Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Conete-se a um sistema de arquivos FSX for ONTAP com um link do Lambda

Colaboradores netapp-rlithman netapp-mwallis
PDFs

Para executar operações avançadas de gerenciamento do ONTAP , configure uma conexão entre sua conta de fábrica de carga de trabalho e um ou mais sistemas de arquivos FSx para ONTAP . Isso envolve associar links Lambda novos e existentes e autenticar os links. A associação de links permite monitorar e gerencie determinados recursos diretamente do sistema de arquivos FSx for ONTAP que não estão disponíveis por meio da API do Amazon FSx for ONTAP .

"Saiba mais sobre links".

Sobre esta tarefa

Use o AWS Lambda para executar código em resposta a eventos e gerenciar automaticamente os recursos de computação exigidos por esse código. Os links que você cria fazem parte da sua conta do NetApp e são associados a uma conta da AWS.

Você pode criar um link em sua conta ao definir um FSx para o sistema de arquivos ONTAP . O link é usado para esse sistema de arquivos e pode ser usado para outros sistemas de arquivos FSx for ONTAP . Você também pode associar um link para um sistema de arquivos posteriormente.

Os links exigem autenticação. Você pode autenticar links usando credenciais armazenadas no serviço de credenciais do Workload Factory ou com suas credenciais armazenadas no AWS Secrets Manager. Apenas um método de autenticação é suportado por link. Por exemplo, se você selecionar a autenticação de link com o AWS Secrets Manager, não poderá alterar o método de autenticação posteriormente.

Observação O AWS Secrets Manager não é suportado ao usar um conetor.

Associar um novo link inclui criação e associação de links.

Você tem duas opções para criar links neste fluxo de trabalho: automática ou manualmente. Você precisará iniciar uma pilha do AWS CloudFormation na sua conta da AWS para criar o link.

  • Automaticamente: Cria um link com registro automático via fábrica de carga de trabalho. Isso requer tokens para automação da fábrica de carga de trabalho e o código do CloudFormation tem vida curta e pode ser usado por até seis horas.

  • Manualmente: cria um link com registro manual usando o CloudFormation ou o Terraform a partir do Codebox. O código persiste, dando a você mais tempo para concluir a operação. Isso é útil ao trabalhar com equipes diferentes, como Segurança e DevOps, que podem primeiro precisar conceder as permissões necessárias para concluir a criação do link.

Antes de começar

  • Você deve considerar qual opção de criação de link você usará.

  • Você precisa ter pelo menos um sistema de arquivos FSX for ONTAP na fábrica de carga de trabalho. Para descobrir ou criar sistemas de arquivos FSx para ONTAP, você deve ter uma conta AWS com permissões para instâncias FSx para ONTAP e "adicione credenciais no workload de fábrica" com permissões somente leitura ou leitura/gravação para gerenciamento de armazenamento.

  • As seguintes portas devem ser abertas no grupo de segurança associado ao sistema de arquivos FSx para ONTAP para conectividade de link.

    • Para o console de fábrica de carga de trabalho: porta 443 (HTTPS)

    • Para CloudShell: porta 22 (SSH)

  • Você deve ter as seguintes permissões na sua conta da AWS ao adicionar um link usando uma pilha do CloudFormation:

    Details 
    "cloudformation:GetTemplateSummary",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ListStackResources",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:DeleteRolePolicy",
"iam:CreateRole",
"iam:DetachRolePolicy",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"codestar-connections:GetSyncConfiguration",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
Criar automaticamente

Use o CloudFormation para criar e Registrar automaticamente o link na fábrica da carga de trabalho.

Passos

  1. Inicie sessão utilizando uma das "experiências de console".

  2. Em armazenamento, selecione ir para inventário de armazenamento.

  3. Na guia FSX for ONTAP, selecione o menu de três pontos do sistema de arquivos para associar um link e, em seguida, selecione link associado.

  4. Na caixa de diálogo associar, selecione criar um novo link e selecione continuar.

  5. Na página criar link, forneça o seguinte:

    1. Link name: Insira o nome que deseja usar para esse link. O nome deve ser exclusivo na sua conta.

    2. AWS Secrets Manager: Opcional. Permite que a fábrica da carga de trabalho busque as credenciais do FSX for ONTAP Access do seu Gerenciador de Segredos da AWS.

