企業管理 > 檔案存放與複製 > 檔案存放 > 使用外部檔案儲存庫 > 配置 Windchill 檔案儲存庫,以使用 Azure Blob
配置 Windchill 檔案儲存庫,以使用 Azure Blob
本節說明 Windchill 及 Azure 入口網站所需的組態,以便 Windchill 在 Azure 虛擬機器 (VM) 中執行時使用 Azure Blob。
* 
內部部署 Windchill 執行時,不支援連線至 Azure Blob。
您必須在更新或升級現有 Windchill 版本之後,再次執行本節所述的組態。
Azure 入口網站組態
必須在 Azure 入口網站執行的組態包括新增必要的元件,以及設定存取控制。您必須在 Azure 入口網站上配置權限並設定存取權限,Windchill 才能順利與 Azure Blob 搭配使用。
Windchill 支援使用兩種機制來配置驗證:
MSI - 此偏好選項可在透過 MSI 啟用 Azure VM 時使用。
SECURITY_CREDENTIALS - 此為無法使用 MSI 選項時的一種回退機制。在此選項中,Windchill 會安全地儲存認證,並使用它來與 Azure 進行通訊。
事前準備
Windchill 配置 Azure Blob 之前,請先在 Azure 入口網站上建立下列圖元:
儲存帳戶 - Account kind 必須是 Standard (general purpose v2)
啟用管理服務識別 (MSI) 的 Azure VM。
金鑰儲存庫金鑰 - 此圖元為選用圖元,如果您計劃使用金鑰儲存庫加密,就必須建立此圖元。
為 MSI 使用者帳戶新增原則
您的儲存帳戶適用的 Azure VM (已啟用 MSI) 必須獲派「儲存 Blob 資料參與者」角色。執行下列步驟來新增角色︰
1. 登入 Azure 入口網站。
2. 導覽至您的儲存帳戶。
3. 轉至「存取控制 (IAM)」
4. 按一下「新增」
5. 選取「儲存 Blob 資料參與者」,並為已配置 MSI 的 Azure VM 指派存取權限。
* 
如果您想要跨不同的儲存帳戶來複製資料,請指派「儲存帳戶參與者」,而非指派「儲存 Blob 資料參與者」。如果您有多個儲存帳戶的儲存庫,就會發生這種情形,例如當您複製遠端檔案伺服器的內容時。
6. 按一下 Save。您的 Azure VM 並未啟用 MSI。
在 Azure Blob 中設定金鑰儲存庫加密
若要啟用金鑰儲存庫加密,您必須在 Azure 入口網站中執行下列步驟:
1. 建立金鑰儲存庫並產生金鑰
2. 建立應用程式
3. 將應用程式連結到金鑰
建立金鑰儲存庫並產生金鑰
若要建立金鑰儲存庫並產生金鑰,請在 Azure 入口網站執行下列步驟:
1. 從圖標板按一下「+ 建立資源」
2. 「新建」視窗中,搜尋 Key Vault
3. 按一下「建立」。輸入「名稱」「訂閱」「資源群組」「位置」,然後按一下「建立」
4. 「金鑰儲存庫」隨即順利產生,且「概觀」頁面隨即顯示。請注意本頁面的「DNS 名稱」
* 
KeyVaultKeyIDURL「DNS 名稱」和金鑰「名稱」的組合。例如,如果金鑰「名稱」KeyVaultKey,且「DNS 名稱」https://contentkeyvault.vault.azure.net/,則 KeyVaultKeyIDURLhttps://contentkeyvault.vault.azure.net/keys/KeyVaultKey。在 Windchill 中,自訂 Java 程式需要 KeyVaultKeyIDURL
5. 按一下「金鑰」 > 「+產生/匯入」
6. 輸入「名稱」
7. 選取作為 RSA「金鑰類型」
8. 選取「RSA 金鑰大小」,然後按一下「建立」
9. 「金鑰」隨即順利建立成完。
* 
金鑰的「值」Windchill 中的自訂 Java 程式所使用的 AuthKey。請務必記錄下來,因為之後無法再取得。
建立應用程式
若要建立新的應用程式,請在 Azure 入口網站執行下列步驟:
1. 從圖標板按一下「Azure 使用中的目錄」 > 「應用程式註冊」 > 「+註冊新應用程式」
2. 輸入「名稱」「應用程式類型」「登入 URL」,然後按一下「建立」
3. 應用程式隨即順利建立完成。
* 
「應用程式 ID」 就是 Windchill 中的自訂 Java 程式需要的 AppId
將應用程式連結到金鑰
若要將應用程式與金鑰相連結,請在 Azure 入口網站執行下列步驟:
1. 從圖標板開啟「金鑰儲存庫」 > 「存取原則」 > 「+ 新增」 > 「選取主參與者」
2. 搜尋您的應用程式名稱,然後按一下「選取」
3. 「金鑰權限」中選取「全選」,然後按一下「確定」
4. 應用程式與金鑰隨即順利連結,Azure Blob 中的金鑰儲存庫加密設定即告完成。
配置存取控制 - 要點
如果您選擇使用帳戶名稱和金鑰進行驗證,Windchill 對您的儲存帳戶即有管理存取權限。
如果您選擇使用 MSI 並指派角色「儲存 Blob 資料參與者」,那麼 Windchill 對您的儲存帳戶即有管理存取權限。
