connectez-vous à l'aide de l'un des "expériences de la console".

  2. Dans stockage, sélectionnez accéder à l'inventaire de stockage.

  3. Dans l'onglet FSX pour ONTAP, sélectionnez le menu à trois points du système de fichiers auquel associer un lien, puis sélectionnez associer lien.

  4. Dans la boîte de dialogue associer un lien, sélectionnez Créer un nouveau lien et sélectionnez Continuer.

  5. Sur la page Créer un lien, sélectionnez CloudFormation ou Terraform dans la boîte de code, puis fournissez les éléments suivants :

    1. Nom du lien : saisissez le nom que vous souhaitez utiliser pour ce lien. Le nom doit être unique dans votre compte.

    2. AWS secrets Manager: Facultatif. Permet à l'usine de workloads d'extraire les informations d'identification d'accès FSX pour ONTAP à partir de votre gestionnaire AWS secrets Manager.

      La pile de déploiement de liens ajoute automatiquement l'expression régulière ARN du gestionnaire de secrets par défaut suivante à la stratégie d'autorisation Lambda : arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      Vous pouvez créer des secrets en alignement avec les autorisations par défaut ou affecter vos autorisations personnalisées pour la stratégie de liens.

      Configurer le point final privé VPC sur AWS secrets Manager est désactivé par défaut. La sélection de cette option stocke le secret à l'aide du point de terminaison privé VPC au lieu de le stocker localement.

    3. Autorisations de lien : sélectionnez l'une des options suivantes pour les autorisations de lien :

      • Automatique : sélectionnez cette option pour que le code AWS CloudFormation crée automatiquement la stratégie d’autorisation Lambda et le rôle d’exécution.

      • Fourni par l'utilisateur : sélectionnez cette option pour attribuer un rôle d'exécution Lambda spécifié et ses politiques associées au lien Lambda. Les autorisations suivantes sont requises pour la politique d'autorisation Lambda . secretsmanager:GetSecretValue l'autorisation n'est requise que si vous avez activé AWS Secrets Manager.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses"
"secretsmanager:GetSecretValue"

        Saisissez l’ARN du rôle d’exécution Lambda dans la zone de texte.

    4. Tags: Facultatif, ajoutez les balises que vous voulez associer à ce lien pour pouvoir catégoriser plus facilement vos ressources. Par exemple, vous pouvez ajouter une balise qui identifie ce lien comme étant utilisé par FSX pour les systèmes de fichiers ONTAP.

    5. Enregistrement du lien : Sélectionnez CloudFormation ou Terraform pour obtenir les instructions sur la façon d'enregistrer le lien et suivez les instructions.

      Notez que trois autorisations sont accordées à Lambda lorsque vous lancez le modèle CloudFormation. L'usine de workloads utilise ces autorisations lors de l'utilisation de liens.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

    + Une fois la pile créée, collez l'ARN Lambda dans la zone de texte.

    1. Workload Factory récupère automatiquement le compte AWS, l'emplacement et le groupe de sécurité en fonction du système de fichiers FSx for ONTAP .

  6. Sélectionnez Créer.

    Vous pouvez surveiller l’état de création du lien sur la page Événements. Cela ne devrait pas prendre plus de 5 minutes.

  7. Revenez à l'interface d'usine des workloads et vous verrez que le lien est associé au système de fichiers FSX pour ONTAP.

Résultat

Workload Factory associe le lien au système de fichiers FSx pour ONTAP . Vous pouvez effectuer des opérations ONTAP avancées.

Associer un lien existant à un système de fichiers FSX pour ONTAP

Après avoir créé un lien, associez-le à un ou plusieurs systèmes de fichiers FSX pour ONTAP.

Étapes

  1. Connectez-vous à l'aide de l'un des "expériences de la console".

  2. Dans stockage, sélectionnez accéder à l'inventaire de stockage.

  3. Dans l'onglet FSX pour ONTAP, sélectionnez le menu à trois points du système de fichiers auquel associer un lien, puis sélectionnez associer lien.

  4. Dans la page de lien associer, sélectionnez associer un lien existant, sélectionnez le lien et sélectionnez Continuer.

  5. Sélectionnez le mode d'authentification.

    • Workload Factory : saisissez le mot de passe deux fois.

    • AWS secrets Manager : entrez le secret ARN.

      Assurez-vous que l'ARN secret contient les paires de clés valides suivantes, bien que filesystemID soit facultatif.

      • filesystemID = FSx_filesystem_id (facultatif)

      • utilisateur = FSx_user

      • mot de passe = mot_de_passe_utilisateur

        Remarque L'authentification avec AWS Secrets Manager nécessite un utilisateur, soit le FSx_user que vous fournissez, soit un autre utilisateur créé sur le système de fichiers FSx for ONTAP . L'utilisateur par défaut est fsxadmin si vous ne fournissez pas d'utilisateur.

  6. Sélectionnez appliquer.

Résultat

Le lien est associé au système de fichiers FSX pour ONTAP. Vous pouvez effectuer des opérations ONTAP avancées.

Résolution des problèmes avec l'authentification de liens AWS secrets Manager

Problème

Le lien ne dispose pas des autorisations nécessaires pour récupérer le secret.

Résolution : ajoutez des autorisations une fois le lien actif. Connectez-vous à la console AWS, recherchez le lien Lambda et modifiez la règle d'autorisation jointe.

Problème

Le secret est introuvable.

Résolution : fournir le code secret ARN correct.

Problème

Le secret n'est pas dans le bon format.

Résolution : accédez à AWS secrets Manager et modifiez le format.

Le secret doit contenir les paires de clés valides suivantes :

  • FilesytemID = FSX_filesystem_ID

  • nom d'utilisateur = FSx_user

  • mot de passe = mot_de_passe_utilisateur

Problème

Le secret ne contient pas d'informations d'identification ONTAP valides pour l'authentification du système de fichiers.

Résolution : fournir des informations d'identification permettant d'authentifier les systèmes de fichiers FSX for ONTAP dans AWS secrets Manager.