Skip to main content
NetApp Console setup and administration
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Einen Console-Agenten in Google Cloud über die NetApp Console bereitstellen

Beitragende netapp-tonias
Änderungen vorschlagen
PDFs

Sie können einen Console-Agenten in Google Cloud über die Console bereitstellen. Sie müssen Ihr Netzwerk einrichten, Google Cloud-Berechtigungen vorbereiten, Google Cloud APIs aktivieren und dann den Console-Agenten bereitstellen.

Durch die Bereitstellung eines Agenten in Google Cloud wird eine VM-Instanz gestartet, auf der Linux und die Console-Agent-Software in einer VPC Ihrer Wahl ausgeführt werden.

Bevor Sie beginnen

Schritt 1: Einrichten des Netzwerks

Richten Sie das Netzwerk ein, um sicherzustellen, dass der Konsolenagent Ressourcen verwalten kann, mit Verbindungen zu Zielnetzwerken und ausgehendem Internetzugang.

VPC und Subnetz

Wenn Sie den Konsolenagenten erstellen, müssen Sie die VPC und das Subnetz angeben, in dem er sich befinden soll.

Verbindungen zu Zielnetzwerken

Der Konsolenagent erfordert eine Netzwerkverbindung zu dem Standort, an dem Sie Systeme erstellen und verwalten möchten. Beispielsweise das Netzwerk, in dem Sie Cloud Volumes ONTAP -Systeme oder ein Speichersystem in Ihrer lokalen Umgebung erstellen möchten.

Ausgehender Internetzugang

Der Netzwerkstandort, an dem Sie den Konsolenagenten bereitstellen, muss über eine ausgehende Internetverbindung verfügen, um bestimmte Endpunkte zu kontaktieren.

Vom Konsolenagenten kontaktierte Endpunkte

Der Konsolenagent benötigt ausgehenden Internetzugang, um die folgenden Endpunkte zu kontaktieren und Ressourcen und Prozesse innerhalb Ihrer öffentlichen Cloud-Umgebung für den täglichen Betrieb zu verwalten.

Die unten aufgeführten Endpunkte sind alle CNAME-Einträge.

Endpunkte Zweck

https://www.googleapis.com/compute/v1/ https://compute.googleapis.com/compute/v1 https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://config.googleapis.com/v1/projects

Zum Verwalten von Ressourcen in Google Cloud.

https://mysupport.netapp.com

Um Lizenzinformationen zu erhalten und AutoSupport-Nachrichten an NetApp Support zu senden.

https://signin.b2c.netapp.com

So aktualisieren Sie die Anmeldeinformationen der NetApp Support Site (NSS) oder fügen der NetApp Console neue NSS-Anmeldeinformationen hinzu.

https://support.netapp.com

Um Lizenzinformationen zu erhalten und AutoSupport-Nachrichten an NetApp Support zu senden sowie Software-Updates für Cloud Volumes ONTAP zu erhalten.

https://api.bluexp.netapp.com https://netapp-cloud-account.auth0.com https://netapp-cloud-account.us.auth0.com https://console.netapp.com https://components.console.netapp.com https://cdn.auth0.com

Um Funktionen und Dienste innerhalb der NetApp Console bereitzustellen.

https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

Um Bilder für Upgrades des Konsolenagenten zu erhalten.

  • Wenn Sie einen neuen Agenten bereitstellen, testet die Validierungsprüfung die Konnektivität zu aktuellen Endpunkten. Wenn Sie"vorherige Endpunkte" , schlägt die Validierungsprüfung fehl. Um diesen Fehler zu vermeiden, überspringen Sie die Validierungsprüfung.

    Obwohl die vorherigen Endpunkte weiterhin unterstützt werden, empfiehlt NetApp , Ihre Firewall-Regeln so schnell wie möglich auf die aktuellen Endpunkte zu aktualisieren. "Erfahren Sie, wie Sie Ihre Endpunktliste aktualisieren" .

  • Wenn Sie auf die aktuellen Endpunkte in Ihrer Firewall aktualisieren, funktionieren Ihre vorhandenen Agenten weiterhin.
Von der NetApp Konsole kontaktierte Endpunkte

Bei der Nutzung der webbasierten NetApp Console SaaS-Anwendung werden verschiedene Endpunkte kontaktiert, um Datenverwaltungsaufgaben durchzuführen. Dies umfasst auch Endpunkte, die für die Bereitstellung des Console-Agenten über die Console kontaktiert werden.

"Sehen Sie sich die Liste der von der NetApp Console kontaktierten Endpunkte an.".

