Despliegue el conector en modo restringido
Implemente el conector en modo restringido para que pueda utilizar BlueXP con conectividad saliente limitada a la capa de software como servicio (SaaS) de BlueXP . Para comenzar, instala el Connector, configura BlueXP accediendo a la interfaz de usuario que se ejecuta en el Connector y, a continuación, proporciona los permisos de nube que hayas configurado previamente.
Paso 1: Instale el conector
Instale el conector desde el mercado de su proveedor de cloud o instalando manualmente el software en su propio host Linux.
Debe tener lo siguiente:
-
Un VPC y una subred que cumplan los requisitos de red.
-
Función IAM con una directiva adjunta que incluye los permisos necesarios para el conector.
-
Permisos para suscribirse y cancelar la suscripción a AWS Marketplace para su usuario de IAM.
-
Comprensión de los requisitos de CPU y RAM para la instancia.
-
Una pareja de claves para la instancia de EC2.
-
En la página de Marketplace, selecciona Continuar para suscribirte.
-
Para suscribirse al software, seleccione Aceptar Términos.
El proceso de suscripción puede tardar unos minutos.
-
Una vez completado el proceso de suscripción, selecciona Continuar con la configuración.
-
En la página Configurar este software, asegúrate de haber seleccionado la región correcta y luego selecciona Continuar para iniciar.
-
En la página Iniciar este software, en Elegir acción, selecciona Iniciar a través de EC2 y luego selecciona Iniciar.
Estos pasos describen cómo iniciar la instancia desde la consola EC2 porque la consola permite asociar una función IAM a la instancia del conector. Esto no es posible usando la acción Iniciar desde el sitio web.
-
Siga las instrucciones para configurar y desplegar la instancia:
-
Nombre y etiquetas: Introduzca un nombre y etiquetas para la instancia.
-
Aplicaciones e imágenes del sistema operativo: Omita esta sección. El conector AMI ya está seleccionado.
-
Tipo de instancia: Dependiendo de la disponibilidad de la región, elija un tipo de instancia que cumpla con los requisitos de RAM y CPU (t3,2xlarge está preseleccionado y recomendado).
-
Par de claves (login): Seleccione el par de claves que desea utilizar para conectarse de forma segura a la instancia.
-
Ajustes de red: Edite los ajustes de red según sea necesario:
-
Elija el VPC y la subred que desee.
-
Especifique si la instancia debe tener una dirección IP pública.
-
Especifique la configuración del grupo de seguridad que habilite los métodos de conexión necesarios para la instancia de conector: SSH, HTTP y HTTPS.
-
-
Configurar almacenamiento: Mantenga el tamaño predeterminado y el tipo de disco para el volumen raíz.
Si desea habilitar el cifrado de Amazon EBS en el volumen raíz, seleccione Avanzado, expanda Volumen 1, seleccione Cifrado y, a continuación, elija una clave KMS.
-
Detalles avanzados: En perfil de instancia de IAM, elija la función de IAM que incluye los permisos necesarios para el conector.
-
Resumen: Revisa el resumen y selecciona Iniciar Instancia.
-
AWS inicia el software con la configuración especificada. La instancia y el software del conector deben estar funcionando en aproximadamente cinco minutos.
Configure BlueXP.
Debe tener lo siguiente:
-
Un VPC y una subred que cumplan los requisitos de red.
-
Función IAM con una directiva adjunta que incluye los permisos necesarios para el conector.
-
Permisos para suscribirse y cancelar la suscripción a AWS Marketplace para su usuario de IAM.
-
Una pareja de claves para la instancia de EC2.
-
Vaya a la oferta de BlueXP en AWS Marketplace.
-
Abra el servicio EC2 y seleccione Iniciar instancia.
-
Seleccione AWS Marketplace.
-
Busque BlueXP y seleccione la oferta.
-
Seleccione continuar.
-
-
Siga las instrucciones para configurar y desplegar la instancia:
-
Elija un tipo de instancia: En función de la disponibilidad de la región, elija uno de los tipos de instancia admitidos (se recomienda t3.2xlarge).
