Implementieren Sie Cloud Volumes ONTAP in AWS Secret Cloud und Top Secret Cloud-Regionen
Wie in einer Standardregion von AWS können Sie BlueXP auch einsetzen "AWS Secret Cloud" Und ein "Top Secret Cloud von AWS" Zur Implementierung von Cloud Volumes ONTAP mit Funktionen der Enterprise-Klasse für Ihren Cloud-Storage. AWS Secret Cloud und Top Secret Cloud sind geschlossene Regionen speziell für die USA Intelligence Community: Die Anweisungen auf dieser Seite gelten nur für Benutzer der AWS Secret Cloud und der Region Top Secret Cloud.
Bevor Sie beginnen, sehen Sie sich die unterstützten Versionen in AWS Secret Cloud und Top Secret Cloud an, und informieren Sie sich über den Private-Modus in BlueXP.
-
Prüfen Sie die folgenden unterstützten Versionen in AWS Secret Cloud und Top Secret Cloud:
-
Cloud Volumes ONTAP 9.12.1 P2
-
Version 3.9.32 des Connectors
Der Connector ist eine Software, die für die Implementierung und das Management von Cloud Volumes ONTAP in AWS benötigt wird. Sie melden sich bei BlueXP über die Software an, die auf der Connector-Instanz installiert wird. Die SaaS-Website für BlueXP wird in AWS Secret Cloud und Top Secret Cloud nicht unterstützt.
-
-
Weitere Informationen zum privaten Modus
In AWS Secret Cloud und Top Secret Cloud arbeitet BlueXP im Private Mode. Im privaten Modus ist keine Konnektivität zur BlueXP SaaS-Ebene vorhanden. Benutzer greifen lokal über die webbasierte Konsole auf BlueXP zu, die über den Connector verfügbar ist und nicht über die SaaS-Schicht.
Weitere Informationen zur Funktionsweise des privaten Modus finden Sie unter "Privater Implementierungsmodus von BlueXP".
Schritt 1: Richten Sie Ihr Netzwerk ein
Richten Sie Ihr AWS Netzwerk ein, um Cloud Volumes ONTAP ordnungsgemäß zu betreiben.
-
Wählen Sie die VPC und Subnetze aus, in denen die Connector-Instanz und die Cloud Volumes ONTAP-Instanzen gestartet werden sollen.
-
Stellen Sie sicher, dass Ihre VPC und Subnetze die Konnektivität zwischen dem Connector und Cloud Volumes ONTAP unterstützen.
-
Richten Sie einen VPC-Endpunkt für den S3-Dienst ein.
Ein VPC-Endpunkt ist erforderlich, wenn Sie kalte Daten von Cloud Volumes ONTAP auf kostengünstigen Objekt-Storage einstufen möchten.
Schritt 2: Berechtigungen einrichten
Richten Sie IAM-Richtlinien und -Rollen ein, die dem Connector und Cloud Volumes ONTAP die erforderlichen Berechtigungen für Aktionen in der AWS Secret Cloud oder Top Secret Cloud bieten.
Für die folgenden Bereiche benötigen Sie eine IAM-Richtlinie und eine IAM-Rolle:
-
Die Instanz des Connectors
-
Cloud Volumes ONTAP Instanzen
-
Bei HA-Paaren ist die Cloud Volumes ONTAP HA-Mediatorinstanz (wenn HA-Paare implementiert werden sollen)
-
Gehen Sie zur AWS IAM-Konsole und klicken Sie auf Policies.
-
Erstellen Sie eine Richtlinie für die Connector-Instanz.
Sie erstellen diese Richtlinien, um die S3-Buckets in Ihrer AWS-Umgebung zu unterstützen. Stellen Sie beim Erstellen der Buckets zu einem späteren Zeitpunkt sicher, dass den Bucket-Namen vorangestellt werden fabric-pool-
. Diese Anforderung gilt sowohl für die Regionen AWS Secret Cloud als auch Top Secret Cloud.Geheime Regionen{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso-b:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso-b:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso-b:ec2:*:*:volume/*" ] } ] }
Top Secret Regionen{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso:ec2:*:*:volume/*" ] } ] }
-
Erstellen einer Richtlinie für Cloud Volumes ONTAP
Geheime Regionen{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso-b:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }] }
Top Secret Regionen{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }] }
Wenn Sie bei HA-Paaren ein Cloud Volumes ONTAP HA-Paar implementieren möchten, erstellen Sie eine Richtlinie für den HA-Mediator.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses" ], "Resource": "*" } ] }
-
Erstellen Sie IAM-Rollen mit dem Rollentyp Amazon EC2 und hängen Sie die Richtlinien an, die Sie in den vorherigen Schritten erstellt haben.
