Skip to main content
BlueXP setup and administration
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créez un connecteur dans AWS à partir de BlueXP

Contributeurs

Un connecteur est un logiciel NetApp exécuté sur votre réseau cloud ou sur site, qui vous permet d'utiliser toutes les fonctionnalités et services BlueXP . L'une des options d'installation disponibles consiste à créer un connecteur dans AWS directement à partir de BlueXP . Pour créer un connecteur dans AWS à partir de BlueXP, vous devez configurer votre réseau, préparer les autorisations AWS, puis créer le connecteur.

Avant de commencer

Étape 1 : configuration du réseau

Assurez-vous que l'emplacement réseau où vous prévoyez d'installer le connecteur prend en charge les exigences suivantes. En répondant à ces exigences, il peut gérer les ressources et les processus dans votre environnement de cloud hybride.

VPC et sous-réseau

Lorsque vous créez le connecteur, vous devez spécifier le VPC et le sous-réseau sur lesquels le connecteur doit résider.

Connexions aux réseaux cibles

Un connecteur nécessite une connexion réseau à l'emplacement où vous prévoyez de créer et de gérer des environnements de travail. Par exemple, le réseau sur lequel vous prévoyez de créer des systèmes Cloud Volumes ONTAP ou un système de stockage dans votre environnement sur site.

Accès Internet sortant

L'emplacement réseau où vous déployez le connecteur doit disposer d'une connexion Internet sortante pour contacter des points finaux spécifiques.

Points d'extrémité contactés depuis le connecteur

Le connecteur nécessite un accès Internet sortant pour contacter les terminaux suivants afin de gérer les ressources et les processus au sein de votre environnement de cloud public pour les opérations quotidiennes.

Notez que les points finaux répertoriés ci-dessous sont tous des entrées CNAME.

Terminaux Objectif

Services AWS (amazonaws.com):

  • CloudFormation

  • Cloud de calcul élastique (EC2)

  • Gestion des identités et des accès

  • Service de gestion des clés (KMS)

  • Service de jetons de sécurité (STS)

  • Service de stockage simple (S3)

Pour gérer les ressources dans AWS. Le terminal exact dépend de la région AWS que vous utilisez. "Pour plus d'informations, consultez la documentation AWS"

https://support.netapp.com
https://mysupport.netapp.com

Pour obtenir des informations sur les licences et envoyer des messages AutoSupport au support NetApp.

https://*.api.BlueXP .NetApp.com https://api.BlueXP .NetApp.com https://*.cloudmanager.cloud.NetApp.com https://cloudmanager.cloud.NetApp.com https://NetApp-cloud-account.auth0.com

Pour fournir des fonctions et des services SaaS dans BlueXP.

Notez que le connecteur est actuellement en contact avec « cloudmanager.cloud.netapp.com", mais il commencera à contacter « api.bluexp.netapp.com" dans une prochaine version.

Choisissez entre deux ensembles de points d'extrémité :

  • Option 1 (recommandée) 1

    https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

  • Option 2

    https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io

Pour obtenir des images pour les mises à niveau des connecteurs.

1 les noeuds finaux répertoriés dans l'option 1 sont recommandés car ils sont plus sécurisés. Nous vous recommandons de configurer votre pare-feu pour autoriser les points de terminaison répertoriés dans l'option 1, tout en désautorisant les points de terminaison répertoriés dans l'option 2. Notez ce qui suit à propos de ces noeuds finaux :

  • Les points finaux répertoriés dans l'option 1 sont pris en charge à partir de la version 3.9.47 du connecteur. Il n'y a pas de rétrocompatibilité avec les versions précédentes du connecteur.

  • Le connecteur entre d'abord en contact avec les extrémités répertoriées dans l'option 2. Si ces points finaux ne sont pas accessibles, le connecteur entre automatiquement en contact avec les points finaux répertoriés dans l'option 1.

