Konfigurera objekt-REST-API för Azure NetApp Files (förhandsversion)

Azure NetApp Files stöder åtkomst till objekt med funktionen object REST API. Med objektets REST API kan du ansluta till tjänster som Azure AI-sökning, Microsoft Fabric, Microsoft Foundry, Azure Databricks, OneLake och andra S3-kompatibla klienter.

Den här artikeln beskriver hur du konfigurerar REST API-åtkomst för objekt och vägleder dig genom de två certifikatarbetsflöden som stöds. Välj det arbetsflöde som bäst matchar dina säkerhet och driftskrav.

Registrera funktionen

REST API-funktionen för objekt i Azure NetApp Files är för närvarande i förhandsversion. Du måste registrera funktionen innan du använder den för första gången.

  1. Registrera funktionen:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEnableObjectRESTAPI

  2. Kontrollera status för funktionsregistreringen:

    Anmärkning

    RegistrationState kan befinna sig i tillståndet Registering i upp till 60 minuter innan det ändras till Registered. Vänta tills statusen har registrerats innan du fortsätter.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFEnableObjectRESTAPI

Du kan också använda kommandona Azure CLIaz feature register och az feature show för att registrera funktionen och visa registreringsstatusen.

Skapa det självsignerade certifikatet

Azure NetApp Files stöder två certifikatalternativ för rest-API-åtkomst för objekt:

  1. Azure Key Vault-baserade certifikat (rekommenderas): Certifikat skapas och lagras i Azure Key Vault och certifikatet hämtas direkt från Azure Key Vault när bucketen skapas.

  2. Direkt certifikatuppladdning: PEM-certifikat genereras och laddas upp manuellt när bucketen skapas.

Viktigt!

De alternativ du väljer avgör vilket certifikatformat du måste generera (PKCS#12 vs PEM) och hur certifikatet tillhandahålls när bucketen skapas.

Du måste välja något av följande alternativ:

Använd det här alternativet om du vill att Azure NetApp Files ska läsa certifikatet direkt från Azure Key Vault när bucketen skapas.

Se dokumentationen Azure Key Vault för att lägga till ett certifikat i Key Vault.

När du skapar certifikatet i Azure Key Vault kontrollerar du följande:

  • Innehållstyp: PKCS#12
  • Subject: IP-adress eller fullständigt domännamn (FQDN) för din Azure NetApp Files slutpunkt med formatet "CN=<IP or FQDN>"
  • DNS-namn: IP-adress eller FQDN

Skärmbild av alternativ för att skapa certifikat.

När certifikatet har skapats klickar du på certifikatet i listan och granskar egenskaperna.

  • I fältet Certifikatidentifierare noterar du URI:n för valvet "https://< vault_name.azure.net>"
  • Anteckna namnet på certifikatet

Nödvändiga Azure Key Vault behörigheter

För att undvika fel vid bucketskapande kontrollerar du att Azure NetApp Files-tjänsten har behörighet att läsa certifikatet från Azure Key Vault.

Minst följande behörigheter måste beviljas:

  • Certifikat: Hämta, lista, uppdatera, skapa, importera, hantera certifikatutfärdare, hämta certifikatutfärdare, lista certifikatutfärdare, ange certifikatutfärdare, ta bort certifikatutfärdare
  • Hemligheter: Hämta, Lista, Ange, Ta bort

Anmärkning

Om dessa behörigheter saknas misslyckas det att skapa bucketar när Azure NetApp Files försöker hämta certifikatet.

Alternativ 2: Direkt certifikatuppladdning

Använd det här alternativet om du planerar att generera certifikatet och ladda upp det manuellt när bucketen skapas.

När du skapar certifikatet kontrollerar du följande:

  • Innehållstyp: PEM
  • Subject: IP-adress eller fullständigt domännamn (FQDN) för din Azure NetApp Files slutpunkt med formatet "CN=<IP or FQDN>"
  • DNS-namn: IP-adress eller FQDN

Generera certifikatet

Använd det angivna skriptet för att generera ett självsignerat PEM-certifikat. Skriptet skapar både certifikat- och privata nyckelfiler som krävs för uppladdning. Ange datornamnet CN= till IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för objektets REST API-aktiverade slutpunkt. Det här skriptet skapar en mapp som innehåller nödvändig PEM-fil och privata nycklar.

Skapa och kör följande skript:

#!/bin/sh
# Define certificate details 
CERT_DAYS=365 
RSA_STR_LEN=2048 
CERT_DIR="./certs" 
KEY_DIR="./certs/private" 
CN="mylocalsite.local" 

# Create directories if they don't exist 
mkdir -p $CERT_DIR 
mkdir -p $KEY_DIR 

# Generate private key 
openssl genrsa -out $KEY_DIR/server-key.pem $RSA_STR_LEN 

# Generate Certificate Signing Request (CSR) 
openssl req -new -key $KEY_DIR/server-key.pem -out $CERT_DIR/server-req.pem -subj "/C=US/ST=State/L=City/O=Organization/OU=Unit/CN=$CN" 

# Generate self-signed certificate 
openssl x509 -req -days $CERT_DAYS -in $CERT_DIR/server-req.pem -signkey $KEY_DIR/server-key.pem -out $CERT_DIR/server-cert.pem 

echo "Self-signed certificate created at $CERT_DIR/server-cert.pem"

När certifikatet har skapats måste du skapa en bucket.

Skapa en bucket

Om du vill aktivera rest-API för objekt måste du skapa en bucket på en Azure NetApp Files volym.