Erstellen Sie die Rolle:Ähnlich wie bei den Richtlinien sollten Sie eine IAM-Rolle für den Konnektor und eine für die Cloud Volumes ONTAP-Knoten haben.
Für HA-Paare: Ähnlich wie bei den Richtlinien sollten Sie über eine IAM-Rolle für den Connector, eine für die Cloud Volumes ONTAP-Nodes und eine für den HA-Mediator verfügen (wenn Sie HA-Paare implementieren möchten).Wählen Sie die Rolle aus:Sie müssen die Connector IAM-Rolle auswählen, wenn Sie die Connector-Instanz starten. Sie können die IAM-Rollen für Cloud Volumes ONTAP auswählen, wenn Sie eine Cloud Volumes ONTAP-Arbeitsumgebung aus BlueXP erstellen.
Bei HA-Paaren können Sie beim Erstellen einer Cloud Volumes ONTAP Arbeitsumgebung aus BlueXP die IAM-Rollen für Cloud Volumes ONTAP und den HA-Mediator auswählen.
Schritt 3: Einrichtung des AWS-KMS
Wenn Sie Amazon Verschlüsselung mit Cloud Volumes ONTAP nutzen möchten, stellen Sie sicher, dass die Anforderungen für den AWS Key Management Service (KMS) erfüllt sind.
-
Stellen Sie sicher, dass ein aktiver Kunden-Master-Schlüssel (CMK) in Ihrem Konto oder in einem anderen AWS-Konto vorhanden ist.
Bei CMK kann es sich um ein von AWS gemanagtes CMK oder um ein vom Kunden gemanagtes CMK handeln.
-
Wenn sich das CMK in einem AWS Konto befindet und nicht über das Konto, in dem Sie Cloud Volumes ONTAP implementieren möchten, müssen Sie die ARN dieses Schlüssels erhalten.
Wenn Sie das Cloud Volumes ONTAP-System erstellen, müssen Sie BlueXP das ARN zur Verfügung stellen.
-
Fügen Sie die IAM-Rolle für die Connector-Instanz der Liste der wichtigsten Benutzer für ein CMK hinzu.
Dadurch erhalten BlueXP die Berechtigung zur Verwendung des CMK mit Cloud Volumes ONTAP.
Schritt 4: Installieren Sie den Connector und richten Sie BlueXP ein
Bevor Sie BlueXP zur Implementierung von Cloud Volumes ONTAP in AWS nutzen können, müssen Sie den BlueXP Connector installieren und einrichten. Mit dem Connector kann BlueXP Ressourcen und Prozesse in Ihrer Public Cloud-Umgebung managen (einschließlich Cloud Volumes ONTAP).
-
Sie erhalten ein Root-Zertifikat, das von einer Zertifizierungsstelle (CA) im Format Privacy Enhanced Mail (PEM) Base-64-codiert X.509 signiert ist. Wenden Sie sich an die Richtlinien und Verfahren Ihres Unternehmens, um das Zertifikat zu erhalten.
Laden Sie für AWS Secret Cloud-Regionen die hoch NSS Root CA 2
Zertifikat, und für Top Secret Cloud, dieAmazon Root CA 4
Zertifikat: Stellen Sie sicher, dass Sie nur diese Zertifikate und nicht die gesamte Kette hochladen. Die Datei für die Zertifikatskette ist groß, und der Upload kann fehlschlagen. Wenn Sie weitere Zertifikate haben, können Sie diese später hochladen, wie im nächsten Schritt beschrieben.Sie müssen das Zertifikat während des Setup-Vorgangs hochladen. BlueXP verwendet das vertrauenswürdige Zertifikat, wenn Anfragen über HTTPS an AWS gesendet werden.
-
Starten Sie die Connector-Instanz:
-
Besuchen Sie die AWS Intelligence Community Marketplace Seite für BlueXP.
