Skip to main content
Amazon FSx for NetApp ONTAP
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Connettersi a un file system FSX per ONTAP con un collegamento Lambda

Collaboratori netapp-rlithman netapp-mwallis
PDF

Per eseguire operazioni avanzate di gestione ONTAP , impostare una connessione tra l'account Workload Factory e uno o più file system FSx for ONTAP . Ciò comporta l'associazione di collegamenti Lambda nuovi ed esistenti e l'autenticazione dei collegamenti. L'associazione dei link consente di monitorare e gestire direttamente dal file system FSx for ONTAP determinate funzionalità che non sono disponibili tramite l'API Amazon FSx for ONTAP .

"Ulteriori informazioni sui collegamenti".

A proposito di questa attività

I link sfruttano AWS Lambda per eseguire codice in risposta a eventi e gestire automaticamente le risorse di calcolo richieste da tale codice. I link creati fanno parte del tuo account NetApp e sono associati a un account AWS.

È possibile creare un collegamento nel proprio account quando si definisce un file system FSx per ONTAP . Il collegamento viene utilizzato per quel file system e può essere utilizzato per altri file system FSx per ONTAP . È anche possibile associare un collegamento a un file system in un secondo momento.

I link richiedono l'autenticazione. È possibile autenticare i collegamenti utilizzando le credenziali archiviate nel servizio Workload Factory o con le credenziali archiviate in AWS Secrets Manager. È supportato un solo metodo di autenticazione per collegamento. Ad esempio, se selezioni l'autenticazione tramite collegamento con AWS Secrets Manager, non potrai modificare il metodo di autenticazione in un secondo momento.

Nota AWS Secrets Manager non è supportato quando si utilizza un connettore.

Associare un nuovo collegamento

L'associazione di un nuovo collegamento include la creazione e l'associazione di collegamenti.

Per creare collegamenti in questo flusso di lavoro sono disponibili due opzioni: automaticamente o manualmente. Per creare il link, devi lanciare uno stack AWS CloudFormation nel tuo account AWS.

  • Automaticamente: crea un collegamento con registrazione automatica tramite Workload Factory. Ciò richiede token per l'automazione della fabbrica del carico di lavoro e il codice CloudFormation ha vita breve e può essere utilizzato fino a sei ore.

  • Manualmente: crea un collegamento con registrazione manuale utilizzando CloudFormation o Terraform da Codebox. Il codice persiste, dandoti più tempo per completare l'operazione. Questa funzionalità è utile quando si lavora con team diversi, come quelli di sicurezza e DevOps, che potrebbero dover prima concedere le autorizzazioni necessarie per completare la creazione del collegamento.

Prima di iniziare

  • Si consiglia di considerare quale opzione di creazione del collegamento si utilizzerà.

  • Devi avere almeno un file system FSX per ONTAP in una workload factory. Per scoprire o creare file system FSx per ONTAP, è necessario disporre di un account AWS con autorizzazioni per le istanze FSx per ONTAP e "aggiungere le credenziali in fabbrica del carico di lavoro" con autorizzazioni di sola lettura o lettura/scrittura per la gestione dell'archiviazione.

  • Per la connettività del collegamento, le seguenti porte devono essere aperte nel gruppo di sicurezza associato al file system FSx per ONTAP.

    • Per la console della fabbrica del carico di lavoro: porta 443 (HTTPS)

    • Per CloudShell: porta 22 (SSH)

  • Quando si aggiunge un collegamento utilizzando uno stack CloudFormation, è necessario disporre delle seguenti autorizzazioni nell'account AWS:

    Details 
    "cloudformation:GetTemplateSummary",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ListStackResources",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:DeleteRolePolicy",
"iam:CreateRole",
"iam:DetachRolePolicy",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"codestar-connections:GetSyncConfiguration",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
Crea automaticamente

Utilizzare CloudFormation per creare e registrare automaticamente il collegamento all'interno di workload Factory.

Fasi

  1. Accedere utilizzando uno dei "esperienze di console".

  2. Nella memoria di archiviazione, selezionare Vai all'inventario di archiviazione.

  3. Nella scheda FSX per ONTAP, selezionare il menu a tre punti del file system a cui associare un collegamento, quindi selezionare Associa collegamento.

  4. Nella finestra di dialogo Associa collegamento, selezionare Crea un nuovo collegamento e selezionare continua.

  5. Nella pagina Crea collegamento, fornire quanto segue:

    1. Nome collegamento: Immettere il nome che si desidera utilizzare per questo collegamento. Il nome deve essere univoco all'interno dell'account.