Proxyserver

NetApp unterstützt sowohl explizite als auch transparente Proxy-Konfigurationen. Wenn Sie einen transparenten Proxy verwenden, müssen Sie nur das Zertifikat für den Proxyserver angeben. Wenn Sie einen expliziten Proxy verwenden, benötigen Sie auch die IP-Adresse und die Anmeldeinformationen.

  • IP-Adresse

  • Anmeldeinformationen

  • HTTPS-Zertifikat

Häfen

Es gibt keinen eingehenden Datenverkehr zum Console-Agenten, es sei denn, Sie initiieren ihn oder er wird als Proxy verwendet, um AutoSupport-Nachrichten von Cloud Volumes ONTAP an den NetApp Support zu senden.

  • HTTP (80) und HTTPS (443) ermöglichen den Zugriff auf die lokale Benutzeroberfläche, die Sie in seltenen Fällen verwenden werden.

  • SSH (22) wird nur benötigt, wenn Sie zur Fehlerbehebung eine Verbindung zum Host herstellen müssen.

  • Eingehende Verbindungen über Port 3128 sind erforderlich, wenn Sie Cloud Volumes ONTAP -Systeme in einem Subnetz bereitstellen, in dem keine ausgehende Internetverbindung verfügbar ist.

    Wenn Cloud Volumes ONTAP -Systeme keine ausgehende Internetverbindung zum Senden von AutoSupport Nachrichten haben, konfiguriert die Konsole diese Systeme automatisch für die Verwendung eines Proxyservers, der im Konsolenagenten enthalten ist. Die einzige Voraussetzung besteht darin, sicherzustellen, dass die Sicherheitsgruppe des Konsolenagenten eingehende Verbindungen über Port 3128 zulässt. Sie müssen diesen Port öffnen, nachdem Sie den Konsolenagenten bereitgestellt haben.

Aktivieren von NTP

Wenn Sie planen, NetApp Data Classification zum Scannen Ihrer Unternehmensdatenquellen zu verwenden, sollten Sie einen Network Time Protocol (NTP)-Dienst sowohl auf dem Console-Agenten als auch auf dem NetApp Data Classification-System aktivieren, damit die Zeit zwischen den Systemen synchronisiert wird. "Erfahren Sie mehr über NetApp Data Classification".

Implementieren Sie diese Netzwerkanforderung, nachdem Sie den Konsolenagenten erstellt haben.

Schritt 2: Richten Sie Berechtigungen zum Erstellen des Konsolenagenten ein

Bevor Sie einen Konsolenagenten über die Konsole bereitstellen können, müssen Sie Berechtigungen für den Google Platform-Benutzer einrichten, der die Konsolenagent-VM bereitstellt.

Schritte

  1. Erstellen Sie eine benutzerdefinierte Rolle in der Google Platform:

    1. Erstellen Sie eine YAML-Datei, die die folgenden Berechtigungen enthält:

      title: Console agent deployment policy
description: Permissions for the user who deploys the Console agent
stage: GA
includedPermissions:

- cloudbuild.builds.get
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- config.deployments.create
- config.operations.get
- config.deployments.delete
- config.deployments.deleteState
- config.deployments.get
- config.deployments.getState
- config.deployments.list
- config.deployments.update
- config.deployments.updateState
- config.previews.get
- config.previews.list
- config.revisions.get
- config.resources.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.actAs
- iam.serviceAccounts.create
- iam.serviceAccounts.list
- iam.serviceAccountKeys.create
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.folders.create
- storage.objects.list

    2. Aktivieren Sie Cloud Shell in Google Cloud.

    3. Laden Sie die YAML-Datei hoch, die die erforderlichen Berechtigungen enthält.

    4. Erstellen Sie eine benutzerdefinierte Rolle mithilfe der gcloud iam roles create Befehl.

      Das folgende Beispiel erstellt eine Rolle mit dem Namen „agentDeployment“ auf Projektebene:

    gcloud iam roles create agentDeployment --project=myproject --file=agent-deployment.yaml

    +
    "Google Cloud-Dokumente: Erstellen und Verwalten benutzerdefinierter Rollen"

  2. Weisen Sie diese benutzerdefinierte Rolle dem Benutzer zu, der den Konsolenagenten über die Konsole oder mithilfe von gcloud bereitstellt.

    "Google Cloud-Dokumente: Gewähren einer einzelnen Rolle"

Schritt 3: Erstellen Sie ein Google Cloud-Dienstkonto zur Verwendung mit dem Agenten.

