Lambda 링크를 사용하여 FSx for ONTAP 파일 시스템에 연결합니다
변경 제안
PDF
고급 ONTAP 관리 작업을 수행하려면 워크로드 팩토리 계정과 하나 이상의 FSx for ONTAP 파일 시스템 간에 연결을 설정합니다. 여기에는 새 람다 링크와 기존 람다 링크를 연결하고, 링크를 인증하는 작업이 포함됩니다. 링크 연결을 사용하면 Amazon FSx for ONTAP API를 통해서는 사용할 수 없는 특정 기능을 FSx for ONTAP 파일 시스템에서 직접 모니터링하고 관리할 수 있습니다.
Link는 AWS Lambda를 활용하여 이벤트에 대한 응답으로 코드를 실행하고 해당 코드에 필요한 컴퓨팅 리소스를 자동으로 관리합니다. 생성하는 링크는 NetApp 계정의 일부이며 AWS 계정과 연결됩니다.
FSx for ONTAP 파일 시스템을 정의할 때 계정에 링크를 만들 수 있습니다. 해당 링크는 해당 파일 시스템에 사용되며, 다른 FSx for ONTAP 파일 시스템에도 사용될 수 있습니다. 나중에 파일 시스템에 대한 링크를 연결할 수도 있습니다.
링크에는 인증이 필요합니다. 워크로드 팩토리 자격 증명 서비스에 저장된 자격 증명이나 AWS Secrets Manager에 저장된 자격 증명을 사용하여 링크를 인증할 수 있습니다. 링크당 하나의 인증 방법만 지원됩니다. 예를 들어 AWS Secrets Manager를 사용하여 링크 인증을 선택한 경우 나중에 인증 방법을 변경할 수 없습니다.
|
커넥터를 사용하는 경우 AWS Secrets Manager가 지원되지 않습니다. |
새 링크를 연결합니다
새 링크를 연결하면 링크 생성 및 연결이 포함됩니다.
이 워크플로에서 링크를 만드는 데는 자동 또는 수동의 두 가지 옵션이 있습니다. AWS 계정에서 AWS CloudFormation 스택을 실행하여 링크를 생성해야 합니다.
-
자동: 워크로드 팩토리를 통해 자동 등록 링크를 생성합니다. 여기에는 워크로드 공장 자동화를 위한 토큰이 필요하며 CloudFormation 코드는 수명이 짧고 최대 6시간 동안 사용할 수 있습니다.
-
수동: Codebox에서 CloudFormation이나 Terraform을 사용하여 수동 등록 링크를 만듭니다. 코드가 지속되면 작업을 완료할 수 있는 시간이 더 늘어납니다. 이 기능은 보안 및 DevOps와 같이 링크 생성을 완료하는 데 필요한 권한을 먼저 부여해야 하는 여러 팀과 작업할 때 유용합니다.
-
사용할 링크 만들기 옵션을 고려해야 합니다.
-
워크로드 팩토리에 FSx for ONTAP 파일 시스템이 하나 이상 있어야 합니다. ONTAP 파일 시스템용 FSx를 검색하거나 생성하려면 ONTAP 인스턴스용 FSx에 대한 권한이 있는 AWS 계정이 있어야 합니다. "워크로드 팩토리에 자격 증명을 추가합니다" 저장소 관리를 위해 읽기 전용 또는 읽기/쓰기 권한이 부여됩니다.
-
FSx for ONTAP 파일 시스템에 연결된 보안 그룹에서 링크 연결을 위해 다음 포트가 열려 있어야 합니다.
-
워크로드 팩토리 콘솔의 경우: 포트 443(HTTPS)
-
CloudShell의 경우: 포트 22(SSH)
-
-
CloudFormation 스택을 사용하여 링크를 추가할 때 AWS 계정에 다음 권한이 있어야 합니다.
