Créez un connecteur dans AWS à partir de BlueXP
Un connecteur est un logiciel NetApp exécuté sur votre réseau cloud ou sur site, qui vous permet d'utiliser toutes les fonctionnalités et services BlueXP . L'une des options d'installation disponibles consiste à créer un connecteur dans AWS directement à partir de BlueXP . Pour créer un connecteur dans AWS à partir de BlueXP, vous devez configurer votre réseau, préparer les autorisations AWS, puis créer le connecteur.
-
Vous devriez avoir un "Compréhension des connecteurs".
-
Vous devriez passer en revue "Limitations du connecteur".
Étape 1 : configuration du réseau
Assurez-vous que l'emplacement réseau où vous prévoyez d'installer le connecteur prend en charge les exigences suivantes. En répondant à ces exigences, il peut gérer les ressources et les processus dans votre environnement de cloud hybride.
- VPC et sous-réseau
-
Lorsque vous créez le connecteur, vous devez spécifier le VPC et le sous-réseau sur lesquels le connecteur doit résider.
- Connexions aux réseaux cibles
-
Un connecteur nécessite une connexion réseau à l'emplacement où vous prévoyez de créer et de gérer des environnements de travail. Par exemple, le réseau sur lequel vous prévoyez de créer des systèmes Cloud Volumes ONTAP ou un système de stockage dans votre environnement sur site.
- Accès Internet sortant
-
L'emplacement réseau où vous déployez le connecteur doit disposer d'une connexion Internet sortante pour contacter des points finaux spécifiques.
- Points d'extrémité contactés depuis le connecteur
-
Le connecteur nécessite un accès Internet sortant pour contacter les terminaux suivants afin de gérer les ressources et les processus au sein de votre environnement de cloud public pour les opérations quotidiennes.
Notez que les points finaux répertoriés ci-dessous sont tous des entrées CNAME.
Terminaux Objectif Services AWS (amazonaws.com):
-
CloudFormation
-
Cloud de calcul élastique (EC2)
-
Gestion des identités et des accès
-
Service de gestion des clés (KMS)
-
Service de jetons de sécurité (STS)
-
Service de stockage simple (S3)
Pour gérer les ressources dans AWS. Le terminal exact dépend de la région AWS que vous utilisez. "Pour plus d'informations, consultez la documentation AWS"
https://support.netapp.com
https://mysupport.netapp.comPour obtenir des informations sur les licences et envoyer des messages AutoSupport au support NetApp.
https://*.api.bluexp.netapp.com
https://api.bluexp.netapp.com
https://*.cloudmanager.cloud.netapp.com
https://cloudmanager.cloud.netapp.com
https://netapp-cloud-account.auth0.com
Pour fournir des fonctions et des services SaaS dans BlueXP.
Notez que le connecteur est actuellement en contact avec « cloudmanager.cloud.netapp.com", mais il commencera à contacter « api.bluexp.netapp.com" dans une prochaine version.
https://*.blob.core.windows.net
https://cloudmanagerinfraprod.azurecr.io
Pour mettre à niveau le connecteur et ses composants Docker.
-
- Terminaux contactés depuis la console BlueXP
-
Lorsque vous utilisez la console web BlueXP fournie via la couche SaaS, elle contacte plusieurs terminaux pour effectuer les tâches de gestion des données. Cela inclut les terminaux contactés pour déployer le connecteur à partir de la console BlueXP.
- Serveur proxy
-
Si votre entreprise nécessite le déploiement d'un serveur proxy pour tout le trafic Internet sortant, procurez-vous les informations suivantes sur votre proxy HTTP ou HTTPS. Vous devrez fournir ces informations pendant l'installation. Notez que BlueXP ne prend pas en charge les serveurs proxy transparents.
-
Adresse IP
-
Informations d'identification
-
Certificat HTTPS
-
- Ports
-
Il n'y a pas de trafic entrant vers le connecteur, sauf si vous l'initiez ou si le connecteur est utilisé comme proxy pour envoyer des messages AutoSupport de Cloud Volumes ONTAP au support NetApp.
-
HTTP (80) et HTTPS (443) permettent d'accéder à l'interface utilisateur locale que vous utiliserez dans de rares circonstances.
-
SSH (22) n'est nécessaire que si vous devez vous connecter à l'hôte pour le dépannage.
-
Les connexions entrantes via le port 3128 sont requises si vous déployez des systèmes Cloud Volumes ONTAP dans un sous-réseau où aucune connexion Internet sortante n'est disponible.