    2. AWS Secrets Manager: Facoltativo. Consente alla workload Factory di recuperare le credenziali di accesso a FSX per ONTAP da AWS Secrets Manager.

      Lo stack di distribuzione dei collegamenti aggiunge automaticamente la seguente espressione regolare ARN del gestore dei segreti predefinita alla policy di autorizzazione Lambda: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      È possibile creare segreti in allineamento con le autorizzazioni predefinite o assegnare autorizzazioni personalizzate per il criterio di collegamento.

    Configurare l'endpoint privato VPC in AWS Secrets Manager è disattivato per impostazione predefinita. Se si seleziona questa opzione, il segreto viene memorizzato utilizzando l'endpoint privato VPC anziché localmente.

    1. Autorizzazioni collegamento: seleziona una delle seguenti opzioni per le autorizzazioni collegamento:

      • Automatico: seleziona questa opzione in modo che il codice AWS CloudFormation crei automaticamente la policy di autorizzazione Lambda e il ruolo di esecuzione.

      • Fornito dall'utente: selezionare questa opzione per assegnare un ruolo di esecuzione Lambda specificato e le relative policy associate al collegamento Lambda. Le seguenti autorizzazioni sono richieste per la policy di autorizzazione Lambda . secretsmanager:GetSecretValue l'autorizzazione è richiesta solo se hai abilitato AWS Secrets Manager.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses",
"secretsmanager:GetSecretValue"

        Immettere l'ARN del ruolo di esecuzione Lambda nella casella di testo.

    2. Tag: Se lo si desidera, aggiungere qualsiasi tag che si desidera associare a questo collegamento in modo da poter categorizzare più facilmente le risorse. Ad esempio, è possibile aggiungere un tag che identifica questo collegamento come utilizzato da FSX per i file system ONTAP.

      Workload Factory recupera automaticamente l'account AWS, la posizione e il gruppo di sicurezza in base al file system FSx for ONTAP .

  6. Selezionare Crea.

    Viene visualizzata la finestra di dialogo Reindirizza a CloudFormation, in cui viene spiegato come creare il collegamento dal servizio AWS CloudFormation.

  7. Seleziona continua per aprire la console di gestione AWS, quindi accedi all'account AWS per questo file system FSX per ONTAP.

  8. Nella pagina creazione rapida stack, in funzionalità, selezionare Acknowledge that AWS CloudFormation May create IAM resources (riconosco che AWS CloudFormation potrebbe creare risorse IAM*).

    Tenere presente che vengono concesse tre autorizzazioni a Lambda quando si avvia il modello CloudFormation. Workload Factory utilizza queste autorizzazioni quando si utilizzano i collegamenti.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

  9. Selezionare Crea pila, quindi selezionare continua.

    Puoi monitorare lo stato di creazione del collegamento nella pagina Eventi. L'operazione non dovrebbe richiedere più di 5 minuti.

  10. Tornare all'interfaccia della workload Factory e si noterà che il collegamento è associato al file system FSX per ONTAP.

Crea manualmente

È possibile creare un collegamento utilizzando due strumenti Infrastructure-as-Code (IaC) di Codebox: CloudFormation o Terraform. Con questa opzione, puoi estrarre l'ARN per il collegamento da AWS CloudFormation e segnalarlo qui. Workload Factory registra manualmente il collegamento per te.

Fasi

  1. Accedere utilizzando uno dei "esperienze di console".

  2. Nella memoria di archiviazione, selezionare Vai all'inventario di archiviazione.

  3. Nella scheda FSX per ONTAP, selezionare il menu a tre punti del file system a cui associare un collegamento, quindi selezionare Associa collegamento.

  4. Nella finestra di dialogo Associa collegamento, selezionare Crea un nuovo collegamento e selezionare continua.

  5. Nella pagina Crea collegamento, seleziona CloudFormation o Terraform dalla casella del codice, quindi fornisci quanto segue:

    1. Nome collegamento: Immettere il nome che si desidera utilizzare per questo collegamento. Il nome deve essere univoco all'interno dell'account.

    2. AWS Secrets Manager: Facoltativo. Consente alla workload Factory di recuperare le credenziali di accesso a FSX per ONTAP da AWS Secrets Manager.

      Lo stack di distribuzione dei collegamenti aggiunge automaticamente la seguente espressione regolare ARN del gestore dei segreti predefinita alla policy di autorizzazione Lambda: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      È possibile creare segreti in allineamento con le autorizzazioni predefinite o assegnare autorizzazioni personalizzate per il criterio di collegamento.

      Configurare l'endpoint privato VPC in AWS Secrets Manager è disattivato per impostazione predefinita. Se si seleziona questa opzione, il segreto viene memorizzato utilizzando l'endpoint privato VPC anziché localmente.

