Skip to main content
Tous les fournisseurs cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Déployez Cloud Volumes ONTAP dans des régions de cloud secret AWS et de cloud secret

Contributeurs

Comme pour une région AWS standard, vous pouvez utiliser BlueXP dans "Cloud secret AWS" et po "Le cloud le plus secret d'AWS" De déployer Cloud Volumes ONTAP, qui fournit des fonctionnalités de grande qualité pour votre stockage cloud. AWS Secret Cloud et Top Secret Cloud sont des régions fermées spécifiques aux États-Unis Communauté de renseignement ; les instructions de cette page s'appliquent uniquement aux utilisateurs de la région du cloud secret AWS et du cloud secret supérieur.

Avant de commencer

Avant de commencer, consultez les versions prises en charge dans AWS Secret Cloud et Top Secret Cloud, et découvrez le mode privé dans BlueXP.

  • Consultez les versions prises en charge suivantes dans AWS Secret Cloud et Top Secret Cloud :

    • Cloud Volumes ONTAP 9.12.1 P2

    • Version 3.9.32 du connecteur

      Il s'agit du logiciel requis pour déployer et gérer Cloud Volumes ONTAP dans AWS. Vous vous connecterez à BlueXP à partir du logiciel installé sur l'instance de connecteur. Le site Web SaaS pour BlueXP n'est pas pris en charge dans AWS Secret Cloud et Top Secret Cloud.

  • En savoir plus sur le mode privé

    Dans AWS Secret Cloud et Top Secret Cloud, BlueXP fonctionne en mode privé. En mode privé, la couche SaaS de BlueXP n'est pas connectée. Les utilisateurs accèdent à BlueXP en local à partir de la console web disponible depuis le connecteur, et non depuis la couche SaaS.

    Pour en savoir plus sur le fonctionnement du mode privé, reportez-vous à la section "Mode de déploiement privé BlueXP".

Étape 1 : configuration du réseau

Configurez votre réseau AWS pour que Cloud Volumes ONTAP puisse fonctionner correctement.

Étapes
  1. Choisissez le VPC et les sous-réseaux dans lesquels vous souhaitez lancer l'instance de connecteur et les instances Cloud Volumes ONTAP.

  2. Vérifiez que votre VPC et vos sous-réseaux prennent en charge la connectivité entre le connecteur et Cloud Volumes ONTAP.

  3. Configurez un terminal VPC sur le service S3.

    Un point de terminaison VPC est requis si vous souhaitez transférer des données à froid de Cloud Volumes ONTAP vers un stockage objet économique.

Étape 2 : configurer les autorisations

Configurez des stratégies et des rôles IAM qui fournissent au connecteur et à Cloud Volumes ONTAP les autorisations dont ils ont besoin pour effectuer des actions dans le cloud secret AWS ou le cloud top secret.

Vous avez besoin d'une politique IAM et d'un rôle IAM pour chacun des éléments suivants :

  • L'instance de connecteur

  • Instances Cloud Volumes ONTAP

  • Pour les paires HA, l'instance médiateur Cloud Volumes ONTAP HA (si vous souhaitez déployer des paires HA)

Étapes
  1. Accédez à la console IAM AWS et cliquez sur Policies.