且如果您指派「儲存 Blob 資料讀取者」角色,則 Windchill 對您的儲存帳戶只有讀取存取權限。
Windchill 組態
您可以將 Windchill 配置為使用指令行工具來使用 Azure Blob。
事前準備
此指令行工具由組態欄位組成。按下 ENTER 鍵可略過特定組態。指令行工具會顯示現有組態。組態會自動傳送到所有已註冊的檔案伺服器,即複本網站。您可以使用 SECURITY_CREDENTIALS 作為驗證策略來配置多個 Azure Blob 儲存帳戶。
Windchill 殼執行下列指令,以配置 Azure Blob:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool configure -u <username> -p <password>
執行下列步驟來配置帳戶︰
1. Authentication Strategy: (SECURITY_CREDENTIALS/MSI)? [SECURITY_CREDENTIALS] - 預設值為 SECURITY_CREDENTIALS。如果您選取 MSI 選項,步驟 3 與 4 不適用。
2. Azure Environment: (AZURE/AZURE_US_GOVERNMENT)? [AZURE] - 預設值為 AZURE。根據您要配置的 Azure Blob 儲存庫帳戶進入 Azure 環境。
3. 是否要新增或更新 Azure Blob 儲存帳戶?(y/n) - 鍵入 y 可新增或更新儲存帳戶
Azure Storage Account Name - 輸入欲配置的帳戶名稱。
Azure Storage Account Key - 為您的 Azure 帳戶輸入存取金鑰 ID。
是否要新增或更新 Azure Blob 儲存帳戶?(y/n) - 鍵入 n 可前往下一步
4. 是否要移除現有 Azure Blob 儲存帳戶?(y/n) - 鍵入 y 可移除現有儲存帳戶
Azure Storage Account Name - 輸入要移除的帳戶名稱。
是否要移除現有 Azure Blob 儲存帳戶?(y/n) - 鍵入 n 可前往下一步
5. Blob Encryption Configurator Delegate Name - 鍵入委派名稱以選擇加密類型。加密類型用來加密儲存在 Azure Blob 中的內容。
6. SSEKeyVaultKeyProvider Delegate Name - 鍵入委派名稱以選擇 KMS 金鑰 ID。KMS 金鑰 ID 用來加密儲存在 Azure Blob 中的內容。
7. CSESecKeyGenerator Delegate Name - 鍵入委派名稱以管理秘密金鑰。由委派傳回的秘密金鑰用來加密儲存在 Azure Blob 中的內容。
如需有關加密的詳細資訊,請參閱 Azure Blob 裝載的加密自訂主題。
若要驗證組態,您可以使用下列指令行工具來產生報告:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool generateReport -u <username> -p <password>
* 
如果變更與委派名稱相關的組態,請重新啟動主要伺服器與複本伺服器,以使組態生效。
現在,Windchill 支援安全檔案傳輸。您可以將您的 Azure 儲存帳戶配置為僅接受來自安全連線的請求,方法是針對儲存帳戶將 Secure transfer required 內容設定為 Enabled。您可以按照此處所述啟用安全傳輸。
強烈建議保持 Secure transfer required 為啟用狀態,以確保與 Azure Blob 儲存安全連線。
裝載至 Azure Blob 儲存
事前準備
在 Azure 入口網站內的所需裝載路徑中建立資料夾。請執行下列步驟:
1. 登入 Azure 入口網站,然後導覽至 Blobs
2. 按一下「上載」
3. 選取樣本文字檔案,然後在「進階」標籤的「上載至資料夾」中,提供所需的資料夾名稱。
4. 按一下「上載」。資料夾隨即順利建立完成。請注意源自 Azure 入口網站的路徑。
從 Windchill 裝載根資料夾
Windchill 中裝載根資料夾時,選取「裝載類型」作為 Azure Blob Storage,且「裝載路徑」必須符合下列模式:
<StorageAccountName>/<ContainerName>/<PathtoDesiredFolder>
例如,如果您的儲存帳戶名稱是 StorageForUSA、容器名稱是 Container-in-USA 且路徑是 VaultsForWindchill/RootFolderMountLocation,則您必須輸入如下「裝載路徑」:
StorageForUSA/Container-in-USA/VaultsForWindchill/RootFolderMountLocation
這是否有幫助?