Skip to main content
Cloud Manager 3.6
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Cloud-Provider-Konten zu Cloud Manager hinzufügen

Beitragende
PDFs

Wenn Sie Cloud Volumes ONTAP in verschiedenen Cloud-Konten implementieren möchten, müssen Sie diese Konten die erforderlichen Berechtigungen erteilen und anschließend die Details zu Cloud Manager hinzufügen.

Bei der Implementierung von Cloud Manager über Cloud Central fügt Cloud Manager automatisch einen hinzu "Konto eines Cloud-Providers" Für das Konto, in dem Sie Cloud Manager implementiert haben. Ein anfängliches Cloud-Provider-Konto wird nicht hinzugefügt, wenn Sie die Cloud Manager Software manuell auf einem vorhandenen System installieren.

Einrichten und Hinzufügen von AWS Konten zu Cloud Manager

Wenn Sie Cloud Volumes ONTAP in verschiedenen AWS Konten implementieren möchten, müssen Sie diese Konten die erforderlichen Berechtigungen erteilen und anschließend die Details zu Cloud Manager hinzufügen. Wie Sie die Berechtigungen bereitstellen, hängt davon ab, ob Sie Cloud Manager mit AWS Schlüsseln oder dem ARN einer Rolle in einem vertrauenswürdigen Konto bereitstellen möchten.

Gewähren von Berechtigungen bei der Bereitstellung von AWS Schlüsseln

Wenn Sie Cloud Manager mit AWS Schlüsseln für einen IAM-Benutzer bereitstellen möchten, müssen Sie diesem Benutzer die erforderlichen Berechtigungen erteilen. Die Cloud Manager IAM-Richtlinie definiert die AWS-Aktionen und -Ressourcen, die Cloud Manager verwenden darf.

Schritte

  1. Laden Sie die IAM-Richtlinie von Cloud Manager aus herunter "Seite „Cloud Manager Policies“ aufgeführt".

  2. Erstellen Sie über die IAM-Konsole Ihre eigene Richtlinie, indem Sie den Text aus der Cloud Manager IAM-Richtlinie kopieren und einfügen.

    "AWS Dokumentation: Erstellung von IAM-Richtlinien"

  3. Hängen Sie die Richtlinie an eine IAM-Rolle oder einen IAM-Benutzer an.

Ergebnis

Das Konto verfügt nun über die erforderlichen Berechtigungen. Sie können es jetzt zu Cloud Manager hinzufügen.

Gewährung von Berechtigungen durch Annahme von IAM-Rollen in anderen Konten

Sie können eine Vertrauensbeziehung zwischen dem Quell-AWS-Konto einrichten, in dem Sie die Cloud Manager-Instanz und anderen AWS-Konten mithilfe von IAM-Rollen bereitgestellt haben. Dann würden Sie Cloud Manager über die vertrauenswürdigen Konten mit dem ARN der IAM-Rollen versorgen.

Schritte

  1. Rufen Sie das Zielkonto auf, in dem Sie Cloud Volumes ONTAP bereitstellen und eine IAM-Rolle erstellen möchten, indem Sie ein weiteres AWS-Konto auswählen.

    Gehen Sie wie folgt vor:

  2. Wechseln Sie zum Quellkonto, in dem sich die Cloud Manager Instanz befindet, und wählen Sie die IAM-Rolle aus, die mit der Instanz verbunden ist.

    1. Klicken Sie auf Vertrauensverhältnis > Vertrauensverhältnis bearbeiten.

    2. Fügen Sie die Aktion „STS:AssumeRole“ und den ARN der Rolle hinzu, die Sie im Zielkonto erstellt haben.

      Beispiel

    {
 "Version": "2012-10-17",
 "Statement": {
   "Effect": "Allow",
   "Action": "sts:AssumeRole",
   "Resource": "arn:aws:iam::ACCOUNT-B-ID:role/ACCOUNT-B-ROLENAME"
}
}
Ergebnis

Das Konto verfügt nun über die erforderlichen Berechtigungen. Sie können es jetzt zu Cloud Manager hinzufügen.

Hinzufügen von AWS Konten zu Cloud Manager

Nachdem Sie ein AWS Konto mit den erforderlichen Berechtigungen bereitgestellt haben, können Sie das Konto zu Cloud Manager hinzufügen. Damit können Sie Cloud Volumes ONTAP Systeme in diesem Konto starten.