Details
"cloudformation:GetTemplateSummary", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:ListStacks", "cloudformation:DescribeStackEvents", "cloudformation:ListStackResources", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetRole", "iam:DeleteRolePolicy", "iam:CreateRole", "iam:DetachRolePolicy", "iam:PassRole", "iam:PutRolePolicy", "iam:DeleteRole", "iam:AttachRolePolicy", "lambda:AddPermission", "lambda:RemovePermission", "lambda:InvokeFunction", "lambda:GetFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:TagResource", "codestar-connections:GetSyncConfiguration", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer"
CloudFormation을 사용하여 워크로드 팩토리 내에서 링크를 자동으로 생성하고 등록합니다.
-
중 하나를 사용하여 "콘솔 환경"로그인합니다.
-
Storage에서 * Go to storage inventory * 를 선택합니다.
-
FSx for ONTAP * 탭에서 링크를 연결할 파일 시스템의 세 점 메뉴를 선택한 다음 * 링크 * 를 선택합니다.
-
연결 링크 대화 상자에서 * 새 링크 만들기 * 를 선택하고 * 계속 * 을 선택합니다.
-
링크 만들기 페이지에서 다음을 제공합니다.
-
* 링크 이름 *: 이 링크에 사용할 이름을 입력하십시오. 이름은 계정 내에서 고유해야 합니다.
-
* AWS Secrets Manager *: 선택 사항. 워크로드 팩토리가 AWS Secrets Manager에서 FSx for ONTAP 액세스 자격 증명을 가져올 수 있습니다.
링크 배포 스택은 Lambda 권한 정책에 다음 기본 비밀 관리자 ARN 정규식을 자동으로 추가합니다.
arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret*.기본 사용 권한에 맞춰 암호를 만들거나 링크 정책에 대한 사용자 지정 사용 권한을 할당할 수 있습니다.
-
AWS Secrets Manager로 VPC 전용 엔드포인트 구성 * 은 기본적으로 비활성화됩니다. 이 옵션을 선택하면 VPC 개인 엔드포인트를 로컬로 저장하는 대신 VPC 전용 엔드포인트를 사용하여 암호를 저장합니다.
-
-
링크 권한: 링크 권한에 대해 다음 옵션 중 하나를 선택하세요.
-
자동: AWS CloudFormation 코드가 Lambda 권한 정책과 실행 역할을 자동으로 생성하도록 이 옵션을 선택합니다.
-
사용자 제공: 지정된 Lambda 실행 역할과 연결된 정책을 Lambda 링크에 할당하려면 이 옵션을 선택합니다. 권한 정책에는 다음 권한이 필요합니다.
secretsmanager:GetSecretValueAWS Secrets Manager를 활성화한 경우에만 권한이 필요합니다."ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AssignPrivateIpAddresses", "ec2:UnassignPrivateIpAddresses", "secretsmanager:GetSecretValue"텍스트 상자에 Lambda 실행 역할 ARN을 입력합니다.
-
-
* 태그 *: 필요에 따라 이 링크에 연결할 태그를 추가하여 리소스를 보다 쉽게 분류할 수 있습니다. 예를 들어, FSx for ONTAP 파일 시스템에서 이 링크를 사용 중인 것으로 식별하는 태그를 추가할 수 있습니다.
Workload Factory는 FSx for ONTAP 파일 시스템을 기반으로 AWS 계정, 위치 및 보안 그룹을 자동으로 검색합니다.
-
-
Create * 를 선택합니다.
CloudFormation으로 리디렉션 대화 상자가 나타나고 AWS CloudFormation 서비스에서 링크를 만드는 방법이 설명되어 있습니다.
-
AWS 관리 콘솔을 열고 이 FSx for ONTAP 파일 시스템에 대한 AWS 계정에 로그인하려면 * 계속 * 을 선택하십시오.
-
빠른 스택 만들기 페이지의 기능 에서 * AWS CloudFormation이 IAM 리소스를 생성할 수 있음을 확인합니다 * 를 선택합니다.