-
Wählen Sie auf der Registerkarte Benutzerdefinierter Start die Option, um die Instanz von der EC2-Konsole aus zu starten.
-
Befolgen Sie die Anweisungen, um die Instanz zu konfigurieren.
Beachten Sie beim Konfigurieren der Instanz Folgendes:
-
Wir empfehlen t3.xlarge.
-
Sie müssen die IAM-Rolle auswählen, die Sie beim Einrichten von Berechtigungen erstellt haben.
-
Sie sollten die standardmäßigen Speicheroptionen beibehalten.
-
Für den Connector sind folgende Verbindungsmethoden erforderlich: SSH, HTTP und HTTPS.
-
-
-
Richten Sie BlueXP von einem Host aus, der eine Verbindung zur Connector-Instanz hat:
-
Öffnen Sie einen Webbrowser, und geben Sie ein https://ipaddress Wobei ipaddress die IP-Adresse des Linux-Hosts ist, auf dem Sie den Connector installiert haben.
-
Geben Sie einen Proxy-Server für die Verbindung zu AWS-Services an.
-
Laden Sie das Zertifikat, das Sie in Schritt 1 erhalten haben, hoch.
-
Wählen Sie Set up New BlueXP und folgen Sie den Anweisungen, um das System einzurichten.
-
Systemdetails: Geben Sie einen Namen für den Connector und Ihren Firmennamen ein.
-
Admin-Benutzer erstellen: Erstellen Sie den Admin-Benutzer für das System.
Dieses Benutzerkonto wird lokal auf dem System ausgeführt. Über BlueXP ist keine Verbindung zum aut0-Service verfügbar.
-
Review: Überprüfen Sie die Details, akzeptieren Sie die Lizenzvereinbarung und wählen Sie dann Setup.
-
-
Um die Installation des CA-signierten Zertifikats abzuschließen, starten Sie die Connector-Instanz von der EC2-Konsole aus neu.
-
-
Melden Sie sich nach dem Neustart des Connectors mit dem Administratorkonto an, das Sie im Setup-Assistenten erstellt haben.
Schritt 5: (Optional) Installieren Sie ein Zertifikat für den privaten Modus
Dieser Schritt ist optional für die Regionen AWS Secret Cloud und Top Secret Cloud und nur erforderlich, wenn Sie neben den im vorherigen Schritt installierten Stammzertifikaten über zusätzliche Zertifikate verfügen.
-
Vorhandene installierte Zertifikate auflisten.
-
Führen Sie den folgenden Befehl aus, um die occm Container Docker id (identifizierter Name „ds-occm-1“) zu erfassen:
docker ps
-
Um in den occm-Container zu gelangen, führen Sie den folgenden Befehl aus:
docker exec -it <docker-id> /bin/sh
-
Um das Passwort aus der Umgebungsvariable „TRUST_STORE_PASSWORD“ zu erfassen, führen Sie den folgenden Befehl aus:
env
-
Um alle installierten Zertifikate im Truststore aufzulisten, führen Sie den folgenden Befehl aus und verwenden Sie das im vorherigen Schritt gesammelte Passwort:
keytool -list -v -keystore occm.truststore
-
-
Fügen Sie ein Zertifikat hinzu.
-
Führen Sie den folgenden Befehl aus, um die occm Container Docker id (identifizierter Name „ds-occm-1“) zu erfassen:
docker ps
-
Um in den occm-Container zu gelangen, führen Sie den folgenden Befehl aus:
docker exec -it <docker-id> /bin/sh
Speichern Sie die neue Zertifikatdatei in.
-
Um das Passwort aus der Umgebungsvariable „TRUST_STORE_PASSWORD“ zu erfassen, führen Sie den folgenden Befehl aus:
env
-
Um das Zertifikat zum Truststore hinzuzufügen, führen Sie den folgenden Befehl aus und verwenden Sie das Kennwort aus dem vorherigen Schritt:
keytool -import -alias <alias-name> -file <certificate-file-name> -keystore occm.truststore
-
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob das Zertifikat installiert ist:
keytool -list -v -keystore occm.truststore -alias <alias-name>
-
Führen Sie den folgenden Befehl aus, um den occm-Container zu beenden:
exit
-
Führen Sie den folgenden Befehl aus, um den occm-Container zurückzusetzen:
docker restart <docker-id>
-
Schritt 6: Erweitern Sie das Digital Wallet von BlueXP um eine Lizenz
Wenn Sie eine Lizenz von NetApp erworben haben, müssen Sie sie zur Digital Wallet von BlueXP hinzufügen, damit Sie bei der Erstellung eines neuen Cloud Volumes ONTAP Systems die Lizenz auswählen können. Die Digital Wallet identifiziert diese Lizenzen als nicht zugewiesen.