    3. Autorizzazioni collegamento: seleziona una delle seguenti opzioni per le autorizzazioni collegamento:

      • Automatico: seleziona questa opzione in modo che il codice AWS CloudFormation crei automaticamente la policy di autorizzazione Lambda e il ruolo di esecuzione.

      • Fornito dall'utente: selezionare questa opzione per assegnare un ruolo di esecuzione Lambda specificato e le relative policy associate al collegamento Lambda. Le seguenti autorizzazioni sono richieste per la policy di autorizzazione Lambda . secretsmanager:GetSecretValue l'autorizzazione è richiesta solo se hai abilitato AWS Secrets Manager.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses"
"secretsmanager:GetSecretValue"

        Immettere l'ARN del ruolo di esecuzione Lambda nella casella di testo.

    4. Tag: Se lo si desidera, aggiungere qualsiasi tag che si desidera associare a questo collegamento in modo da poter categorizzare più facilmente le risorse. Ad esempio, è possibile aggiungere un tag che identifica questo collegamento come utilizzato da FSX per i file system ONTAP.

    5. Registrazione del collegamento: seleziona CloudFormation o Terraform per le istruzioni su come registrare il collegamento e segui le istruzioni.

      Tenere presente che vengono concesse tre autorizzazioni a Lambda quando si avvia il modello CloudFormation. Workload Factory utilizza queste autorizzazioni quando si utilizzano i collegamenti.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

    + Dopo aver creato correttamente lo stack, incollare l'ARN lambda nella casella di testo.

    1. Workload Factory recupera automaticamente l'account AWS, la posizione e il gruppo di sicurezza in base al file system FSx for ONTAP .

  6. Selezionare Crea.

    Puoi monitorare lo stato di creazione del collegamento nella pagina Eventi. L'operazione non dovrebbe richiedere più di 5 minuti.

  7. Tornare all'interfaccia della workload Factory e si noterà che il collegamento è associato al file system FSX per ONTAP.

Risultato

La fabbrica del carico di lavoro associa il collegamento al file system FSx per ONTAP . È possibile eseguire operazioni ONTAP avanzate.

Associare un collegamento esistente a un file system FSX per ONTAP

Dopo aver creato un collegamento, associarlo a uno o più file system FSX per ONTAP.

Fasi

  1. Accedere utilizzando uno dei "esperienze di console".

  2. Nella memoria di archiviazione, selezionare Vai all'inventario di archiviazione.

  3. Nella scheda FSX per ONTAP, selezionare il menu a tre punti del file system a cui associare un collegamento, quindi selezionare Associa collegamento.

  4. Nella pagina di collegamento Associa, selezionare Associa un collegamento esistente, selezionare il collegamento e selezionare continua.

  5. Selezionare la modalità di autenticazione.

    • Workload Factory: Immettere la password due volte.

    • AWS Secrets Manager: Inserisci il segreto ARN.

      Assicurarsi che l'ARN segreto contenga le seguenti coppie di chiavi valide, sebbene filesystemID sia facoltativo.

      • filesystemID = FSx_filesystem_id (facoltativo)

      • utente = FSx_user

      • password = password_utente

        Nota L'autenticazione con AWS Secrets Manager richiede un utente, ovvero l'FSx_user fornito oppure un altro utente creato sul file system FSx for ONTAP . L'utente predefinito è fsxadmin se non fornisci un utente.

  6. Selezionare Applica.

Risultato

Il collegamento è associato al file system FSX per ONTAP. È possibile eseguire operazioni ONTAP avanzate.

Risolvere i problemi relativi all'autenticazione del collegamento di AWS Secrets Manager

Problema

Il collegamento non dispone delle autorizzazioni necessarie per recuperare il segreto.

Risoluzione: Aggiungere le autorizzazioni dopo che il collegamento è attivo. Effettua l'accesso alla console AWS, individua il collegamento Lambda e modifica la policy di autorizzazione allegata.

Problema

Il segreto non è stato trovato.

Risoluzione: Fornire l'ARN segreto corretto.

Problema

Il segreto non è nel formato giusto.

Risoluzione: Vai su AWS Secrets Manager e modifica il formato.

Il segreto deve contenere le seguenti coppie di chiavi valide:

  • FilesystemID = FSX_filesystem_id

  • nome utente = FSx_user

  • password = password_utente

Problema

Il segreto non contiene credenziali ONTAP valide per l'autenticazione del file system.

Risoluzione: Fornire credenziali in grado di autenticare i file system FSX per ONTAP in Gestione segreti AWS.