Si les systèmes Cloud Volumes ONTAP ne disposent pas d'une connexion Internet sortante pour envoyer des messages AutoSupport, BlueXP les configure automatiquement pour qu'ils utilisent un serveur proxy inclus avec le connecteur. La seule condition est de s'assurer que le groupe de sécurité du connecteur autorise les connexions entrantes sur le port 3128. Vous devrez ouvrir ce port après le déploiement du connecteur.
-
- Activez le protocole NTP
-
Si vous prévoyez d'utiliser la classification BlueXP pour analyser vos sources de données d'entreprise, vous devez activer un service NTP (Network Time Protocol) sur le système de connecteur BlueXP et le système de classification BlueXP afin que l'heure soit synchronisée entre les systèmes. "En savoir plus sur la classification BlueXP"
Vous devrez implémenter cette exigence de mise en réseau après avoir créé le connecteur.
Étape 2 : configurez les autorisations AWS
BlueXP doit s'authentifier auprès d'AWS avant de pouvoir déployer l'instance de connecteur dans votre VPC. Vous pouvez choisir l'une des méthodes d'authentification suivantes :
-
BlueXP assume un rôle IAM qui dispose des autorisations requises
-
Fournissez une clé d'accès AWS et une clé secrète pour un utilisateur IAM qui dispose des autorisations nécessaires
Quelle que soit l'option choisie, la première étape consiste à créer une politique IAM. Cette politique contient uniquement les autorisations nécessaires pour lancer l'instance Connector dans AWS à partir de BlueXP.
Si nécessaire, vous pouvez restreindre la politique IAM à l'aide de l'IAM Condition
elément. "Documentation AWS : élément de condition"
-
Accédez à la console IAM AWS.
-
Sélectionnez stratégies > Créer une stratégie.
-
Sélectionnez JSON.
-
Copiez et collez la stratégie suivante :
Cette politique contient uniquement les autorisations nécessaires pour lancer l'instance Connector dans AWS à partir de BlueXP. Lorsque BlueXP crée le connecteur, il applique un nouvel ensemble d'autorisations à l'instance Connector qui permet au connecteur de gérer les ressources AWS. "Droits d'accès requis pour l'instance de connecteur elle-même".
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "iam:PassRole", "iam:ListRoles", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DescribeInstances", "ec2:CreateTags", "ec2:DescribeImages", "ec2:DescribeAvailabilityZones", "ec2:DescribeLaunchTemplates", "ec2:CreateLaunchTemplate", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "iam:GetRole", "iam:TagRole", "kms:ListAliases", "cloudformation:ListStacks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:TerminateInstances" ], "Condition": { "StringLike": { "ec2:ResourceTag/OCCMInstance": "*" } }, "Resource": [ "arn:aws:ec2:*:*:instance/*" ] } ] }
-
Sélectionnez Suivant et ajoutez des balises, si nécessaire.
-
Sélectionnez Suivant et entrez un nom et une description.
-
Sélectionnez Créer une stratégie.
-
Reliez la règle à un rôle IAM que BlueXP peut assumer ou à un utilisateur IAM pour que vous puissiez fournir BlueXP avec des clés d'accès :
-
(Option 1) configurer un rôle IAM que BlueXP peut assumer :
-
Accédez à la console IAM AWS dans le compte cible.
-
Sous gestion des accès, sélectionnez rôles > Créer un rôle et suivez les étapes pour créer le rôle.
-
Sous Type d'entité approuvée, sélectionnez compte AWS.
-
Sélectionnez un autre compte AWS et saisissez l'ID du compte BlueXP SaaS : 952013314444
-
Sélectionnez la stratégie que vous avez créée dans la section précédente.
-
Après avoir créé le rôle, copiez le rôle ARN afin de pouvoir le coller dans BlueXP lorsque vous créez le connecteur.
-
-
(Option 2) configurez les autorisations d'accès pour un utilisateur IAM afin que vous puissiez fournir BlueXP avec des clés d'accès :
-
Dans la console IAM AWS, sélectionnez Users, puis sélectionnez le nom d'utilisateur.
-
Sélectionnez Ajouter des autorisations > joindre des stratégies existantes directement.
-
Sélectionnez la stratégie que vous avez créée.
-
Sélectionnez Suivant, puis Ajouter des autorisations.
-
Assurez-vous que vous disposez de la clé d'accès et de la clé secrète pour l'utilisateur IAM.