  2. Créez une stratégie pour l'instance de connecteur.

    Remarque Vous créez ces règles pour prendre en charge les compartiments S3 dans votre environnement AWS. Lors de la création ultérieure des compartiments, assurez-vous que les noms des compartiments sont préfixés à l'aide de fabric-pool-. Cette exigence s'applique à la fois aux régions AWS Secret Cloud et Top Secret Cloud.
    Régions secrètes
    {
        "Version": "2012-10-17",
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeInstances",
                    "ec2:DescribeInstanceStatus",
                    "ec2:RunInstances",
                    "ec2:ModifyInstanceAttribute",
                    "ec2:DescribeRouteTables",
                    "ec2:DescribeImages",
                    "ec2:CreateTags",
                    "ec2:CreateVolume",
                    "ec2:DescribeVolumes",
                    "ec2:ModifyVolumeAttribute",
                    "ec2:DeleteVolume",
                    "ec2:CreateSecurityGroup",
                    "ec2:DeleteSecurityGroup",
                    "ec2:DescribeSecurityGroups",
                    "ec2:RevokeSecurityGroupEgress",
                    "ec2:RevokeSecurityGroupIngress",
                    "ec2:AuthorizeSecurityGroupEgress",
                    "ec2:AuthorizeSecurityGroupIngress",
                    "ec2:CreateNetworkInterface",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeDhcpOptions",
                    "ec2:CreateSnapshot",
                    "ec2:DeleteSnapshot",
                    "ec2:DescribeSnapshots",
                    "ec2:GetConsoleOutput",
                    "ec2:DescribeKeyPairs",
                    "ec2:DescribeRegions",
                    "ec2:DeleteTags",
                    "ec2:DescribeTags",
                    "cloudformation:CreateStack",
                    "cloudformation:DeleteStack",
                    "cloudformation:DescribeStacks",
                    "cloudformation:DescribeStackEvents",
                    "cloudformation:ValidateTemplate",
                    "iam:PassRole",
                    "iam:CreateRole",
                    "iam:DeleteRole",
                    "iam:PutRolePolicy",
                    "iam:ListInstanceProfiles",
                    "iam:CreateInstanceProfile",
                    "iam:DeleteRolePolicy",
                    "iam:AddRoleToInstanceProfile",
                    "iam:RemoveRoleFromInstanceProfile",
                    "iam:DeleteInstanceProfile",
                    "s3:GetObject",
                    "s3:ListBucket",
                    "s3:GetBucketTagging",
                    "s3:GetBucketLocation",
                    "s3:ListAllMyBuckets",
                    "kms:List*",
                    "kms:Describe*",
                    "ec2:AssociateIamInstanceProfile",
                    "ec2:DescribeIamInstanceProfileAssociations",
                    "ec2:DisassociateIamInstanceProfile",
                    "ec2:DescribeInstanceAttribute",
                    "ec2:CreatePlacementGroup",
                    "ec2:DeletePlacementGroup"
                ],
                "Resource": "*"
            },
            {
                "Sid": "fabricPoolPolicy",
                "Effect": "Allow",
                "Action": [
                    "s3:DeleteBucket",
                    "s3:GetLifecycleConfiguration",
                    "s3:PutLifecycleConfiguration",
                    "s3:PutBucketTagging",
                    "s3:ListBucketVersions"
                ],
                "Resource": [
                    "arn:aws-iso-b:s3:::fabric-pool*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:StartInstances",
                    "ec2:StopInstances",
                    "ec2:TerminateInstances",
                    "ec2:AttachVolume",
                    "ec2:DetachVolume"
                ],
                "Condition": {
                    "StringLike": {
                        "ec2:ResourceTag/WorkingEnvironment": "*"
                    }
                },
                "Resource": [
                    "arn:aws-iso-b:ec2:*:*:instance/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:AttachVolume",
                    "ec2:DetachVolume"
                ],
                "Resource": [
                    "arn:aws-iso-b:ec2:*:*:volume/*"
                ]
            }
        ]
    }
    Régions les plus secrètes
    {
        "Version": "2012-10-17",
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeInstances",
                    "ec2:DescribeInstanceStatus",
                    "ec2:RunInstances",
                    "ec2:ModifyInstanceAttribute",
                    "ec2:DescribeRouteTables",
                    "ec2:DescribeImages",
                    "ec2:CreateTags",
                    "ec2:CreateVolume",
                    "ec2:DescribeVolumes",
                    "ec2:ModifyVolumeAttribute",
                    "ec2:DeleteVolume",
                    "ec2:CreateSecurityGroup",
                    "ec2:DeleteSecurityGroup",
                    "ec2:DescribeSecurityGroups",
                    "ec2:RevokeSecurityGroupEgress",
                    "ec2:RevokeSecurityGroupIngress",
                    "ec2:AuthorizeSecurityGroupEgress",
                    "ec2:AuthorizeSecurityGroupIngress",
                    "ec2:CreateNetworkInterface",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeDhcpOptions",
                    "ec2:CreateSnapshot",
                    "ec2:DeleteSnapshot",
                    "ec2:DescribeSnapshots",
                    "ec2:GetConsoleOutput",
                    "ec2:DescribeKeyPairs",
                    "ec2:DescribeRegions",
                    "ec2:DeleteTags",
                    "ec2:DescribeTags",
                    "cloudformation:CreateStack",
                    "cloudformation:DeleteStack",
                    "cloudformation:DescribeStacks",
                    "cloudformation:DescribeStackEvents",
                    "cloudformation:ValidateTemplate",
                    "iam:PassRole",
                    "iam:CreateRole",
                    "iam:DeleteRole",
                    "iam:PutRolePolicy",
                    "iam:ListInstanceProfiles",
                    "iam:CreateInstanceProfile",
                    "iam:DeleteRolePolicy",
                    "iam:AddRoleToInstanceProfile",
                    "iam:RemoveRoleFromInstanceProfile",
                    "iam:DeleteInstanceProfile",
                    "s3:GetObject",
                    "s3:ListBucket",
                    "s3:GetBucketTagging",
                    "s3:GetBucketLocation",
                    "s3:ListAllMyBuckets",
                    "kms:List*",
                    "kms:Describe*",
                    "ec2:AssociateIamInstanceProfile",
                    "ec2:DescribeIamInstanceProfileAssociations",
                    "ec2:DisassociateIamInstanceProfile",
                    "ec2:DescribeInstanceAttribute",
                    "ec2:CreatePlacementGroup",
                    "ec2:DeletePlacementGroup"
                ],
                "Resource": "*"
            },
            {
                "Sid": "fabricPoolPolicy",
                "Effect": "Allow",
                "Action": [
                    "s3:DeleteBucket",
                    "s3:GetLifecycleConfiguration",
                    "s3:PutLifecycleConfiguration",
                    "s3:PutBucketTagging",
                    "s3:ListBucketVersions"
                ],
                "Resource": [
                    "arn:aws-iso:s3:::fabric-pool*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:StartInstances",
                    "ec2:StopInstances",
                    "ec2:TerminateInstances",
                    "ec2:AttachVolume",
                    "ec2:DetachVolume"
                ],
                "Condition": {
                    "StringLike": {
                        "ec2:ResourceTag/WorkingEnvironment": "*"
                    }
                },
                "Resource": [
                    "arn:aws-iso:ec2:*:*:instance/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:AttachVolume",
                    "ec2:DetachVolume"
                ],
                "Resource": [
                    "arn:aws-iso:ec2:*:*:volume/*"
                ]
            }
        ]
    }
  3. Création d'une policy pour Cloud Volumes ONTAP.

