Skip to main content
NetApp Console setup and administration
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Erstellen Sie einen Konsolenagenten aus Google Cloud

Beitragende netapp-tonias
PDFs

Um mithilfe von Google Cloud einen Konsolenagenten in Google Cloud zu erstellen, müssen Sie Ihr Netzwerk einrichten, Google Cloud-Berechtigungen vorbereiten, Google Cloud-APIs aktivieren und dann den Konsolenagenten erstellen.

Bevor Sie beginnen

Schritt 1: Einrichten des Netzwerks

Richten Sie das Netzwerk ein, damit der Konsolenagent Ressourcen verwalten und eine Verbindung zu Zielnetzwerken und dem Internet herstellen kann.

VPC und Subnetz

Wenn Sie den Konsolenagenten erstellen, müssen Sie die VPC und das Subnetz angeben, in dem er sich befinden soll.

Verbindungen zu Zielnetzwerken

Der Konsolenagent erfordert eine Netzwerkverbindung zu dem Standort, an dem Sie Systeme erstellen und verwalten möchten. Beispielsweise das Netzwerk, in dem Sie Cloud Volumes ONTAP -Systeme oder ein Speichersystem in Ihrer lokalen Umgebung erstellen möchten.

Ausgehender Internetzugang

Der Netzwerkstandort, an dem Sie den Konsolenagenten bereitstellen, muss über eine ausgehende Internetverbindung verfügen, um bestimmte Endpunkte zu kontaktieren.

Vom Konsolenagenten kontaktierte Endpunkte

Der Konsolenagent benötigt ausgehenden Internetzugang, um die folgenden Endpunkte zu kontaktieren und Ressourcen und Prozesse innerhalb Ihrer öffentlichen Cloud-Umgebung für den täglichen Betrieb zu verwalten.

Die unten aufgeführten Endpunkte sind alle CNAME-Einträge.

Endpunkte Zweck

https://www.googleapis.com/compute/v1/ https://compute.googleapis.com/compute/v1 https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects

Zum Verwalten von Ressourcen in Google Cloud.

https://mysupport.netapp.com

Um Lizenzinformationen zu erhalten und AutoSupport -Nachrichten an den NetApp Support zu senden.

https://support.netapp.com

Um Lizenzinformationen zu erhalten und AutoSupport -Nachrichten an den NetApp Support zu senden.

https://signin.b2c.netapp.com

So aktualisieren Sie die Anmeldeinformationen der NetApp Support Site (NSS) oder fügen der NetApp Console neue NSS-Anmeldeinformationen hinzu.

https://support.netapp.com

Um Lizenzinformationen zu erhalten und AutoSupport -Nachrichten an den NetApp Support zu senden sowie um Software-Updates für Cloud Volumes ONTAP zu erhalten.

https://api.bluexp.netapp.com https://netapp-cloud-account.auth0.com https://netapp-cloud-account.us.auth0.com https://console.netapp.com https://components.console.bluexp.netapp.com https://cdn.auth0.com

Um Funktionen und Dienste innerhalb der NetApp Console bereitzustellen.

https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

Um Bilder für Upgrades des Konsolenagenten zu erhalten.

  • Wenn Sie einen neuen Agenten bereitstellen, testet die Validierungsprüfung die Konnektivität zu aktuellen Endpunkten. Wenn Sie"vorherige Endpunkte" , schlägt die Validierungsprüfung fehl. Um diesen Fehler zu vermeiden, überspringen Sie die Validierungsprüfung.

    Obwohl die vorherigen Endpunkte weiterhin unterstützt werden, empfiehlt NetApp , Ihre Firewall-Regeln so schnell wie möglich auf die aktuellen Endpunkte zu aktualisieren. "Erfahren Sie, wie Sie Ihre Endpunktliste aktualisieren" .

  • Wenn Sie auf die aktuellen Endpunkte in Ihrer Firewall aktualisieren, funktionieren Ihre vorhandenen Agenten weiterhin.
Von der NetApp Konsole kontaktierte Endpunkte

Wenn Sie die webbasierte NetApp Console verwenden, die über die SaaS-Schicht bereitgestellt wird, kontaktiert diese mehrere Endpunkte, um Datenverwaltungsaufgaben abzuschließen. Dazu gehören Endpunkte, die kontaktiert werden, um den Konsolenagenten von der Konsole aus bereitzustellen.

