Windchill Dateidepots für die Verwendung von Azure Blobs konfigurieren
In diesem Abschnitt werden die Konfigurationen erläutert, die in Windchill und im Azure-Portal erforderlich sind, um die Verwendung von Azure Blobs zu ermöglichen, wenn Windchill auf einer virtuellen Azure-Maschine (VM) ausgeführt wird.
|
• Eine Verbindung zu Azure Blobs mit Windchill (lokal) wird nicht unterstützt.
• Die in diesem Abschnitt beschriebenen Konfigurationen müssen erneut ausgeführt werden, nachdem Sie die vorhandene Windchill Version aktualisiert haben.
|
Azure-Portal – Konfiguration
Erforderliche Konfigurationen im Azure-Portal sind das Hinzufügen der erforderlichen Komponenten und das Einrichten der Zugriffssteuerung. Sie müssen Berechtigungen konfigurieren und Zugriff auf das Azure-Portal für Windchill festlegen, um erfolgreich mit Azure Blobs zu arbeiten.
Windchill unterstützt zwei Mechanismen zum Konfigurieren der Authentifizierung:
• MSI – Dies ist eine bevorzugte Option, die verwendet werden kann, wenn Azure-VM mit MSI aktiviert ist.
• SECURITY_CREDENTIALS – Dies ist ein Fallback-Mechanismus, wenn die MSI-Option nicht verwendet werden kann. Bei dieser Option speichert Windchill die Anmeldeinformationen auf sichere Weise und verwendet sie für die Kommunikation mit Azure.
Vorbereitung
Erstellen Sie vor dem Konfigurieren von Azure Blobs für Windchill die folgenden Entitäten im Azure-Portal:
• Storage-Konten – Account kind muss auf Standard (general purpose v2) festgelegt werden.
• Für Azure-VMs muss Managed Service Identity (MSI) aktiviert sein.
• Schlüsseldepotschlüssel – Diese Entität ist optional und muss erstellt werden, wenn Sie vorhaben, Schlüsseldepot-Verschlüsselung zu verwenden.
Richtlinie für ein MSI-Benutzerkonto hinzufügen
Der MSI-fähigen Azure-VM für Ihre Speicherkonten muss die Rolle Storage Blob Data Contributor gewährt werden. Gehen Sie wie folgt vor, um die Rolle hinzuzufügen:
1. Melden Sie sich bei Ihrem Azure-Portal an.
2. Navigieren Sie zu Ihrem Speicherkonto.
3. Gehen Sie zu Access Control(IAM).
4. Klicken Sie auf Add.
5. Wählen Sie Storage Blob Data Contributor aus, und weisen Sie Zugriff auf Ihre MSI-konfigurierte Azure-VM zu.
|
Wenn Sie speicherkontoübergreifend kopieren möchten, weisen Sie Storage Account Contributor statt Storage Blob Data Contributor zu. Dies geschieht, wenn Sie mehrere Speicherkonten für Ihre Depots haben, wie es der Fall bei Inhaltsreplikation mit Remote-Dateiservern wäre.
|
6. Klicken Sie auf Save. Ihre Azure-VM ist nicht MSI-fähig.
Schlüsseldepot-Verschlüsselung in Azure Blob festlegen
Um die Schlüsseldepot-Verschlüsselung zu aktivieren, müssen Sie diese Schritte in Ihrem Azure-Portal durchführen:
1. Erstellen Sie ein Schlüsseldepot, und generieren Sie einen Schlüssel.
2. Erstellen Sie eine Anwendung.
3. Verknüpfen Sie die Anwendung mit dem Schlüssel.
Schlüsseldepot erstellen und Schlüssel generieren
Um ein Schlüsseldepot zu erstellen und einen Schlüssel zu generieren, befolgen Sie diese Schritte in Ihrem Azure-Portal:
1. Klicken Sie im Dashboard auf + Create a resource.
2. Suchen Sie im Fenster New nach Key Vault.
3. Klicken Sie auf Erstellen. Machen Sie bei Name, Subscription, Resource Group, Location eine Eingabe, und klicken Sie auf Create.
