Конфигурирование файлового архива файлов Windchill для использования Blob-объектов Azure
Этот раздел объясняет конфигурации, требуемые в Windchill и портале Azure, чтобы позволить использование Blob-объектов Azure при работе Windchill на виртуальной машине (ВМ) Azure.
|
• Подключение к BLOB-объектам Azure с помощью приложения Windchill, работающего локально, не поддерживается.
• Конфигурирование, описанное в этом разделе, необходимо выполнить снова после обновления существующей версии Windchill.
|
Конфигурация портала Azure
Конфигурации, необходимые для выполнения на портале Azure, включают добавление требуемых компонентов и настройку управления доступом. Для успешной работы с Blob-объектами Azure необходимо настроить разрешения и задать доступ к порталу Azure для Windchill.
Приложение Windchill поддерживает два механизма конфигурирования аутентификации:
• MSI - это предпочтительная опция, которая может использоваться при включении Azure VM с MSI.
• SECURITY_CREDENTIALS - это резервный механизм, на случай если невозможно использовать опцию MSI. В этой опции Windchill безопасно сохраняет учетные данные и использует их для взаимодействия с Azure.
Перед началом работы
Перед настройкой Blob-объектов Azure для Windchill создайте на портале Azure следующие объекты:
• Учетные записи хранилища - в поле Тип учетной записи должно быть выбрано Хранилище BLOB-объектов.
• Виртуальные машины Azure с включенным управляемым удостоверением службы (MSI).
• Ключ хранилища ключей - это необязательный объект, его необходимо создать в случае, если планируется использовать шифрование хранилища ключей.
Добавление политики для учетной записи пользователя MSI
Виртуальной машине Azure VM с включенной службой MSI для учетных записей хранилища нужно назначить роль Участник для данных больших двоичных объектов хранилища. Чтобы добавить роль, выполните следующие шаги:
1. Войдите в систему портала Azure.
2. Перейдите в учетную запись хранилища.
3. Перейдите в Управление доступом (IAM).
4. Нажмите кнопку Добавить.
5. Выберите Участник для данных больших двоичных объектов хранилища и назначьте доступ к ВМ Azure, настроенной для MSI.
|
Если нужна возможность копирования с использованием учетных записей хранения, назначьте роль Участник учетных записей хранения вместо роли Участник для данных больших двоичных объектов хранилища. Эта ситуация возникает, если для хранилищ существует несколько учетных записей хранения, например, в случае репликации содержимого с помощью удаленных файловых серверов.
|
6. Щелкните Сохранить. На ВМ Azure служба MSI не включена.
Настройка шифрования хранилища ключей в Azure Blob
Чтобы включить шифрование хранилища ключей, необходимо выполнить на портале Azure следующие шаги:
1. Создайте хранилище ключей и сформируйте ключ
2. Создайте приложение
3. Соедините ссылками приложение и ключ
Создание хранилища ключей и формирование ключа
Чтобы создать хранилище ключей и сформировать ключ, выполните на портале Azure следующие шаги:
1. На информационной панели щелкните + Создать ресурс.
2. В окне Новый найдите Хранилище ключей.
3. Нажмите кнопку Создать. Введите Наименование, Подписка, Группа ресурсов, Расположение и нажмите кнопку Создать.
4. Хранилище ключей успешно создается, и отображается страница обзора. Обратите внимание на DNS-имя с этой страницы.
|
KeyVaultKeyIDURL - это комбинация значений DNS-имя и Имя ключа. Например, если Имя ключа равно KeyVaultKey, а DNS-имя - https://contentkeyvault.vault.azure.net/, тогда KeyVaultKeyIDURL будет иметь вид https://contentkeyvault.vault.azure.net/keys/KeyVaultKey. KeyVaultKeyIDURL необходим пользовательской Java-программе в Windchill.
|
5. Щелкните > .
6. Введите Наименование.
7. Выберите для Типа ключа значение RSA.
8. Выберите Длину ключа RSA и нажмите кнопку Создать.
9. Ключ успешно создается.
|
ЗНАЧЕНИЕ ключа - AuthKey, используется пользовательской Java-программой в Windchill. Обязательно запишите это значение, поскольку получить его позже будет невозможно.
|
Создание приложения
Чтобы создать новое приложение, выполните на портале Azure следующие шаги:
1. На информационной панели щелкните > > .
