Azure Blob을 사용하도록 Windchill 파일 보관소 구성
이 섹션에서는 Azure Virtual Machine(VM)에서 Windchill 실행 시 Azure Blob을 사용할 수 있도록 Windchill 및 Azure 포털에 필요한 구성에 대해 설명합니다.
|
• 온프레미스에서 Windchill가 실행 중인 Azure Blob에 대한 연결은 지원되지 않습니다.
• 이 섹션에서 설명하는 구성은 기존 Windchill 버전을 업데이트하거나 업그레이드한 후에 다시 수행해야 합니다.
|
Azure 포털 구성
Azure 포털에서 수행해야 하는 구성에는 필수 컴포넌트 추가 및 액세스 제어 설정이 포함됩니다. Windchill이 Azure Blob과 성공적으로 작업할 수 있도록 Azure 포털에 대한 액세스를 설정하고 권한을 구성해야 합니다.
Windchill에서는 다음 두 가지 메커니즘을 통해 인증을 구성할 수 있습니다.
• MSI - 이 옵션은 Azure VM이 MSI와 함께 사용하도록 설정된 경우 사용할 수 있는 기본 설정 옵션입니다.
• SECURITY_CREDENTIALS - MSI 옵션을 사용할 수 없는 경우 이 메커니즘은 폴백 메커니즘입니다. 이 옵션을 선택하면 Windchill가 자격 증명을 안전하게 저장하고 Azure와의 통신에 사용합니다.
시작하기 전에
Windchill에 대한 Azure Blob을 구성하기 전에 Azure 포털에 다음 엔티티를 작성합니다.
• 저장소 계정 - 계정 종류는 Blob storage type이어야 합니다.
• 관리 서비스 ID(MSI)가 지원되는 Azure VM입니다.
• 키 보관소 키 - 이 엔티티는 선택 사항이며 키 보관소 암호화를 사용하려는 경우에는 반드시 작성해야 합니다.
MSI 사용자 계정에 대한 정책 추가
저장소 계정용 MSI 지원 Azure VM에 Storage Blob Data Contributor 역할이 부여되어야 합니다. 역할을 추가하려면 다음 단계를 수행하십시오.
1. Azure 포털에 로그인합니다.
2. 저장소 계정으로 이동합니다.
3. Access Control(IAM)로 이동합니다.
4. Add를 클릭합니다.
5. Storage Blob Data Contributor를 선택하고 MSI 구성 Azure VM에 대한 액세스 권한을 할당합니다.
|
저장소 계정 간에 복사할 수 있으려면 Storage Blob 데이터 기여자 대신 Storage 계정 참가자를 지정합니다. 이러한 상황은 원격 파일 서버를 사용한 컨텐트 복제의 경우처럼 보관소용 저장소 계정이 여러 개 있는 경우에 발생합니다.
|
6. Save를 클릭합니다. Azure VM은 MSI를 지원하지 않습니다.
Azure Blob에서 키 보관소 암호화 설정
키 보관소 암호화를 사용하려면 Azure 포털에서 다음 단계를 수행해야 합니다.
1. 키 보관소 작성 및 키 생성
2. 응용 프로그램 작성
3. 키에 응용 프로그램 연결
키 보관소 작성 및 키 생성
키 보관소를 작성하고 키를 생성하려면 Azure 포털에서 다음 단계를 수행하십시오.
1. 대시보드에서 + 리소스 만들기를 클릭합니다.
2. 새로 만들기 창에서 키 보관소를 검색합니다.
3. 만들기를 클릭합니다. 이름, 가입, 리소스 그룹, 위치를 입력하고 만들기를 클릭합니다.
4. 키 보관소가 성공적으로 생성되고 개요 페이지가 표시됩니다. 이 페이지의 DNS 이름을 기록해 둡니다.
|
KeyVaultKeyIDURL은 DNS 이름과 키 이름의 조합입니다. 예를 들어, 키 이름이 KeyVaultKey이고 DNS 이름이 https://contentkeyvault.vault.azure.net/이면 KeyVaultKeyIDURL이 https://contentkeyvault.vault.azure.net/keys/KeyVaultKey가 됩니다. KeyVaultKeyIDURL은 Windchill의 사용자 정의 Java 프로그램에서 필요합니다.
|
5. > 를 클릭합니다.
6. 이름을 입력합니다.
7. 키 유형을 RSA로 선택합니다.
8. RSA 키 크기를 선택하고 만들기를 클릭합니다.
9. 키가 성공적으로 작성됩니다.
|
키의 값은 Windchill의 사용자 정의 Java 프로그램에서 사용하는 AuthKey입니다. 나중에 읽어들일 수 없으므로 기록해 두십시오.
|
응용 프로그램 작성
새 응용 프로그램을 작성하려면 Azure 포털에서 다음 단계를 따르십시오.
1. 대시보드에서 > > 을 클릭합니다.
2. 이름, 응용 프로그램 유형, 로그온 URL을 입력하고 만들기를 클릭합니다.
