Configurar API REST de objetos para Azure NetApp Files (pré-visualização)

Azure NetApp Files suporta acesso a objetos com a funcionalidade object REST API. Com a API REST de objetos, pode ligar-se a serviços como Pesquisa de IA do Azure, Microsoft Fabric, Microsoft Foundry, Azure Databricks, OneLake e outros clientes compatíveis com S3.

Este artigo descreve como configurar o acesso à API REST dos objetos e guia-o pelos dois fluxos de trabalho de certificados suportados. Escolha o fluxo de trabalho que melhor se adequa aos seus requisitos de segurança e operacionais.

Registar a funcionalidade

A funcionalidade REST API de objetos no Azure NetApp Files está atualmente em pré-visualização. É necessário registar a função antes de a usares pela primeira vez.

1. Registar a funcionalidade:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEnableObjectRESTAPI 
   

2. Verifique o estado do registo da funcionalidade:

   Observação

   O RegistrationState pode estar no Registering estado por até 60 minutos antes de mudar paraRegistered. Aguarde até que o status seja Registrado antes de continuar.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEnableObjectRESTAPI 
   

Também pode usar os comandos CLI do Azureaz feature register e az feature show para registar a funcionalidade e mostrar o estado do registo.

Criar o certificado autoassinado

O Azure NetApp Files suporta duas opções de certificado para o acesso à API REST de objetos:

1. Certificados baseados em Azure Key Vault (recomendado): Os certificados são criados e armazenados no Azure Key Vault e o certificado é recuperado diretamente do Azure Key Vault durante a criação do bucket.

2. Carregamento direto de certificados: Os certificados PEM são gerados e carregados manualmente durante a criação do bucket.

Deve selecionar uma das seguintes opções:

Opção 1 (recomendada): certificado baseado no Azure Key Vault

Use esta opção se quiser que o Azure NetApp Files leia o certificado diretamente do Azure Key Vault durante a criação do bucket.

Consulte a documentação Azure Key Vault para adicionar um certificado ao Key Vault.

Ao criar o certificado no Azure Key Vault, certifique-se:

• Tipo de Conteúdo: PKCS#12
• Sujeito: Endereço IP ou nome de domínio totalmente qualificado (FQDN) do seu endpoint Azure NetApp Files usando o formato "CN=<IP or FQDN>"
• Nomes DNS: Endereço IP ou FQDN

Depois de o certificado ser criado com sucesso, clique nele na lista e reveja as propriedades.

• No campo Identificador de Certificado, note o URI do vault "https://<vault_name.azure.net>"
• Note o nome do certificado

Permissões necessárias do Azure Key Vault

Para evitar falhas na criação de buckets, certifique-se de que o serviço Azure NetApp Files tem permissão para ler o certificado do Azure Key Vault.

No mínimo, devem ser concedidas as seguintes permissões:

• Certificados: Obter, Listar, Atualizar, Criar, Importar, Gerir Autoridades Certificadoras, Obter Autoridades Certificadoras, Listar Autoridades Certificadoras, Definir Autoridades Certificadoras, Eliminar Autoridades Certificadoras
• Segredos: Obter, Listar, Definir, Eliminar

Opção 2: Upload direto do certificado

Use esta opção se planeia gerar o certificado e carregá-lo manualmente durante a criação do bucket.

Ao criar o certificado, certifique-se:

• Tipo de Conteúdo: PEM
• Sujeito: Endereço IP ou nome de domínio totalmente qualificado (FQDN) do seu endpoint Azure NetApp Files usando o formato "CN=<IP or FQDN>"
• Nomes DNS: Endereço IP ou FQDN

Gerar o certificado

Use o script fornecido para gerar um certificado PEM auto-assinado. O script cria tanto os ficheiros de certificado como de chave privada necessários para o upload. Defina o nome CN= do computador como o endereço IP ou FQDN (nome de domínio totalmente qualificado) do ponto de extremidade habilitado para API REST do objeto. Este script cria uma pasta que inclui o arquivo PEM necessário e chaves privadas.

Crie e execute o seguinte script:

#!/bin/sh
# Define certificate details 
CERT_DAYS=365 
RSA_STR_LEN=2048 
CERT_DIR="./certs" 
KEY_DIR="./certs/private" 
CN="mylocalsite.local" 

# Create directories if they don't exist 
mkdir -p $CERT_DIR 
mkdir -p $KEY_DIR 

# Generate private key 
openssl genrsa -out $KEY_DIR/server-key.pem $RSA_STR_LEN 

# Generate Certificate Signing Request (CSR) 
openssl req -new -key $KEY_DIR/server-key.pem -out $CERT_DIR/server-req.pem -subj "/C=US/ST=State/L=City/O=Organization/OU=Unit/CN=$CN" 

# Generate self-signed certificate 
openssl x509 -req -days $CERT_DAYS -in $CERT_DIR/server-req.pem -signkey $KEY_DIR/server-key.pem -out $CERT_DIR/server-cert.pem 

echo "Self-signed certificate created at $CERT_DIR/server-cert.pem"

Depois de criado o certificado, terá de criar um bucket.

Criar um bucket

Para ativar a API REST do objeto, deve criar um bucket num volume Azure NetApp Files.