    Régions secrètes
    {
        "Version": "2012-10-17",
        "Statement": [{
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws-iso-b:s3:::*",
            "Effect": "Allow"
        }, {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws-iso-b:s3:::fabric-pool-*",
            "Effect": "Allow"
        }, {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws-iso-b:s3:::fabric-pool-*",
            "Effect": "Allow"
        }]
    }
    Régions les plus secrètes
    {
        "Version": "2012-10-17",
        "Statement": [{
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws-iso:s3:::*",
            "Effect": "Allow"
        }, {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws-iso:s3:::fabric-pool-*",
            "Effect": "Allow"
        }, {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws-iso:s3:::fabric-pool-*",
            "Effect": "Allow"
        }]
    }

    Pour les paires HA, si vous prévoyez de déployer une paire Cloud Volumes ONTAP HA, créez une règle pour le médiateur HA.

    {
    	"Version": "2012-10-17",
    	"Statement": [{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:AssignPrivateIpAddresses",
    				"ec2:CreateRoute",
    				"ec2:DeleteRoute",
    				"ec2:DescribeNetworkInterfaces",
    				"ec2:DescribeRouteTables",
    				"ec2:DescribeVpcs",
    				"ec2:ReplaceRoute",
    				"ec2:UnassignPrivateIpAddresses"
    			],
    			"Resource": "*"
    		}
    	]
    }
  4. Créez des rôles IAM avec le type de rôle Amazon EC2 et associez les règles créées aux étapes précédentes.

    Créer le rôle :

    De la même manière que les règles, vous devez avoir un rôle IAM pour le connecteur et un pour les nœuds Cloud Volumes ONTAP.
    Pour les paires HA : comme les règles, vous devez avoir un rôle IAM pour le connecteur, un pour les nœuds Cloud Volumes ONTAP et un pour le médiateur HA (si vous souhaitez déployer des paires HA).

    Sélectionnez le rôle :

    Vous devez sélectionner le rôle IAM de connecteur lorsque vous lancez l'instance de connecteur. Vous pouvez sélectionner les rôles IAM pour Cloud Volumes ONTAP lorsque vous créez un environnement de travail Cloud Volumes ONTAP à partir de BlueXP.
    Pour les paires HA, vous pouvez sélectionner les rôles IAM pour Cloud Volumes ONTAP et le médiateur HA lorsque vous créez un environnement de travail Cloud Volumes ONTAP à partir de BlueXP.

Étape 3 : configuration du serveur KMS AWS

Si vous souhaitez utiliser le chiffrement Amazon avec Cloud Volumes ONTAP, vérifiez que les exigences du service de gestion des clés AWS (KMS) sont respectées.

