Skip to main content
NetApp Console setup and administration
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Cree un agente de consola en AWS desde la consola de NetApp

Colaboradores netapp-tonias
PDF

Puede crear un agente de consola en AWS directamente desde la consola de NetApp . Antes de crear un agente de consola en AWS desde la consola, debe configurar su red y preparar los permisos de AWS.

Antes de empezar

Paso 1: Configurar la red para implementar un agente de consola en AWS

Asegúrese de que la ubicación de red donde planea instalar el agente de consola admita los siguientes requisitos. Estos requisitos permiten que el agente de la consola administre recursos y procesos en su nube híbrida.

VPC y subred

Cuando crea el agente de consola, debe especificar la VPC y la subred donde debe residir.

Conexiones a redes de destino

El agente de consola requiere una conexión de red a la ubicación donde planea crear y administrar sistemas. Por ejemplo, la red donde planea crear sistemas Cloud Volumes ONTAP o un sistema de almacenamiento en su entorno local.

Acceso a Internet de salida

La ubicación de red donde implementa el agente de consola debe tener una conexión a Internet saliente para comunicarse con puntos finales específicos.

Puntos finales contactados desde el agente de la consola

El agente de la consola requiere acceso a Internet saliente para comunicarse con los siguientes puntos finales para administrar recursos y procesos dentro de su entorno de nube pública para las operaciones diarias.

Los puntos finales enumerados a continuación son todas entradas CNAME.

Puntos finales Objetivo

Servicios de AWS (amazonaws.com):

  • Formación de nubes

  • Nube de cómputo elástica (EC2)

  • Gestión de identidad y acceso (IAM)

  • Servicio de gestión de claves (KMS)

  • Servicio de token de seguridad (STS)

  • Servicio de almacenamiento simple (S3)

Para administrar los recursos de AWS. El punto final depende de su región de AWS. "Consulte la documentación de AWS para obtener más detalles."

\ https://mysupport.netapp.com

Para obtener información de licencias y enviar mensajes de AutoSupport al soporte de NetApp .

\ https://support.netapp.com

Para obtener información de licencias y enviar mensajes de AutoSupport al soporte de NetApp .

\ https://signin.b2c.netapp.com

Para actualizar las credenciales del sitio de soporte de NetApp (NSS) o para agregar nuevas credenciales de NSS a la consola de NetApp .

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Proporcionar funciones y servicios dentro de la consola de NetApp .

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Para obtener imágenes para las actualizaciones del agente de consola.

  • Cuando se implementa un nuevo agente, la verificación de validación prueba la conectividad con los puntos finales actuales. Si utilizas"puntos finales anteriores" , la comprobación de validación falla. Para evitar este error, omita la comprobación de validación.

    Aunque los puntos finales anteriores aún son compatibles, NetApp recomienda actualizar las reglas de firewall a los puntos finales actuales lo antes posible. "Aprenda a actualizar su lista de puntos finales" .

  • Cuando actualice los puntos finales actuales en su firewall, sus agentes existentes continuarán funcionando.
Puntos finales contactados desde la consola de NetApp

A medida que utiliza la consola NetApp basada en web que se proporciona a través de la capa SaaS, esta se comunica con varios puntos finales para completar tareas de administración de datos. Esto incluye los puntos finales que se contactan para implementar el agente de la consola desde la consola.

"Ver la lista de puntos finales contactados desde la consola de NetApp" .

Servidor proxy

NetApp admite configuraciones de proxy explícitas y transparentes. Si está utilizando un proxy transparente, solo necesita proporcionar el certificado para el servidor proxy. Si está utilizando un proxy explícito, también necesitará la dirección IP y las credenciales.

  • Dirección IP

  • Cartas credenciales

  • Certificado HTTPS

Puertos

No hay tráfico entrante al agente de la consola, a menos que usted lo inicie o si se utiliza como proxy para enviar mensajes de AutoSupport desde Cloud Volumes ONTAP al soporte de NetApp .

  • HTTP (80) y HTTPS (443) brindan acceso a la interfaz de usuario local, que utilizará en circunstancias excepcionales.

  • SSH (22) solo es necesario si necesita conectarse al host para solucionar problemas.

