Skip to main content
NetApp Console setup and administration
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Crear un agente de consola desde Google Cloud

Colaboradores netapp-tonias
PDF

Para crear un agente de consola en Google Cloud mediante Google Cloud, debe configurar su red, preparar los permisos de Google Cloud, habilitar las API de Google Cloud y, luego, crear el agente de consola.

Antes de empezar

Paso 1: Configurar la red

Configure la red para permitir que el agente de la consola administre recursos y se conecte a redes de destino e Internet.

VPC y subred

Cuando crea el agente de consola, debe especificar la VPC y la subred donde debe residir.

Conexiones a redes de destino

El agente de consola requiere una conexión de red a la ubicación donde planea crear y administrar sistemas. Por ejemplo, la red donde planea crear sistemas Cloud Volumes ONTAP o un sistema de almacenamiento en su entorno local.

Acceso a Internet de salida

La ubicación de red donde implementa el agente de consola debe tener una conexión a Internet saliente para comunicarse con puntos finales específicos.

Puntos finales contactados desde el agente de la consola

El agente de la consola requiere acceso a Internet saliente para comunicarse con los siguientes puntos finales para administrar recursos y procesos dentro de su entorno de nube pública para las operaciones diarias.

Los puntos finales enumerados a continuación son todas entradas CNAME.

Puntos finales Objetivo

\ https://www.googleapis.com/compute/v1/ \ https://compute.googleapis.com/compute/v1 \ https://cloudresourcemanager.googleapis.com/v1/projects \ https://www.googleapis.com/compute/beta \ https://storage.googleapis.com/storage/v1 \ https://www.googleapis.com/storage/v1 \ https://iam.googleapis.com/v1 \ https://cloudkms.googleapis.com/v1 \ https://www.googleapis.com/deploymentmanager/v2/projects

Para administrar recursos en Google Cloud.

\ https://mysupport.netapp.com

Para obtener información de licencias y enviar mensajes de AutoSupport al soporte de NetApp .

\ https://support.netapp.com

Para obtener información de licencias y enviar mensajes de AutoSupport al soporte de NetApp .

\ https://signin.b2c.netapp.com

Para actualizar las credenciales del sitio de soporte de NetApp (NSS) o para agregar nuevas credenciales de NSS a la consola de NetApp .

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Proporcionar funciones y servicios dentro de la consola de NetApp .

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Para obtener imágenes para las actualizaciones del agente de consola.

  • Cuando se implementa un nuevo agente, la verificación de validación prueba la conectividad con los puntos finales actuales. Si utilizas"puntos finales anteriores" , la comprobación de validación falla. Para evitar este error, omita la comprobación de validación.

    Aunque los puntos finales anteriores aún son compatibles, NetApp recomienda actualizar las reglas de firewall a los puntos finales actuales lo antes posible. "Aprenda a actualizar su lista de puntos finales" .

  • Cuando actualice los puntos finales actuales en su firewall, sus agentes existentes continuarán funcionando.
Puntos finales contactados desde la consola de NetApp

A medida que utiliza la consola NetApp basada en web que se proporciona a través de la capa SaaS, esta se comunica con varios puntos finales para completar tareas de administración de datos. Esto incluye los puntos finales que se contactan para implementar el agente de la consola desde la consola.

"Ver la lista de puntos finales contactados desde la consola de NetApp" .

Servidor proxy

NetApp admite configuraciones de proxy explícitas y transparentes. Si está utilizando un proxy transparente, solo necesita proporcionar el certificado para el servidor proxy. Si está utilizando un proxy explícito, también necesitará la dirección IP y las credenciales.

  • Dirección IP

  • Cartas credenciales

  • Certificado HTTPS

Puertos

No hay tráfico entrante al agente de la consola, a menos que usted lo inicie o si se utiliza como proxy para enviar mensajes de AutoSupport desde Cloud Volumes ONTAP al soporte de NetApp .

  • HTTP (80) y HTTPS (443) brindan acceso a la interfaz de usuario local, que utilizará en circunstancias excepcionales.

  • SSH (22) solo es necesario si necesita conectarse al host para solucionar problemas.