2. Введите Наименование, Тип приложения, URL-адрес регистрации и нажмите кнопку Создать.
3. Приложение успешно создается.
|
Идентификатор приложения - AppId, необходим пользовательской Java-программе в Windchill.
|
Соединение ссылками приложения и ключа
Чтобы соединить ссылками приложение и ключ, выполните на портале Azure следующие шаги:
1. На информационной панели откройте > > > .
2. Найдите имя своего приложения и щелкните Выбрать.
3. В поле Разрешения ключа выберите Выбрать все и нажмите кнопку ОК.
4. Приложение и ключ будут успешно соединены ссылками, и на этом настройка шифрования хранилища ключей в Azure Blob завершается.
Конфигурирование управления доступом - что следует помнить
• Если решено выполнять аутентификацию с помощью имени учетной записи и ключа, то Windchill имеет административный доступ к учетной записи хранилища.
• Если принято решение использовать MSI и назначить роль Участник для данных больших двоичных объектов хранилища, то Windchill имеет административный доступ к учетной записи хранилища.
• Если же назначена роль Модуль чтения данных больших двоичных объектов хранилища , то Windchill получает доступ к учетной записи хранилища только для чтения.
Конфигурации Windchill
Можно настроить Windchill на использование Blob-объектов Azure с помощью инструмента командной строки.
Перед началом работы
Этот инструмент командной строки состоит из полей конфигурации. Нажмите клавишу Enter для пропуска конкретной конфигурации. Инструмент командной строки отображает существующую конфигурацию. Конфигурация автоматически распространяется на все зарегистрированные файловые серверы, т. е. на сайты реплик.
Выполните следующую команду в оболочке Windchill, чтобы настроить Blob-объекты Azure:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool configure -u <username> -p <password>.
Для конфигурирования учетной записи выполните следующие шаги.
1. Authentication Strategy: (SECURITY_CREDENTIALS/MSI)? [SECURITY_CREDENTIALS] - значение по умолчанию: SECURITY_CREDENTIALS. Можно изменить его на MSI.
2. Azure Storage Account Name - введите имя учетной записи, которую нужно настроить.
3. Azure Storage Account Key - введите идентификатор ключа доступа для учетной записи Azure.
4. Blob Encryption Configurator Delegate Name - введите наименование делегата, чтобы выбрать тип шифрования. Тип шифрования используется для шифрования содержимого, сохраняемого в Blob-объекте Azure.
5. SSEKeyVaultKeyProvider Delegate Name - введите наименование делегата, чтобы выбрать идентификатор ключа KMS. Идентификатор ключа KMS используется для шифрования содержимого, сохраняемого в Blob-объекте Azure.
6. CSESecKeyGenerator Delegate Name - введите наименование делегата для управления секретными ключами. Секретный ключ, возвращенный делегатом, используется для шифрования содержимого, сохраняемого в Blob-объекте Azure.
Чтобы проверить конфигурации, можно создать отчет при помощи следующего инструмента командной строки:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool generateReport -u <username> -p <password>
|
Если изменена конфигурация, связанная с наименованиями делегатов, перезапустите основной сервер и серверы реплик, чтобы изменения конфигурации начали действовать.
|
Подключение хранилища Blob-объектов Azure
Перед началом работы
Создайте папку на портале Azure с нужным путем подключения. Необходимо выполнить следующие действия.
1. Войдите в систему портала Azure и перейдите в раздел Blob-объекты.
2. Щелкните Выгрузить.
3. Выберите демонстрационный текстовый файл и на вкладке Дополнительно укажите нужное наименование папки в поле Выгрузить в папку.
4. Нажмите Выгрузить. Папка успешно создается. Запомните путь от портала Azure.
Подключение корневой папки из Windchill
При подключении корневой папки в Windchill выберите в поле Тип подключения значение Хранилище BLOB-объектов Azure; путь подключения должен иметь следующий формат:
<StorageAccountName>/<ContainerName>/<PathtoDesiredFolder>
. Например, если наименование учетной записи хранения StorageForUSA, наименование контейнера Container-in-USA, а путь задан как VaultsForWindchill/RootFolderMountLocation, то необходимо ввести путь подключения как:
StorageForUSA/Container-in-USA/VaultsForWindchill/RootFolderMountLocation