  • Se requieren conexiones entrantes a través del puerto 3128 si implementa sistemas Cloud Volumes ONTAP en una subred donde no hay una conexión a Internet saliente disponible.

    Si los sistemas Cloud Volumes ONTAP no tienen una conexión a Internet saliente para enviar mensajes de AutoSupport , la consola configura automáticamente esos sistemas para usar un servidor proxy que está incluido con el agente de la consola. El único requisito es garantizar que el grupo de seguridad del agente de la consola permita conexiones entrantes a través del puerto 3128. Necesitará abrir este puerto después de implementar el agente de consola.

Habilitar NTP

Si planea utilizar NetApp Data Classification para escanear sus fuentes de datos corporativos, debe habilitar un servicio de Protocolo de tiempo de red (NTP) tanto en el agente de consola como en el sistema de clasificación de datos de NetApp para que la hora se sincronice entre los sistemas. "Obtenga más información sobre la clasificación de datos de NetApp"

Necesitará implementar este requisito de red después de crear el agente de consola.

Paso 2: Configurar los permisos de AWS para el agente de la consola

La consola debe autenticarse con AWS antes de poder implementar la instancia del agente de la consola en su VPC. Puede elegir uno de estos métodos de autenticación:

  • Deje que la consola asuma un rol de IAM que tenga los permisos necesarios

  • Proporcionar una clave de acceso de AWS y una clave secreta para un usuario de IAM que tenga los permisos necesarios

Con cualquiera de las opciones, el primer paso es crear una política de IAM. Esta política contiene solo los permisos necesarios para iniciar la instancia del agente de la consola en AWS desde la consola.

Si es necesario, puede restringir la política de IAM mediante el IAM Condition elemento. "Documentación de AWS: Elemento de condición"

Pasos

  1. Vaya a la consola de AWS IAM.

  2. Seleccione Políticas > Crear política.

  3. Seleccione JSON.

  4. Copie y pegue la siguiente política:

    Esta política contiene solo los permisos necesarios para iniciar la instancia del agente de la consola en AWS desde la consola. Cuando la consola crea el agente de la consola, aplica un nuevo conjunto de permisos a la instancia del agente de la consola que le permite administrar los recursos de AWS. "Ver los permisos necesarios para la propia instancia del agente de la consola" .

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:DeleteRole",
        "iam:PutRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:DeleteRolePolicy",
        "iam:AddRoleToInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeleteInstanceProfile",
        "iam:PassRole",
        "iam:ListRoles",
        "ec2:DescribeInstanceStatus",
        "ec2:RunInstances",
        "ec2:ModifyInstanceAttribute",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeInstances",
        "ec2:CreateTags",
        "ec2:DescribeImages",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeLaunchTemplates",
        "ec2:CreateLaunchTemplate",
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:ValidateTemplate",
        "ec2:AssociateIamInstanceProfile",
        "ec2:DescribeIamInstanceProfileAssociations",
        "ec2:DisassociateIamInstanceProfile",
        "iam:GetRole",
        "iam:TagRole",
        "kms:ListAliases",
        "cloudformation:ListStacks"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/OCCMInstance": "*"
        }
      },
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

  5. Seleccione Siguiente y agregue etiquetas, si es necesario.

  6. Seleccione Siguiente e ingrese un nombre y una descripción.

  7. Seleccione Crear política.

  8. Adjunte la política a un rol de IAM que la consola pueda asumir o a un usuario de IAM para poder proporcionar a la consola claves de acceso:

    • (Opción 1) Configure un rol de IAM que la consola pueda asumir:

      1. Vaya a la consola de AWS IAM en la cuenta de destino.

      2. En Administración de acceso, seleccione Roles > Crear rol y siga los pasos para crear el rol.

      3. En Tipo de entidad confiable, seleccione Cuenta AWS.

      4. Seleccione Otra cuenta de AWS e ingrese el ID de la cuenta SaaS de la consola: 952013314444

      5. Seleccione la política que creó en la sección anterior.

      6. Después de crear el rol, copie el ARN del rol para poder pegarlo en la consola cuando cree el agente de la consola.

    • (Opción 2) Configure permisos para un usuario de IAM para que pueda proporcionar a la consola claves de acceso:

      1. Desde la consola de AWS IAM, seleccione Usuarios y luego seleccione el nombre de usuario.

      2. Seleccione Agregar permisos > Adjuntar políticas existentes directamente.

      3. Seleccione la política que ha creado.

      4. Seleccione Siguiente y luego seleccione Agregar permisos.

      5. Asegúrese de tener la clave de acceso y la clave secreta del usuario de IAM.

Resultado

Ahora debería tener un rol de IAM que tenga los permisos necesarios o un usuario de IAM que tenga los permisos necesarios. Al crear el agente de la consola desde la consola, puede proporcionar información sobre el rol o las claves de acceso.

