Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cree un conector en Azure desde BlueXP

Colaboradores

Para crear un conector en Azure desde BlueXP, debe configurar la red, preparar los permisos de Azure y, a continuación, crear el conector.

Antes de empezar

Usted debe revisar "Limitaciones del conector".

Paso 1: Configurar redes

Asegúrese de que la ubicación de red en la que planea instalar el conector admite los siguientes requisitos. Cumplir con estos requisitos permite al conector gestionar recursos y procesos dentro de tu entorno de nube híbrida.

Región de Azure

Si utiliza Cloud Volumes ONTAP, el conector debe desplegarse en la misma región de Azure que los sistemas Cloud Volumes ONTAP que gestiona, o en el "Par de regiones de Azure" Para los sistemas Cloud Volumes ONTAP. Este requisito garantiza que se utilice una conexión de enlace privado de Azure entre Cloud Volumes ONTAP y sus cuentas de almacenamiento asociadas.

"Conozca cómo Cloud Volumes ONTAP utiliza un enlace privado de Azure"

Vnet y subred

Al crear el conector, debe especificar el vnet y la subred donde debería residir el conector.

Conexiones a redes de destino

Un conector requiere una conexión de red a la ubicación en la que tiene previsto crear y administrar entornos de trabajo. Por ejemplo, la red donde planea crear sistemas Cloud Volumes ONTAP o un sistema de almacenamiento en su entorno local.

Acceso a Internet de salida

La ubicación de red en la que se despliega el conector debe tener una conexión a Internet saliente para contactar con puntos finales específicos.

Puntos finales contactados desde el conector

El conector requiere acceso a Internet saliente para contactar con los siguientes puntos finales con el fin de administrar los recursos y procesos dentro de su entorno de nube pública para las operaciones diarias.

Tenga en cuenta que los puntos finales que se muestran a continuación son todas las entradas de CNAME.

Puntos finales Específico

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

Para gestionar recursos en regiones públicas de Azure.

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

Para gestionar recursos en regiones de Azure China.

https://support.netapp.com
https://mysupport.netapp.com

Para obtener información sobre licencias y enviar mensajes de AutoSupport al soporte de NetApp.

https://*.api.bluexp.netapp.com

https://api.bluexp.netapp.com

https://*.cloudmanager.cloud.netapp.com

https://cloudmanager.cloud.netapp.com

https://netapp-cloud-account.auth0.com

Proporcionar funciones y servicios SaaS dentro de BlueXP.

Tenga en cuenta que el conector se está poniendo en contacto con «cloudmanager.cloud.netapp.com"», pero comenzará a ponerse en contacto con «api.bluexp.netapp.com" en una próxima versión.

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io

Para actualizar el conector y sus componentes de Docker.
Extremos en los que se han contactado desde la consola de BlueXP

A medida que utiliza la consola basada en Web BlueXP que se proporciona a través de la capa SaaS, se pone en contacto con varios extremos para completar las tareas de gestión de datos. Esto incluye los extremos que se ponen en contacto para poner en marcha el conector desde la consola de BlueXP.

"Consulte la lista de extremos con los que se ha contactado desde la consola de BlueXP".

Servidor proxy

Si su organización requiere la implementación de un servidor proxy para todo el tráfico de Internet saliente, obtenga la siguiente información sobre su proxy HTTP o HTTPS. Deberá proporcionar esta información durante la instalación.

  • Dirección IP

  • Credenciales

  • Certificado HTTPS

Tenga en cuenta que BlueXP no es compatible con los servidores proxy transparentes.

Puertos

No hay tráfico entrante al conector, a menos que lo inicie o si el conector se utiliza como proxy para enviar mensajes de AutoSupport desde Cloud Volumes ONTAP al soporte de NetApp.

  • HTTP (80) y HTTPS (443) proporcionan acceso a la interfaz de usuario local, que utilizará en raras circunstancias.

