Notas de la versión
Implemente Cloud Volumes ONTAP en el cloud secreto de AWS y las regiones Top Secret Cloud
Sugerir cambios
PDF
Similar a una región estándar de AWS, puedes usar BlueXP en "Cloud secreto de AWS" y en "Cloud secreto principal de AWS" Para poner en marcha Cloud Volumes ONTAP, que ofrece funciones empresariales para su almacenamiento en cloud. AWS Secret Cloud y Top Secret Cloud son regiones cerradas específicas de EE. UU Comunidad de inteligencia; las instrucciones de esta página solo se aplican a los usuarios de la región de AWS Secret Cloud y Top Secret Cloud.
Antes de comenzar, revise las versiones compatibles en AWS Secret Cloud y Top Secret Cloud y obtenga información acerca del modo privado en BlueXP.
-
Revise las siguientes versiones compatibles en AWS Secret Cloud y Top Secret Cloud:
-
Cloud Volumes ONTAP 9.12.1 P2
-
Versión 3.9.32 del conector
El conector es un software necesario para poner en marcha y gestionar Cloud Volumes ONTAP en AWS. Iniciarás sesión en BlueXP desde el software que se instala en la instancia de Connector. El sitio web de SaaS para BlueXP no es compatible con AWS Secret Cloud y Top Secret Cloud.
-
-
Aprende sobre el modo privado
En AWS Secret Cloud y Top Secret Cloud, BlueXP funciona en modo privado. En el modo privado, no existe conectividad a la capa SaaS de BlueXP. Los usuarios acceden a BlueXP de forma local desde la consola basada en web que está disponible desde Connector, no desde la capa SaaS.
Para obtener más información sobre cómo funciona el modo privado, consulte "Modo de implementación privada de BlueXP".
Paso 1: Configure su red
Configurar sus redes de AWS para que Cloud Volumes ONTAP pueda funcionar correctamente.
-
Elija el VPC y las subredes en las que desea iniciar las instancias de Connector y Cloud Volumes ONTAP.
-
Asegúrese de que VPC y las subredes admitan la conectividad entre el conector y Cloud Volumes ONTAP.
-
Configure un extremo de VPC con el servicio S3.
Se requiere un extremo de VPC si desea organizar en niveles los datos inactivos de Cloud Volumes ONTAP en el almacenamiento de objetos de bajo coste.
Paso 2: Configurar permisos
Configure las políticas y roles de IAM que proporcionen a Connector y a Cloud Volumes ONTAP los permisos que necesitan para realizar acciones en la nube secreta de AWS o en la nube secreta superior.
Necesita una política IAM y un rol IAM para cada una de las siguientes acciones:
-
La instancia de conector
-
Instancias de Cloud Volumes ONTAP
-
Para pares de alta disponibilidad, la instancia de mediador de alta disponibilidad de Cloud Volumes ONTAP (si desea poner en marcha pares de alta disponibilidad).
-
Vaya a la consola AWS IAM y haga clic en Directivas.
-
Cree una directiva para la instancia de Connector.
Estas políticas se crean para dar soporte a los buckets S3 en su entorno AWS. Al crear los cubos más tarde, asegúrese de que los nombres de los cubos tengan el prefijo fabric-pool-. Este requisito se aplica tanto a las regiones de la nube secreta de AWS como a la nube secreta superior.Regiones secretas{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso-b:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso-b:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso-b:ec2:*:*:volume/*" ] } ] }Regiones Top Secret{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso:ec2:*:*:volume/*" ] } ] } -
Crear una política para Cloud Volumes ONTAP.
Regiones secretas{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso-b:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }] }Regiones Top Secret{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }] }Para pares de alta disponibilidad, si tiene pensado poner en marcha un par de alta disponibilidad de Cloud Volumes ONTAP, cree una política para el mediador de alta disponibilidad.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses" ], "Resource": "*" } ] } -
Cree roles IAM con el tipo de rol Amazon EC2 y adjunte las políticas que creó en los pasos anteriores.
Cree el rol:Similar a las políticas, debe tener un rol de IAM para el conector y uno para los nodos de Cloud Volumes ONTAP.
