Configuración de los depósitos de ficheros de Windchill para utilizar Azure Blob Storage
En esta sección se explican las configuraciones necesarias en Windchill y Azure Portal para permitir el uso de Azure Blobs cuando se ejecuta Windchill en una máquina virtual (VM) de Azure.
|
• No se soporta la conexión a Azure Blobs cuando Windchill se ejecuta localmente.
• Las configuraciones que se describen en esta sección se deben realizar de nuevo después de actualizar o mejorar la versión de Windchill existente.
|
Configuración de Azure Portal
Entre configuraciones que se deben realizar en Azure Portal se incluyen la adición de los componentes requeridos y la configuración del control de acceso. Se deben configurar permisos y definir el acceso en Azure Portal para que Windchill funcione correctamente con Azure Blobs.
Windchill soporta dos mecanismos para configurar la autenticación:
• MSI: se trata de una opción preferida que se puede utilizar cuando la máquina virtual de Azure está activada con MSI.
• SECURITY_CREDENTIALS: se trata de un mecanismo de reserva si no se puede utilizar la opción de MSI. En esta opción, Windchill almacena las credenciales de forma segura y la utiliza para comunicarse con Azure.
Antes de comenzar
Cree las siguientes entidades en Azure Portal antes de configurar Azure Blobs para Windchill:
• Cuentas de almacenamiento: Account kind debe ser Standard (general purpose v2).
• Azure VM con la opción Managed Service Identity (MSI) activada.
• Clave del depósito de claves: esta entidad es opcional y debe crearse si se tiene previsto utilizar la codificación del depósito de claves.
Adición de directivas para una cuenta de usuario MSI
A la máquina virtual de Azure con MSI activado para las cuentas de almacenamiento se le debe asignar el rol Colaborador de datos de blobs de almacenamiento. Lleve a cabo los siguientes pasos para añadir el rol:
1. Conéctese a Azure Portal.
2. Navegue hasta la cuenta de almacenamiento.
3. Vaya a Control de acceso (IAM).
4. Pulse en Añadir.
5. Seleccione Colaborador de datos de blobs de almacenamiento y asigne acceso a la máquina virtual de Azure configurada con MSI.
|
Si desea poder realizar copias entre cuentas de almacenamiento, asigne Colaborador de la cuenta de almacenamiento en lugar de Colaborador de datos de blobs de almacenamiento. Esto sucede si hay varias cuentas de almacenamiento para los depósitos, como sería el caso de la replicación de contenido con servidores de ficheros remotos.
|
6. Pulse en Guardar. La máquina virtual de Azure no tiene MSI activado.
Configuración de la codificación del depósito de claves en Azure Blob
Para activar la codificación del depósito de claves, se deben realizar estos pasos en Azure Portal:
1. Crear un depósito de claves y generar una clave
2. Crear una aplicación
3. Vincular la aplicación a la clave
Creación de un depósito de claves y generación de una clave
Para crear un depósito de claves y generar una clave, siga estos pasos en Azure Portal:
1. En el tablero de mandos, pulse en + Crear un recurso.
2. En la ventana Nuevo, busque Almacén de claves.
3. Pulse en Crear. Introduzca valores en Nombre, Suscripción, Grupo de recursos y Ubicación, y luego pulse en Crear.
4. Almacén de claves se genera correctamente y se muestra la página de información general. Anote el valor de Nombre DNS de esta página.
|
KeyVaultKeyIDURL es la combinación del valor de Nombre DNS y el valor de Nombre de la clave. Por ejemplo, si el valor de Nombre de la clave es KeyVaultKey y el valor de Nombre DNS es https://contentkeyvault.vault.azure.net/, KeyVaultKeyIDURL será https://contentkeyvault.vault.azure.net/keys/KeyVaultKey. KeyVaultKeyIDURL lo necesita el programa Java personalizado en Windchill.
|
5. Pulse en > .
6. Introduzca un valor de Nombre.
7. Seleccione un valor de Tipo de clave como RSA.
8. Seleccione Tamaño de la clave RSA y pulse en Crear.
9. El valor de Clave se crea correctamente.
|
El campo VALOR de la clave es el objeto AuthKey que el programa Java personalizado utiliza en Windchill. Asegúrese de anotarlo ya que no se puede recuperar después.
|
Creación de una aplicación
Para crear una nueva aplicación, siga estos pasos en Azure Portal:
1. En el tablero de mandos, pulse en > > .
2. Introduzca un valor en Nombre, Tipo de aplicación y URL de inicio de sesión, y luego pulse en Crear.
3. La aplicación se crea correctamente.
|
El valor de ID de aplicación es el objeto AppId que el programa Java personalizado necesita en Windchill.
|
Vinculación de la aplicación a la clave
Para vincular la aplicación y la clave, siga estos pasos en Azure Portal:
1. En el tablero de mandos, abra > > > .
2. Busque el nombre de la aplicación y pulse en Seleccionar.
3. En Permisos de clave, seleccione Seleccionar todo y pulse en Aceptar.
4. La aplicación y la clave se vinculan correctamente. De este modo, se completa la configuración para la codificación del depósito de claves en Azure Blob.