Ein Google Cloud-Dienstkonto ist erforderlich, um dem Konsolenagenten die Berechtigungen zu erteilen, die die Konsole zum Verwalten von Ressourcen in Google Cloud benötigt. Wenn Sie den Konsolen-Agenten erstellen, müssen Sie dieses Dienstkonto mit der Konsolen-Agent-VM verknüpfen.

Es liegt in Ihrer Verantwortung, die benutzerdefinierte Rolle zu aktualisieren, wenn in nachfolgenden Versionen neue Berechtigungen hinzugefügt werden. Wenn neue Berechtigungen erforderlich sind, werden diese in den Versionshinweisen aufgeführt.

Schritte

  1. Erstellen Sie eine benutzerdefinierte Rolle in Google Cloud:

    1. Erstellen Sie eine YAML-Datei, die den Inhalt der"Dienstkontoberechtigungen für den Konsolenagenten" .

    2. Aktivieren Sie Cloud Shell in Google Cloud.

    3. Laden Sie die YAML-Datei hoch, die die erforderlichen Berechtigungen enthält.

    4. Erstellen Sie eine benutzerdefinierte Rolle mithilfe der gcloud iam roles create Befehl.

      Das folgende Beispiel erstellt eine Rolle mit dem Namen „Agent“ auf Projektebene:

    gcloud iam roles create agent --project=myproject --file=agent.yaml

    +
    "Google Cloud-Dokumente: Erstellen und Verwalten benutzerdefinierter Rollen"

  2. Erstellen Sie ein Dienstkonto in Google Cloud und weisen Sie dem Dienstkonto die Rolle zu:

    1. Wählen Sie im IAM- und Admin-Dienst Dienstkonten > Dienstkonto erstellen.

    2. Geben Sie die Details des Dienstkontos ein und wählen Sie Erstellen und fortfahren.

    3. Wählen Sie die Rolle aus, die Sie gerade erstellt haben.

    4. Schließen Sie die restlichen Schritte ab, um das Dienstkonto zu erstellen.

      "Google Cloud-Dokumente: Erstellen eines Dienstkontos"

  3. Wenn Sie Cloud Volumes ONTAP-Systeme in anderen Projekten als dem Projekt, in dem sich der Console-Agent befindet, bereitstellen möchten, müssen Sie dem Dienstkonto des Console-Agents Zugriff auf diese Projekte gewähren.

    Nehmen wir beispielsweise an, der Konsolenagent befindet sich in Projekt 1 und Sie möchten Cloud Volumes ONTAP -Systeme in Projekt 2 erstellen. Sie müssen dem Dienstkonto in Projekt 2 Zugriff gewähren.

    1. Wählen Sie im IAM- und Admin-Dienst das Google Cloud-Projekt aus, in dem Sie Cloud Volumes ONTAP -Systeme erstellen möchten.

    2. Wählen Sie auf der IAM-Seite Zugriff gewähren aus und geben Sie die erforderlichen Details ein.

      • Geben Sie die E-Mail-Adresse des Dienstkontos des Konsolenagenten ein.

      • Wählen Sie die benutzerdefinierte Rolle des Konsolenagenten aus.

      • Wählen Sie Speichern.

    Weitere Einzelheiten finden Sie unter "Google Cloud-Dokumentation"

Schritt 4: Einrichten freigegebener VPC-Berechtigungen

Wenn Sie eine gemeinsam genutzte VPC verwenden, um Ressourcen in einem Serviceprojekt bereitzustellen, müssen Sie Ihre Berechtigungen vorbereiten.

Diese Tabelle dient als Referenz und Ihre Umgebung sollte die Berechtigungstabelle widerspiegeln, wenn die IAM-Konfiguration abgeschlossen ist.

Berechtigungen für freigegebene VPCs anzeigen
Identität Schöpfer Gehostet in Serviceprojektberechtigungen Host-Projektberechtigungen Zweck

Google-Konto zum Bereitstellen des Agenten

Brauch

Serviceprojekt

"Richtlinie zur Agentenbereitstellung"

compute.networkUser

Bereitstellen des Agenten im Serviceprojekt

Agent-Dienstkonto

Brauch

Serviceprojekt

"Agent-Dienstkontorichtlinie"

compute.networkUser deploymentmanager.editor

Bereitstellung und Wartung von Cloud Volumes ONTAP und Diensten im Serviceprojekt

Cloud Volumes ONTAP Dienstkonto

Brauch

Serviceprojekt

storage.admin-Mitglied: NetApp Console als serviceAccount.user

k. A.

