Configurazione degli archivi file di Windchill per l'utilizzo dei BLOB di Azure
Questa sezione illustra le configurazioni richieste in Windchill e nel portale di Azure per consentire l'utilizzo dei BLOB di Azure quando Windchill è in esecuzione in una macchina virtuale di Azure.
|
• Non è supportata la connessione ai BLOB di Azure con Windchill in esecuzione in locale.
• Le configurazioni descritte in questa sezione devono essere eseguite nuovamente dopo aver aggiornato la versione di Windchill esistente.
|
Configurazione del portale di Azure
Le configurazioni che devono essere eseguite nel portale di Azure includono l'aggiunta dei componenti richiesti e la configurazione del controllo di accesso. È necessario configurare permessi e impostare l'accesso sul portale di Azure per garantire il funzionamento di Windchill con i BLOB di Azure.
Windchill supporta due meccanismi per configurare l'autenticazione:
• MSI - Opzione preferita che può essere utilizzata quando la macchina virtuale di Azure è attivata con MSI.
• SECURITY_CREDENTIALS - Meccanismo di fallback disponibile se non è possibile utilizzare l'opzione MSI. In questa opzione, Windchill archivia in modo sicuro le credenziali e le utilizza per comunicare con Azure.
Informazioni preliminari
Creare le entità riportate di seguito nel portale di Azure prima di configurare i BLOB di Azure per Windchill.
• Account di archiviazione - Tipo di account deve essere il tipo di archiviazione BLOB.
• Macchine virtuali di Azure con Managed Service Identity (MSI) attivato.
• Chiave dell'insieme di credenziali delle chiavi - Questa entità è facoltativa e deve essere creata se si intende utilizzare la crittografia dell'insieme di credenziali delle chiavi.
Aggiunta di una regola per un account utente MSI
È necessario fornire alla macchina virtuale di Azure attività da MSI per gli account di archiviazione il ruolo Collaboratore ai dati del BLOB di archiviazione. Per aggiungere il ruolo, attenersi alla procedura descritta di seguito.
1. Accedere al portale di Azure.
2. Navigare all'account di archiviazione.
3. Passare a Controllo di accesso (IAM).
4. Fare clic su Aggiungi.
5. Selezionare Collaboratore ai dati del BLOB di archiviazione e assegnare l'accesso alla macchina virtuale di Azure configurata tramite MSI.
|
Se si desidera poter copiare tra account di archiviazione, assegnare Collaboratore Account di archiviazione invece di Collaboratore ai dati del BLOB di archiviazione. Ciò si verifica se si dispone di più account di archiviazione per i propri archivi, come nel caso della replicazione di dati con file server remoti.
|
6. Fare clic su Salva. La macchina virtuale di Azure non è attivata per MSI.
Impostazione della crittografia dell'insieme di credenziali delle chiavi nel BLOB di Azure
Per abilitare la crittografia dell'insieme di credenziali delle chiavi, è necessario attenersi alla procedura descritta di seguito nel portale di Azure.
1. Creare un insieme di credenziali delle chiavi e generare una chiave
2. Creare un'applicazione
3. Collegare l'applicazione alla chiave
Creazione di un insieme di credenziali delle chiavi e generazione di una chiave
Per creare un insieme di credenziali delle chiavi e generare una chiave, attenersi alla procedura descritta di seguito nel portale di Azure.
1. Nel dashboard, fare clic su + Crea una risorsa.
2. Nella finestra Nuovo cercare insieme di credenziali delle chiavi.
3. Fare clic su Crea. Immettere un valore per Nome, Sottoscrizione, Gruppo risorse, Percorso e fare clic su Crea.
4. L'insieme di credenziali delle chiavi viene generato correttamente e viene visualizzata la pagina Panoramica. Prendere nota del nome DNS in questa pagina.
|
KeyVaultKeyIDURL è la combinazione di nome DNS e nome della chiave. Ad esempio, se il nome della chiave è KeyVaultKey e il nome DNS è https://contentkeyvault.vault.azure.net/, KeyVaultKeyIDURL è https://contentkeyvault.vault.azure.net/keys/KeyVaultKey. KeyVaultKeyIDURL è richiesto dal programma Java personalizzato in Windchill.
|
5. Fare clic su > .
6. Immettere una valore per Nome.
7. Selezionare Tipo di chiave come RSA.
8. Selezionare Dimensioni della chiave RSA e fare clic su Crea.
9. La chiave viene creata correttamente.
|
Il VALORE della chiave è il valore AuthKey utilizzato dal programma Java personalizzato in Windchill. Prenderne nota, in quanto non sarà possibile recuperarlo in un secondo momento.
|
Creazione di un'applicazione
Per creare una nuova applicazione, attenersi alla procedura descritta di seguito nel portale di Azure.