Paso 3: Crear el agente de consola

Cree el agente de consola directamente desde la consola web.

Acerca de esta tarea
Antes de empezar

Debes tener lo siguiente:

  • Un método de autenticación de AWS: un rol de IAM o claves de acceso para un usuario de IAM con los permisos requeridos.

  • Una VPC y una subred que cumple con los requisitos de red.

  • Un par de claves para la instancia EC2.

  • Detalles sobre un servidor proxy, si se requiere un proxy para el acceso a Internet desde el agente de la consola.

  • Configuración"requisitos de red" .

  • Configuración"Permisos de AWS" .

Pasos

  1. Seleccione Administración > Agentes.

  2. En la página Descripción general, seleccione Implementar agente > AWS

  3. Siga los pasos del asistente para crear el agente de consola:

  4. En la página Introducción se ofrece una descripción general del proceso.

  5. En la página Credenciales de AWS, especifique su región de AWS y luego elija un método de autenticación, que puede ser un rol de IAM que la consola puede asumir o una clave de acceso y una clave secreta de AWS.

    Consejo Si elige Asumir rol, puede crear el primer conjunto de credenciales desde el asistente de implementación del agente de la consola. Cualquier conjunto adicional de credenciales debe crearse desde la página Credenciales. Luego estarán disponibles en una lista desplegable del asistente. "Aprenda cómo agregar credenciales adicionales" .

  6. En la página Detalles, proporcione detalles sobre el agente de consola.

    • Introduzca un nombre para la instancia.

    • Agregue etiquetas personalizadas (metadatos) a la instancia.

    • Elija si desea que la Consola cree un nuevo rol que tenga los permisos necesarios o si desea seleccionar un rol existente que haya configurado con"los permisos requeridos" .

    • Elija si desea cifrar los discos EBS del agente de consola. Tiene la opción de utilizar la clave de cifrado predeterminada o utilizar una clave personalizada.

  7. En la página Red, especifique una VPC, una subred y un par de claves para la instancia, elija si desea habilitar una dirección IP pública y, opcionalmente, especifique una configuración de proxy.

    Asegúrese de tener el par de claves correcto para acceder a la máquina virtual del agente de consola. Sin un par de claves, no puedes acceder a él.

  8. En la página Grupo de seguridad, elija si desea crear un nuevo grupo de seguridad o si desea seleccionar un grupo de seguridad existente que permita las reglas de entrada y salida requeridas.

    "Ver las reglas del grupo de seguridad para AWS" .

  9. Revise sus selecciones para verificar que su configuración sea correcta.

    1. La casilla de verificación Validar configuración del agente está marcada de forma predeterminada para que la consola valide los requisitos de conectividad de red cuando se implementa. Si la consola no logra implementar el agente, proporciona un informe para ayudarlo a solucionar el problema. Si la implementación se realiza correctamente, no se proporciona ningún informe.

    Si todavía estás usando el"puntos finales anteriores" utilizado para actualizaciones de agente, la validación falla con un error. Para evitar esto, desmarque la casilla de verificación para omitir la comprobación de validación.

  10. Seleccione Agregar.

    La consola prepara la instancia en aproximadamente 10 minutos. Permanezca en la página hasta que se complete el proceso.

Resultado

Una vez completado el proceso, el agente de la consola estará disponible para su uso desde la consola.

Nota Si la implementación falla, puedes descargar un informe y registros desde la Consola para ayudarte a solucionar los problemas."Aprenda a solucionar problemas de instalación."

Si tiene depósitos de Amazon S3 en la misma cuenta de AWS donde creó el agente de consola, verá aparecer automáticamente un entorno de trabajo de Amazon S3 en la página Sistemas. "Aprenda a administrar los buckets S3 desde la consola de NetApp"