  • SSH (22) solo es necesario si necesita conectarse al host para solucionar problemas.

  • Las conexiones de entrada a través del puerto 3128 son necesarias si implementa sistemas Cloud Volumes ONTAP en una subred en la que no hay una conexión de Internet de salida disponible.

    Si los sistemas Cloud Volumes ONTAP no tienen una conexión a Internet de salida para enviar mensajes de AutoSupport, BlueXP configura automáticamente esos sistemas para que usen un servidor proxy incluido en el conector. El único requisito es asegurarse de que el grupo de seguridad del conector permite conexiones entrantes a través del puerto 3128. Tendrá que abrir este puerto después de desplegar el conector.

Habilite NTP

Si tienes pensado utilizar la clasificación de BlueXP para analizar tus orígenes de datos corporativos, debes habilitar un servicio de protocolo de tiempo de redes (NTP) tanto en el sistema BlueXP Connector como en el sistema de clasificación de BlueXP para que el tiempo se sincronice entre los sistemas. "Más información sobre la clasificación de BlueXP"

Deberá implementar este requisito de red después de crear el conector.

Paso 2: Crear un rol personalizado

Cree una función personalizada de Azure que pueda asignar a su cuenta de Azure o a un director de servicio de Microsoft Entra. BlueXP autentica con Azure y utiliza estos permisos para crear la instancia de Connector en su nombre.

Tenga en cuenta que puede crear un rol personalizado de Azure mediante el portal de Azure, Azure PowerShell, Azure CLI o la API DE REST. Los siguientes pasos muestran cómo crear el rol con la CLI de Azure. Si prefiere utilizar un método diferente, consulte "Documentación de Azure"

Pasos

  1. Copie los permisos necesarios para un nuevo rol personalizado en Azure y guárdelo en un archivo JSON.

    Nota Este rol personalizado solo contiene los permisos necesarios para iniciar Connector VM en Azure desde BlueXP. No utilice esta política para otras situaciones. Cuando BlueXP crea el conector, aplica un nuevo conjunto de permisos al conector VM que permite al conector administrar los recursos de su entorno de nube pública. 
    {
    "Name": "Azure SetupAsService",
    "Actions": [
        "Microsoft.Compute/disks/delete",
        "Microsoft.Compute/disks/read",
        "Microsoft.Compute/disks/write",
        "Microsoft.Compute/locations/operations/read",
        "Microsoft.Compute/operations/read",
        "Microsoft.Compute/virtualMachines/instanceView/read",
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Compute/virtualMachines/write",
        "Microsoft.Compute/virtualMachines/delete",
        "Microsoft.Compute/virtualMachines/extensions/write",
        "Microsoft.Compute/virtualMachines/extensions/read",
        "Microsoft.Compute/availabilitySets/read",
        "Microsoft.Network/locations/operationResults/read",
        "Microsoft.Network/locations/operations/read",
        "Microsoft.Network/networkInterfaces/join/action",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkInterfaces/write",
        "Microsoft.Network/networkInterfaces/delete",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/networkSecurityGroups/write",
        "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read",
        "Microsoft.Network/virtualNetworks/virtualMachines/read",
        "Microsoft.Network/publicIPAddresses/write",
        "Microsoft.Network/publicIPAddresses/read",
        "Microsoft.Network/publicIPAddresses/delete",
        "Microsoft.Network/networkSecurityGroups/securityRules/read",
        "Microsoft.Network/networkSecurityGroups/securityRules/write",
        "Microsoft.Network/networkSecurityGroups/securityRules/delete",
        "Microsoft.Network/publicIPAddresses/join/action",
        "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read",
        "Microsoft.Network/networkInterfaces/ipConfigurations/read",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/deployments/delete",
        "Microsoft.Resources/deployments/cancel/action",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Authorization/roleDefinitions/write",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read",
        "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write",
        "Microsoft.Network/networkSecurityGroups/delete",
        "Microsoft.Storage/storageAccounts/delete",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/deployments/operationStatuses/read",
        "Microsoft.Authorization/roleAssignments/read"
    ],
    "NotActions": [],
    "AssignableScopes": [],
    "Description": "Azure SetupAsService",
    "IsCustom": "true"
}

  2. Modifique el JSON añadiendo su ID de suscripción de Azure al ámbito asignable.

    ejemplo

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz"
],

  3. Use el archivo JSON para crear una función personalizada en Azure.

    En los pasos siguientes se describe cómo crear la función mediante Bash en Azure Cloud Shell.