  • Se requieren conexiones entrantes a través del puerto 3128 si implementa sistemas Cloud Volumes ONTAP en una subred donde no hay una conexión a Internet saliente disponible.

    Si los sistemas Cloud Volumes ONTAP no tienen una conexión a Internet saliente para enviar mensajes de AutoSupport , la consola configura automáticamente esos sistemas para usar un servidor proxy que está incluido con el agente de la consola. El único requisito es garantizar que el grupo de seguridad del agente de la consola permita conexiones entrantes a través del puerto 3128. Necesitará abrir este puerto después de implementar el agente de consola.

Habilitar NTP

Si planea utilizar NetApp Data Classification para escanear sus fuentes de datos corporativos, debe habilitar un servicio de Protocolo de tiempo de red (NTP) tanto en el agente de consola como en el sistema de clasificación de datos de NetApp para que la hora se sincronice entre los sistemas. "Obtenga más información sobre la clasificación de datos de NetApp"

Implemente este requisito de red después de crear el agente de consola.

Paso 2: Configurar permisos para crear el agente de consola

Configure permisos para que el usuario de Google Cloud implemente la máquina virtual del agente de consola desde Google Cloud.

Pasos

  1. Crear un rol personalizado en Google Platform:

    1. Cree un archivo YAML que incluya los siguientes permisos:

      title: Console agent deployment policy
description: Permissions for the user who deploys the NetApp Console agent
stage: GA
includedPermissions:
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.list

    2. Desde Google Cloud, activa Cloud Shell.

    3. Sube el archivo YAML que incluye los permisos necesarios.

    4. Cree un rol personalizado mediante el uso de gcloud iam roles create dominio.

      El siguiente ejemplo crea un rol denominado "connectorDeployment" a nivel de proyecto:

      Roles de iam de gcloud crean un conectorDeployment --project=myproject --file=connector-deployment.yaml

    "Documentación de Google Cloud: Creación y administración de roles personalizados"

  2. Asigne esta función personalizada al usuario que implementa el agente de consola desde Google Cloud.

    "Documentación de Google Cloud: Otorgar una función única"

Paso 3: Configurar permisos para las operaciones del agente de la consola

Se requiere una cuenta de servicio de Google Cloud para proporcionar al agente de la consola los permisos que necesita para administrar recursos en Google Cloud. Cuando cree el agente de consola, deberá asociar esta cuenta de servicio con la máquina virtual del agente de consola.

Es su responsabilidad actualizar la función personalizada a medida que se agreguen nuevos permisos en versiones posteriores. Si se requieren nuevos permisos, se enumerarán en las notas de la versión.

Pasos

  1. Crear un rol personalizado en Google Cloud:

    1. Cree un archivo YAML que incluya el contenido de"Permisos de cuenta de servicio para el agente de consola" .

    2. Desde Google Cloud, activa Cloud Shell.

    3. Sube el archivo YAML que incluye los permisos necesarios.

    4. Cree un rol personalizado mediante el uso de gcloud iam roles create dominio.

      El siguiente ejemplo crea un rol denominado "conector" a nivel de proyecto:

      gcloud iam roles create connector --project=myproject --file=connector.yaml

    "Documentación de Google Cloud: Creación y administración de roles personalizados"

  2. Cree una cuenta de servicio en Google Cloud y asígnele el rol:

    1. Desde el servicio IAM y administración, seleccione Cuentas de servicio > Crear cuenta de servicio.

    2. Ingrese los detalles de la cuenta de servicio y seleccione Crear y continuar.

    3. Seleccione el rol que acaba de crear.

    4. Complete los pasos restantes para crear el rol.

      "Documentación de Google Cloud: Creación de una cuenta de servicio"

  3. Si planea implementar sistemas Cloud Volumes ONTAP en proyectos diferentes al proyecto donde reside el agente de la consola, deberá proporcionar a la cuenta de servicio del agente de la consola acceso a esos proyectos.

    Por ejemplo, supongamos que el agente de consola está en el proyecto 1 y desea crear sistemas Cloud Volumes ONTAP en el proyecto 2. Necesitará otorgar acceso a la cuenta de servicio en el proyecto 2.