Para pares de alta disponibilidad: Al igual que las políticas, debe tener un rol de IAM para el conector, uno para los nodos de Cloud Volumes ONTAP y otro para el mediador de alta disponibilidad (si desea implementar pares de alta disponibilidad).Seleccione el rol:Debe seleccionar el rol Connector IAM al iniciar la instancia de Connector. Puedes seleccionar los roles de IAM para Cloud Volumes ONTAP al crear un entorno de trabajo de Cloud Volumes ONTAP desde BlueXP.
Para parejas de alta disponibilidad, puedes seleccionar los roles de IAM para Cloud Volumes ONTAP y el mediador de alta disponibilidad al crear un entorno de trabajo de Cloud Volumes ONTAP desde BlueXP.
Paso 3: Configure el AWS KMS
Si desea utilizar el cifrado de Amazon con Cloud Volumes ONTAP, asegúrese de que se cumplan los requisitos del servicio de gestión de claves (KMS) de AWS.
-
Asegúrese de que existe una clave maestra de cliente (CMK) activa en su cuenta o en otra cuenta de AWS.
El CMK puede ser un CMK gestionado por AWS o un CMK gestionado por el cliente.
-
Si el CMK se encuentra en una cuenta de AWS independiente de la cuenta en la que tiene pensado implementar Cloud Volumes ONTAP, deberá obtener el ARN de esa clave.
Deberá proporcionar el ARN a BlueXP cuando cree el sistema Cloud Volumes ONTAP.
-
Añada el rol IAM de la instancia de conector a la lista de usuarios clave de un CMK.
Esto le otorga permisos a BlueXP para usar el CMK con Cloud Volumes ONTAP.
Paso 4: Instala el conector y configura BlueXP
Antes de empezar a usar BlueXP para implementar Cloud Volumes ONTAP en AWS, debe instalar y configurar el conector BlueXP. El conector permite a BlueXP gestionar recursos y procesos dentro de tu entorno de nube pública (incluye Cloud Volumes ONTAP).
-
Obtenga un certificado raíz firmado por una entidad de certificación (CA) en el formato X.509 codificado por Privacy Enhanced Mail (PEM) base-64. Consulte las políticas y procedimientos de su organización para obtener el certificado.
Para las regiones de AWS Secret Cloud, debe cargar el NSS Root CA 2Certificate y, para Top Secret Cloud, elAmazon Root CA 4certificado. Asegúrese de cargar solo estos certificados y no toda la cadena. El archivo para la cadena de certificados es grande y se puede producir un error en la carga. Si tiene certificados adicionales, puede cargarlos más adelante, tal y como se describe en el paso siguiente.Deberá cargar el certificado durante el proceso de configuración. BlueXP utiliza el certificado de confianza al enviar solicitudes a AWS a través de HTTPS.
-
Inicie la instancia de conector:
-
Ve a la página AWS Intelligence Community Marketplace para BlueXP.
-
En la pestaña Inicio personalizado, seleccione la opción para iniciar la instancia desde la consola EC2.
-
Siga las instrucciones para configurar la instancia.
Tenga en cuenta lo siguiente al configurar la instancia:
-
Recomendamos t3.xlarge.
-
Debe elegir el rol de IAM que creó al configurar los permisos.
-
Debe conservar las opciones de almacenamiento predeterminadas.
-
Los métodos de conexión necesarios para el conector son los siguientes: SSH, HTTP y HTTPS.
-
-
-
Configura BlueXP desde un host que tenga una conexión a la instancia de Connector:
-
Abra un explorador web e introduzca https://ipaddress Donde ipaddress es la dirección IP del host Linux en el que instaló el conector.
-
Especifique un servidor proxy para la conectividad con los servicios de AWS.
-
Cargue el certificado obtenido en el paso 1.
-
Selecciona Configurar nuevo BlueXP y sigue las indicaciones para configurar el sistema.
-
Detalles del sistema: Introduzca un nombre para el conector y el nombre de su empresa.
-
Crear usuario administrador: Cree el usuario administrador para el sistema.
Esta cuenta de usuario se ejecuta localmente en el sistema. No hay conexión con el servicio auth0 disponible a través de BlueXP.
-
Revisión: Revisa los detalles, acepta el contrato de licencia y luego selecciona Configurar.
-
-
Para completar la instalación del certificado firmado por CA, reinicie la instancia del conector desde la consola EC2.
-
-
Después de reiniciar el conector, inicie sesión con la cuenta de usuario de administrador que creó en el asistente de configuración.