-
Configurar detalles de instancia: Seleccione un VPC y una subred, elija la función de IAM que creó en el paso 1, habilite la protección de terminación (recomendado) y elija cualquier otra opción de configuración que cumpla sus requisitos.
-
almacenamiento: Mantenga las opciones de almacenamiento predeterminadas.
-
Agregar etiquetas: Introduzca etiquetas para la instancia, si lo desea.
-
Configurar grupo de seguridad: Especifique los métodos de conexión necesarios para la instancia de conector: SSH, HTTP y HTTPS.
-
Revisión: Revisa tus selecciones y selecciona Lanzamiento.
-
AWS inicia el software con la configuración especificada. La instancia y el software del conector deben estar funcionando en aproximadamente cinco minutos.
Configure BlueXP.
Debe tener lo siguiente:
-
Una red virtual y una subred que cumplan los requisitos de red.
-
Una función personalizada de Azure que incluye los permisos necesarios para el conector.
-
Vaya a la página NetApp Connector VM del Azure Marketplace.
-
Selecciona Obtenlo ahora y luego selecciona Continuar.
-
Desde el portal de Azure, seleccione Crear y siga los pasos para configurar la máquina virtual.
Tenga en cuenta lo siguiente al configurar la máquina virtual:
-
VM size: Elija un tamaño de VM que cumpla con los requisitos de CPU y RAM. Recomendamos Standard_D8s_v3.
-
Discos: El conector puede funcionar de forma óptima con discos HDD o SSD.
-
IP pública: Si desea utilizar una dirección IP pública con el conector VM, la dirección IP debe utilizar un SKU básico para garantizar que BlueXP utilice esta dirección IP pública.
Si en su lugar utiliza una dirección IP de SKU estándar, BlueXP utiliza la dirección private IP del conector, en lugar de la dirección IP pública. Si el equipo que está utilizando para acceder a la consola BlueXP no tiene acceso a esa dirección IP privada, las acciones de la consola BlueXP fallarán.
-
Grupo de seguridad de red: El conector requiere conexiones entrantes mediante SSH, HTTP y HTTPS.
-
Identidad: En Gestión, seleccione Activar identidad administrada asignada por el sistema.
Esta configuración es importante porque una identidad administrada permite que la máquina virtual Connector se identifique con Microsoft Entra ID sin proporcionar credenciales. "Obtenga más información sobre las identidades gestionadas para recursos de Azure".
-
-
En la página Review + create, revise sus selecciones y seleccione Create para iniciar la implementación.
Azure implementa la máquina virtual con los ajustes especificados. El software de la máquina virtual y el conector debe estar funcionando en aproximadamente cinco minutos.
Configure BlueXP.
Debe tener lo siguiente:
-
Privilegios de root para instalar el conector.
-
Detalles sobre un servidor proxy, si se necesita un proxy para el acceso a Internet desde el conector.
Tiene la opción de configurar un servidor proxy después de la instalación, pero para hacerlo es necesario reiniciar el conector.
Tenga en cuenta que BlueXP no es compatible con los servidores proxy transparentes.
-
Un certificado firmado por CA, si el servidor proxy utiliza HTTPS o si el proxy es un proxy de interceptación.
-
Dependiendo del sistema operativo, se requiere Podman o Docker Engine antes de instalar el conector.
El instalador disponible en el sitio de soporte de NetApp puede ser una versión anterior. Después de la instalación, el conector se actualiza automáticamente si hay una nueva versión disponible.
-
Si las variables del sistema http_proxy o https_proxy están establecidas en el host, elimínelas:
unset http_proxy unset https_proxy
Si no elimina estas variables del sistema, la instalación fallará.
-
Descargue el software del conector de "Sitio de soporte de NetApp"Y, a continuación, cópielo en el host Linux.
Debe descargar el instalador "en línea" del conector que se utiliza en su red o en la nube. Hay disponible un instalador "sin conexión" independiente para el conector, pero sólo es compatible con implementaciones en modo privado.
-
Asigne permisos para ejecutar el script.
chmod +x BlueXP-Connector-Cloud-<version>
Donde <version> es la versión del conector que ha descargado.
-
Ejecute el script de instalación.