    1. Desde el servicio IAM y administración, seleccione el proyecto de Google Cloud donde desea crear sistemas Cloud Volumes ONTAP .

    2. En la página IAM, seleccione Otorgar acceso y proporcione los detalles requeridos.

      • Ingrese el correo electrónico de la cuenta de servicio del agente de la consola.

      • Seleccione el rol personalizado del agente de consola.

      • Seleccione Guardar.

    Para más detalles, consulte "Documentación de Google Cloud"

Paso 4: Configurar permisos de VPC compartidos

Si está utilizando una VPC compartida para implementar recursos en un proyecto de servicio, deberá preparar sus permisos.

Esta tabla es de referencia y su entorno debe reflejar la tabla de permisos cuando se complete la configuración de IAM.

Ver permisos de VPC compartidos
Identidad Creador Alojado en Permisos del proyecto de servicio Permisos del proyecto anfitrión Objetivo

Cuenta de Google para implementar el agente

Costumbre

Proyecto de servicio

"Política de implementación del agente"

computar.usuariodered

Implementación del agente en el proyecto de servicio

cuenta de servicio del agente

Costumbre

Proyecto de servicio

"Política de cuenta de servicio del agente"

Compute.NetworkUser administrador de implementación.editor

Implementación y mantenimiento de Cloud Volumes ONTAP y los servicios en el proyecto de servicio

Cuenta de servicio de Cloud Volumes ONTAP

Costumbre

Proyecto de servicio

Miembro de storage.admin: cuenta de servicio de la consola de NetApp como serviceAccount.user

N/A

(Opcional) Para NetApp Cloud Tiering y NetApp Backup and Recovery

Agente de servicio de las API de Google

Google Cloud

Proyecto de servicio

(Predeterminado) Editor

computar.usuariodered

Interactúa con las API de Google Cloud en nombre de la implementación. Permite que la consola utilice la red compartida.

Cuenta de servicio predeterminada de Google Compute Engine

Google Cloud

Proyecto de servicio

(Predeterminado) Editor

computar.usuariodered

Implementa instancias de Google Cloud y la infraestructura computacional en nombre de la implementación. Permite que la consola utilice la red compartida.

Notas:

  1. deploymentmanager.editor solo es necesario en el proyecto host si no pasa reglas de firewall a la implementación y elige dejar que la consola las cree por usted. La consola de NetApp crea una implementación en el proyecto de host que contiene la regla de firewall VPC0 si no se especifica ninguna regla.

  2. firewall.create y firewall.delete solo son necesarios si no pasa reglas de firewall a la implementación y elige dejar que la Consola las cree por usted. Estos permisos residen en el archivo .yaml de la cuenta de la consola. Si está implementando un par HA mediante una VPC compartida, estos permisos se utilizarán para crear las reglas de firewall para VPC1, 2 y 3. Para todas las demás implementaciones, estos permisos también se utilizarán para crear reglas para VPC0.

  3. Para la organización en niveles de nube, la cuenta de servicio de organización en niveles debe tener el rol serviceAccount.user en la cuenta de servicio, no solo en el nivel de proyecto. Actualmente, si asigna serviceAccount.user en el nivel del proyecto, los permisos no se muestran cuando consulta la cuenta de servicio con getIAMPolicy.

Paso 5: Habilitar las API de Google Cloud

Habilite varias API de Google Cloud antes de implementar el agente de consola y Cloud Volumes ONTAP.

Paso

  1. Habilite las siguientes API de Google Cloud en su proyecto:

    • API de Cloud Deployment Manager V2

    • API de registro en la nube

    • API del administrador de recursos en la nube

    • API de Compute Engine

    • API de gestión de identidad y acceso (IAM)

    • API del servicio de administración de claves en la nube (KMS)

      (Obligatorio solo si planea utilizar NetApp Backup and Recovery con claves de cifrado administradas por el cliente (CMEK))

"Documentación de Google Cloud: Habilitación de API"

Paso 6: Crear el agente de consola

Cree un agente de consola mediante Google Cloud.

Al crear el agente de consola, se implementa una instancia de VM en Google Cloud con la configuración predeterminada. No cambie a una instancia de VM más pequeña con menos CPU o menos RAM después de crear el agente de consola. "Obtenga información sobre la configuración predeterminada para el agente de la consola" .