  • Les terminaux de l'option 1 ne sont pas pris en charge si vous utilisez le connecteur avec la sauvegarde et la restauration BlueXP  ou la protection contre les ransomwares BlueXP . Dans ce cas, vous pouvez interdire les noeuds finaux répertoriés dans l'option 1, tout en autorisant les noeuds finaux répertoriés dans l'option 2.

Terminaux contactés depuis la console BlueXP

Lorsque vous utilisez la console web BlueXP fournie via la couche SaaS, elle contacte plusieurs terminaux pour effectuer les tâches de gestion des données. Cela inclut les terminaux contactés pour déployer le connecteur à partir de la console BlueXP.

Serveur proxy

Si votre entreprise nécessite le déploiement d'un serveur proxy pour tout le trafic Internet sortant, procurez-vous les informations suivantes sur votre proxy HTTP ou HTTPS. Vous devrez fournir ces informations pendant l'installation. Notez que BlueXP ne prend pas en charge les serveurs proxy transparents.

  • Adresse IP

  • Informations d'identification

  • Certificat HTTPS

Ports

Il n'y a pas de trafic entrant vers le connecteur, sauf si vous l'initiez ou si le connecteur est utilisé comme proxy pour envoyer des messages AutoSupport de Cloud Volumes ONTAP au support NetApp.

  • HTTP (80) et HTTPS (443) permettent d'accéder à l'interface utilisateur locale que vous utiliserez dans de rares circonstances.

  • SSH (22) n'est nécessaire que si vous devez vous connecter à l'hôte pour le dépannage.

  • Les connexions entrantes via le port 3128 sont requises si vous déployez des systèmes Cloud Volumes ONTAP dans un sous-réseau où aucune connexion Internet sortante n'est disponible.

    Si les systèmes Cloud Volumes ONTAP ne disposent pas d'une connexion Internet sortante pour envoyer des messages AutoSupport, BlueXP les configure automatiquement pour qu'ils utilisent un serveur proxy inclus avec le connecteur. La seule condition est de s'assurer que le groupe de sécurité du connecteur autorise les connexions entrantes sur le port 3128. Vous devrez ouvrir ce port après le déploiement du connecteur.

Activez le protocole NTP

Si vous prévoyez d'utiliser la classification BlueXP pour analyser vos sources de données d'entreprise, vous devez activer un service NTP (Network Time Protocol) sur le système de connecteur BlueXP et le système de classification BlueXP afin que l'heure soit synchronisée entre les systèmes. "En savoir plus sur la classification BlueXP"

Vous devrez implémenter cette exigence de mise en réseau après avoir créé le connecteur.

Étape 2 : configurez les autorisations AWS

BlueXP doit s'authentifier auprès d'AWS avant de pouvoir déployer l'instance de connecteur dans votre VPC. Vous pouvez choisir l'une des méthodes d'authentification suivantes :

  • BlueXP assume un rôle IAM qui dispose des autorisations requises

  • Fournissez une clé d'accès AWS et une clé secrète pour un utilisateur IAM qui dispose des autorisations nécessaires

Quelle que soit l'option choisie, la première étape consiste à créer une politique IAM. Cette politique contient uniquement les autorisations nécessaires pour lancer l'instance Connector dans AWS à partir de BlueXP.

Si nécessaire, vous pouvez restreindre la politique IAM à l'aide de l'IAM Condition elément. "Documentation AWS : élément de condition"

Étapes
  1. Accédez à la console IAM AWS.

  2. Sélectionnez stratégies > Créer une stratégie.

  3. Sélectionnez JSON.

  4. Copiez et collez la stratégie suivante :

    Cette politique contient uniquement les autorisations nécessaires pour lancer l'instance Connector dans AWS à partir de BlueXP. Lorsque BlueXP crée le connecteur, il applique un nouvel ensemble d'autorisations à l'instance Connector qui permet au connecteur de gérer les ressources AWS. "Droits d'accès requis pour l'instance de connecteur elle-même".