Schritte

  1. Klicken Sie oben rechts in der Cloud Manager-Konsole auf die Dropdown-Liste Task und wählen Sie dann Kontoeinstellungen aus.

  2. Klicken Sie auf Neues Konto hinzufügen und wählen Sie AWS.

  3. Sie können entscheiden, ob Sie AWS Schlüssel oder den ARN einer vertrauenswürdigen IAM-Rolle bereitstellen möchten.

  4. Bestätigen Sie, dass die Richtlinienanforderungen erfüllt wurden, und klicken Sie dann auf Konto erstellen.

Ergebnis

Sie können jetzt auf der Seite Details und Anmeldeinformationen zu einem anderen Konto wechseln, wenn Sie eine neue Arbeitsumgebung erstellen:

Ein Screenshot, in dem die Auswahl zwischen Cloud-Provider-Konten angezeigt wird, nachdem Sie auf der Seite Details Credentials auf Switch Account geklickt haben.

Einrichten und Hinzufügen von Azure-Konten zu Cloud Manager

Wenn Sie Cloud Volumes ONTAP in verschiedenen Azure-Konten implementieren möchten, müssen Sie diese Konten die erforderlichen Berechtigungen erteilen und anschließend Details zu den Konten in Cloud Manager einfügen.

Azure-Berechtigungen über einen Service-Principal gewähren

Cloud Manager benötigt Berechtigungen zum Ausführen von Aktionen in Azure. Sie können einem Azure-Konto die erforderlichen Berechtigungen erteilen, indem Sie einen Service-Principal in Azure Active Directory erstellen und einrichten, sowie die für Cloud Manager erforderlichen Azure Zugangsdaten erhalten.

Über diese Aufgabe

In der folgenden Abbildung wird dargestellt, wie Cloud Manager Berechtigungen zum Ausführen von Vorgängen in Azure erhält. Ein Service-Prinzipalobjekt, das an ein oder mehrere Azure Subscriptions gebunden ist, stellt Cloud Manager in Azure Active Directory dar und wird einer benutzerdefinierten Rolle zugewiesen, die die erforderlichen Berechtigungen zulässt.

Konzeptionelles Bild, das zeigt, wie Cloud Manager Authentifizierung und Autorisierung von Azure Active Directory erhält, bevor er einen API-Aufruf durchführen kann. In Active Directory definiert die Rolle "Cloud Manager Operator" Berechtigungen. Sie ist an ein oder mehrere Azure Subscriptions und ein Service-Prinzipalobjekt gebunden, das die Cloud Manager Applikation repräsentiert.

Hinweis Die folgenden Schritte verwenden das neue Azure Portal. Wenn Probleme auftreten, sollten Sie das klassische Azure Portal verwenden.
Schritte

  1. Erstellen einer benutzerdefinierten Rolle mit den erforderlichen Cloud Manager-Berechtigungen.

  2. Erstellen eines Active Directory-Dienstprinzipals.

  3. Weisen Sie der Service-Principal die benutzerdefinierte Cloud Manager-Rolle zu.

Erstellen einer benutzerdefinierten Rolle mit den erforderlichen Cloud Manager-Berechtigungen

Eine benutzerdefinierte Rolle ist erforderlich, um Cloud Manager die Berechtigungen zu geben, die er zum Starten und Managen von Cloud Volumes ONTAP in Azure benötigt.

Schritte

  1. Laden Sie die herunter "Cloud Manager Azure-Richtlinie".

  2. Ändern Sie die JSON-Datei, indem Sie dem zuweisbaren Bereich Azure-Abonnement-IDs hinzufügen.

    Sie sollten die ID für jedes Azure Abonnement hinzufügen, aus dem Benutzer Cloud Volumes ONTAP Systeme erstellen.

    Beispiel

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

  3. Verwenden Sie die JSON-Datei, um eine benutzerdefinierte Rolle in Azure zu erstellen.

    Im folgenden Beispiel wird gezeigt, wie eine benutzerdefinierte Rolle mithilfe der Azure CLI 2.0 erstellt wird:

    Az Rollendefinition erstellen --Role-Definition C:\Policy_for_Cloud_Manager_Azure_3.6.1.json

Ergebnis

Sie sollten nun eine benutzerdefinierte Rolle namens OnCommand Cloud Manager Operator haben.

Erstellen eines Active Directory-Dienstprinzipals

Sie müssen einen Active Directory-Dienstprinzipal erstellen, damit Cloud Manager sich mit Azure Active Directory authentifizieren kann.