"Zeigen Sie die Liste der von der NetApp Konsole kontaktierten Endpunkte an" .

Proxyserver

NetApp unterstützt sowohl explizite als auch transparente Proxy-Konfigurationen. Wenn Sie einen transparenten Proxy verwenden, müssen Sie nur das Zertifikat für den Proxyserver angeben. Wenn Sie einen expliziten Proxy verwenden, benötigen Sie auch die IP-Adresse und die Anmeldeinformationen.

  • IP-Adresse

  • Anmeldeinformationen

  • HTTPS-Zertifikat

Häfen

Es gibt keinen eingehenden Datenverkehr zum Konsolenagenten, es sei denn, Sie initiieren ihn oder er wird als Proxy zum Senden von AutoSupport Nachrichten von Cloud Volumes ONTAP an den NetApp Support verwendet.

  • HTTP (80) und HTTPS (443) ermöglichen den Zugriff auf die lokale Benutzeroberfläche, die Sie in seltenen Fällen verwenden werden.

  • SSH (22) wird nur benötigt, wenn Sie zur Fehlerbehebung eine Verbindung zum Host herstellen müssen.

  • Eingehende Verbindungen über Port 3128 sind erforderlich, wenn Sie Cloud Volumes ONTAP -Systeme in einem Subnetz bereitstellen, in dem keine ausgehende Internetverbindung verfügbar ist.

    Wenn Cloud Volumes ONTAP -Systeme keine ausgehende Internetverbindung zum Senden von AutoSupport Nachrichten haben, konfiguriert die Konsole diese Systeme automatisch für die Verwendung eines Proxyservers, der im Konsolenagenten enthalten ist. Die einzige Voraussetzung besteht darin, sicherzustellen, dass die Sicherheitsgruppe des Konsolenagenten eingehende Verbindungen über Port 3128 zulässt. Sie müssen diesen Port öffnen, nachdem Sie den Konsolenagenten bereitgestellt haben.

Aktivieren von NTP

Wenn Sie NetApp Data Classification zum Scannen Ihrer Unternehmensdatenquellen verwenden möchten, sollten Sie sowohl auf dem Konsolenagenten als auch auf dem NetApp Data Classification -System einen Network Time Protocol (NTP)-Dienst aktivieren, damit die Zeit zwischen den Systemen synchronisiert wird. "Erfahren Sie mehr über die NetApp Datenklassifizierung"

Implementieren Sie diese Netzwerkanforderung, nachdem Sie den Konsolenagenten erstellt haben.

Schritt 2: Richten Sie Berechtigungen zum Erstellen des Konsolenagenten ein

Richten Sie Berechtigungen für den Google Cloud-Benutzer ein, um die Konsolen-Agent-VM von Google Cloud bereitzustellen.

Schritte

  1. Erstellen Sie eine benutzerdefinierte Rolle in der Google Platform:

    1. Erstellen Sie eine YAML-Datei, die die folgenden Berechtigungen enthält:

      title: Console agent deployment policy
description: Permissions for the user who deploys the NetApp Console agent
stage: GA
includedPermissions:
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.list

    2. Aktivieren Sie Cloud Shell in Google Cloud.

    3. Laden Sie die YAML-Datei hoch, die die erforderlichen Berechtigungen enthält.

    4. Erstellen Sie eine benutzerdefinierte Rolle mithilfe der gcloud iam roles create Befehl.

      Das folgende Beispiel erstellt auf Projektebene eine Rolle mit dem Namen „connectorDeployment“:

      gcloud iam roles create connectorDeployment --project=myproject --file=connector-deployment.yaml

    "Google Cloud-Dokumente: Erstellen und Verwalten benutzerdefinierter Rollen"

  2. Weisen Sie diese benutzerdefinierte Rolle dem Benutzer zu, der den Konsolenagenten von Google Cloud bereitstellt.

    "Google Cloud-Dokumente: Gewähren einer einzelnen Rolle"

Schritt 3: Berechtigungen für die Konsolen-Agent-Operationen einrichten

Ein Google Cloud-Dienstkonto ist erforderlich, um dem Konsolenagenten die Berechtigungen zu erteilen, die die Konsole zum Verwalten von Ressourcen in Google Cloud benötigt. Wenn Sie den Konsolen-Agenten erstellen, müssen Sie dieses Dienstkonto mit der Konsolen-Agent-VM verknüpfen.