      A pilha de implantação de links adiciona automaticamente o seguinte regex ARN do gerenciador de segredos padrão à política de permissão do Lambda: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      Você pode criar segredos em alinhamento com as permissões padrão ou atribuir suas permissões personalizadas para a política de links.

    Configurar endpoint privado VPC para o AWS Secrets Manager está desativado por padrão. Selecionar essa opção armazena o segredo usando o endpoint privado VPC em vez de armazená-lo localmente.

    1. Permissões de link: Selecione uma das seguintes opções para permissões de link:

      • Automático: selecione esta opção para que o código do AWS CloudFormation crie automaticamente a política de permissão e a função de execução do Lambda.

      • Fornecido pelo usuário: Selecione esta opção para atribuir uma função de execução do Lambda específica e suas políticas anexadas ao link do Lambda. As seguintes permissões são necessárias para a política de permissões do Lambda . secretsmanager:GetSecretValue a permissão será necessária somente se você tiver habilitado o AWS Secrets Manager.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses",
"secretsmanager:GetSecretValue"

        Insira o ARN da função de execução do Lambda na caixa de texto.

    2. Tags: Opcionalmente, adicione quaisquer tags que você deseja associar a este link para que você possa categorizar mais facilmente seus recursos. Por exemplo, você pode adicionar uma tag que identifique esse link como sendo usado pelo FSX para sistemas de arquivos ONTAP.

      O Workload Factory recupera automaticamente a conta, o local e o grupo de segurança da AWS com base no sistema de arquivos FSx para ONTAP .

  6. Selecione criar.

    A caixa de diálogo Redirecionar para CloudFormation é exibida e explica como criar o link do serviço AWS CloudFormation.

  7. Selecione continuar para abrir o Console de Gerenciamento da AWS e, em seguida, faça login na conta da AWS para este sistema de arquivos FSX for ONTAP.

  8. Na página de pilha de criação rápida, em recursos, selecione reconheço que o AWS CloudFormation pode criar recursos do IAM.

    Observe que três permissões são concedidas ao Lambda quando você inicia o modelo do CloudFormation. A fábrica de carga de trabalho usa essas permissões ao usar links.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

  9. Selecione criar pilha e selecione continuar.

    Você pode monitorar o status da criação do link na página Eventos. Isso não deve levar mais de 5 minutos.

  10. Retorne à interface de fábrica da carga de trabalho e você verá que o link está associado ao sistema de arquivos FSX for ONTAP.

Criar manualmente

Você pode criar um link usando duas ferramentas de Infraestrutura como Código (IaC) do Codebox: CloudFormation ou Terraform. Com esta opção, você extrai o ARN do link do AWS CloudFormation e o informa aqui. A fábrica de carga de trabalho registra manualmente o link para você.

Passos

  1. Inicie sessão utilizando uma das "experiências de console".

  2. Em armazenamento, selecione ir para inventário de armazenamento.

  3. Na guia FSX for ONTAP, selecione o menu de três pontos do sistema de arquivos para associar um link e, em seguida, selecione link associado.

  4. Na caixa de diálogo associar, selecione criar um novo link e selecione continuar.

  5. Na página Criar link, selecione CloudFormation ou Terraform na Caixa de código e forneça o seguinte:

    1. Link name: Insira o nome que deseja usar para esse link. O nome deve ser exclusivo na sua conta.

    2. AWS Secrets Manager: Opcional. Permite que a fábrica da carga de trabalho busque as credenciais do FSX for ONTAP Access do seu Gerenciador de Segredos da AWS.

      A pilha de implantação de links adiciona automaticamente o seguinte regex ARN do gerenciador de segredos padrão à política de permissão do Lambda: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret* .

      Você pode criar segredos em alinhamento com as permissões padrão ou atribuir suas permissões personalizadas para a política de links.

      Configurar endpoint privado VPC para o AWS Secrets Manager está desativado por padrão. Selecionar essa opção armazena o segredo usando o endpoint privado VPC em vez de armazená-lo localmente.