-
-
Vous devez maintenant disposer d'un rôle IAM qui possède les autorisations requises ou d'un utilisateur IAM qui dispose des autorisations requises. Lorsque vous créez le connecteur à partir de BlueXP, vous pouvez fournir des informations sur le rôle ou les clés d'accès.
Étape 3 : créer le connecteur
Créez le connecteur directement à partir de la console web BlueXP.
-
La création du connecteur à partir de BlueXP déploie une instance EC2 dans AWS à l'aide d'une configuration par défaut. Après avoir créé le connecteur, vous ne devez pas passer à un type d'instance EC2 plus petit qui a moins de CPU ou de RAM. "En savoir plus sur la configuration par défaut du connecteur".
-
Lorsque BlueXP crée le connecteur, il crée un rôle IAM et un profil d'instance pour l'instance. Ce rôle inclut des autorisations qui permettent à Connector de gérer les ressources AWS. Vous devez vous assurer que le rôle est mis à jour lorsque de nouvelles autorisations sont ajoutées dans les versions ultérieures. "En savoir plus sur la politique IAM pour le connecteur".
Vous devez disposer des éléments suivants :
-
Méthode d'authentification AWS : rôle IAM ou clés d'accès pour un utilisateur IAM disposant des autorisations requises.
-
VPC et sous-réseau qui répondent aux exigences réseau.
-
Une paire de clés pour l'instance EC2.
-
Détails sur un serveur proxy, si un proxy est requis pour accéder à Internet à partir du connecteur.
-
Sélectionnez la liste déroulante Connector et sélectionnez Ajouter un connecteur.
-
Choisissez Amazon Web Services comme fournisseur de cloud et sélectionnez Continuer.
-
Sur la page déploiement d'un connecteur, consultez les détails de ce dont vous aurez besoin. Vous avez deux options :
-
Sélectionnez Continuer pour préparer le déploiement à l'aide du guide produit. Chaque étape du guide du produit inclut les informations contenues sur cette page de la documentation.
-
Sélectionnez passer au déploiement si vous êtes déjà préparé en suivant les étapes de cette page.
-
-
Suivez les étapes de l'assistant pour créer le connecteur :
-
Soyez prêt: Passez en revue ce dont vous aurez besoin.
-
Informations d'identification AWS : spécifiez votre région AWS puis choisissez une méthode d'authentification, qui est soit un rôle IAM que BlueXP peut assumer, soit une clé d'accès AWS et une clé secrète.
Si vous choisissez supposons rôle, vous pouvez créer le premier ensemble d'informations d'identification à partir de l'assistant de déploiement de connecteur. Tout ensemble supplémentaire d'informations d'identification doit être créé à partir de la page informations d'identification. Ils seront ensuite disponibles à partir de l'assistant dans une liste déroulante. "Découvrez comment ajouter des identifiants supplémentaires". -
Détails : fournir des détails sur le connecteur.
-
Entrez un nom pour l'instance.
-
Ajoutez des balises personnalisées (métadonnées) à l'instance.
-
Choisissez si vous souhaitez que BlueXP crée un nouveau rôle avec les autorisations requises, ou si vous souhaitez sélectionner un rôle existant que vous avez configuré avec "les autorisations requises".
-
Indiquez si vous souhaitez chiffrer les disques EBS du connecteur. Vous pouvez utiliser la clé de chiffrement par défaut ou utiliser une clé personnalisée.
-
-
Network : spécifiez un VPC, un sous-réseau et une paire de clés pour l'instance, choisissez d'activer ou non une adresse IP publique et, éventuellement, spécifiez une configuration proxy.
Assurez-vous que vous disposez de la paire de clés appropriée à utiliser avec le connecteur. Sans paire de clés, vous ne pourrez pas accéder à la machine virtuelle Connector.
-
Groupe de sécurité : choisissez de créer un nouveau groupe de sécurité ou de sélectionner un groupe de sécurité existant qui autorise les règles entrantes et sortantes requises.
-
Review : consultez vos sélections pour vérifier que votre configuration est correcte.
-
-
Sélectionnez Ajouter.
L'instance doit être prête dans environ 7 minutes. Vous devez rester sur la page jusqu'à ce que le processus soit terminé.
Une fois le processus terminé, le connecteur est disponible pour être utilisé depuis BlueXP.
Si vous avez des compartiments Amazon S3 dans le même compte AWS que vous avez créé le connecteur, un environnement de travail Amazon S3 s'affiche automatiquement sur le canevas BlueXP. "Découvrez comment gérer des compartiments S3 à partir de BlueXP"