使用Lamba链接连接到FSx for ONTAP文件系统
建议更改
PDF
要执行高级ONTAP管理操作,请在工作负载工厂帐户和一个或多个 FSx for ONTAP文件系统之间建立连接。这涉及关联新的和现有的 Lambda 链接,并对链接进行验证。通过链接关联,您可以直接从 FSx for ONTAP文件系统监控和管理某些无法通过Amazon FSx for ONTAP API 获得的功能。
"了解有关链接的更多信息"(英文)
链接利用AWS Lambode执行代码以响应事件、并自动管理该代码所需的计算资源。您创建的链接属于您的NetApp帐户、它们与AWS帐户相关联。
您可以在定义 FSx for ONTAP文件系统时在您的帐户中创建链接。该链接用于该文件系统,也可以用于其他 FSx for ONTAP文件系统。您还可以稍后关联文件系统的链接。
链接需要验证。您可以使用存储在工作负载工厂凭证服务中的凭证或存储在 AWS Secrets Manager 中的凭证来验证链接。每个链接仅支持一种身份验证方法。例如,如果您选择使用 AWS Secrets Manager 进行链接身份验证,则以后无法更改身份验证方法。
|
使用Connector时不支持AWS的"ConnectOR"管理器。 |
关联新链接
关联新链接包括创建和关联。
在此工作流程中,您有两种创建链接的选项 - 自动或手动。要创建链接、您需要在AWS帐户中启动AWS CloudFormation堆栈。
-
自动:通过工作负载工厂创建自动注册的链接。这需要用于工作负载工厂自动化的令牌,并且 CloudFormation 代码的生命周期很短,最多可使用六个小时。
-
手动:使用 Codebox 中的 CloudFormation 或 Terraform 创建带有手动注册的链接。代码持续存在,为您提供更多时间来完成操作。这在与安全和 DevOps 等不同的团队合作时很有用,因为他们可能首先需要授予完成链接创建所需的权限。
-
您应考虑使用哪种链接创建选项。
-
您需要在工作负载工厂中至少有一个FSx for ONTAP文件系统。要发现或创建 FSx for ONTAP 文件系统,您必须拥有一个具有 FSx for ONTAP 实例权限的 AWS 账户,并且"在工作负载出厂时添加凭据"具有存储管理的_只读_或_读/写_权限。
-
必须在与 FSx for ONTAP 文件系统关联的安全组中打开以下端口以实现链路连接。
-
对于工作负载工厂控制台:端口 443 (HTTPS)
-
对于 CloudShell:端口 22 (SSH)
-
-
使用CloudFormation堆栈添加链接时、您的AWS帐户必须具有以下权限:
Details
"cloudformation:GetTemplateSummary", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:ListStacks", "cloudformation:DescribeStackEvents", "cloudformation:ListStackResources", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "iam:ListRoles", "iam:GetRolePolicy", "iam:GetRole", "iam:DeleteRolePolicy", "iam:CreateRole", "iam:DetachRolePolicy", "iam:PassRole", "iam:PutRolePolicy", "iam:DeleteRole", "iam:AttachRolePolicy", "lambda:AddPermission", "lambda:RemovePermission", "lambda:InvokeFunction", "lambda:GetFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:TagResource", "codestar-connections:GetSyncConfiguration", "ecr:BatchGetImage", "ecr:GetDownloadUrlForLayer"
使用CloudFormation在工作负载工厂中自动创建和注册链接。
-
使用其中一个登录"控制台体验"。
-
在存储中,选择*转至存储清单*。
-
在*FSx for ONTAP Link*选项卡中,选择要关联链接的文件系统的三点菜单,然后选择*Associate link*。
-
在关联链接对话框中,选择*创建新链接*,然后选择*继续*。
-
在"Create Link"页面上、提供以下内容:
-
链接名称:输入要用于此链接的名称。此名称在您的帐户中必须是唯一的。
-
AWS SeslogManager:可选。允许工作负载工厂从AWS密码管理器提取FSx for ONTAP访问凭据。
链接部署堆栈自动将以下默认密钥管理器 ARN 正则表达式添加到 Lambda 权限策略中:
arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret*。您可以根据默认权限创建机密、也可以为链接策略分配自定义权限。
*将VPC专用端点配置到AWS秘密管理器*默认处于禁用状态。选择此选项将使用VPC专用端点存储此密钥、而不是将其存储在本地。
-
链接权限:选择以下链接权限选项之一:
-
自动:选择此选项,以便 AWS CloudFormation 代码自动创建 Lambda 权限策略和执行角色。
-
用户提供:选择此选项可将指定的 Lambda 执行角色及其附加的策略分配给 Lambda 链接。Lambda需要以下权限。 `secretsmanager:GetSecretValue`仅当您启用 AWS Secrets Manager 时才需要权限。
"ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AssignPrivateIpAddresses", "ec2:UnassignPrivateIpAddresses", "secretsmanager:GetSecretValue"在文本框中输入 Lambda 执行角色 ARN。
-
-
标记:您可以选择添加要与此链接关联的任何标记、以便更轻松地对资源进行分类。例如、您可以添加一个标记、用于将此链接标识为由FSx for ONTAP文件系统使用。
工作负载工厂根据 FSx for ONTAP文件系统自动检索 AWS 账户、位置和安全组。