Étapes
  1. Assurez-vous qu'une clé maître client (CMK) active existe dans votre compte ou dans un autre compte AWS.

    La CMK peut être une CMK gérée par AWS ou une CMK gérée par le client.

  2. Si le CMK se trouve dans un compte AWS séparé du compte sur lequel vous prévoyez de déployer Cloud Volumes ONTAP, vous devez obtenir l'ARN de cette clé.

    Vous devrez fournir l'ARN à BlueXP lorsque vous créez le système Cloud Volumes ONTAP.

  3. Ajoutez le rôle IAM de l'instance de connecteur à la liste des utilisateurs clés d'un CMK.

    Cela donne des autorisations BlueXP pour utiliser le CMK avec Cloud Volumes ONTAP.

Étape 4 : installez le connecteur et configurez BlueXP

Avant de pouvoir commencer à utiliser BlueXP pour déployer Cloud Volumes ONTAP dans AWS, vous devez installer et configurer le connecteur BlueXP. BlueXP peut ainsi gérer les ressources et les processus au sein de votre environnement de cloud public (y compris Cloud Volumes ONTAP).

Étapes
  1. Obtenir un certificat racine signé par une autorité de certification (CA) au format X.509 encodé base-64 de Privacy Enhanced Mail (PEM). Consultez les politiques et procédures de votre organisation pour obtenir le certificat.

    Remarque Pour les régions du cloud secret AWS, vous devez télécharger le NSS Root CA 2 Et pour Top Secret Cloud, le Amazon Root CA 4 certificat. Assurez-vous de télécharger uniquement ces certificats et non l'ensemble de la chaîne. Le fichier de la chaîne de certificats est volumineux et le téléchargement peut échouer. Si vous avez d'autres certificats, vous pouvez les télécharger ultérieurement, comme décrit à l'étape suivante.

    Vous devrez télécharger le certificat pendant le processus d'installation. BlueXP utilise le certificat de confiance pour envoyer des demandes vers AWS via HTTPS.

  2. Lancez l'instance de connecteur :

    1. Accédez à la page AWS Intelligence Community Marketplace pour BlueXP.

    2. Dans l'onglet Custom Launch, sélectionnez l'option de lancement de l'instance à partir de la console EC2.

    3. Suivez les invites pour configurer l'instance.

      Notez les éléments suivants lors de la configuration de l'instance :

      • Nous recommandons une instance t3.XLarge.

      • Vous devez choisir le rôle IAM que vous avez créé lors de la configuration des autorisations.

      • Vous devez conserver les options de stockage par défaut.

      • Les méthodes de connexion requises pour le connecteur sont les suivantes : SSH, HTTP et HTTPS.

  3. Configurez BlueXP à partir d'un hôte qui a une connexion à l'instance de connecteur :

    1. Ouvrez un navigateur Web et entrez https://ipaddressipaddress est l'adresse IP de l'hôte Linux où vous avez installé le connecteur.

    2. Spécifiez un serveur proxy pour la connectivité aux services AWS.

    3. Téléchargez le certificat que vous avez obtenu à l'étape 1.

    4. Sélectionnez configurer Nouveau BlueXP et suivez les invites pour configurer le système.

      • Détails du système : saisissez un nom pour le connecteur et le nom de votre société.

      • Créer un utilisateur Admin : créez l'utilisateur admin pour le système.

        Ce compte utilisateur s'exécute localement sur le système. Il n'y a pas de connexion au service auth0 disponible via BlueXP.

      • Révision : consultez les détails, acceptez le contrat de licence, puis sélectionnez configurer.

    5. Pour terminer l'installation du certificat signé par l'autorité de certification, redémarrez l'instance de connecteur à partir de la console EC2.

  4. Une fois le connecteur redémarré, connectez-vous à l'aide du compte utilisateur administrateur que vous avez créé dans l'assistant de configuration.

Étape 5 : (facultatif) installez un certificat en mode privé

Cette étape est facultative pour les régions Cloud secret AWS et Cloud secret principal, et n'est requise que si vous avez des certificats supplémentaires, à l'exception des certificats racine que vous avez installés à l'étape précédente.

Étapes
  1. Répertorie les certificats installés existants.

