Skip to main content
Amazon FSx for NetApp ONTAP
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 Lambda 連結連線至適用於 ONTAP 檔案系統的 FSX

貢獻者 netapp-rlithman netapp-mwallis
PDF

若要執行進階ONTAP管理操作,請在您的 Workload Factory 帳戶和一個或多個 FSx for ONTAP檔案系統之間建立連線。這涉及關聯新的和現有的 Lambda 鏈接,並對鏈接進行驗證。透過連結關聯,您可以直接從 FSx for ONTAP檔案系統監控和管理某些無法透過Amazon FSx for ONTAP API 取得的功能。

"深入瞭解連結"

關於這項工作

連結利用 AWS Lambda 執行程式碼來回應事件、並自動管理該程式碼所需的運算資源。您建立的連結是 NetApp 帳戶的一部分、它們與 AWS 帳戶相關聯。

您可以在定義 FSx for ONTAP檔案系統時在您的帳戶中建立連結。此連結用於該檔案系統,也可以用於其他 FSx for ONTAP檔案系統。您也可以稍後關聯檔案系統的連結。

連結需要驗證。您可以使用儲存在 Workload Factory 憑證服務中的憑證或儲存在 AWS Secrets Manager 中的憑證來驗證連結。每個連結僅支援一種身份驗證方法。例如,如果您選擇使用 AWS Secrets Manager 進行連結驗證,則以後無法變更身份驗證方法。

註 使用 Connector 時不支援 AWS Secrets Manager 。

建立新連結的關聯

建立新連結的關聯包括連結建立和關聯。

在此工作流程中,您有兩個建立連結的選項 - 自動或手動。您必須在 AWS 帳戶中啟動 AWS CloudForgation 堆疊、才能建立連結。

  • 自動:透過 Workload Factory 建立自動註冊的連結。自動建立的連結需要用於 Workload Factory 自動化的令牌,並且 CloudFormation 程式碼是短暫的。最多只能使用六個小時。

  • 手動:使用 Codebox 中的 CloudFormation 或 Terraform 建立帶有手動註冊的連結。程式碼持續存在,為您提供更多時間來完成操作。這在與安全性和 DevOps 等不同的團隊合作時很有用,因為他們可能首先需要授予完成連結建立所需的權限。

開始之前

  • 您應該考慮要使用哪個連結建立選項。

  • 您需要在 Workload Factory 中至少有一個 FSx for ONTAP檔案系統。若要發現或建立 FSx for ONTAP檔案系統,您必須擁有一個具有 FSx for ONTAP執行個體權限的 AWS 帳戶,且"在 Workload Factory 中新增憑證"具有儲存管理的_唯讀_或_讀/寫_權限。

  • 必須在與 FSx for ONTAP 檔案系統關聯的安全性群組中開啟下列連接埠以實現連結連線。

    • 對於 Workload Factory 控制台:連接埠 443 (HTTPS)

    • 對於 CloudShell:連接埠 22 (SSH)

  • 使用 CloudFormation 堆疊新增連結時、 AWS 帳戶必須具有下列權限:

    Details 
    "cloudformation:GetTemplateSummary",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStacks",
"cloudformation:ListStacks",
"cloudformation:DescribeStackEvents",
"cloudformation:ListStackResources",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"iam:ListRoles",
"iam:GetRolePolicy",
"iam:GetRole",
"iam:DeleteRolePolicy",
"iam:CreateRole",
"iam:DetachRolePolicy",
"iam:PassRole",
"iam:PutRolePolicy",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:CreateFunction",
"lambda:DeleteFunction",
"lambda:TagResource",
"codestar-connections:GetSyncConfiguration",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
自動建立

使用 CloudFormation 在 Workload Factory 內自動建立並註冊連結。

步驟

  1. 使用其中一項登"主控台體驗"入。

  2. 在儲存圖塊中,選擇*轉到儲存*。

  3. 從儲存選單中,選擇 FSx for ONTAP

  4. FSx for ONTAP 中,選擇要關聯連結的檔案系統的操作選單,然後選擇 關聯連結

  5. 在關聯連結對話方塊中、選取 * 建立新連結 * 、然後選取 * 繼續 * 。

  6. 在「建立連結」頁面上、提供下列項目:

    1. * 連結名稱 * :輸入您要用於此連結的名稱。名稱在您的帳戶中必須是唯一的。

    2. AWS Secrets Manager:可選。允許 Workload Factory 從您的 AWS Secrets Manager 取得 FSx for ONTAP存取憑證。

      連結部署堆疊會自動將以下預設金鑰管理器 ARN 正規表示式新增至 Lambda 權限策略: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret*

      您可以根據預設權限建立機密,或為連結原則指派自訂權限。

      • 將 VPC 私有端點設定為 AWS Secrets Manager* 預設為停用。選取此選項會使用 VPC 私有端點儲存機密,而非儲存在本機。

    3. 連結權限:選擇以下連結權限選項之一:

      • 自動:選擇此選項,以便 AWS CloudFormation 程式碼自動建立 Lambda 權限原則和執行角色。

      • 使用者提供:選擇此選項可將指定的 Lambda 執行角色及其附加的策略指派給 Lambda 連結。 Lambda需要以下權限。 `secretsmanager:GetSecretValue`僅當您啟用 AWS Secrets Manager 時才需要權限。

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses",
"secretsmanager:GetSecretValue"

        在文字方塊中輸入 Lambda 執行角色 ARN。

    4. * 標記 * :您也可以選擇新增任何標記來與此連結建立關聯、以便更輕鬆地將資源分類。例如、您可以新增一個標記、將此連結識別為由 FSX 用於 ONTAP 檔案系統。

      工作負載工廠根據 FSx for ONTAP檔案系統自動擷取 AWS 帳戶、位置和安全群組。

  7. 選擇* Create (建立)。

    出現「重新導向到 CloudFormation」對話方塊並解釋如何從 AWS CloudFormation 服務建立連結。

  8. 選取 * 繼續 * 以開啟 AWS 管理主控台、然後登入此 ONTAP 檔案系統的 AWS 帳戶。

  9. 在「快速建立堆疊」頁面的「功能」下、選取 * 我瞭解 AWS CloudForgation 可能會建立 IAM 資源 * 。

    請注意、當您啟動 CloudForgation 範本時、 Lambda 會獲得三個權限。工作負載工廠在使用連結時會使用這些權限。

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

  10. 選取 * 建立堆疊 * ,然後選取 * 繼續 * 。

    您可以在事件頁面上監控連結建立狀態。這應該不會超過 5 分鐘。

  11. 返回 Workload Factory 介面,您將看到該連結與 FSx for ONTAP檔案系統相關聯。

手動建立

您可以使用 Codebox 中的兩個基礎架構即程式碼 (IaC) 工具建立連結:CloudFormation 或 Terraform。使用此選項,您可以從 AWS CloudFormation 中提取連結的 ARN 並在此處報告。工作負載工廠手動為您註冊連結。

步驟

  1. 使用其中一項登"主控台體驗"入。

  2. 在儲存圖塊中,選擇*轉到儲存*。

  3. 從儲存選單中,選擇 FSx for ONTAP

  4. FSx for ONTAP 中,選擇要關聯連結的檔案系統的 actionsenu,然後選擇 Associate link

  5. 在關聯連結對話方塊中、選取 * 建立新連結 * 、然後選取 * 繼續 * 。

  6. 在建立連結頁面上,從 Codebox 中選擇 CloudFormation 或 Terraform,然後提供以下內容:

    1. * 連結名稱 * :輸入您要用於此連結的名稱。名稱在您的帳戶中必須是唯一的。

    2. AWS Secrets Manager:可選。允許 Workload Factory 從您的 AWS Secrets Manager 取得 FSx for ONTAP存取憑證。

      連結部署堆疊會自動將以下預設金鑰管理器 ARN 正規表示式新增至 Lambda 權限策略: arn:aws:secretsmanager:<link_deployment_region>:<link_deployment_account_id>:secret:FSxSecret*

      您可以根據預設權限建立機密,或為連結原則指派自訂權限。

      • 將 VPC 私有端點設定為 AWS Secrets Manager* 預設為停用。選取此選項會使用 VPC 私有端點儲存機密,而非儲存在本機。

    3. 連結權限:選擇以下連結權限選項之一:

      • 自動:選擇此選項,以便 AWS CloudFormation 程式碼自動建立 Lambda 權限原則和執行角色。

      • 使用者提供:選擇此選項可將指定的 Lambda 執行角色及其附加的策略指派給 Lambda 連結。 Lambda需要以下權限。 `secretsmanager:GetSecretValue`僅當您啟用 AWS Secrets Manager 時才需要權限。

        "ec2:CreateNetworkInterface",
"ec2:DescribeNetworkInterfaces",
"ec2:DeleteNetworkInterface",
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses"
"secretsmanager:GetSecretValue"

        在文字方塊中輸入 Lambda 執行角色 ARN。

    4. * 標記 * :您也可以選擇新增任何標記來與此連結建立關聯、以便更輕鬆地將資源分類。例如、您可以新增一個標記、將此連結識別為由 FSX 用於 ONTAP 檔案系統。

    5. 連結註冊:選擇CloudFormation或Terraform以取得如何註冊連結的說明,並依照指示進行操作。

      請注意、當您啟動 CloudForgation 範本時、 Lambda 會獲得三個權限。工作負載工廠在使用連結時會使用這些權限。

    "lambda:InvokeFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"

    + 成功建立堆疊後、將 Lambda ARN 貼到文字方塊中。

    1. 工作負載工廠根據 FSx for ONTAP檔案系統自動擷取 AWS 帳戶、位置和安全群組。

  7. 選擇* Create (建立)。

    您可以在事件頁面上監控連結建立狀態。這應該不會超過 5 分鐘。

  8. 返回 Workload Factory 介面,您將看到該連結與 FSx for ONTAP檔案系統相關聯。

結果

工作負載工廠將連結與 FSx for ONTAP檔案系統關聯。您可以執行進階ONTAP操作。

將現有連結與適用於 ONTAP 檔案系統的 FSX 建立關聯

建立連結之後,請將其與 ONTAP 檔案系統的一或多個 FSX 建立關聯。

步驟

  1. 使用其中一項登"主控台體驗"入。

  2. 在儲存圖塊中,選擇*轉到儲存*。

  3. 從儲存選單中,選擇 FSx for ONTAP

  4. FSx for ONTAP 中,選擇要關聯連結的檔案系統的操作選單,然後選擇 關聯連結

  5. 在「建立關聯」連結頁面中,選取 * 建立現有連結的關聯 * ,選取連結,然後選取 * 繼續 * 。

  6. 選取驗證模式。

    • Workload Factory :輸入密碼兩次。

    • AWS Secrets Manager :輸入機密 ARN 。

      確保密鑰 ARN 包含下列密鑰有效對,儘管 filesystemID 是可選的。

      • 檔案系統ID = FSx_filesystem_id(可選)

      • 使用者 = FSx_user

      • 密碼 = user_password

        註 使用 AWS Secrets Manager 進行身份驗證需要一個用戶,可以是您提供的 FSx_user,也可以是在 FSx for ONTAP檔案系統上建立的其他用戶。預設用戶是 `fsxadmin`如果您不提供使用者。

  7. 選擇*應用*。

結果

此連結與適用於 ONTAP 檔案系統的 FSX 相關聯。您可以執行進階 ONTAP 作業。

疑難排解 AWS Secrets Manager 連結驗證的問題

問題

連結缺少擷取機密的權限。

  • 解析度 * :在連結啟用後新增權限。登入 AWS 主控台,找到 Lambda 連結,然後編輯附加的權限原則。

問題

找不到機密。

  • 解決方法 * :提供正確的秘密 ARN 。

問題

機密格式不正確。

  • 解析度 * :前往 AWS Secrets Manager 並編輯格式。

密碼應包含下列金鑰有效配對:

  • filesystemID = fsx_filesystem_id

  • 使用者名稱 = FSx_user

  • 密碼 = user_password

問題

機密不包含用於檔案系統驗證的有效 ONTAP 認證。

  • 解析度 * :提供認證,可在 AWS Secrets Manager 中驗證 ONTAP 檔案系統的 FSX 。