3. 응용 프로그램이 성공적으로 작성됩니다.
|
응용 프로그램 ID는 Windchill의 사용자 정의 Java 프로그램에 필요한 AppId입니다.
|
키에 응용 프로그램 연결
응용 프로그램과 키를 연결하려면 Azure 포털에서 다음 단계를 수행하십시오.
1. 대시보드에서 > > > 을 엽니다.
2. 응용 프로그램 이름을 검색하고 선택을 클릭합니다.
3. 키 권한에서 모두 선택을 선택하고 확인을 클릭합니다.
4. 응용 프로그램과 키가 성공적으로 연결되면 Azure Blob에서 키 보관소 암호화 설정이 완료됩니다.
액세스 제어 구성 - 참고 사항
• 계정 이름과 키를 사용하여 인증하도록 선택하면 Windchill는 해당 저장소 계정에 대한 관리 권한을 갖습니다.
• MSI를 사용하고 Storage Blob 데이터 기여자 역할을 지정하도록 선택하면 Windchill는 해당 저장소 계정에 대한 관리 권한을 갖습니다.
• Storage Blob 데이터 판독기 역할을 지정하면 Windchill는 해당 저장소 계정에 대해 읽기 권한만 갖습니다.
Windchill 구성
명령줄 도구를 사용하여 Azure Blob을 사용하도록 Windchill을 구성할 수 있습니다.
시작하기 전에
이 명령줄 도구는 구성 필드로 구성되어 있습니다. 특정 구성을 건너뛰려면 Enter 키를 누르십시오. 명령줄 도구는 기존 구성을 표시합니다. 구성은 등록된 모든 파일 서버, 즉 복제본 사이트로 자동 브로드캐스트됩니다.
Azure Blob을 구성하려면 Windchill 셸에서 다음 명령을 실행합니다.
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool configure -u <username> -p <password>.
계정을 구성하려면 다음 단계를 수행하십시오.
1. Authentication Strategy: (SECURITY_CREDENTIALS/MSI)? [SECURITY_CREDENTIALS] - 기본값은 SECURITY_CREDENTIALS입니다. 이는 MSI로 변경할 수 있습니다.
2. Azure Storage Account Name - 구성하려는 계정 이름을 입력합니다.
3. Azure Storage Account Key - Azure 계정의 액세스 키 ID를 입력합니다.
4. Blob Encryption Configurator Delegate Name - 암호화 유형을 선택할 위임 이름을 입력합니다. 암호화 유형은 Azure Blob에 저장된 컨텐트를 암호화하는 데 사용됩니다.
5. SSEKeyVaultKeyProvider Delegate Name - KMS 키 ID를 선택할 위임 이름을 입력합니다. KMS 키 ID는 Azure Blob에 저장된 컨텐트를 암호화하는 데 사용됩니다.
6. CSESecKeyGenerator Delegate Name -보안 키를 관리할 위임 이름을 입력합니다. 위임에서 반환된 보안 키는 Azure Blob에 저장된 컨텐트를 암호화하는 데 사용됩니다.
구성을 검증하기 위해 다음 명령줄 도구를 사용하여 보고서를 생성할 수 있습니다.
windchill com.ptc.windchill.objectstorage.azureblob.tools.BlobConfigurationTool generateReport -u <username> -p <password>
|
• 위임 이름 관련 구성이 변경된 경우 마스터 및 복제본 서버를 다시 시작하여 구성에 변경 내용을 적용하십시오.
• 이제 Windchill에서 보안 파일 전송을 지원합니다. 스토리지 계정에 대해 Secure transfer required 등록 정보를 사용 가능으로 설정하여 보안 연결의 요청만 수락하도록 Azure Storage 계정을 구성할 수 있습니다. 여기에 언급된 대로 보안 전송을 사용 가능으로 설정할 수 있습니다.
• Azure Blob Storage에 대한 보안 연결을 위해 Secure transfer required를 사용 가능 상태로 유지하는 것이 좋습니다.
|
Azure Blob Storage에 마운트
시작하기 전에
Azure 포털의 원하는 마운트 경로에 폴더를 작성합니다. 다음 단계를 수행하십시오.
1. Azure 포털에 로그인하고 Blob으로 이동합니다.
2. 업로드를 클릭합니다.
3. 샘플 텍스트 파일을 선택하고 고급 탭의 폴더에 업로드에 원하는 폴더 이름을 지정합니다.
4. 업로드를 클릭합니다. 폴더가 성공적으로 작성됩니다. Azure 포털에서 경로를 확인합니다.
Windchill에서 루트 폴더 마운트
Windchill에서 루트 폴더를 마운트하는 동안 마운트 유형을 Azure Blob Storage로 선택하고 마운트 경로는 다음과 같은 패턴이어야 합니다.
<StorageAccountName>/<ContainerName>/<PathtoDesiredFolder>
예를 들어, 저장소 계정 이름이 StorageForUSA, 컨테이너 이름이 Container-in-USA, 경로가 VaultsForWindchill/RootFolderMountLocation인 경우 마운트 경로를 다음과 같이 입력해야 합니다.
StorageForUSA/Container-in-USA/VaultsForWindchill/RootFolderMountLocation