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "iam:CreateRole",
            "iam:DeleteRole",
            "iam:PutRolePolicy",
            "iam:CreateInstanceProfile",
            "iam:DeleteRolePolicy",
            "iam:AddRoleToInstanceProfile",
            "iam:RemoveRoleFromInstanceProfile",
            "iam:DeleteInstanceProfile",
            "iam:PassRole",
            "iam:ListRoles",
            "ec2:DescribeInstanceStatus",
            "ec2:RunInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:CreateSecurityGroup",
            "ec2:DeleteSecurityGroup",
            "ec2:DescribeSecurityGroups",
            "ec2:RevokeSecurityGroupEgress",
            "ec2:AuthorizeSecurityGroupEgress",
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:RevokeSecurityGroupIngress",
            "ec2:CreateNetworkInterface",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DeleteNetworkInterface",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeRegions",
            "ec2:DescribeInstances",
            "ec2:CreateTags",
            "ec2:DescribeImages",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeLaunchTemplates",
            "ec2:CreateLaunchTemplate",
            "cloudformation:CreateStack",
            "cloudformation:DeleteStack",
            "cloudformation:DescribeStacks",
            "cloudformation:DescribeStackEvents",
            "cloudformation:ValidateTemplate",
            "ec2:AssociateIamInstanceProfile",
            "ec2:DescribeIamInstanceProfileAssociations",
            "ec2:DisassociateIamInstanceProfile",
            "iam:GetRole",
            "iam:TagRole",
            "kms:ListAliases",
            "cloudformation:ListStacks"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "ec2:TerminateInstances"
          ],
          "Condition": {
            "StringLike": {
              "ec2:ResourceTag/OCCMInstance": "*"
            }
          },
          "Resource": [
            "arn:aws:ec2:*:*:instance/*"
          ]
        }
      ]
    }
  5. Sélectionnez Suivant et ajoutez des balises, si nécessaire.

  6. Sélectionnez Suivant et entrez un nom et une description.

  7. Sélectionnez Créer une stratégie.

  8. Reliez la règle à un rôle IAM que BlueXP peut assumer ou à un utilisateur IAM pour que vous puissiez fournir BlueXP avec des clés d'accès :

    • (Option 1) configurer un rôle IAM que BlueXP peut assumer :

      1. Accédez à la console IAM AWS dans le compte cible.

      2. Sous gestion des accès, sélectionnez rôles > Créer un rôle et suivez les étapes pour créer le rôle.

      3. Sous Type d'entité approuvée, sélectionnez compte AWS.

      4. Sélectionnez un autre compte AWS et saisissez l'ID du compte BlueXP SaaS : 952013314444

      5. Sélectionnez la stratégie que vous avez créée dans la section précédente.

      6. Après avoir créé le rôle, copiez le rôle ARN afin de pouvoir le coller dans BlueXP lorsque vous créez le connecteur.

    • (Option 2) configurez les autorisations d'accès pour un utilisateur IAM afin que vous puissiez fournir BlueXP avec des clés d'accès :

      1. Dans la console IAM AWS, sélectionnez Users, puis sélectionnez le nom d'utilisateur.

      2. Sélectionnez Ajouter des autorisations > joindre des stratégies existantes directement.

      3. Sélectionnez la stratégie que vous avez créée.

      4. Sélectionnez Suivant, puis Ajouter des autorisations.

      5. Assurez-vous que vous disposez de la clé d'accès et de la clé secrète pour l'utilisateur IAM.

Résultat

Vous devez maintenant disposer d'un rôle IAM qui possède les autorisations requises ou d'un utilisateur IAM qui dispose des autorisations requises. Lorsque vous créez le connecteur à partir de BlueXP, vous pouvez fournir des informations sur le rôle ou les clés d'accès.

Étape 3 : créer le connecteur

Créez le connecteur directement à partir de la console web BlueXP.

Description de la tâche
  • La création du connecteur à partir de BlueXP déploie une instance EC2 dans AWS à l'aide d'une configuration par défaut. Après avoir créé le connecteur, vous ne devez pas passer à un type d'instance EC2 plus petit qui a moins de CPU ou de RAM. "En savoir plus sur la configuration par défaut du connecteur".