Bevor Sie beginnen

Sie müssen über die entsprechenden Berechtigungen in Azure verfügen, um eine Active Directory-Anwendung zu erstellen und die Anwendung einer Rolle zuzuweisen. Weitere Informationen finden Sie unter "Microsoft Azure-Dokumentation: Erstellen Sie mithilfe eines Portals eine Active Directory-Applikation und einen Service-Principal, die auf Ressourcen zugreifen können".

Schritte

  1. Öffnen Sie über das Azure-Portal den Azure Active Directory-Service.

    Zeigt den Active Directory-Dienst in Microsoft Azure an.

  2. Klicken Sie im Menü auf App-Registrierungen (Legacy).

  3. Erstellen Sie den Service-Prinzipal:

    1. Klicken Sie auf Registrierung neuer Anwendungen.

    2. Geben Sie einen Namen für die Anwendung ein, lassen Sie Web App / API ausgewählt, und geben Sie dann eine beliebige URL ein, z. B. http://url

    3. Klicken Sie Auf Erstellen.

  4. Ändern Sie die Anwendung, um die erforderlichen Berechtigungen hinzuzufügen:

    1. Wählen Sie die erstellte Anwendung aus.

    2. Klicken Sie unter Einstellungen auf erforderliche Berechtigungen und dann auf Hinzufügen.

      Zeigt die Einstellungen für eine Active Directory-Anwendung in Microsoft Azure an und hebt die Option zum Hinzufügen erforderlicher Berechtigungen für den API-Zugriff hervor.

    3. Klicken Sie auf Wählen Sie eine API, wählen Sie Windows Azure Service Management API und klicken Sie dann auf Auswählen.

      Zeigt die in Microsoft Azure auszuwählende API, wenn der Active Directory-Anwendung API-Zugriff hinzugefügt wird. Die API ist die Windows Azure Service Management-API.

    4. Klicken Sie auf Zugriff auf Azure Service Management als Organisationsbenutzer, klicken Sie auf Auswählen und dann auf Fertig.

  5. Erstellen Sie einen Schlüssel für den Service Principal:

    1. Klicken Sie unter Einstellungen auf Schlüssel.

    2. Geben Sie eine Beschreibung ein, wählen Sie eine Dauer aus und klicken Sie dann auf Speichern.

    3. Kopieren Sie den Schlüsselwert.

      Wenn Sie Cloud Manager einem Cloud-Provider-Konto hinzufügen, müssen Sie den Hauptwert eingeben.

    4. Klicken Sie auf Eigenschaften und kopieren Sie dann die Anwendungs-ID für den Service-Principal.

      Ähnlich dem Schlüsselwert müssen Sie bei Cloud Manager ein Cloud-Provider-Konto hinzufügen, indem Sie die Anwendungs-ID in Cloud Manager eingeben.

    Zeigt die Anwendungs-ID für einen Azure Active Directory-Dienstprinzipal an.

  6. Ermitteln Sie die Active Directory-Mandanten-ID für Ihr Unternehmen:

    1. Klicken Sie im Menü Active Directory auf Eigenschaften.

    2. Kopieren Sie die Verzeichnis-ID.

      Zeigt die Active Directory-Eigenschaften im Azure Portal und die zu kopierende Directory-ID an.

    Genau wie die Anwendungs-ID und der Anwendungsschlüssel müssen Sie die Active Directory-Mandanten-ID eingeben, wenn Sie Cloud Manager ein Cloud-Provider-Konto hinzufügen.

Ergebnis

Sie sollten nun über einen Active Directory-Dienstprinzipal verfügen und die Anwendungs-ID, den Anwendungsschlüssel und die Active Directory-Mandanten-ID kopiert haben. Sie müssen diese Informationen in Cloud Manager eingeben, wenn Sie ein Cloud-Provider-Konto hinzufügen.

Zuweisen der Rolle "Cloud Manager Operator" zum Serviceprinzipal

Sie müssen den Dienstprinzipal an ein oder mehrere Azure Subscriptions binden und ihm die Rolle "Cloud Manager Operator" zuweisen, damit Cloud Manager über Berechtigungen in Azure verfügt.

Über diese Aufgabe

Wenn Sie Cloud Volumes ONTAP aus mehreren Azure Subscriptions bereitstellen möchten, müssen Sie den Service-Prinzipal an jedes dieser Subscriptions binden. Mit Cloud Manager können Sie das Abonnement auswählen, das Sie bei der Implementierung von Cloud Volumes ONTAP verwenden möchten.