CloudFormation 템플릿을 시작하면 Lambda에게 세 가지 권한이 부여됩니다. 워크로드 팩토리에서는 링크를 사용할 때 이러한 권한을 사용합니다.
"lambda:InvokeFunction", "lambda:GetFunction", "lambda:UpdateFunctionCode" -
Create stack * 을 선택한 다음 * Continue * 를 선택합니다.
이벤트 페이지에서 링크 생성 상태를 모니터링할 수 있습니다. 이 작업에는 5분 이상 걸리지 않습니다.
-
워크로드 공장 인터페이스로 돌아가면 링크가 FSx for ONTAP 파일 시스템과 연결된 것을 볼 수 있습니다.
Codebox의 두 가지 Infrastructure-as-Code(IaC) 도구인 CloudFormation 또는 Terraform을 사용하여 링크를 만들 수 있습니다. 이 옵션을 사용하면 AWS CloudFormation에서 링크의 ARN을 추출하여 여기에 보고할 수 있습니다. Workload Factory가 수동으로 링크를 등록해 줍니다.
-
중 하나를 사용하여 "콘솔 환경"로그인합니다.
-
Storage에서 * Go to storage inventory * 를 선택합니다.
-
FSx for ONTAP * 탭에서 링크를 연결할 파일 시스템의 세 점 메뉴를 선택한 다음 * 링크 * 를 선택합니다.
-
연결 링크 대화 상자에서 * 새 링크 만들기 * 를 선택하고 * 계속 * 을 선택합니다.
-
링크 생성 페이지에서 코드박스에서 CloudFormation 또는 Terraform을 선택한 후 다음을 제공합니다.
-
* 링크 이름 *: 이 링크에 사용할 이름을 입력하십시오. 이름은 계정 내에서 고유해야 합니다.
-
* AWS Secrets Manager *: 선택 사항. 워크로드 팩토리가 AWS Secrets Manager에서 FSx for ONTAP 액세스 자격 증명을 가져올 수 있습니다.
링크 배포 스택은 Lambda 권한 정책에 다음 기본 비밀 관리자 ARN 정규식을 자동으로 추가합니다.
arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret*.기본 사용 권한에 맞춰 암호를 만들거나 링크 정책에 대한 사용자 지정 사용 권한을 할당할 수 있습니다.
-
AWS Secrets Manager로 VPC 전용 엔드포인트 구성 * 은 기본적으로 비활성화됩니다. 이 옵션을 선택하면 VPC 개인 엔드포인트를 로컬로 저장하는 대신 VPC 전용 엔드포인트를 사용하여 암호를 저장합니다.
-
-
링크 권한: 링크 권한에 대해 다음 옵션 중 하나를 선택하세요.
-
자동: AWS CloudFormation 코드가 Lambda 권한 정책과 실행 역할을 자동으로 생성하도록 이 옵션을 선택합니다.
-
사용자 제공: 지정된 Lambda 실행 역할과 연결된 정책을 Lambda 링크에 할당하려면 이 옵션을 선택합니다. 권한 정책에는 다음 권한이 필요합니다.
secretsmanager:GetSecretValueAWS Secrets Manager를 활성화한 경우에만 권한이 필요합니다."ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AssignPrivateIpAddresses", "ec2:UnassignPrivateIpAddresses" "secretsmanager:GetSecretValue"텍스트 상자에 Lambda 실행 역할 ARN을 입력합니다.
-
-
* 태그 *: 필요에 따라 이 링크에 연결할 태그를 추가하여 리소스를 보다 쉽게 분류할 수 있습니다. 예를 들어, FSx for ONTAP 파일 시스템에서 이 링크를 사용 중인 것으로 식별하는 태그를 추가할 수 있습니다.
-
링크 등록: 링크 등록 방법에 대한 지침을 보려면 CloudFormation 또는 Terraform을 선택하고 지침을 따르세요.