4. Key Vault wird erfolgreich generiert und eine Übersichtsseite angezeigt. Beachten Sie DNS Name auf dieser Seite.
|
Die KeyVaultKeyIDURL ist die Kombination aus DNS Name und dem Name des Schlüssels. Wenn der Name des Schlüssels beispielsweise KeyVaultKey und DNS Name https://contentkeyvault.vault.azure.net/ ist, ist die KeyVaultKeyIDURL https://contentkeyvault.vault.azure.net/keys/KeyVaultKey. Die KeyVaultKeyIDURL ist für das benutzerdefinierte Java-Programm in Windchill erforderlich.
|
5. Klicken Sie auf > .
6. Machen Sie bei Name eine Eingabe.
7. Wählen Sie für Key Type den Typ RSA aus.
8. Wählen Sie RSA Key Size aus, und klicken Sie auf Create.
9. Key wird erfolgreich erstellt.
|
Der VALUE des Schlüssels ist AuthKey (verwendet vom benutzerdefinierten Java-Programm in Windchill). Notieren Sie ihn, da er später nicht abgerufen werden kann.
|
Anwendung erstellen
Um eine neue Anwendung zu erstellen, führen Sie folgende Schritte in Ihrem Azure-Portal durch:
1. Klicken Sie im Dashboard auf > > .
2. Machen Sie bei Name, Application Type und Sign-on URL eine Eingabe, und klicken Sie auf Create.
3. Die Anwendung wird erfolgreich erstellt.
|
Application ID ist die AppId, die für das benutzerdefinierte Java-Programm in Windchill benötigt wird.
|
Anwendung mit dem Schlüssel verknüpfen
Um Anwendung und Schlüssel zu verknüpfen, führen Sie folgende Schritte in Ihrem Azure-Portal durch:
1. Öffnen Sie im Dashboard > > > .
2. Suchen Sie nach Ihrem Anwendungsnamen, und klicken Sie auf Auswählen.
3. Wählen Sie bei Key permissions die Option Select all aus, und klicken Sie auf OK.
4. Anwendung und Schlüssel werden erfolgreich verknüpft. Das Setup der Schlüsseldepot-Verschlüsselung in Azure Blob ist abgeschlossen.
Zugriffssteuerung konfigurieren – wichtige Punkte
• Wenn Sie sich mit Kontoname und -schlüssel authentifizieren, hat Windchill administrativen Zugriff auf Ihr Speicherkonto.
• Wenn Sie MSI verwenden und die Rolle Storage Blob Data Contributor zuweisen, hat Windchill administrativen Zugriff auf Ihr Speicherkonto.
• Wenn Sie die Rolle Storage Blob Data Reader zuweisen, hat Windchill nur Lesezugriff auf Ihr Speicherkonto.
Windchill Konfigurationen
Sie können Windchill zum Verwenden von Azure Blobs mithilfe des Befehlszeilentools konfigurieren.
Vorbereitung
Dieses Befehlszeilentool besteht aus Konfigurationsfeldern. Drücken Sie die EINGABETASTE, um eine bestimmte Konfiguration zu überspringen. Das Befehlszeilentool zeigt die vorhandene Konfiguration an. Die Konfiguration wird automatisch an alle registrierten Dateiserver, d.h. Replikat-Sites, gesendet. Sie können mehrere Azure Blob Storage-Konten mit SECURITY_CREDENTIALS als Authentifizierungsmethode konfigurieren.
Führen Sie den folgenden Befehl in der Windchill Shell aus, um Azure Blobs zu konfigurieren:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool configure -u <username> -p <password>.
Führen Sie die folgenden Schritte aus, um das Konto zu konfigurieren.
1. Authentication Strategy: (SECURITY_CREDENTIALS/MSI)? [SECURITY_CREDENTIALS] – Der Standardwert ist SECURITY_CREDENTIALS. Wenn Sie die MSI-Option auswählen, sind die Schritte 3 und 4 nicht anwendbar.
2. Azure Environment: (AZURE/AZURE_US_GOVERNMENT)? [AZURE] – Der Standardwert ist AZURE. Geben Sie die Azure-Umgebung gemäß dem Azure Blob Storage-Konto ein, das Sie konfigurieren möchten.
3. Möchten Sie das Azure Blob Storage-Konto hinzufügen oder aktualisieren? (j/n) – Geben Sie j ein, um das Azure Blob Storage-Konto hinzuzufügen oder zu aktualisieren.