    1. Comenzar "Shell de cloud de Azure" Y seleccione el entorno Bash.

    2. Cargue el archivo JSON.

      Una captura de pantalla de Azure Cloud Shell donde puede elegir la opción para cargar un archivo.

    3. Introduzca el siguiente comando CLI de Azure:

      az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json

    Ahora debería tener una función personalizada denominada Azure SetupAsService. Ahora puede aplicar esta función personalizada a su cuenta de usuario o a un director de servicio.

Paso 3: Configurar la autenticación

Al crear el conector desde BlueXP, debes proporcionar un inicio de sesión que permita a BlueXP autenticarse con Azure y poner en marcha la máquina virtual. Dispone de dos opciones:

  1. Inicie sesión con su cuenta de Azure cuando se le solicite. Esta cuenta debe tener permisos de Azure específicos. Esta es la opción predeterminada.

  2. Proporcionar detalles acerca de un director de servicio de Microsoft Entra. Este principal de servicio también requiere permisos específicos.

Sigue los pasos para preparar uno de estos métodos de autenticación para usarlos con BlueXP.

Cuenta de Azure

Asigne la función personalizada al usuario que implementará Connector desde BlueXP.

Pasos

  1. En el portal de Azure, abra el servicio Suscripciones y seleccione la suscripción del usuario.

  2. Haga clic en Control de acceso (IAM).

  3. Haga clic en Agregar > Agregar asignación de rol y, a continuación, agregue los permisos:

    1. Seleccione el rol Azure SetupAsService y haga clic en Siguiente.

      Nota Azure SetupAsService es el nombre predeterminado proporcionado en la política de implementación de Connector para Azure. Si seleccionó otro nombre para el rol, seleccione ese nombre.

    2. Mantener seleccionado Usuario, grupo o principal de servicio.

    3. Haga clic en Seleccionar miembros, elija su cuenta de usuario y haga clic en Seleccionar.

    4. Haga clic en Siguiente.

    5. Haga clic en revisar + asignar.

Resultado

El usuario de Azure ahora tiene los permisos necesarios para implementar Connector desde BlueXP.

Director de servicios

En lugar de iniciar sesión con su cuenta de Azure, puede proporcionar a BlueXP las credenciales de una entidad de servicio de Azure que tenga los permisos necesarios.

Crea y configura un director de servicio en Microsoft Entra ID y obtén las credenciales de Azure que BlueXP necesita.

Cree una aplicación Microsoft Entra para el control de acceso basado en roles

  1. Asegúrese de tener permisos en Azure para crear una aplicación de Active Directory y para asignar la aplicación a un rol.

    Para obtener más información, consulte "Documentación de Microsoft Azure: Permisos necesarios"

  2. Desde el portal de Azure, abra el servicio Microsoft Entra ID.

    Muestra el servicio de Active Directory en Microsoft Azure.

  3. En el menú, seleccione App registrs.

  4. Seleccione Nuevo registro.

  5. Especificar detalles acerca de la aplicación:

    • Nombre: Introduzca un nombre para la aplicación.

    • Tipo de cuenta: Seleccione un tipo de cuenta (cualquiera funcionará con BlueXP).

    • Redirigir URI: Puede dejar este campo en blanco.

  6. Seleccione Registrar.

    Ha creado la aplicación AD y el director de servicio.