Paso 5: (Opcional) Instale un certificado de modo privado
Este paso es opcional para las regiones de AWS Secret Cloud y Top Secret Cloud, y solo es necesario si tiene certificados adicionales aparte de los certificados raíz que instaló en el paso anterior.
-
Enumera los certificados instalados existentes.
-
Para recopilar el identificador de Docker de contenedor occm (nombre identificado “ds-occm-1”), ejecute el siguiente comando:
docker ps -
Para acceder al contenedor occm, ejecute el siguiente comando:
docker exec -it <docker-id> /bin/sh -
Para recopilar la contraseña de la variable de entorno “TRUST_STORE_PASSWORD”, ejecute el siguiente comando:
env -
Para enumerar todos los certificados instalados en el almacén de confianza, ejecute el siguiente comando y utilice la contraseña recopilada en el paso anterior:
keytool -list -v -keystore occm.truststore
-
-
Agregue un certificado.
-
Para recoger el identificador de occm Container docker (nombre identificado “ds-occm-1”), ejecute el siguiente comando:
docker ps -
Para acceder al contenedor occm, ejecute el siguiente comando:
docker exec -it <docker-id> /bin/shGuarde el nuevo archivo de certificado dentro.
-
Para recopilar la contraseña de la variable de entorno “TRUST_STORE_PASSWORD”, ejecute el siguiente comando:
env -
Para agregar el certificado al almacén de confianza, ejecute el siguiente comando y utilice la contraseña del paso anterior:
keytool -import -alias <alias-name> -file <certificate-file-name> -keystore occm.truststore -
Para comprobar que el certificado está instalado, ejecute el siguiente comando:
keytool -list -v -keystore occm.truststore -alias <alias-name> -
Para salir del contenedor occm, ejecute el siguiente comando:
exit -
Para restablecer el contenedor occm, ejecute el siguiente comando:
docker restart <docker-id>
-
Paso 6: Añadir una licencia a la cartera digital de BlueXP
Si compró una licencia de NetApp, debe añadirla a la cartera digital de BlueXP para que pueda seleccionar la licencia cuando cree un nuevo sistema Cloud Volumes ONTAP. La cartera digital identifica estas licencias como no asignadas.
-
En el menú de navegación de BlueXP, seleccione Gobierno > cartera digital.
-
En la ficha Cloud Volumes ONTAP, seleccione licencias basadas en nodos en la lista desplegable.
-
Haga clic en sin asignar.
-
Haga clic en Agregar licencias sin asignar.
-
Escriba el número de serie de la licencia o cargue el archivo de licencia.
-
Si aún no tiene el archivo de licencia, deberá cargar manualmente el archivo de licencia desde netapp.com.
-
Vaya a la "Generador de archivos de licencia de NetApp" E inicie sesión con sus credenciales del sitio de soporte de NetApp.
-
Introduzca su contraseña, elija su producto, introduzca el número de serie, confirme que ha leído y aceptado la política de privacidad y, a continuación, haga clic en Enviar.
-
Elija si desea recibir el archivo serialnumber.NLF JSON a través del correo electrónico o la descarga directa.
-
-
Haga clic en Agregar licencia.
BlueXP añade la licencia a la cartera digital. La licencia se identificará como sin asignar hasta que se asocie con un nuevo sistema Cloud Volumes ONTAP. Una vez que esto sucede, la licencia se traslada a la pestaña BYOL de la cartera digital.
Paso 7: Inicia Cloud Volumes ONTAP de BlueXP
Puedes iniciar instancias de Cloud Volumes ONTAP en la nube secreta de AWS y Top Secret Cloud creando nuevos entornos de trabajo en BlueXP.
En el caso de los pares de alta disponibilidad, se requiere un par de claves para habilitar la autenticación SSH basada en claves en el mediador de alta disponibilidad.
-
En la página entornos de trabajo, haga clic en Agregar entorno de trabajo.
-
En Crear, selecciona Cloud Volumes ONTAP.
Para HA: En Crear, seleccione Cloud Volumes ONTAP o Cloud Volumes ONTAP HA.
-
Complete los pasos del asistente para iniciar el sistema Cloud Volumes ONTAP.