    1. Pour collecter l'ID docker du conteneur ocm (nommé « ds-octm-1 »), exécutez la commande suivante :

      docker ps
    2. Pour accéder à l'intérieur du conteneur octm, exécutez la commande suivante :

      docker exec -it <docker-id> /bin/sh
    3. Pour collecter le mot de passe à partir de la variable d'environnement « TRUST_STORE_PASSWORD », exécutez la commande suivante :

      env
    4. Pour répertorier tous les certificats installés dans truststore, exécutez la commande suivante et utilisez le mot de passe collecté à l'étape précédente :

      keytool -list -v -keystore occm.truststore
  2. Ajouter un certificat.

    1. Pour collecter l'ID docker du conteneur ocm (nommé « ds-octm-1 »), exécutez la commande suivante :

      docker ps
    2. Pour accéder à l'intérieur du conteneur octm, exécutez la commande suivante :

      docker exec -it <docker-id> /bin/sh

      Enregistrez le nouveau fichier de certificat à l'intérieur.

    3. Pour collecter le mot de passe à partir de la variable d'environnement « TRUST_STORE_PASSWORD », exécutez la commande suivante :

      env
    4. Pour ajouter le certificat au magasin de confiance, exécutez la commande suivante et utilisez le mot de passe de l'étape précédente :

      keytool -import -alias <alias-name> -file <certificate-file-name> -keystore occm.truststore
    5. Pour vérifier que le certificat est installé, exécutez la commande suivante :

      keytool -list -v -keystore occm.truststore -alias <alias-name>
    6. Pour quitter le conteneur octm, exécutez la commande suivante :

      exit
    7. Pour réinitialiser le conteneur octm, exécutez la commande suivante :

      docker restart <docker-id>

Étape 6 : ajoutez une licence au portefeuille digital BlueXP

Si vous avez acheté une licence auprès de NetApp, vous devez l'ajouter au portefeuille digital BlueXP afin de sélectionner la licence lors de la création d'un nouveau système Cloud Volumes ONTAP. Le portefeuille numérique identifie ces licences comme non attribuées.

Étapes
  1. Dans le menu de navigation BlueXP, sélectionnez gouvernance > porte-monnaie numérique.

  2. Dans l'onglet Cloud Volumes ONTAP, sélectionnez licences par nœud dans la liste déroulante.

  3. Cliquez sur non affecté.

  4. Cliquez sur Ajouter des licences non attribuées.

  5. Saisissez le numéro de série de la licence ou téléchargez le fichier de licence.

  6. Si vous n'avez pas encore le fichier de licence, vous devrez télécharger manuellement le fichier de licence à partir de netapp.com.

    1. Accédez au "Générateur de fichiers de licences NetApp" Et connectez-vous en utilisant vos identifiants du site du support NetApp.

    2. Entrez votre mot de passe, choisissez votre produit, entrez le numéro de série, confirmez que vous avez lu et accepté la politique de confidentialité, puis cliquez sur Envoyer.

    3. Choisissez si vous souhaitez recevoir le fichier numéro de série.NLF JSON par e-mail ou par téléchargement direct.

  7. Cliquez sur Ajouter une licence.

Résultat

BlueXP ajoute la licence au portefeuille digital. La licence sera identifiée comme non affectée jusqu'à ce que vous l'associez à un nouveau système Cloud Volumes ONTAP. À ce stade, la licence est déplacée vers l'onglet BYOL du portefeuille digital.

Étape 7 : lancez Cloud Volumes ONTAP à partir de BlueXP

Vous pouvez lancer des instances Cloud Volumes ONTAP dans le cloud secret AWS et le cloud secret en créant de nouveaux environnements de travail dans BlueXP.

Avant de commencer

Pour les paires HA, une paire de clés est requise pour activer l'authentification SSH basée sur des clés au médiateur HA.

Étapes
  1. Sur la page environnements de travail, cliquez sur Ajouter un environnement de travail.

  2. Sous Créer, sélectionnez Cloud Volumes ONTAP.

    Pour HA : sous Créer, sélectionnez Cloud Volumes ONTAP ou Cloud Volumes ONTAP HA.

  3. Suivez les étapes de l'assistant pour lancer le système Cloud Volumes ONTAP.

    Avertissement Lors de la sélection à l'aide de l'assistant, ne sélectionnez pas Data Sense & Compliance et Backup to Cloud sous Services. Sous Packages préconfigurés, sélectionnez Modifier la configuration uniquement et assurez-vous que vous n'avez sélectionné aucune autre option. Les packages préconfigurés ne sont pas pris en charge dans les régions AWS Secret Cloud et Top Secret Cloud, et si cette option est sélectionnée, votre déploiement échouera.
Remarques sur le déploiement de Cloud Volumes ONTAP HA dans plusieurs zones de disponibilité

Notez les points suivants lorsque vous terminez l'assistant pour les paires haute disponibilité.