Schritte

  1. Wählen Sie im Azure-Portal im linken Bereich die Option Abonnements aus.

  2. Wählen Sie das Abonnement aus.

  3. Klicken Sie auf Access Control (IAM) und dann auf Add.

  4. Wählen Sie die Rolle OnCommand Cloud Manager Operator aus.

  5. Suchen Sie nach dem Namen der Anwendung (Sie können die Anwendung nicht in der Liste finden, indem Sie blättern).

  6. Wählen Sie die Anwendung aus, klicken Sie auf Auswählen und dann auf OK.

Ergebnis

Der Dienstprinzipal für Cloud Manager verfügt jetzt über die erforderlichen Azure Berechtigungen.

Hinzufügen von Azure-Konten zu Cloud Manager

Nachdem Sie ein Azure Konto mit den erforderlichen Berechtigungen angegeben haben, können Sie das Konto zu Cloud Manager hinzufügen. Damit können Sie Cloud Volumes ONTAP Systeme in diesem Konto starten.

Schritte

  1. Klicken Sie oben rechts in der Cloud Manager-Konsole auf die Dropdown-Liste Task und wählen Sie dann Kontoeinstellungen aus.

  2. Klicken Sie auf Neues Konto hinzufügen und wählen Sie Microsoft Azure.

  3. Geben Sie Informationen zum Azure Active Directory Service Principal ein, der die erforderlichen Berechtigungen erteilt.

  4. Bestätigen Sie, dass die Richtlinienanforderungen erfüllt wurden, und klicken Sie dann auf Konto erstellen.

Ergebnis

Sie können jetzt auf der Seite Details und Anmeldeinformationen zu einem anderen Konto wechseln, wenn Sie eine neue Arbeitsumgebung erstellen:

Ein Screenshot, in dem die Auswahl zwischen Cloud-Provider-Konten angezeigt wird, nachdem Sie auf der Seite Details Credentials auf Switch Account geklickt haben.

Verknüpfen weiterer Azure-Abonnements mit einer gemanagten Identität

Mit Cloud Manager können Sie das Azure Konto und das Abonnement auswählen, in dem Sie Cloud Volumes ONTAP implementieren möchten. Sie können kein anderes Azure-Abonnement für das verwaltete Identitätsprofil auswählen, es sei denn, Sie verknüpfen das "Verwaltete Identität" Mit diesen Abonnements.

Über diese Aufgabe

Eine verwaltete Identität ist die erste "Konto eines Cloud-Providers" Wenn Sie Cloud Manager über NetApp Cloud Central implementieren. Bei der Implementierung von Cloud Manager erstellte Cloud Central die Rolle "OnCommand Cloud Manager Operator" und wies sie der virtuellen Cloud Manager-Maschine zu.

Schritte

  1. Melden Sie sich beim Azure Portal an.

  2. Öffnen Sie den Dienst Abonnements und wählen Sie dann das Abonnement aus, in dem Sie Cloud Volumes ONTAP-Systeme bereitstellen möchten.

  3. Klicken Sie auf Access Control (IAM).

    1. Klicken Sie auf Hinzufügen > Rollenzuordnung hinzufügen und fügen Sie dann die Berechtigungen hinzu:

      • Wählen Sie die Rolle OnCommand Cloud Manager Operator aus.

        Hinweis OnCommand Cloud Manager Operator ist der im angegebene Standardname "Cloud Manager-Richtlinie". Wenn Sie einen anderen Namen für die Rolle ausgewählt haben, wählen Sie stattdessen diesen Namen aus.

      • Weisen Sie einer virtuellen Maschine Zugriff zu.

      • Wählen Sie das Abonnement aus, in dem die virtuelle Cloud Manager-Maschine erstellt wurde.

      • Wählen Sie die virtuelle Cloud Manager-Maschine aus.

      • Klicken Sie Auf Speichern.

  4. Wiederholen Sie diese Schritte für weitere Abonnements.

Ergebnis

Wenn Sie eine neue Arbeitsumgebung erstellen, sollten Sie nun über mehrere Azure-Abonnements für das verwaltete Identitätsprofil verfügen.

Ein Screenshot, in dem die Möglichkeit angezeigt wird, bei der Auswahl eines Microsoft Azure Provider-Kontos mehrere Azure-Abonnements auszuwählen.