(Optional) Für NetApp Cloud Tiering und NetApp Backup and Recovery

Google APIs-Dienstagent

Google Cloud

Serviceprojekt

(Standard-)Editor

compute.networkUser

Interagiert im Rahmen der Bereitstellung mit Google Cloud-APIs. Ermöglicht der Konsole die Verwendung des freigegebenen Netzwerks.

Standarddienstkonto von Google Compute Engine

Google Cloud

Serviceprojekt

(Standard-)Editor

compute.networkUser

Stellt Google Cloud-Instanzen und Recheninfrastruktur im Auftrag der Bereitstellung bereit. Ermöglicht der Konsole die Verwendung des freigegebenen Netzwerks.

Hinweise:

  1. deploymentmanager.editor ist nur im Hostprojekt erforderlich, wenn Sie keine Firewall-Regeln an die Bereitstellung übergeben und diese von der Console für Sie erstellt werden. Die NetApp Console erstellt eine Bereitstellung im Hostprojekt, die die VPC0-Firewall-Regel enthält, falls keine Regel angegeben ist.

  2. firewall.create und firewall.delete sind nur erforderlich, wenn Sie keine Firewall-Regeln an die Bereitstellung übergeben und die Console diese für Sie erstellen lassen. Diese Berechtigungen befinden sich in der Console-Konto-.yaml-Datei. Wenn Sie ein HA-Paar mit einer gemeinsam genutzten VPC bereitstellen, werden diese Berechtigungen verwendet, um die Firewall-Regeln für VPC1, 2 und 3 zu erstellen. Für alle anderen Bereitstellungen werden diese Berechtigungen auch verwendet, um Regeln für VPC0 zu erstellen.

  3. Für Cloud Tiering muss das Tiering-Dienstkonto die serviceAccount.user Rolle auf dem Dienstkonto haben, nicht nur auf Projektebene. Wenn Sie serviceAccount.user auf Projektebene zuweisen, werden die Berechtigungen nicht angezeigt, wenn Sie das Dienstkonto mit getIAMPolicy abfragen.

Schritt 5: Google Cloud APIs aktivieren

Sie müssen mehrere Google Cloud-APIs aktivieren, bevor Sie den Konsolenagenten und Cloud Volumes ONTAP bereitstellen.

Schritt

  1. Aktivieren Sie die folgenden Google Cloud-APIs in Ihrem Projekt:

    • Cloud Build API (erforderlich für Cloud Volumes ONTAP-Bereitstellungen im privaten Modus mit Infrastructure Manager)

    • Cloud Deployment Manager V2 API

    • Cloud Infrastructure Manager API

    • Cloud Logging API

    • Cloud Resource Manager-API

    • Compute Engine-API

    • API für Identitäts- und Zugriffsverwaltung (IAM)

    • Cloud Key Management Service (KMS) API (nur erforderlich, wenn Sie NetApp Backup and Recovery mit kundenseitig verwalteten Verschlüsselungsschlüsseln (CMEK) verwenden möchten)

    • Cloud Quotas API (erforderlich für Cloud Volumes ONTAP Deployments mit Infrastructure Manager)

"Google Cloud-Dokumentation: APIs aktivieren"

Schritt 6: Erstellen des Konsolenagenten

Erstellen Sie einen Konsolenagenten direkt aus der Konsole.

Durch Erstellen des Konsolenagenten wird eine VM-Instanz in Google Cloud mithilfe einer Standardkonfiguration bereitgestellt. Wechseln Sie nach dem Erstellen des Konsolenagenten nicht zu einer kleineren VM-Instanz mit weniger CPUs oder weniger RAM. "Erfahren Sie mehr über die Standardkonfiguration für den Konsolenagenten" .

Hinweis Wenn Sie einen Agenten in Google Cloud bereitstellen, erstellt der Agent einen Bucket zum Speichern der Bereitstellungsdateien.
Bevor Sie beginnen

Folgendes sollten Sie haben:

  • Die erforderlichen Google Cloud-Berechtigungen zum Erstellen des Konsolen-Agenten und eines Dienstkontos für die Konsolen-Agent-VM.

  • Eine VPC und ein Subnetz, die die Netzwerkanforderungen erfüllen.

  • Details zu einem Proxyserver, falls für den Internetzugriff vom Konsolenagenten ein Proxy erforderlich ist.