Asigne la función personalizada a la aplicación

  1. En el portal de Azure, abra el servicio Suscripciones.

  2. Seleccione la suscripción.

  3. Haga clic en Control de acceso (IAM) > Agregar > Agregar asignación de funciones.

  4. En la ficha rol, seleccione el rol operador BlueXP y haga clic en Siguiente.

  5. En la ficha Miembros, realice los siguientes pasos:

    1. Mantener seleccionado Usuario, grupo o principal de servicio.

    2. Haga clic en Seleccionar miembros.

      Captura de pantalla del portal de Azure que muestra la ficha Miembros al agregar una función a una aplicación.

    3. Busque el nombre de la aplicación.

      Veamos un ejemplo:

    Una captura de pantalla del portal de Azure que muestra el formulario de asignación de funciones Add en el portal de Azure.

    1. Seleccione la aplicación y haga clic en Seleccionar.

    2. Haga clic en Siguiente.

  6. Haga clic en revisar + asignar.

    El principal de servicio ahora tiene los permisos de Azure necesarios para implementar el conector.

    Si desea administrar recursos en varias suscripciones de Azure, debe vincular el principal de servicio a cada una de esas suscripciones. Por ejemplo, BlueXP te permite seleccionar la suscripción que desees utilizar al implementar Cloud Volumes ONTAP.

Añada permisos de API de administración de servicios de Windows Azure

  1. En el servicio Microsoft Entra ID, selecciona Registros de aplicaciones y selecciona la aplicación.

  2. Seleccione permisos de API > Agregar un permiso.

  3. En API de Microsoft, seleccione Administración de servicios Azure.

    Una captura de pantalla del portal de Azure que muestra los permisos de la API de Azure Service Management.

  4. Seleccione Access Azure Service Management como usuarios de organización y, a continuación, seleccione Agregar permisos.

    Una captura de pantalla del portal de Azure que muestra la adición de las API de gestión de servicios de Azure.

Obtenga el ID de aplicación y el ID de directorio de la aplicación

  1. En el servicio Microsoft Entra ID, selecciona Registros de aplicaciones y selecciona la aplicación.

  2. Copie el ID de aplicación (cliente) y el ID de directorio (inquilino).

    Captura de pantalla que muestra el ID de aplicación (cliente) y el ID de directorio (inquilino) para una aplicación en Microsoft Entra idy.

    Al agregar la cuenta de Azure a BlueXP, debe proporcionar el ID de la aplicación (cliente) y el ID de directorio (inquilino) para la aplicación. BlueXP utiliza los identificadores para iniciar sesión mediante programación.

Cree un secreto de cliente

  1. Abra el servicio Microsoft Entra ID.

  2. Seleccione App registres y seleccione su aplicación.

  3. Seleccione certificados y secretos > Nuevo secreto de cliente.

  4. Proporcione una descripción del secreto y una duración.

  5. Seleccione Agregar.

  6. Copie el valor del secreto de cliente.

    Una captura de pantalla del portal de Azure que muestra un secreto de cliente para el principal de servicio de Microsoft Entra.

    Ahora tienes un secreto de cliente que BlueXP puede usarlo para autenticar con Microsoft Entra ID.

Resultado

Su principal de servicio ahora está configurado y debe haber copiado el ID de aplicación (cliente), el ID de directorio (arrendatario) y el valor del secreto de cliente. Debe introducir esta información en BlueXP cuando cree el conector.

Paso 4: Crear el conector

Crea el Connector directamente desde la consola basada en web de BlueXP.

Acerca de esta tarea

Al crear el conector desde BlueXP se implementa una máquina virtual en Azure con una configuración predeterminada. Después de crear el conector, no debe cambiar a un tipo de máquina virtual más pequeño que tenga menos CPU o RAM. "Obtenga información sobre la configuración predeterminada para el conector".

Antes de empezar

Debe tener lo siguiente:

  • Una suscripción a Azure.