Mientras realiza selecciones a través del asistente, no seleccione Detección de datos y cumplimiento ni Copia de seguridad en la nube en Servicios. En Paquetes preconfigurados, selecciona Cambiar configuración solamente, y asegúrate de que no has seleccionado ninguna otra opción. Los paquetes preconfigurados no son compatibles con las regiones de AWS Secret Cloud y Top Secret Cloud, y si se selecciona, su implementación fallará.
Tenga en cuenta lo siguiente a medida que completa el asistente para las parejas de alta disponibilidad.
-
Debe configurar una puerta de enlace de tránsito cuando implemente Cloud Volumes ONTAP HA en varias zonas de disponibilidad (AZ). Consulte "Configure una puerta de enlace de tránsito de AWS".
-
Implemente la configuración de la siguiente manera porque solo había dos AZs disponibles en la nube de AWS Top Secret en el momento de la publicación:
-
Nodo 1: Zona De disponibilidad A
-
Nodo 2: Zona de disponibilidad B
-
Mediador: Zona de disponibilidad A o B
-
Tenga en cuenta lo siguiente al completar el asistente:
-
Debe dejar la opción predeterminada para utilizar un grupo de seguridad generado.
El grupo de seguridad predefinido incluye las reglas que Cloud Volumes ONTAP necesita para funcionar correctamente. Si tiene un requisito para utilizar el suyo propio, puede consultar la sección de grupos de seguridad que aparece a continuación.
-
Debe elegir el rol de IAM que ha creado al preparar el entorno AWS.
-
El tipo de disco de AWS subyacente es para el volumen Cloud Volumes ONTAP inicial.
Es posible seleccionar un tipo de disco diferente para volúmenes posteriores.
-
El rendimiento de los discos AWS está ligado al tamaño del disco.
Elija el tamaño de disco que le proporcione el rendimiento sostenido que necesita. Consulte la documentación de AWS para obtener más detalles sobre el rendimiento de EBS.
-
El tamaño de disco es el tamaño predeterminado para todos los discos del sistema.
Si después necesita un tamaño diferente, puede utilizar la opción asignación avanzada para crear un agregado que utilice discos de un tamaño específico.
BlueXP inicia la instancia de Cloud Volumes ONTAP. Puede realizar un seguimiento del progreso en la línea de tiempo.
Paso 8: Instale certificados de seguridad para la organización de datos en niveles
Debes instalar manualmente certificados de seguridad para habilitar la organización de datos en niveles en las regiones de AWS Secret Cloud y Top Secret Cloud.
-
Cree bloques S3.
Asegúrese de que los nombres de los depósitos tienen el prefijo fabric-pool-.Por ejemplofabric-pool-testbucket. -
Conserve los certificados raíz en los que ha instalado
step 4práctico.
-
Copie el texto de los certificados raíz en los que ha instalado
step 4. -
Conéctese de forma segura al sistema Cloud Volumes ONTAP utilizando la CLI.
-
Instale los certificados raíz. Es posible que tenga que pulsar el
ENTERteclas varias veces:security certificate install -type server-ca -cert-name <certificate-name>
-
Cuando se le solicite, introduzca todo el texto copiado, incluido y desde
----- BEGIN CERTIFICATE -----para----- END CERTIFICATE -----. -
Conserve una copia del certificado digital firmado por CA para futuras referencias.
-
Conserve el nombre de CA y el número de serie del certificado.
-
Configure el almacén de objetos para las regiones de AWS Secret Cloud y Top Secret Cloud:
set -privilege advanced -confirmations off -
Ejecute este comando para configurar el almacén de objetos.
Todos los nombres de recursos de Amazon (ARN) deben estar sufijos con -iso-b, por ejemploarn:aws-iso-b. Por ejemplo, si un recurso requiere un ARN con una región, para la nube de secreto superior, utilice la convención de nomenclatura comous-iso-bpara la-serverbandera. Para el cloud secreto de AWS, usous-iso-b-1.storage aggregate object-store config create -object-store-name <S3Bucket> -provider-type AWS_S3 -auth-type EC2-IAM -server <s3.us-iso-b-1.server_name> -container-name <fabric-pool-testbucket> -is-ssl-enabled true -port 443
-
Compruebe que el almacén de objetos se ha creado correctamente:
storage aggregate object-store show -instance -
Adjunte el almacén de objetos al agregado. Esto se debe repetir para cada agregado nuevo:
storage aggregate object-store attach -aggregate <aggr1> -object-store-name <S3Bucket>