Es liegt in Ihrer Verantwortung, die benutzerdefinierte Rolle zu aktualisieren, wenn in nachfolgenden Versionen neue Berechtigungen hinzugefügt werden. Wenn neue Berechtigungen erforderlich sind, werden diese in den Versionshinweisen aufgeführt.

Schritte

  1. Erstellen Sie eine benutzerdefinierte Rolle in Google Cloud:

    1. Erstellen Sie eine YAML-Datei, die den Inhalt der"Dienstkontoberechtigungen für den Konsolenagenten" .

    2. Aktivieren Sie Cloud Shell in Google Cloud.

    3. Laden Sie die YAML-Datei hoch, die die erforderlichen Berechtigungen enthält.

    4. Erstellen Sie eine benutzerdefinierte Rolle mithilfe der gcloud iam roles create Befehl.

      Das folgende Beispiel erstellt auf Projektebene eine Rolle mit dem Namen „Connector“:

      gcloud iam roles create connector --project=myproject --file=connector.yaml

    "Google Cloud-Dokumente: Erstellen und Verwalten benutzerdefinierter Rollen"

  2. Erstellen Sie ein Dienstkonto in Google Cloud und weisen Sie dem Dienstkonto die Rolle zu:

    1. Wählen Sie im IAM- und Admin-Dienst Dienstkonten > Dienstkonto erstellen.

    2. Geben Sie die Details des Dienstkontos ein und wählen Sie Erstellen und fortfahren.

    3. Wählen Sie die Rolle aus, die Sie gerade erstellt haben.

    4. Führen Sie die restlichen Schritte aus, um die Rolle zu erstellen.

      "Google Cloud-Dokumente: Erstellen eines Dienstkontos"

  3. Wenn Sie Cloud Volumes ONTAP -Systeme in anderen Projekten als dem Projekt bereitstellen möchten, in dem sich der Konsolenagent befindet, müssen Sie dem Dienstkonto des Konsolenagenten Zugriff auf diese Projekte gewähren.

    Nehmen wir beispielsweise an, der Konsolenagent befindet sich in Projekt 1 und Sie möchten Cloud Volumes ONTAP -Systeme in Projekt 2 erstellen. Sie müssen dem Dienstkonto in Projekt 2 Zugriff gewähren.

    1. Wählen Sie im IAM- und Admin-Dienst das Google Cloud-Projekt aus, in dem Sie Cloud Volumes ONTAP -Systeme erstellen möchten.

    2. Wählen Sie auf der IAM-Seite Zugriff gewähren aus und geben Sie die erforderlichen Details ein.

      • Geben Sie die E-Mail-Adresse des Dienstkontos des Konsolenagenten ein.

      • Wählen Sie die benutzerdefinierte Rolle des Konsolenagenten aus.

      • Wählen Sie Speichern.

    Weitere Einzelheiten finden Sie unter "Google Cloud-Dokumentation"

Schritt 4: Einrichten freigegebener VPC-Berechtigungen

Wenn Sie eine gemeinsam genutzte VPC verwenden, um Ressourcen in einem Serviceprojekt bereitzustellen, müssen Sie Ihre Berechtigungen vorbereiten.

Diese Tabelle dient als Referenz und Ihre Umgebung sollte die Berechtigungstabelle widerspiegeln, wenn die IAM-Konfiguration abgeschlossen ist.

Berechtigungen für freigegebene VPCs anzeigen
Identität Schöpfer Gehostet in Serviceprojektberechtigungen Host-Projektberechtigungen Zweck

Google-Konto zum Bereitstellen des Agenten

Brauch

Serviceprojekt

"Richtlinie zur Agentenbereitstellung"

compute.networkUser

Bereitstellen des Agenten im Serviceprojekt

Agent-Dienstkonto

Brauch

Serviceprojekt

"Agent-Dienstkontorichtlinie"

compute.networkUser deploymentmanager.editor

Bereitstellung und Wartung von Cloud Volumes ONTAP und Diensten im Serviceprojekt

Cloud Volumes ONTAP Dienstkonto

Brauch

Serviceprojekt

storage.admin-Mitglied: NetApp Console als serviceAccount.user

k. A.