◦ Azure Storage Account Name – Geben Sie den Kontonamen ein, den Sie konfigurieren möchten.
◦ Azure Storage Account Key – Geben Sie die Zugriffsschlüssel-ID für Ihr Azure-Konto ein.
◦ Möchten Sie das Azure Blob Storage-Konto hinzufügen oder aktualisieren? (j/n) – Geben Sie n ein, um zum nächsten Schritt zu wechseln.
4. Möchten Sie ein vorhandenes Azure Blob Storage-Konto entfernen? (j/n) – Geben Sie j ein, um das vorhandene Azure Blob Storage-Konto zu entfernen.
◦ Azure Storage Account Name – Geben Sie den Namen des Kontos ein, das Sie entfernen möchten.
◦ Möchten Sie ein vorhandenes Azure Blob Storage-Konto entfernen? (j/n) – Geben Sie n ein, um zum nächsten Schritt zu wechseln.
5. Blob Encryption Configurator Delegate Name – Geben Sie den Delegate-Namen ein, um den Verschlüsselungstyp zu wählen. Der Verschlüsselungstyp wird verwendet, um den in Azure Blob gespeicherten Inhalt zu verschlüsseln.
6. SSEKeyVaultKeyProvider Delegate Name – Geben Sie den Delegate-Namen ein, um die KMS-Schlüssel-ID zu wählen. Die KMS-Schlüssel-ID wird verwendet, um den in Azure Blob gespeicherten Inhalt zu verschlüsseln.
7. CSESecKeyGenerator Delegate Name – Geben Sie den Delegate-Namen ein, um die geheimen Schlüssel zu verwalten. Der vom Delegate zurückgegebene geheime Schlüssel wird verwendet, um den in Azure Blob gespeicherten Inhalt zu verschlüsseln.
Weitere Einzelheiten zur Verschlüsselung finden Sie unter dem Thema
Verschlüsselungsanpassung für Azure Blob Storage-Zuordnungen.
Um die Konfigurationen zu validieren, können Sie einen Bericht mit dem folgenden Befehlszeilen-Tool generieren:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool generateReport -u <username> -p <password>
|
• Wenn die Konfiguration für Delegate-Namen geändert wird, starten Sie die Haupt- und Replikatserver neu, damit die Konfiguration wirksam wird.
• Windchill unterstützt jetzt die sichere Dateiübertragung. Sie können Ihr Azure Blob Storage-Konto so konfigurieren, dass nur Anforderungen von sicheren Verbindungen akzeptiert werden, indem Sie die Eigenschaft Secure transfer required für das Azure Blob Storage-Konto auf "Enabled" festlegen. Sie können die sichere Übertragung nach der hier angegebenen Vorgehensweise aktivieren.
• Es wird dringend empfohlen, Secure transfer required aktiviert zu lassen, um sichere Verbindungen zum Azure Blob Storage zu gewährleisten.
|
Zu Azure Blob Storage zuordnen
Vorbereitung
Erstellen Sie einen Ordner im Azure-Portal im gewünschten Zuordnungspfad. Führen Sie die folgenden Schritte aus:
1. Melden Sie sich bei Ihrem Azure-Portal an, und navigieren Sie zu Blobs.
2. Klicken Sie auf Hochladen.
3. Wählen Sie eine Beispiel-Textdatei aus, und geben Sie auf der Registerkarte Advanced den gewünschten Ordnernamen bei Upload to folder an.
4. Klicken Sie auf Hochladen. Der Ordner wird erfolgreich erstellt. Notieren Sie den Pfad vom Azure-Portal.
Stammordner aus Windchill zuordnen
Wählen Sie in Windchill Azure Blob Storage als Zuordnungstypbeim Zuordnen des Stammordners aus. Der Zuordnungspfad muss das folgende Muster aufweisen:
<StorageAccountName>/<ContainerName>/<PathtoDesiredFolder>
. Wenn der Name des Speicherkontos StorageForUSA, der Name des Containers Container-in-USA und der Pfad VaultsForWindchill/RootFolderMountLocation ist, müssen Sie bei Zuordnungspfad Folgendes eingeben:
StorageForUSA/Container-in-USA/VaultsForWindchill/RootFolderMountLocation