Configuración del control de acceso: puntos que recordar
• Si el usuario opta por autenticarse con el nombre de cuenta y la clave, Windchill tiene acceso administrativo de la cuenta de almacenamiento.
• Si el usuario decide utilizar MSI y asignar el rol Colaborador de datos de blobs de almacenamiento, Windchill tiene el permiso administrativo para la cuenta de almacenamiento.
• Además, si se asigna el rol Lector de datos de blobs de almacenamiento, Windchill obtiene solo permiso de lectura para la cuenta de almacenamiento.
Configuraciones de Windchill
Es posible configurar Windchill para utilizar Azure Blobs con la herramienta de línea de comandos.
Antes de comenzar
Esta herramienta de línea de comandos consta de campos de configuración. Pulse INTRO para omitir una configuración específica. La herramienta de línea de comandos muestra la configuración existente. La configuración se transmite automáticamente a todos los servidores de ficheros registrados, es decir, los sitios de réplica. Se pueden configurar varias cuentas de Azure Blob Storage mediante SECURITY_CREDENTIALS como estrategia de autenticación.
Ejecute el siguiente comando en el shell de Windchill para configurar Azure Blobs:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool configure -u <username> -p <password>.
Realice los pasos siguientes para configurar la cuenta:
1. Authentication Strategy: (SECURITY_CREDENTIALS/MSI)? [SECURITY_CREDENTIALS]: el valor por defecto es SECURITY_CREDENTIALS. Si se selecciona la opción MSI, los pasos 3 y 4 no son aplicables.
2. Azure Environment: (AZURE/AZURE_US_GOVERNMENT)? [AZURE]: el valor por defecto es AZURE. Acceda al entorno de Azure con la cuenta de Azure Blob Storage que desee configurar.
3. ¿Desea añadir o actualizar la cuenta de Azure Blob Storage? (s/n): escriba s para añadir o actualizar la cuenta de almacenamiento
◦ Azure Storage Account Name: introduzca el nombre de la cuenta que desee configurar.
◦ Azure Storage Account Key: escriba el ID de clave de acceso para la cuenta de Azure.
◦ ¿Desea añadir o actualizar la cuenta de Azure Blob Storage? (s/n): escriba n para ir al siguiente paso
4. ¿Desea quitar la cuenta existente de Azure Blob Storage? (s/n): escriba s para quitar la cuenta de almacenamiento existente
◦ Azure Storage Account Name: introduzca el nombre de la cuenta que desee quitar.
◦ ¿Desea quitar la cuenta existente de Azure Blob Storage? (s/n): escriba n para ir al siguiente paso
5. Blob Encryption Configurator Delegate Name: escriba el nombre de delegado que va a elegir el tipo de codificación. El tipo de codificación se utiliza para cifrar el contenido almacenado en Azure Blob.
6. SSEKeyVaultKeyProvider Delegate Name: escriba el nombre de delegado que va a elegir el ID de clave KMS. El ID de clave KMS se utiliza para cifrar el contenido almacenado en Azure Blob.
7. CSESecKeyGenerator Delegate Name: escriba el nombre de delegado que va a gestionar las claves secretas. La clave secreta que devuelve el delegado se utiliza para cifrar el contenido almacenado en Azure Blob.
Para obtener más información sobre la codificación, consulte el tema
Personalización de la codificación para los montajes de Azure Blob.
Para validar las configuraciones, se puede generar un informe con la siguiente herramienta de línea de comandos:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool generateReport -u <username> -p <password>
|
• Si se cambia la configuración relacionada con los nombres de delegado, reinicie los servidores principal y de réplicas para que surta efecto la configuración.
• Windchill ahora soporta la transferencia segura de ficheros. Se puede configurar la cuenta de almacenamiento de Azure para que solo acepte solicitudes de conexiones seguras definiendo la propiedad Secure transfer required como activada para la cuenta de almacenamiento. Se puede activar Secure transfer required, tal como se menciona aquí.
• Se recomienda encarecidamente mantener Secure transfer required activado para garantizar conexiones seguras con Azure Blob Storage.
|
Montaje en Azure Blob Storage
Antes de comenzar
Cree una carpeta en Azure Portal en la ruta de montaje deseada. Siga estos pasos:
1. Conéctese a Azure Portal y navegue hasta Blobs.
2. Pulse en Cargar.
3. Seleccione un fichero de texto de muestra y, en la ficha Avanzado, proporcione un nombre a la carpeta deseada en Cargar en carpeta.
4. Pulse en Cargar. La carpeta se crea correctamente. Anote la ruta de Azure Portal.
Montaje de la carpeta raíz de Windchill
En Windchill seleccione el Tipo de montaje como Azure Blob Storage al montar la carpeta raíz y la ruta de montaje debe seguir el siguiente patrón:
<StorageAccountName>/<ContainerName>/<PathtoDesiredFolder>
Por ejemplo, si el nombre de cuenta de almacenamiento es StorageForUSA, el nombre de contenedor es Container-in-USA y la ruta es VaultsForWindchill/RootFolderMountLocation, se debe introducir la ruta de montaje como:
StorageForUSA/Container-in-USA/VaultsForWindchill/RootFolderMountLocation