  • Una red virtual y una subred en su región de Azure preferida.

  • Detalles sobre un servidor proxy, si su empresa requiere un proxy para todo el tráfico saliente de Internet:

    • Dirección IP

    • Credenciales

    • Certificado HTTPS

  • Una clave pública SSH, si desea utilizar ese método de autenticación para la máquina virtual Connector. La otra opción para el método de autenticación es usar una contraseña.

    "Obtenga más información sobre cómo conectarse a una máquina virtual de Linux en Azure"

  • Si no quiere que BlueXP cree automáticamente una función de Azure para Connector, tendrá que crear la suya propia "uso de la política en esta página".

    Estos permisos son para la propia instancia de Connector. Se trata de un conjunto de permisos diferente al configurado anteriormente para implementar la VM de Connector.

Pasos

  1. Seleccione la lista desplegable Connector y seleccione Add Connector.

    Captura de pantalla que muestra el icono conector en el encabezado y la acción Agregar conector .

  2. Elija Microsoft Azure como proveedor de cloud.

  3. En la página despliegue de un conector:

    1. En autenticación, seleccione la opción de autenticación que coincida con la forma en que configuró los permisos de Azure:

      • Seleccione cuenta de usuario de Azure para iniciar sesión en su cuenta de Microsoft, que debería tener los permisos necesarios.

        El formulario es propiedad de Microsoft y está alojado en él. Sus credenciales no se proporcionan a NetApp.

      Consejo Si ya ha iniciado sesión en una cuenta de Azure, BlueXP utilizará esa cuenta automáticamente. Si tiene varias cuentas, es posible que deba cerrar la sesión primero para asegurarse de utilizar la cuenta correcta.

      • Seleccione Active Directory Service principal para introducir información sobre el principal de servicio de Microsoft Entra que otorga los permisos necesarios:

        • ID de aplicación (cliente)

        • ID de directorio (inquilino)

        • Secreto de cliente

    Aprenda cómo obtener estos valores para un director de servicio.

  4. Siga los pasos del asistente para crear el conector:

    • Autenticación de VM: Elija una suscripción de Azure, una ubicación, un nuevo grupo de recursos o un grupo de recursos existente y, a continuación, elija un método de autenticación para la máquina virtual Connector que está creando.

      El método de autenticación para la máquina virtual puede ser una contraseña o una clave pública SSH.

    "Obtenga más información sobre cómo conectarse a una máquina virtual de Linux en Azure"

    • Detalles: Escriba un nombre para la instancia, especifique etiquetas y elija si desea que BlueXP cree una nueva función que tenga los permisos necesarios o si desea seleccionar una función existente con la que se haya configurado "los permisos necesarios".

      Tenga en cuenta que puede elegir las suscripciones de Azure asociadas a este rol. Cada suscripción que elija proporciona los permisos de Connector para administrar los recursos de esa suscripción (por ejemplo, Cloud Volumes ONTAP).

    • Red: Elija un vnet y una subred, si desea activar una dirección IP pública y, opcionalmente, especifique una configuración de proxy.

    • Grupo de seguridad: Elija si desea crear un nuevo grupo de seguridad o si desea seleccionar un grupo de seguridad existente que permita las reglas entrantes y salientes requeridas.

      "Ver reglas de grupo de seguridad para Azure".

    • Revisión: Revise sus selecciones para verificar que su configuración es correcta.

  5. Haga clic en Agregar.

    La máquina virtual debe estar lista en unos 7 minutos. Debe permanecer en la página hasta que el proceso se complete.

Resultado

Una vez completado el proceso, el conector está disponible para su uso en BlueXP.

Si tienes almacenamiento de Azure Blob en la misma suscripción de Azure donde creaste el conector, verás que aparece automáticamente un entorno de trabajo de almacenamiento de Azure Blob en el lienzo de BlueXP. "Descubre cómo gestionar el almacenamiento de Azure Blob desde BlueXP"