  • Vous devez configurer une passerelle de transit lorsque vous déployez Cloud Volumes ONTAP HA dans plusieurs zones de disponibilité (AZ). Pour obtenir des instructions, reportez-vous à "Configuration d'une passerelle de transit AWS"la .

  • Déployez la configuration comme suit car seulement deux zones de disponibilité étaient disponibles dans le Top Secret Cloud d'AWS au moment de la publication :

    • Nœud 1 : zone de disponibilité A

    • Nœud 2 : zone de disponibilité B

    • Médiateur : zone de disponibilité A ou B

Remarques sur le déploiement de Cloud Volumes ONTAP dans un nœud unique ou haute disponibilité

Notez les éléments suivants lorsque vous terminez l'assistant :

  • Vous devez laisser l'option par défaut pour utiliser un groupe de sécurité généré.

    Le groupe de sécurité prédéfini comprend les règles dont Cloud Volumes ONTAP a besoin pour fonctionner correctement. Si vous avez besoin d'utiliser votre propre, vous pouvez vous reporter à la section du groupe de sécurité ci-dessous.

  • Vous devez choisir le rôle IAM que vous avez créé lors de la préparation de votre environnement AWS.

  • Le type de disque AWS sous-jacent concerne le volume Cloud Volumes ONTAP initial.

    Vous pouvez choisir un autre type de disque pour les volumes suivants.

  • Les performances des disques AWS sont liées à leur taille.

    Choisissez la taille qui offre les performances dont vous avez besoin. Pour plus d'informations sur les performances d'EBS, consultez la documentation AWS.

  • La taille du disque est la taille par défaut de tous les disques du système.

    Remarque Si vous avez besoin d'une taille différente par la suite, vous pouvez utiliser l'option d'allocation avancée pour créer un agrégat qui utilise des disques d'une taille spécifique.
Résultat

BlueXP lance l'instance Cloud Volumes ONTAP. Vous pouvez suivre la progression dans la chronologie.

Étape 8 : installez les certificats de sécurité pour la hiérarchisation des données

Vous devez installer manuellement des certificats de sécurité pour activer le Tiering des données dans les régions AWS Secret Cloud et Top Secret Cloud.

Avant de commencer
  1. Création de compartiments S3.

    Remarque Assurez-vous que les noms de compartiment sont préfixés par fabric-pool-. Par exemple fabric-pool-testbucket.
  2. Conservez les certificats racine que vous avez installés dans step 4 pratique.

Étapes
  1. Copiez le texte des certificats racine que vous avez installés dans step 4.

  2. Connexion sécurisée au système Cloud Volumes ONTAP via l'interface de ligne de commande.

  3. Installez les certificats racine. Vous devrez peut-être appuyer sur ENTER saisir plusieurs fois :

    security certificate install -type server-ca -cert-name <certificate-name>
  4. Lorsque vous y êtes invité, entrez le texte intégralement copié, y compris et de ----- BEGIN CERTIFICATE ----- à ----- END CERTIFICATE -----.

  5. Conservez une copie du certificat numérique signé par l'autorité de certification pour référence ultérieure.

  6. Conservez le nom de l'autorité de certification et le numéro de série du certificat.

  7. Configurez le magasin d'objets pour les régions AWS Secret Cloud et Top Secret Cloud : set -privilege advanced -confirmations off

  8. Exécutez cette commande pour configurer le magasin d'objets.

    Remarque Tous les noms de ressources Amazon (ARN) doivent être accompagnés du suffixe -iso-b, comme arn:aws-iso-b. Par exemple, si une ressource requiert un ARN avec une région, pour Top Secret Cloud, utilisez la convention de dénomination comme us-iso-b pour le -server drapeau. Pour le cloud secret AWS, utilisez us-iso-b-1.
    storage aggregate object-store config create -object-store-name <S3Bucket> -provider-type AWS_S3 -auth-type EC2-IAM -server <s3.us-iso-b-1.server_name> -container-name <fabric-pool-testbucket> -is-ssl-enabled true -port 443
  9. Vérifiez que le magasin d'objets a été créé avec succès : storage aggregate object-store show -instance

  10. Reliez le magasin d'objets à l'agrégat. Cette opération doit être répétée pour chaque nouvel agrégat : storage aggregate object-store attach -aggregate <aggr1> -object-store-name <S3Bucket>