(Optional) Für NetApp Cloud Tiering und NetApp Backup and Recovery

Google APIs-Dienstagent

Google Cloud

Serviceprojekt

(Standard-)Editor

compute.networkUser

Interagiert im Rahmen der Bereitstellung mit Google Cloud-APIs. Ermöglicht der Konsole die Verwendung des freigegebenen Netzwerks.

Standarddienstkonto von Google Compute Engine

Google Cloud

Serviceprojekt

(Standard-)Editor

compute.networkUser

Stellt Google Cloud-Instanzen und Recheninfrastruktur im Auftrag der Bereitstellung bereit. Ermöglicht der Konsole die Verwendung des freigegebenen Netzwerks.

Hinweise:

  1. deploymentmanager.editor wird im Hostprojekt nur benötigt, wenn Sie keine Firewall-Regeln an die Bereitstellung übergeben und diese von der Konsole für Sie erstellen lassen. Die NetApp Console erstellt eine Bereitstellung im Hostprojekt, die die VPC0-Firewallregel enthält, wenn keine Regel angegeben ist.

  2. firewall.create und firewall.delete sind nur erforderlich, wenn Sie keine Firewall-Regeln an die Bereitstellung übergeben und diese von der Konsole für Sie erstellen lassen möchten. Diese Berechtigungen befinden sich in der YAML-Datei des Konsolenkontos. Wenn Sie ein HA-Paar mithilfe einer gemeinsam genutzten VPC bereitstellen, werden diese Berechtigungen zum Erstellen der Firewall-Regeln für VPC1, 2 und 3 verwendet. Bei allen anderen Bereitstellungen werden diese Berechtigungen auch zum Erstellen von Regeln für VPC0 verwendet.

  3. Für Cloud Tiering muss das Tiering-Dienstkonto über die Rolle serviceAccount.user für das Dienstkonto verfügen, nicht nur auf Projektebene. Wenn Sie derzeit serviceAccount.user auf Projektebene zuweisen, werden die Berechtigungen nicht angezeigt, wenn Sie das Dienstkonto mit getIAMPolicy abfragen.

Schritt 5: Google Cloud APIs aktivieren

Aktivieren Sie mehrere Google Cloud-APIs, bevor Sie den Konsolenagenten und Cloud Volumes ONTAP bereitstellen.

Schritt

  1. Aktivieren Sie die folgenden Google Cloud-APIs in Ihrem Projekt:

    • Cloud Deployment Manager V2 API

    • Cloud Logging API

    • Cloud Resource Manager-API

    • Compute Engine-API

    • API für Identitäts- und Zugriffsverwaltung (IAM)

    • Cloud Key Management Service (KMS)-API

      (Nur erforderlich, wenn Sie NetApp Backup and Recovery mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verwenden möchten)

"Google Cloud-Dokumentation: APIs aktivieren"

Schritt 6: Erstellen des Konsolenagenten

Erstellen Sie mithilfe von Google Cloud einen Konsolenagenten.

Durch das Erstellen des Konsolenagenten wird eine VM-Instanz in Google Cloud mit der Standardkonfiguration bereitgestellt. Wechseln Sie nach der Erstellung des Konsolenagenten nicht zu einer kleineren VM-Instanz mit weniger CPUs oder weniger RAM. "Erfahren Sie mehr über die Standardkonfiguration für den Konsolenagenten" .

Bevor Sie beginnen

Folgendes sollten Sie haben:

  • Die erforderlichen Google Cloud-Berechtigungen zum Erstellen des Konsolen-Agenten und eines Dienstkontos für die Konsolen-Agent-VM.

  • Eine VPC und ein Subnetz, das die Netzwerkanforderungen erfüllt.

  • Ein Verständnis der Anforderungen an VM-Instanzen.

    • CPU: 8 Kerne oder 8 vCPUs

    • RAM: 32 GB

    • Maschinentyp: Wir empfehlen n2-standard-8.

      Der Konsolenagent wird in Google Cloud auf einer VM-Instanz mit einem Betriebssystem unterstützt, das Shielded VM-Funktionen unterstützt.

Schritte

  1. Melden Sie sich mit Ihrer bevorzugten Methode beim Google Cloud SDK an.

    In diesem Beispiel wird eine lokale Shell mit installiertem gcloud SDK verwendet. Sie können jedoch auch die Google Cloud Shell verwenden.