CloudFormation 템플릿을 시작하면 Lambda에게 세 가지 권한이 부여됩니다. 워크로드 팩토리에서는 링크를 사용할 때 이러한 권한을 사용합니다.
"lambda:InvokeFunction", "lambda:GetFunction", "lambda:UpdateFunctionCode"+ 스택을 성공적으로 만든 후 텍스트 상자에 Lambda ARN을 붙여 넣습니다.
-
Workload Factory는 FSx for ONTAP 파일 시스템을 기반으로 AWS 계정, 위치 및 보안 그룹을 자동으로 검색합니다.
-
-
Create * 를 선택합니다.
이벤트 페이지에서 링크 생성 상태를 모니터링할 수 있습니다. 이 작업에는 5분 이상 걸리지 않습니다.
-
워크로드 공장 인터페이스로 돌아가면 링크가 FSx for ONTAP 파일 시스템과 연결된 것을 볼 수 있습니다.
워크로드 팩토리는 링크를 FSx for ONTAP 파일 시스템과 연결합니다. 고급 ONTAP 작업을 수행할 수 있습니다.
기존 링크를 FSx for ONTAP 파일 시스템에 연결합니다
링크를 생성한 후 하나 이상의 FSx for ONTAP 파일 시스템에 연결합니다.
-
중 하나를 사용하여 "콘솔 환경"로그인합니다.
-
Storage에서 * Go to storage inventory * 를 선택합니다.
-
FSx for ONTAP * 탭에서 링크를 연결할 파일 시스템의 세 점 메뉴를 선택한 다음 * 링크 * 를 선택합니다.
-
연결 링크 페이지에서 * 기존 링크 연결 * 을 선택하고 링크를 선택한 다음 * 계속 * 을 선택합니다.
-
인증 모드를 선택합니다.
-
워크로드 팩토리: 암호를 두 번 입력합니다.
-
AWS Secrets Manager: 비밀 ARN을 입력합니다.
_filesystemID_는 선택 사항이지만, 비밀 ARN에 다음과 같은 키 유효 쌍이 포함되어 있는지 확인하세요.
-
filesystemID = FSx_filesystem_id (선택 사항)
-
사용자 = FSx_user
-
password=user_password입니다
AWS Secrets Manager를 인증하려면 사용자가 필요합니다. 이 사용자는 귀하가 제공한 _FSx_user_이거나 FSx for ONTAP 파일 시스템에서 생성된 다른 사용자입니다. 기본 사용자는 fsxadmin사용자를 제공하지 않는 경우.
-
-
-
Apply * 를 선택합니다.
이 링크는 FSx for ONTAP 파일 시스템에 연결됩니다. 고급 ONTAP 작업을 수행할 수 있습니다.
AWS Secrets Manager 링크 인증 관련 문제 해결
- 문제
-
링크에 암호를 검색할 권한이 없습니다.
-
해결 *: 링크가 활성화된 후 권한을 추가합니다. AWS 콘솔에 로그인하고 Lambda 링크를 찾은 다음 첨부된 권한 정책을 편집합니다.
-
- 문제
-
암호를 찾을 수 없습니다.
-
해상도 * : 올바른 비밀 ARN을 제공합니다.
-
- 문제
-
암호가 올바른 형식이 아닙니다.
-
해상도 * : AWS 비밀 관리자로 이동하여 형식을 편집합니다.
비밀에는 다음 키 유효 쌍이 포함되어야 합니다.
-
filesystemID = FSx_filesystem_id입니다
-
사용자 이름 = FSx_user
-
password=user_password입니다
-
- 문제
-
암호에 파일 시스템 인증을 위한 유효한 ONTAP 자격 증명이 포함되어 있지 않습니다.
-
해결 방법 *: AWS 비밀 관리자에서 FSx for ONTAP 파일 시스템을 인증할 수 있는 자격 증명을 제공합니다.
-