./BlueXP-Connector-Cloud-<version> --proxy <HTTP or HTTPS proxy server> --cacert <path and file name of a CA-signed certificate>
Los parámetros --proxy y --cacert son opcionales. Si tiene un servidor proxy, deberá introducir los parámetros como se muestra. El instalador no le solicita que proporcione información sobre un proxy.
A continuación encontrará un ejemplo del comando utilizando los dos parámetros opcionales:
./BlueXP-Connector-Cloud-v3.9.40--proxy https://user:password@10.0.0.30:8080/ --cacert /tmp/cacert/certificate.cer
--proxy configura el conector para que utilice un servidor proxy HTTP o HTTPS con uno de los siguientes formatos:
-
http://address:port
-
http://user-name:password@address:port
-
http://domain-name%92user-name:password@address:port
-
https://address:port
-
https://user-name:password@address:port
-
https://domain-name%92user-name:password@address:port
Tenga en cuenta lo siguiente:
-
El usuario puede ser un usuario local o un usuario de dominio.
-
Para un usuario de dominio, debe utilizar el código ASCII para un \ como se muestra anteriormente.
-
BlueXP no admite nombres de usuario ni contraseñas que incluyan el carácter @.
-
Si la contraseña incluye alguno de los siguientes caracteres especiales, debe escapar de ese carácter especial preponiéndolo con una barra diagonal inversa: & O !
Por ejemplo:
http://bxpproxyuser:netapp1\!@address:3128
-
--cacert especifica un certificado firmado por CA que se utilizará para el acceso HTTPS entre el conector y el servidor proxy. Este parámetro sólo es obligatorio si se especifica un servidor proxy HTTPS o si el proxy es un proxy de interceptación.
-
El conector ya está instalado. Al final de la instalación, el servicio Connector (occm) se reinicia dos veces si ha especificado un servidor proxy.
Configure BlueXP.
Paso 2: Configura BlueXP
Cuando acceda a la consola BlueXP por primera vez, se le solicitará que elija una cuenta para asociar el conector y tendrá que activar el modo restringido.
La persona que configura el conector BlueXP debe iniciar sesión en BlueXP mediante un inicio de sesión que no pertenezca a una cuenta u organización de BlueXP .
Si el inicio de sesión de BlueXP está asociado a otra cuenta u organización, deberá registrarse y obtener un nuevo inicio de sesión de BlueXP . De lo contrario, no verá la opción de habilitar el modo restringido en la pantalla de configuración.
-
Abra un explorador Web desde un host que tenga una conexión con la instancia de Connector e introduzca la siguiente URL:
-
Regístrese o inicie sesión en BlueXP.
-
Después de iniciar sesión, configure BlueXP:
-
Introduzca un nombre para el conector.
-
Escriba un nombre para una nueva cuenta de BlueXP .
-
Seleccione ¿está ejecutando en un entorno protegido?
-
Seleccione Activar modo restringido en esta cuenta.
Tenga en cuenta que no puede cambiar esta configuración después de que BlueXP cree la cuenta. No se puede activar el modo restringido más adelante y no se puede desactivar más adelante.
Si ha desplegado el conector en una región gubernamental, la casilla de verificación ya está activada y no se puede cambiar. Esto se debe a que el modo restringido es el único modo compatible con las regiones gubernamentales.
-
Selecciona Comenzar.
-
El conector ya está instalado y configurado con su cuenta BlueXP. Todos los usuarios deben acceder a BlueXP mediante la dirección IP de la instancia de Connector.
Proporcione a BlueXP los permisos que configuró anteriormente.
Paso 3: Proporcionar permisos a BlueXP
Si implementó el conector desde Azure Marketplace o si instaló manualmente el software Connector, debe proporcionar los permisos que configuró anteriormente para poder utilizar los servicios de BlueXP.
Estos pasos no se aplican si ha implementado el conector desde AWS Marketplace porque ha elegido el rol de IAM necesario durante la implementación.
Conecte el rol IAM que ha creado previamente a la instancia de EC2 donde ha instalado Connector.
Estos pasos sólo se aplican si instaló manualmente el conector en AWS. En el caso de implementaciones de AWS Marketplace, ya ha asociado la instancia del conector con una función IAM que incluye los permisos necesarios.