  1. Välj Buckets på din NetApp-volym.

  2. Välj +Skapa eller uppdatera bucket.

  3. I Skapa eller uppdatera bucket anger du följande information för bucketen:

    Bucketkonfiguration

    • Namn

      Ange namnet på bucketen. Se Naming-regler och begränsningar för Azure resurser för namngivningskonventioner.

    • Path

      Sökvägen för underkatalogen i objektets REST API. För fullständig volymåtkomst, lämna detta fält tomt eller använd / för rotkatalogen.

    Protokollåtkomst

    • NFS-volym

      • Användar-ID (UID)

        Det UID som användes för att komma åt bucketen.

      • Grupp-ID (GID)

        DEN GID som användes för att komma åt bucketen.

    • SMB-volym

      • Användarnamn

        ID:t som användes för att läsa bucketen.

    • Behörigheter

      Välj Skrivskyddad eller Läsa och skriva.

    Skärmbild av skapa en bucketmeny.

  4. Välj Spara.

    Ytterligare information behövs för att skapa den första bucketen på en uppsättning volymer som delar samma IP-adress.

    Certifikathantering

    • Fullständigt kvalificerat domännamn

      Ange det slutpunkts-FQDN som används av klienter för att komma åt bucketarna.

    Certifikatkälla

    • Azure Key Vault

      • Vault-URI

        Välj namnet i listrutan.

      • Hemligt namn

        Ange namnet på certifikatet.

    • Ladda upp certifikat

      Välj certifikatalternativet för att ladda upp en certifikatfil direkt.

      Om du inte har angett något certifikat laddar du upp PEM-filen.

      • Certifikatkälla.

        Ladda upp rätt certifikat. Endast PEM-filer stöds.

    Lagring av autentiseringsuppgifter

    • Azure Key Vault

      • Vault-URI

        Välj namnet i listrutan.

      • Hemligt namn

        Ange namnet på hemligheten. Det hemliga namnet är användardefinierat och kan vara valfritt värde som uppfyller riktlinjerna för namngivning.

    • Åtkomstnyckel

      När du väljer det här alternativet genereras åtkomstnycklar när bucketen har skapats och visas en gång i Azure-portalen. Du måste kopiera båda dessa värden manuellt och lagra dem på ett säkert sätt.

  5. Välj Spara för att verifiera konfigurationen.

  6. Välj Skapa för att etablera bucketen.

När du har skapat en bucket måste du generera autentiseringsuppgifter för att komma åt bucketen.

Generera autentiseringsuppgifter

Beteendet för skapandet av inloggningsuppgifter beror på vilket lagringsalternativ för dem du har valt.

  1. Gå till den nyligen skapade bucketen.

  2. Välj Generera autentiseringsuppgifter.

  3. Ange önskad livslängd för åtkomstnyckeln i dagar och välj sedan Generera autentiseringsuppgifter.

    Azure Key Vault-baserade autentiseringsuppgifter

    • Autentiseringsuppgifterna genereras och lagras säkert i Azure Key Vault.
    • Autentiseringsuppgifterna visas inte i Azure-portalen.
    • Du bör hämta autentiseringsuppgifterna direkt från den konfigurerade Key Vault.

    När autentiseringsuppgifterna har genererats utför du följande:

    1. Kontrollera att hemligheten har skapats i den angivna Key Vault.

    2. Verifiera hemligheten:

      1. Gå till ditt nyckelvalv i Azure-portalen.
      2. Välj Objekt och välj sedan Hemligheter.
      3. Bekräfta att <secret_name> har skapats.

    Åtkomst till nyckelbaserade autentiseringsuppgifter

    När du använder direkt certifikatuppladdning:

    • Åtkomstnyckeln och den hemliga åtkomstnyckeln visas en gång i Azure portalen.
    • Du bör kopiera och lagra båda värdena på ett säkert sätt.
    • Det går inte att hämta autentiseringsuppgifterna igen efter den första visningen.

    Viktigt!

    Åtkomstnyckeln och den hemliga åtkomstnyckeln visas bara en gång. Du bör kopiera och lagra nycklarna på ett säkert sätt. Om de går förlorade måste du generera nya autentiseringsuppgifter.

    Återskapa autentiseringsuppgifter

    När autentiseringsuppgifterna har angetts kan du generera nya autentiseringsuppgifter genom att välja de tre punkterna () i bucketen och välja Generera autentiseringsuppgifter.

    Viktigt!

    Om du genererar nya autentiseringsuppgifter ogiltigförklaras befintliga autentiseringsuppgifter omedelbart.

Uppdatera åtkomst till bucket

Du kan ändra åtkomsthanteringsinställningarna för en bucket.

  • Användar-ID/användarnamn
  • grupp-id
  • behörigheter
  1. Välj Buckets på din NetApp-volym.
  2. Välj +Skapa eller uppdatera bucket.
  3. Ange namnet på den bucket som du vill ändra.
  4. Ändra inställningarna för åtkomsthantering efter behov.
  5. Klicka på Spara för att ändra den befintliga bucketen.

Anmärkning

Du kan inte ändra skopans sökväg. Om du vill uppdatera en bucketsökväg tar du bort och återskapar bucketen med den nya sökvägen.

Ta bort en bucket

Om du tar bort en bucket raderas den och alla associerade konfigurationer permanent. Du kan inte återställa bucketen när du har raderat den.

  1. Gå till Buckets i ditt NetApp-konto.
  2. Välj de tre punkterna () bredvid den bucket som du vill ta bort.
  3. Välj Ta bort.
  4. I fönstret Ta bort bucket väljer du Ta bort för att bekräfta att du vill ta bort bucketen.

Nästa steg

  • Last updated on