Antes de empezar

Debes tener lo siguiente:

  • Los permisos de Google Cloud necesarios para crear el agente de consola y una cuenta de servicio para la máquina virtual del agente de consola.

  • Una VPC y una subred que cumple con los requisitos de red.

  • Una comprensión de los requisitos de la instancia de VM.

    • CPU: 8 núcleos u 8 vCPU

    • RAM: 32 GB

    • Tipo de máquina: Recomendamos n2-standard-8.

      El agente de consola es compatible con Google Cloud en una instancia de VM con un sistema operativo que admite funciones de VM protegida.

Pasos

  1. Inicie sesión en el SDK de Google Cloud utilizando su método preferido.

    Este ejemplo utiliza un shell local con el SDK de gcloud instalado, pero también puedes usar Google Cloud Shell.

    Para obtener más información sobre el SDK de Google Cloud, visite el sitio web"Página de documentación del SDK de Google Cloud" .

  2. Verifique que haya iniciado sesión como un usuario que tiene los permisos necesarios definidos en la sección anterior:

    gcloud auth list

    El resultado debe mostrar lo siguiente, donde la cuenta de usuario * es la cuenta de usuario con la que se desea iniciar sesión:

    Credentialed Accounts
ACTIVE  ACCOUNT
     some_user_account@domain.com
*    desired_user_account@domain.com
To set the active account, run:
 $ gcloud config set account `ACCOUNT`
Updates are available for some Cloud SDK components. To install them,
please run:
$ gcloud components update

  3. Ejecutar el gcloud compute instances create dominio:

    gcloud compute instances create <instance-name>
  --machine-type=n2-standard-8
  --image-project=netapp-cloudmanager
  --image-family=cloudmanager
  --scopes=cloud-platform
  --project=<project>
  --service-account=<service-account>
  --zone=<zone>
  --no-address
  --tags <network-tag>
  --network <network-path>
  --subnet <subnet-path>
  --boot-disk-kms-key <kms-key-path>
    nombre de instancia

    El nombre de instancia deseado para la instancia de VM.

    proyecto

    (Opcional) El proyecto donde desea implementar la VM.

    cuenta de servicio

    La cuenta de servicio especificada en la salida del paso 2.

    zona

    La zona donde desea implementar la máquina virtual

    sin dirección

    (Opcional) No se utiliza ninguna dirección IP externa (necesita un NAT en la nube o un proxy para enrutar el tráfico a Internet público)

    etiqueta de red

    (Opcional) Agregue etiquetado de red para vincular una regla de firewall mediante etiquetas a la instancia del agente de la consola

    ruta de red

    (Opcional) Agregue el nombre de la red donde se implementará el agente de consola (para una VPC compartida, necesita la ruta completa)

    ruta de subred

    (Opcional) Agregue el nombre de la subred donde se implementará el agente de consola (para una VPC compartida, necesita la ruta completa)

    ruta de la clave kms

    (Opcional) Agregue una clave KMS para cifrar los discos del agente de la consola (también se deben aplicar los permisos de IAM)

    Para obtener más información sobre estas banderas, visite el sitio"Documentación del SDK de Google Cloud Computing" .

    Al ejecutar el comando se implementa el agente de consola. La instancia del agente de consola y el software deberían estar ejecutándose en aproximadamente cinco minutos.

  4. Abra un navegador web e ingrese la URL del host del agente de la consola:

    La URL del host de la consola puede ser un host local, una dirección IP privada o una dirección IP pública, según la configuración del host. Por ejemplo, si el agente de la consola está en la nube pública sin una dirección IP pública, debe ingresar una dirección IP privada de un host que tenga una conexión al host del agente de la consola.

  5. Después de iniciar sesión, configure el agente de la consola:

    1. Especifique la organización de la consola que se asociará con el agente de la consola.

      "Aprenda sobre la gestión de identidad y acceso" .

    2. Introduzca un nombre para el sistema.

Resultado

El agente de consola ahora está instalado y configurado con su organización de consola.

Abra un navegador web y vaya a "Consola de NetApp" para comenzar a utilizar el agente de consola.