-
Wählen Sie im Navigationsmenü BlueXP die Option Governance > Digital Wallet aus.
-
Wählen Sie im Dropdown-Menü auf der Registerkarte Cloud Volumes ONTAP die Option Node-basierte Lizenzen aus.
-
Klicken Sie Auf Nicht Zugewiesen.
-
Klicken Sie Auf Nicht Zugewiesene Lizenzen Hinzufügen.
-
Geben Sie die Seriennummer der Lizenz ein oder laden Sie die Lizenzdatei hoch.
-
Wenn Sie die Lizenzdatei noch nicht besitzen, müssen Sie die Lizenzdatei manuell von netapp.com hochladen.
-
Wechseln Sie zum "NetApp Lizenzdatei-Generator" Und loggen Sie sich mit Ihren Anmeldedaten für die NetApp Support Site ein.
-
Geben Sie Ihr Passwort ein, wählen Sie Ihr Produkt aus, geben Sie die Seriennummer ein, bestätigen Sie, dass Sie die Datenschutzrichtlinie gelesen und akzeptiert haben, und klicken Sie dann auf Absenden.
-
Wählen Sie aus, ob Sie die Datei serialnumber.NLF JSON per E-Mail oder direkt herunterladen möchten.
-
-
Klicken Sie Auf Lizenz Hinzufügen.
BlueXP erweitert das Digital Wallet um die Lizenz. Die Lizenz wird erst dann als nicht zugewiesen identifiziert, wenn Sie sie einem neuen Cloud Volumes ONTAP-System zuordnen. Anschließend wird die Lizenz auf die Registerkarte BYOL im Digital Wallet verschoben.
Schritt 7: Starten Sie Cloud Volumes ONTAP von BlueXP
Sie können Cloud Volumes ONTAP-Instanzen in der AWS Secret Cloud und Top Secret Cloud starten, indem Sie neue Arbeitsumgebungen in BlueXP erstellen.
Bei HA-Paaren ist ein Schlüsselpaar erforderlich, um eine schlüssbasierte SSH-Authentifizierung beim HA-Mediator zu aktivieren.
-
Klicken Sie auf der Seite Arbeitsumgebungen auf Arbeitsumgebung hinzufügen.
-
Wählen Sie unter Erstellen die Option Cloud Volumes ONTAP.
Für HA: Wählen Sie unter Erstellen Cloud Volumes ONTAP oder Cloud Volumes ONTAP HA aus.
-
Führen Sie die Schritte im Assistenten aus, um das Cloud Volumes ONTAP-System zu starten.
Wählen Sie während der Auswahl über den Assistenten nicht Data Sense & Compliance und Backup in der Cloud unter Services aus. Wählen Sie unter vorkonfigurierte Pakete nur Konfiguration ändern aus, und stellen Sie sicher, dass Sie keine andere Option ausgewählt haben. Vorkonfigurierte Pakete werden in den Regionen AWS Secret Cloud und Top Secret Cloud nicht unterstützt. Wenn Sie diese Option auswählen, schlägt die Bereitstellung fehl.
Beachten Sie Folgendes, wenn Sie den Assistenten für HA-Paare abschließen.
-
Wenn Sie Cloud Volumes ONTAP HA in Multiple Availability Zones (AZS) implementieren, sollten Sie ein Transit-Gateway konfigurieren. Anweisungen hierzu finden Sie unter "AWS Transit Gateway einrichten".