-
-
选择 * 创建 * 。
出现“重定向到 CloudFormation”对话框并解释如何从 AWS CloudFormation 服务创建链接。
-
选择*继续*以打开AWS管理控制台、然后登录到此FSx for ONTAP文件系统的AWS帐户。
-
在Quick create堆栈页面的"Capabilities"下、选择*我确认AWS CloudFormation可能会创建IAM资源*。
请注意、在启动CloudFormation模板时、系统会向Lambdation授予三个权限。工作负载工厂在使用链接时会使用这些权限。
"lambda:InvokeFunction", "lambda:GetFunction", "lambda:UpdateFunctionCode" -
选择*创建堆栈*,然后选择*继续*。
您可以在事件页面上监控链接创建状态。这应该不会超过 5 分钟。
-
返回到工作负载出厂界面、您将看到此链接与FSx for ONTAP文件系统关联。
您可以使用 Codebox 中的两个基础设施即代码 (IaC) 工具创建链接:CloudFormation 或 Terraform。使用此选项,您可以从 AWS CloudFormation 中提取链接的 ARN 并在此处报告。工作负载工厂手动为您注册链接。
-
使用其中一个登录"控制台体验"。
-
在存储中,选择*转至存储清单*。
-
在*FSx for ONTAP Link*选项卡中,选择要关联链接的文件系统的三点菜单,然后选择*Associate link*。
-
在关联链接对话框中,选择*创建新链接*,然后选择*继续*。
-
在创建链接页面上,从 Codebox 中选择 CloudFormation 或 Terraform,然后提供以下内容:
-
链接名称:输入要用于此链接的名称。此名称在您的帐户中必须是唯一的。
-
AWS SeslogManager:可选。允许工作负载工厂从AWS密码管理器提取FSx for ONTAP访问凭据。
链接部署堆栈自动将以下默认密钥管理器 ARN 正则表达式添加到 Lambda 权限策略中:
arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret*。您可以根据默认权限创建机密、也可以为链接策略分配自定义权限。
*将VPC专用端点配置到AWS秘密管理器*默认处于禁用状态。选择此选项将使用VPC专用端点存储此密钥、而不是将其存储在本地。
-
链接权限:选择以下链接权限选项之一:
-
自动:选择此选项,以便 AWS CloudFormation 代码自动创建 Lambda 权限策略和执行角色。
-
用户提供:选择此选项可将指定的 Lambda 执行角色及其附加的策略分配给 Lambda 链接。Lambda需要以下权限。 `secretsmanager:GetSecretValue`仅当您启用 AWS Secrets Manager 时才需要权限。
"ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:AssignPrivateIpAddresses", "ec2:UnassignPrivateIpAddresses" "secretsmanager:GetSecretValue"在文本框中输入 Lambda 执行角色 ARN。
-
-
标记:您可以选择添加要与此链接关联的任何标记、以便更轻松地对资源进行分类。例如、您可以添加一个标记、用于将此链接标识为由FSx for ONTAP文件系统使用。
-
链接注册:选择CloudFormation或Terraform获取如何注册链接的说明,并按照说明进行操作。
请注意、在启动CloudFormation模板时、系统会向Lambdation授予三个权限。工作负载工厂在使用链接时会使用这些权限。
"lambda:InvokeFunction", "lambda:GetFunction", "lambda:UpdateFunctionCode"+ 成功创建堆栈后、将Lamb编制ARN粘贴到文本框中。
-
工作负载工厂根据 FSx for ONTAP文件系统自动检索 AWS 账户、位置和安全组。
-
-
选择 * 创建 * 。
您可以在事件页面上监控链接创建状态。这应该不会超过 5 分钟。
-
返回到工作负载出厂界面、您将看到此链接与FSx for ONTAP文件系统关联。
工作负载工厂将链接与 FSx for ONTAP文件系统关联。您可以执行高级ONTAP操作。
将现有链接与FSx for ONTAP文件系统相关联
创建链接后、请将其与一个或多个FSx for ONTAP文件系统相关联。
-
使用其中一个登录"控制台体验"。
-
在存储中,选择*转至存储清单*。
-
在*FSx for ONTAP Link*选项卡中,选择要关联链接的文件系统的三点菜单,然后选择*Associate link*。
-
在关联链接页面中,选择*关联现有链接*,选择链接,然后选择*继续*。
-
选择身份验证模式。
-
Workload Factory:输入密码两次。
-
AWS机密管理器:输入机密ARN。
确保密钥 ARN 包含以下密钥有效对,尽管 filesystemID 是可选的。
-
文件系统ID = FSx_filesystem_id(可选)
-
用户 = FSx_user
-
密码= USER_password
使用 AWS Secrets Manager 进行身份验证需要一个用户,可以是您提供的 FSx_user,也可以是在 FSx for ONTAP文件系统上创建的其他用户。默认用户是 `fsxadmin`如果您不提供用户。
-
-
-
选择 * 应用 * 。
此链接与FSx for ONTAP文件系统关联。您可以执行高级ONTAP操作。
对AWS的"Links Manager"链接身份验证问题进行故障排除
- 问题描述
-
此链接缺少检索密钥的权限。
resolution:链接处于活动状态后添加权限。登录到AWS控制台、找到Lamb代 链接、然后编辑附加的权限策略。
- 问题描述
-
未找到密钥。
分辨率:提供正确的密钥ARN。
- 问题描述
-
机密格式不正确。
分辨率:转到AWS的"27.0"选项并编辑格式。
此密钥应包含以下有效密钥对:
-
filesystemID = FSx文件系统ID
-
用户名 = FSx_user
-
密码= USER_password
-
- 问题描述
-
此密钥不包含用于文件系统身份验证的有效ONTAP凭据。
解决方案:提供可在AWS密码管理器中对ONTAP文件系统FSx进行身份验证的凭据。