  • Lorsque BlueXP crée le connecteur, il crée un rôle IAM et un profil d'instance pour l'instance. Ce rôle inclut des autorisations qui permettent à Connector de gérer les ressources AWS. Vous devez vous assurer que le rôle est mis à jour lorsque de nouvelles autorisations sont ajoutées dans les versions ultérieures. "En savoir plus sur la politique IAM pour le connecteur".

Avant de commencer

Vous devez disposer des éléments suivants :

  • Méthode d'authentification AWS : rôle IAM ou clés d'accès pour un utilisateur IAM disposant des autorisations requises.

  • VPC et sous-réseau qui répondent aux exigences réseau.

  • Une paire de clés pour l'instance EC2.

  • Détails sur un serveur proxy, si un proxy est requis pour accéder à Internet à partir du connecteur.

Étapes
  1. Sélectionnez la liste déroulante Connector et sélectionnez Ajouter un connecteur.

    Capture d'écran affichant l'icône du connecteur dans l'en-tête et l'action Ajouter un connecteur.

  2. Choisissez Amazon Web Services comme fournisseur de cloud et sélectionnez Continuer.

  3. Sur la page déploiement d'un connecteur, consultez les détails de ce dont vous aurez besoin. Vous avez deux options :

    1. Sélectionnez Continuer pour préparer le déploiement à l'aide du guide produit. Chaque étape du guide du produit inclut les informations contenues sur cette page de la documentation.

    2. Sélectionnez passer au déploiement si vous êtes déjà préparé en suivant les étapes de cette page.

  4. Suivez les étapes de l'assistant pour créer le connecteur :

    • Soyez prêt: Passez en revue ce dont vous aurez besoin.

    • Informations d'identification AWS : spécifiez votre région AWS puis choisissez une méthode d'authentification, qui est soit un rôle IAM que BlueXP peut assumer, soit une clé d'accès AWS et une clé secrète.

      Astuce Si vous choisissez supposons rôle, vous pouvez créer le premier ensemble d'informations d'identification à partir de l'assistant de déploiement de connecteur. Tout ensemble supplémentaire d'informations d'identification doit être créé à partir de la page informations d'identification. Ils seront ensuite disponibles à partir de l'assistant dans une liste déroulante. "Découvrez comment ajouter des identifiants supplémentaires".
    • Détails : fournir des détails sur le connecteur.

      • Entrez un nom pour l'instance.

      • Ajoutez des balises personnalisées (métadonnées) à l'instance.

      • Choisissez si vous souhaitez que BlueXP crée un nouveau rôle avec les autorisations requises, ou si vous souhaitez sélectionner un rôle existant que vous avez configuré avec "les autorisations requises".

      • Indiquez si vous souhaitez chiffrer les disques EBS du connecteur. Vous pouvez utiliser la clé de chiffrement par défaut ou utiliser une clé personnalisée.

    • Network : spécifiez un VPC, un sous-réseau et une paire de clés pour l'instance, choisissez d'activer ou non une adresse IP publique et, éventuellement, spécifiez une configuration proxy.

      Assurez-vous que vous disposez de la paire de clés appropriée à utiliser avec le connecteur. Sans paire de clés, vous ne pourrez pas accéder à la machine virtuelle Connector.

    • Groupe de sécurité : choisissez de créer un nouveau groupe de sécurité ou de sélectionner un groupe de sécurité existant qui autorise les règles entrantes et sortantes requises.

    • Review : consultez vos sélections pour vérifier que votre configuration est correcte.

  5. Sélectionnez Ajouter.

    L'instance doit être prête dans environ 7 minutes. Vous devez rester sur la page jusqu'à ce que le processus soit terminé.

Résultat

Une fois le processus terminé, le connecteur est disponible pour être utilisé depuis BlueXP.

Si vous avez des compartiments Amazon S3 dans le même compte AWS que vous avez créé le connecteur, un environnement de travail Amazon S3 s'affiche automatiquement sur le canevas BlueXP. "Découvrez comment gérer des compartiments S3 à partir de BlueXP"