1. A partir do seu volume NetApp, selecione Buckets.

2. Selecione +Criar ou atualizar bucket.

3. Em Criar ou atualizar bucket, forneça a seguinte informação para o bucket:

   Configuração do Bucket

   • Nome

     Especifique o nome do bucket. Consulte as regras e restrições de nomenclatura para recursos do Azure para convenções de nomenclatura.

   • Path

     O caminho do subdiretório para a API REST do objeto. Para acesso completo ao volume, deixe este campo em branco ou use / para o diretório raiz.

   Acesso ao protocolo

   • Volume NFS

     • ID de utilizador (UID)

       O UID é usado para aceder ao bucket.

     • ID do Grupo (GID)

       O GID usado para aceder ao bucket.

   • Volume das PME

     • Nome de utilizador

       O ID usado para ler o bucket.

   • Permissões

     Selecione Só Leitura ou Ler e escrever.

   

4. Selecione Guardar.

   São necessários detalhes adicionais para criar o primeiro 'bucket' num conjunto de volumes que partilham o mesmo endereço IP.

   Gestão de certificados

   • Nome de domínio totalmente qualificado

     Entra o endpoint FQDN usado pelos clientes para aceder aos buckets.

   Origem do certificado

   • Azure Key Vault

     • Vault URI

       Selecione o nome na lista suspensa.

     • Nome secreto

       Introduza o nome do certificado.

   • Certificado de upload

     Selecione a opção de certificado para carregar diretamente um ficheiro de certificado.

     Se ainda não forneceu um certificado, carregue o ficheiro PEM.

     • Fonte do certificado.

       Carregue o certificado apropriado. Apenas os ficheiros PEM são suportados.

   Armazenamento de credenciais

   • Azure Key Vault

     • Vault URI

       Selecione o nome na lista suspensa.

     • Nome secreto

       Inscreva o nome do segredo. O nome secreto é definido pelo utilizador e pode ter qualquer valor que cumpra as diretrizes de nomeação.

   • Chave de acesso

     Ao selecionar esta opção, as chaves de acesso são geradas após a criação do bucket e são exibidas uma vez no portal Azure. Deve copiar manualmente os dois valores e armazená-los de forma segura.

5. Selecione Guardar para validar a configuração.

6. Selecione Criar para provisionar o bucket.

Depois de criar um bucket, você precisa gerar credenciais para acessar o bucket.

Gerar credenciais

O comportamento de geração de credenciais depende da opção de armazenamento de credenciais que selecionou.

1. Navegue até ao bucket recém-criado.

2. Selecione Gerar credenciais.

3. Introduza a vida útil da chave de acesso desejada em dias e depois selecione Gerar credenciais.

   credenciais baseadas no Azure Key Vault

   • As credenciais são geradas e armazenadas de forma segura no Azure Key Vault.
   • As credenciais não são exibidas no portal Azure.
   • Deves recuperar as credenciais diretamente do Key Vault configurado.

   Depois de geradas as credenciais, execute o seguinte:

   1. Certifique-se de que o segredo é criado no Key Vault especificado.

   2. Verifique o segredo:

      1. Navegue até ao seu cofre de chaves no portal Azure.
      2. Selecione Objetos e depois selecione Segredos.
      3. Confirma que <secret_name> foi criado.

   Aceder a credenciais baseadas em chaves

   Ao usar upload direto de certificados:

   • A chave de acesso e a chave de acesso secreta são exibidas uma vez no portal Azure.
   • Deves copiar e guardar ambos os valores de forma segura.
   • As credenciais não podem ser recuperadas novamente após a exibição inicial.

   Importante

   A chave de acesso e a chave de acesso secreta são exibidas apenas uma vez. Deves copiar e guardar as chaves de forma segura. Se estiverem perdidos, deverá gerar novas credenciais.

   Regeneração de credenciais

   Depois de definidas as credenciais, pode gerar novas credenciais selecionando os três pontos (…) no bucket e selecionando Gerar credenciais.

   Importante

   Gerar novas credenciais invalida imediatamente as credenciais existentes.

Atualizar o acesso ao bucket

Você pode modificar as configurações de gerenciamento de acesso de um bucket.

• ID de utilizador / Nome de utilizador
• ID do grupo
• Permissões

1. A partir do seu volume NetApp, selecione Buckets.
2. Selecione +Criar ou atualizar bucket.
3. Digite o nome do bucket que você deseja modificar.
4. Altere as configurações de gerenciamento de acesso conforme necessário.
5. Clique em Salvar para modificar o bucket existente.

Excluir um bucket

Eliminar um bucket remove-o permanentemente e todas as configurações associadas. Não é possível recuperar o bucket depois de eliminá-lo.

1. Na sua conta NetApp, navegue até Buckets.
2. Selecione os três pontos (…) ao lado do bucket que quer eliminar.
3. Selecione Eliminar.
4. Na janela Delete bucket, selecione Delete para confirmar que quer eliminar o bucket.

Próximos passos

• Compreender a API REST do objeto
• Liga-te ao Azure Databricks
• Conectar-se a um navegador S3
• Conecte-se ao OneLake