-
Implementieren Sie die Konfiguration wie folgt, da zum Zeitpunkt der Veröffentlichung nur zwei AZS in der AWS Top Secret Cloud verfügbar waren:
-
Node 1: Verfügbarkeitszone A
-
Node 2: Verfügbarkeitszone B
-
Mediator: Verfügbarkeit Zone A oder B
-
Beachten Sie beim Abschließen des Assistenten Folgendes:
-
Sie sollten die Standardoption verlassen, um eine generierte Sicherheitsgruppe zu verwenden.
Die vordefinierte Sicherheitsgruppe enthält die Regeln, die Cloud Volumes ONTAP für den erfolgreichen Betrieb benötigen. Wenn Sie eine Anforderung haben, Ihre eigene zu verwenden, können Sie den folgenden Abschnitt der Sicherheitsgruppe lesen.
-
Sie müssen die IAM-Rolle auswählen, die Sie bei der Vorbereitung der AWS-Umgebung erstellt haben.
-
Der zugrunde liegende AWS Festplattentyp gilt für das erste Cloud Volumes ONTAP Volume.
Sie können einen anderen Festplattentyp für nachfolgende Volumes auswählen.
-
Die Performance von AWS Festplatten ist an die Festplattengröße gebunden.
Sie sollten die Festplattengröße wählen, die Ihnen die benötigte kontinuierliche Performance bietet. Weitere Details zur EBS-Performance finden Sie in der AWS Dokumentation.
-
Die Festplattengröße ist die Standardgröße für alle Festplatten im System.
Wenn Sie später eine andere Größe benötigen, können Sie die Option Erweiterte Zuweisung verwenden, um ein Aggregat zu erstellen, das Festplatten einer bestimmten Größe verwendet.
BlueXP startet die Cloud Volumes ONTAP-Instanz. Sie können den Fortschritt in der Timeline verfolgen.
Schritt 8: Sicherheitszertifikate für Data Tiering installieren
Sicherheitszertifikate müssen manuell installiert werden, um Daten-Tiering in den Regionen AWS Secret Cloud und Top Secret Cloud zu aktivieren.
-
Erstellung von S3 Buckets:
Stellen Sie sicher, dass den Bucket-Namen vorangestellt ist fabric-pool-.
Beispielfabric-pool-testbucket
. -
Behalten Sie die in installierten Stammzertifikate bei
step 4
Praktisch.
-
Kopieren Sie den Text aus den Stammzertifikaten, die Sie in installiert haben
step 4
. -
Stellen Sie über die CLI eine sichere Verbindung zum Cloud Volumes ONTAP System her.
-
Installieren Sie die Stammzertifikate. Drücken Sie möglicherweise die Taste
ENTER
Mehrmals drücken:security certificate install -type server-ca -cert-name <certificate-name>
-
Wenn Sie dazu aufgefordert werden, geben Sie den gesamten kopierten Text ein, einschließlich und aus
----- BEGIN CERTIFICATE -----
Bis----- END CERTIFICATE -----
. -
Bewahren Sie eine Kopie des CA-signierten digitalen Zertifikats zur späteren Verwendung auf.
-
Behalten Sie den Namen der Zertifizierungsstelle und die Seriennummer des Zertifikats bei.
-
Konfigurieren Sie den Objektspeicher für AWS Secret Cloud und Top Secret Cloud-Regionen:
set -privilege advanced -confirmations off
-
Führen Sie diesen Befehl aus, um den Objektspeicher zu konfigurieren.
Alle Amazon Resource Names (Arns) sollten mit einer Suffix versehen werden -iso-b
, Wie z. B.arn:aws-iso-b
. Wenn eine Ressource beispielsweise ein ARN mit einer Region erfordert, verwenden Sie für Top Secret Cloud die Namenskonvention alsus-iso-b
Für das-server
Flagge. Für AWS Secret Cloud verwenden Sieus-iso-b-1
.storage aggregate object-store config create -object-store-name <S3Bucket> -provider-type AWS_S3 -auth-type EC2-IAM -server <s3.us-iso-b-1.server_name> -container-name <fabric-pool-testbucket> -is-ssl-enabled true -port 443
-
Überprüfen Sie, ob der Objektspeicher erfolgreich erstellt wurde:
storage aggregate object-store show -instance
-
Fügen Sie den Objektspeicher dem Aggregat zu. Dies sollte für jedes neue Aggregat wiederholt werden:
storage aggregate object-store attach -aggregate <aggr1> -object-store-name <S3Bucket>