    3. Permissões de link: Selecione uma das seguintes opções para permissões de link:

      • Automático: selecione esta opção para que o código do AWS CloudFormation crie automaticamente a política de permissão e a função de execução do Lambda.

      • Fornecido pelo usuário: Selecione esta opção para atribuir uma função de execução do Lambda específica e suas políticas anexadas ao link do Lambda. As seguintes permissões são necessárias para a política de permissões do Lambda . secretsmanager:GetSecretValue a permissão será necessária somente se você tiver habilitado o AWS Secrets Manager.

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses"
"secretsmanager:GetSecretValue"

        Insira o ARN da função de execução do Lambda na caixa de texto.

    4. Tags: Opcionalmente, adicione quaisquer tags que você deseja associar a este link para que você possa categorizar mais facilmente seus recursos. Por exemplo, você pode adicionar uma tag que identifique esse link como sendo usado pelo FSX para sistemas de arquivos ONTAP.

    5. Registro de link: Selecione CloudFormation ou Terraform para obter instruções sobre como registrar o link e siga as instruções.

      Observe que três permissões são concedidas ao Lambda quando você inicia o modelo do CloudFormation. A fábrica de carga de trabalho usa essas permissões ao usar links.

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

    + Depois de criar a pilha com êxito, cole o ARN do Lambda na caixa de texto.

    1. O Workload Factory recupera automaticamente a conta, o local e o grupo de segurança da AWS com base no sistema de arquivos FSx para ONTAP .

  6. Selecione criar.

    Você pode monitorar o status da criação do link na página Eventos. Isso não deve levar mais de 5 minutos.

  7. Retorne à interface de fábrica da carga de trabalho e você verá que o link está associado ao sistema de arquivos FSX for ONTAP.

Resultado

A fábrica de carga de trabalho associa o link ao sistema de arquivos FSx para ONTAP . Você pode executar operações ONTAP avançadas.

Depois de criar um link, associe-o a um ou mais sistema de arquivos FSX for ONTAP.

Passos

  1. Inicie sessão utilizando uma das "experiências de console".

  2. Em armazenamento, selecione ir para inventário de armazenamento.

  3. Na guia FSX for ONTAP, selecione o menu de três pontos do sistema de arquivos para associar um link e, em seguida, selecione link associado.

  4. Na página associar link, selecione associar um link existente, selecione o link e selecione continuar.

  5. Selecione o modo de autenticação.

    • Fábrica da carga de trabalho: Introduza a palavra-passe duas vezes.

    • AWS Secrets Manager: Insira o ARN secreto.

      Certifique-se de que o ARN secreto contém os seguintes pares de chaves válidos, embora o filesystemID seja opcional.

      • filesystemID = FSx_filesystem_id (opcional)

      • usuário = FSx_user

      • palavra-passe: user_password

        Observação A autenticação com o AWS Secrets Manager requer um usuário, o FSx_user fornecido por você ou outro usuário criado no sistema de arquivos FSx para ONTAP . O usuário padrão é fsxadmin se você não fornecer um usuário.

  6. Selecione aplicar.

Resultado

O link está associado ao sistema de arquivos FSX for ONTAP. Você pode executar operações ONTAP avançadas.

Problema

O link não possui permissões para recuperar o segredo.

Resolução: Adicione permissões após o link estar ativo. Faça login no console da AWS, localize o link do Lambda e edite a política de permissão anexada.

Problema

O segredo não é encontrado.

Resolução: Forneça o ARN secreto correto.

Problema

O segredo não está no formato certo.

Resolução: Vá para o AWS Secrets Manager e edite o formato.

O segredo deve conter os seguintes pares de chaves válidos:

  • O sistema de arquivos FSX_filesystem_id

  • nome de usuário = FSx_user

  • palavra-passe: user_password

Problema

O segredo não contém credenciais ONTAP válidas para autenticação do sistema de arquivos.

  • Resolução*: Forneça credenciais que podem autenticar o FSX para sistemas de arquivos ONTAP no AWS Secrets Manager.