1. Nel dashboard, fare clic su > > .
2. Immettere un valore per Nome, Tipo di applicazione, URL accesso e fare clic su Crea.
3. L'applicazione viene creata correttamente.
|
L'ID applicazione è il valore AppId richiesto dal programma Java personalizzato in Windchill.
|
Collegamento dell'applicazione alla chiave
Per collegare l'applicazione e la chiave, attenersi alla procedura descritta di seguito nel portale di Azure.
1. Nel dashboard, aprire > > > .
2. Cercare il nome dell'applicazione e fare clic su Seleziona.
3. In Autorizzazioni chiave selezionare Seleziona tutto e fare clic su OK.
4. L'applicazione e la chiave vengono collegate correttamente. La configurazione della crittografia dell'insieme di credenziali delle chiavi nel BLOB di Azure è stata completata.
Configurazione del controllo di accesso - Punti da ricordare
• Se si sceglie di eseguire l'autenticazione mediante Nome account e Chiave, Windchill dispone di accesso amministrativo all'account di archiviazione.
• Se si sceglie di utilizzare MSI e assegnare il ruolo Collaboratore ai dati del BLOB di archiviazione, Windchill dispone di accesso amministrativo all'account di archiviazione.
• Se si assegna il ruolo Lettore dei dati dei BLOB di archiviazione, Windchill dispone solo di accesso in lettura all'account di archiviazione.
Configurazioni di Windchill
È possibile configurare Windchill per l'utilizzo dei BLOB di Azure mediante lo strumento da riga di comando.
Prima di iniziare
Lo strumento da riga di comando include campi di configurazione. Premere INVIO per ignorare una configurazione specifica. Lo strumento da riga di comando visualizza la configurazione esistente. La configurazione viene trasmessa automaticamente a tutti i file server registrati, ovvero i siti di replica.
Per configurare i BLOB di Azure, eseguire nella shell di Windchill il comando riportato di seguito.
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool configure -u <username> -p <password>.
Per configurare l'account, attenersi alla procedura riportata di seguito.
1. Authentication Strategy: (SECURITY_CREDENTIALS/MSI)? [SECURITY_CREDENTIALS] - Il valore di default è SECURITY_CREDENTIALS. È possibile modificarlo in MSI.
2. Azure Storage Account Name - Immettere il nome dell'account che si desidera configurare.
3. Azure Storage Account Key - Digitare l'ID chiave di accesso dell'account Azure.
4. Blob Encryption Configurator Delegate Name - Digitare il nome del delegato per scegliere il tipo di crittografia. Il tipo di crittografia viene utilizzato per crittografare il contenuto archiviato nel BLOB di Azure.
5. SSEKeyVaultKeyProvider Delegate Name - Digitare il nome del delegato per scegliere l'ID chiave KMS. L'ID chiave KMS viene utilizzato per crittografare il contenuto archiviato nel BLOB di Azure.
6. CSESecKeyGenerator Delegate Name - Digitare il nome del delegato per gestire le chiavi private La chiave privata restituita dal delegato viene utilizzata per crittografare il contenuto archiviato nel BLOB di Azure.
Per convalidare le configurazioni, è possibile generare un report utilizzando lo strumento da riga di comando riportato di seguito.
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool generateReport -u <username> -p <password>
|
• Se la configurazione dei nomi di delegato viene modificata, riavviare i server master e di replica per renderla effettiva.
• Windchill ora supporta il trasferimento sicuro dei file. È possibile configurare l'account di archiviazione di Azure in modo da accettare richieste solo da connessioni protette impostando la proprietà Secure transfer required come attivata per l'account di archiviazione. È possibile attivare la proprietà Secure transfer required come indicato qui.
• Si consiglia di mantenere la proprietà Secure transfer required attivata per garantire connessioni protette ad Archiviazione BLOB di Azure.
|
Montaggio su Archiviazione BLOB di Azure
Informazioni preliminari
Creare una cartella nel portale di Azure nel percorso mount desiderato. Attenersi alla procedura descritta di seguito.
1. Accedere al portale di Azure e passare a BLOB.
2. Fare clic su Carica.
3. Selezionare un file di testo di esempio e, nella scheda Avanzate, specificare il nome di cartella desiderato in Carica nella cartella.
4. Fare clic su Carica. La cartella viene creata correttamente. Prendere nota del percorso nel portale di Azure.
Montaggio della cartella radice da Windchill
In Windchill selezionare il Tipo di mount come Archiviazione BLOB di Azure durante il montaggio della cartella radice e il percorso mount deve corrispondere al formato seguente:
<StorageAccountName>/<ContainerName>/<PathtoDesiredFolder>
Ad esempio, se il nome dell'account di archiviazione è StorageForUSA, il nome del contenitore è Container-in-USA e il percorso è VaultsForWindchill/RootFolderMountLocation, è necessario immettere il percorso mount come:
StorageForUSA/Container-in-USA/VaultsForWindchill/RootFolderMountLocation