配置 Windchill 檔案儲存庫,以使用 Azure Blob
本節說明 Windchill 及 Azure 入口網站所需的組態,以便 Windchill 在 Azure 虛擬機器 (VM) 中執行時使用 Azure Blob。
|
• 內部部署 Windchill 執行時,不支援連線至 Azure Blob。
• 您必須在更新或升級現有 Windchill 版本之後,再次執行本節所述的組態。
|
Azure 入口網站組態
必須在 Azure 入口網站執行的組態包括新增必要的元件,以及設定存取控制。您必須在 Azure 入口網站上配置權限並設定存取權限,Windchill 才能順利與 Azure Blob 搭配使用。
Windchill 支援使用兩種機制來配置驗證:
• MSI - 此偏好選項可在透過 MSI 啟用 Azure VM 時使用。
• SECURITY_CREDENTIALS - 此為無法使用 MSI 選項時的一種回退機制。在此選項中,Windchill 會安全地儲存認證,並使用它來與 Azure 進行通訊。
事前準備
為 Windchill 配置 Azure Blob 之前,請先在 Azure 入口網站上建立下列圖元:
• 儲存帳戶 -「帳戶種類」必須是 Blob storage type。
• 啟用管理服務識別 (MSI) 的 Azure VM。
• 金鑰儲存庫金鑰 - 此圖元為選用圖元,如果您計劃使用金鑰儲存庫加密,就必須建立此圖元。
為 MSI 使用者帳戶新增原則
您的儲存帳戶適用的 Azure VM (已啟用 MSI) 必須獲派「儲存 Blob 資料參與者」角色。執行下列步驟來新增角色︰
1. 登入 Azure 入口網站。
2. 導覽至您的儲存帳戶。
3. 轉至「存取控制 (IAM)」。
4. 按一下「新增」。
5. 選取「儲存 Blob 資料參與者」,並為已配置 MSI 的 Azure VM 指派存取權限。
|
如果您想要跨不同的儲存帳戶來複製資料,請指派「儲存帳戶參與者」,而非指派「儲存 Blob 資料參與者」。如果您有多個儲存帳戶的儲存庫,就會發生這種情形,例如當您複製遠端檔案伺服器的內容時。
|
6. 按一下 Save。您的 Azure VM 並未啟用 MSI。
在 Azure Blob 中設定金鑰儲存庫加密
若要啟用金鑰儲存庫加密,您必須在 Azure 入口網站中執行下列步驟:
1. 建立金鑰儲存庫並產生金鑰
2. 建立應用程式
3. 將應用程式連結到金鑰
建立金鑰儲存庫並產生金鑰
若要建立金鑰儲存庫並產生金鑰,請在 Azure 入口網站執行下列步驟:
1. 從圖標板按一下「+ 建立資源」。
2. 在「新建」視窗中,搜尋 Key Vault。
3. 按一下「建立」。輸入「名稱」、「訂閱」、「資源群組」、「位置」,然後按一下「建立」。
4. 「金鑰儲存庫」隨即順利產生,且「概觀」頁面隨即顯示。請注意本頁面的「DNS 名稱」。
|
KeyVaultKeyIDURL 是「DNS 名稱」和金鑰「名稱」的組合。例如,如果金鑰「名稱」是 KeyVaultKey,且「DNS 名稱」是 https://contentkeyvault.vault.azure.net/,則 KeyVaultKeyIDURL 是 https://contentkeyvault.vault.azure.net/keys/KeyVaultKey。在 Windchill 中,自訂 Java 程式需要 KeyVaultKeyIDURL。
|
5. 按一下 > 。
6. 輸入「名稱」。
7. 選取作為 RSA「金鑰類型」。
8. 選取「RSA 金鑰大小」,然後按一下「建立」。
9. 「金鑰」隨即順利建立成完。
|
金鑰的「值」是 Windchill 中的自訂 Java 程式所使用的 AuthKey。請務必記錄下來,因為之後無法再取得。
|
建立應用程式
若要建立新的應用程式,請在 Azure 入口網站執行下列步驟:
1. 從圖標板按一下 > > 。
2. 輸入「名稱」、「應用程式類型」、「登入 URL」,然後按一下「建立」。
3. 應用程式隨即順利建立完成。
|
「應用程式 ID」 就是 Windchill 中的自訂 Java 程式需要的 AppId。
|
將應用程式連結到金鑰