Schritte

  1. Wählen Sie Administration > Agenten.

  2. Wählen Sie auf der Seite Übersicht die Option Agent bereitstellen > Google Cloud.

  3. Überprüfen Sie auf der Seite Bereitstellen eines Agenten die Details zu Ihren Anforderungen. Sie haben zwei Möglichkeiten:

    1. Wählen Sie Weiter aus, um die Bereitstellung mithilfe des Produkthandbuchs vorzubereiten. Jeder Schritt in der Produktanleitung enthält die Informationen, die auf dieser Seite der Dokumentation enthalten sind.

    2. Wählen Sie Zur Bereitstellung übergehen, wenn Sie sich bereits durch Befolgen der Schritte auf dieser Seite vorbereitet haben.

  4. Befolgen Sie die Schritte im Assistenten, um den Konsolenagenten zu erstellen:

    • Wenn Sie dazu aufgefordert werden, melden Sie sich bei Ihrem Google-Konto an, das über die erforderlichen Berechtigungen zum Erstellen der Instanz der virtuellen Maschine verfügen sollte.

      Das Formular ist Eigentum von Google und wird von Google gehostet. Ihre Anmeldeinformationen werden NetApp nicht zur Verfügung gestellt.

    • Details: Geben Sie einen Namen für die VM-Instanz ein, geben Sie Tags an, wählen Sie ein Projekt aus und wählen Sie dann das Dienstkonto mit den erforderlichen Berechtigungen aus (weitere Informationen finden Sie im obigen Abschnitt).

    • Standort: Geben Sie eine Region, Zone, VPC und ein Subnetz für die Instanz an.

    • Netzwerk: Wählen Sie, ob eine öffentliche IP-Adresse aktiviert werden soll, und geben Sie optional eine Proxy-Konfiguration an.

    • Netzwerk-Tags: Fügen Sie der Console-Agent-Instanz ein Netzwerk-Tag hinzu, wenn Sie einen transparenten Proxy verwenden. Netzwerk-Tags müssen mit einem Kleinbuchstaben beginnen und dürfen Kleinbuchstaben, Zahlen und Bindestriche enthalten. Tags müssen mit einem Kleinbuchstaben oder einer Zahl enden. Beispielsweise könnten Sie das Tag console-agent-proxy verwenden.

    • Firewall-Richtlinie: Wählen Sie, ob Sie eine neue Firewall-Richtlinie erstellen oder eine vorhandene Firewall-Richtlinie auswählen möchten, die die erforderlichen eingehenden und ausgehenden Regeln zulässt.

      "Firewall-Regeln in Google Cloud"

  5. Überprüfen Sie Ihre Auswahl, um zu verifizieren, dass Ihre Einrichtung korrekt ist.

    1. Das Kästchen Agentenkonfiguration validieren ist standardmäßig aktiviert, damit die Konsole bei der Bereitstellung die Netzwerkverbindungsanforderungen überprüft. Schlägt die Bereitstellung des Agenten durch die Konsole fehl, wird ein Bericht zur Fehlerbehebung erstellt. Bei erfolgreicher Bereitstellung wird kein Bericht bereitgestellt.

    Hinweis

    • Wenn Sie noch die "vorherige Endpunkte" verwendete Methode für Agenten-Upgrades nutzen, schlägt die Validierung mit einem Fehler fehl. Um dies zu vermeiden, deaktivieren Sie das Kästchen, um die Validierungsprüfung zu überspringen.

    • Während der Installation prüft NetApp, ob auf dem Agent-Host mindestens 80 % des gesamten Festplattenspeichers verfügbar sind, einschließlich 48 GB in /opt und 32 GB in /var (insgesamt 80 GB). Nach der Installation müssen mindestens 20 % des gesamten Festplattenspeichers verfügbar bleiben, einschließlich 12 GB in /opt und 8 GB in /var (insgesamt 20 GB).

  6. Wählen Sie Hinzufügen.

    Der Agent ist in etwa 10 Minuten bereit. Bleiben Sie auf der Seite, bis der Vorgang abgeschlossen ist.

Ergebnis

Nach Abschluss des Vorgangs steht der Konsolenagent zur Verwendung bereit.

Hinweis Wenn die Bereitstellung fehlschlägt, können Sie einen Bericht und Protokolle von der Konsole herunterladen, die Ihnen bei der Behebung der Probleme helfen."Erfahren Sie, wie Sie Installationsprobleme beheben."

Wenn Sie Google Cloud Storage-Buckets im selben Google Cloud-Konto haben, in dem Sie den Console-Agenten erstellt haben, wird ein Google Cloud Storage-System automatisch auf der Seite Systeme angezeigt. "Erfahren Sie, wie Sie Google Cloud Storage über die Konsole verwalten".