    Weitere Informationen zum Google Cloud SDK finden Sie auf der"Google Cloud SDK-Dokumentationsseite" .

  2. Stellen Sie sicher, dass Sie als Benutzer angemeldet sind, der über die erforderlichen Berechtigungen verfügt, die im obigen Abschnitt definiert sind:

    gcloud auth list

    Die Ausgabe sollte Folgendes anzeigen, wobei das *-Benutzerkonto das gewünschte Benutzerkonto ist, mit dem Sie sich anmelden möchten:

    Credentialed Accounts
ACTIVE  ACCOUNT
     some_user_account@domain.com
*    desired_user_account@domain.com
To set the active account, run:
 $ gcloud config set account `ACCOUNT`
Updates are available for some Cloud SDK components. To install them,
please run:
$ gcloud components update

  3. Führen Sie den gcloud compute instances create Befehl:

    gcloud compute instances create <instance-name>
  --machine-type=n2-standard-8
  --image-project=netapp-cloudmanager
  --image-family=cloudmanager
  --scopes=cloud-platform
  --project=<project>
  --service-account=<service-account>
  --zone=<zone>
  --no-address
  --tags <network-tag>
  --network <network-path>
  --subnet <subnet-path>
  --boot-disk-kms-key <kms-key-path>
    Instanzname

    Der gewünschte Instanzname für die VM-Instanz.

    Projekt

    (Optional) Das Projekt, in dem Sie die VM bereitstellen möchten.

    Dienstkonto

    Das in der Ausgabe von Schritt 2 angegebene Dienstkonto.

    Zone

    Die Zone, in der Sie die VM bereitstellen möchten

    keine Adresse

    (Optional) Es wird keine externe IP-Adresse verwendet (Sie benötigen ein Cloud-NAT oder einen Proxy, um den Datenverkehr ins öffentliche Internet zu leiten).

    Netzwerk-Tag

    (Optional) Fügen Sie Netzwerk-Tagging hinzu, um eine Firewall-Regel mithilfe von Tags mit der Konsolen-Agent-Instanz zu verknüpfen

    Netzwerkpfad

    (Optional) Fügen Sie den Namen des Netzwerks hinzu, in dem der Konsolenagent bereitgestellt werden soll (für eine freigegebene VPC benötigen Sie den vollständigen Pfad).

    Subnetzpfad

    (Optional) Fügen Sie den Namen des Subnetzes hinzu, in dem der Konsolenagent bereitgestellt werden soll (für eine freigegebene VPC benötigen Sie den vollständigen Pfad).

    kms-Schlüsselpfad

    (Optional) Fügen Sie einen KMS-Schlüssel hinzu, um die Festplatten des Konsolenagenten zu verschlüsseln (IAM-Berechtigungen müssen ebenfalls angewendet werden).

    Weitere Informationen zu diesen Flaggen finden Sie auf der"Dokumentation zum Google Cloud Compute SDK" .

    Durch Ausführen des Befehls wird der Konsolenagent bereitgestellt. Die Konsolen-Agentinstanz und -Software sollten in etwa fünf Minuten ausgeführt werden.

  4. Öffnen Sie einen Webbrowser und geben Sie die Host-URL des Konsolenagenten ein:

    Die Host-URL der Konsole kann je nach Konfiguration des Hosts ein lokaler Host, eine private IP-Adresse oder eine öffentliche IP-Adresse sein. Wenn sich der Konsolenagent beispielsweise in der öffentlichen Cloud ohne öffentliche IP-Adresse befindet, müssen Sie eine private IP-Adresse von einem Host eingeben, der über eine Verbindung zum Host des Konsolenagenten verfügt.

  5. Richten Sie nach der Anmeldung den Konsolenagenten ein:

    1. Geben Sie die Konsolenorganisation an, die mit dem Konsolenagenten verknüpft werden soll.

      "Erfahren Sie mehr über Identitäts- und Zugriffsverwaltung" .

    2. Geben Sie einen Namen für das System ein.

Ergebnis

Der Konsolenagent ist jetzt installiert und mit Ihrer Konsolenorganisation eingerichtet.

Öffnen Sie einen Webbrowser und gehen Sie zu "NetApp Console" um mit der Verwendung des Konsolenagenten zu beginnen.