若要將應用程式與金鑰相連結,請在 Azure 入口網站執行下列步驟:
1. 從圖標板開啟 > > > 。
2. 搜尋您的應用程式名稱,然後按一下「選取」。
3. 在「金鑰權限」中選取「全選」,然後按一下「確定」
4. 應用程式與金鑰隨即順利連結,Azure Blob 中的金鑰儲存庫加密設定即告完成。
配置存取控制 - 要點
• 如果您選擇使用帳戶名稱和金鑰進行驗證,Windchill 對您的儲存帳戶即有管理存取權限。
• 如果您選擇使用 MSI 並指派角色「儲存 Blob 資料參與者」,那麼 Windchill 對您的儲存帳戶即有管理存取權限。
• 且如果您指派「儲存 Blob 資料讀取者」角色,則 Windchill 對您的儲存帳戶只有讀取存取權限。
Windchill 組態
您可以將 Windchill 配置為使用指令行工具來使用 Azure Blob。
事前準備
此指令行工具由組態欄位組成。按下 ENTER 鍵可略過特定組態。指令行工具會顯示現有組態。組態會自動傳送到所有已註冊的檔案伺服器,即複本網站。
在 Windchill 殼執行下列指令,以配置 Azure Blob:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool configure -u <username> -p <password>。
執行下列步驟來配置帳戶︰
1. Authentication Strategy: (SECURITY_CREDENTIALS/MSI)? [SECURITY_CREDENTIALS] - 預設值為 SECURITY_CREDENTIALS。您可將之變更為 MSI。
2. Azure Storage Account Name - 輸入欲配置的帳戶名稱。
3. Azure Storage Account Key - 為您的 Azure 帳戶輸入存取金鑰 ID。
4. Blob Encryption Configurator Delegate Name - 鍵入委派名稱以選擇加密類型。加密類型用來加密儲存在 Azure Blob 中的內容。
5. SSEKeyVaultKeyProvider Delegate Name - 鍵入委派名稱以選擇 KMS 金鑰 ID。KMS 金鑰 ID 用來加密儲存在 Azure Blob 中的內容。
6. CSESecKeyGenerator Delegate Name - 鍵入委派名稱以管理秘密金鑰。由委派傳回的秘密金鑰用來加密儲存在 Azure Blob 中的內容。
如需有關加密的詳細資訊,請參閱
Azure Blob 裝載的加密自訂主題。
若要驗證組態,您可以使用下列指令行工具來產生報告:
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool generateReport -u <username> -p <password>
|
如果變更與委派名稱相關的組態,請重新啟動主要伺服器與複本伺服器,以使組態生效。
|
裝載至 Azure Blob 儲存
事前準備
在 Azure 入口網站內的所需裝載路徑中建立資料夾。請執行下列步驟:
1. 登入 Azure 入口網站,然後導覽至 Blobs。
2. 按一下「上載」。
3. 選取樣本文字檔案,然後在「進階」標籤的「上載至資料夾」中,提供所需的資料夾名稱。
4. 按一下「上載」。資料夾隨即順利建立完成。請注意源自 Azure 入口網站的路徑。
從 Windchill 裝載根資料夾
在 Windchill 中裝載根資料夾時,選取「裝載類型」作為 Azure Blob Storage,且「裝載路徑」必須符合下列模式:
<StorageAccountName>/<ContainerName>/<PathtoDesiredFolder>
例如,如果您的儲存帳戶名稱是 StorageForUSA、容器名稱是 Container-in-USA 且路徑是 VaultsForWindchill/RootFolderMountLocation,則您必須輸入如下「裝載路徑」:
StorageForUSA/Container-in-USA/VaultsForWindchill/RootFolderMountLocation