-
Vaya a la consola de Amazon EC2.
-
Seleccione instancias.
-
Seleccione la instancia de conector.
-
Seleccione acciones > Seguridad > Modificar función IAM.
-
Seleccione el rol de IAM y seleccione Actualizar rol de IAM.
BlueXP dispone ahora de los permisos que necesita para realizar acciones en AWS en su nombre.
Proporcione a BlueXP la clave de acceso de AWS para un usuario de IAM que tenga los permisos necesarios.
-
En la parte superior derecha de la consola de BlueXP, seleccione el icono Configuración y seleccione credenciales.
-
Seleccione Agregar Credenciales y siga los pasos del asistente.
-
Ubicación de credenciales: Seleccione Servicios Web de Amazon > conector.
-
Definir credenciales: Introduzca una clave de acceso y una clave secreta de AWS.
-
Suscripción al mercado: Asocie una suscripción al mercado con estas credenciales suscribiendo ahora o seleccionando una suscripción existente.
-
Revisión: Confirme los detalles sobre las nuevas credenciales y seleccione Agregar.
-
BlueXP dispone ahora de los permisos que necesita para realizar acciones en AWS en su nombre.
Vaya al portal de Azure y asigne el rol personalizado de Azure a la máquina virtual Connector para una o más suscripciones.
-
En el Portal de Azure, abra el servicio Suscripciones y seleccione su suscripción.
Es importante asignar el rol desde el servicio Suscripciones porque especifica el alcance de la asignación de rol en el nivel de suscripción. El scope define el juego de recursos al que se aplica el acceso. Si especifica un ámbito a otro nivel (por ejemplo, a nivel de máquina virtual), se verá afectada su capacidad para completar acciones desde BlueXP.
-
Selecciona Control de acceso (IAM) > Añadir > Añadir asignación de rol.
-
En la ficha rol, seleccione el rol operador de BlueXP y seleccione Siguiente.
BlueXP Operator es el nombre predeterminado que se proporciona en la directiva de BlueXP. Si seleccionó otro nombre para el rol, seleccione ese nombre. -
En la ficha Miembros, realice los siguientes pasos:
-
Asignar acceso a una identidad administrada.
-
Seleccione Seleccionar miembros, seleccione la suscripción en la que se creó la máquina virtual Connector, en Identidad administrada, elija Máquina virtual y, a continuación, seleccione la máquina virtual Connector.
-
Selecciona Seleccionar.
-
Seleccione Siguiente.
-
Seleccione revisar + asignar.
-
Si desea administrar recursos en suscripciones adicionales de Azure, cambie a esa suscripción y repita estos pasos.
-
BlueXP ahora tiene los permisos que necesita para realizar acciones en Azure en su nombre.
Proporcione a BlueXP las credenciales para la entidad de servicio de Azure que configuró anteriormente.
-
En la parte superior derecha de la consola de BlueXP, seleccione el icono Configuración y seleccione credenciales.
-
Seleccione Agregar Credenciales y siga los pasos del asistente.
-
Ubicación de credenciales: Seleccione Microsoft Azure > conector.
-
Definir Credenciales: Introduzca información sobre el principal de servicio Microsoft Entra que otorga los permisos requeridos:
-
ID de aplicación (cliente)
-
ID de directorio (inquilino)
-
Secreto de cliente
-
-
Suscripción al mercado: Asocie una suscripción al mercado con estas credenciales suscribiendo ahora o seleccionando una suscripción existente.
-
Revisión: Confirme los detalles sobre las nuevas credenciales y seleccione Agregar.
-
BlueXP ahora tiene los permisos que necesita para realizar acciones en Azure en su nombre.
Asocie la cuenta de servicio a la máquina virtual del conector.
-
Vaya al portal de Google Cloud y asigne la cuenta de servicio a la instancia de Connector VM.
-
Si quieres gestionar recursos en otros proyectos, otorga acceso agregando la cuenta de servicio con el rol BlueXP a ese proyecto. Deberá repetir este paso con cada proyecto.
BlueXP ahora tiene los permisos que necesita para realizar acciones en Google Cloud en su nombre.