Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créez un connecteur à partir d'Azure Marketplace

Contributeurs

Pour créer un connecteur à partir d'Azure Marketplace, vous devez configurer votre réseau, préparer les autorisations Azure, examiner les exigences d'instance, puis créer le connecteur.

Avant de commencer

Vous devriez passer en revue "Limitations du connecteur".

Étape 1 : configuration du réseau

Assurez-vous que l'emplacement réseau où vous prévoyez d'installer le connecteur prend en charge les exigences suivantes. En répondant à ces exigences, il peut gérer les ressources et les processus dans votre environnement de cloud hybride.

Région Azure

Si vous utilisez Cloud Volumes ONTAP, le connecteur doit être déployé dans la même région Azure que les systèmes Cloud Volumes ONTAP qu'il gère, ou dans le "Paire de régions Azure" Pour les systèmes Cloud Volumes ONTAP. Cette exigence garantit qu'une connexion Azure Private Link est utilisée entre Cloud Volumes ONTAP et les comptes de stockage associés.

"Découvrez comment Cloud Volumes ONTAP utilise une liaison privée Azure"

Vnet et sous-réseau

Lorsque vous créez le connecteur, vous devez spécifier le réseau virtuel et le sous-réseau dans lesquels le connecteur doit résider.

Connexions aux réseaux cibles

Un connecteur nécessite une connexion réseau à l'emplacement où vous prévoyez de créer et de gérer des environnements de travail. Par exemple, le réseau sur lequel vous prévoyez de créer des systèmes Cloud Volumes ONTAP ou un système de stockage dans votre environnement sur site.

Accès Internet sortant

L'emplacement réseau où vous déployez le connecteur doit disposer d'une connexion Internet sortante pour contacter des points finaux spécifiques.

Points d'extrémité contactés depuis le connecteur

Le connecteur nécessite un accès Internet sortant pour contacter les terminaux suivants afin de gérer les ressources et les processus au sein de votre environnement de cloud public pour les opérations quotidiennes.

Notez que les points finaux répertoriés ci-dessous sont tous des entrées CNAME.

Terminaux Objectif

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

Afin de gérer les ressources dans les régions publiques d'Azure.

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

De gérer les ressources dans les régions Azure China.

https://support.netapp.com
https://mysupport.netapp.com

Pour obtenir des informations sur les licences et envoyer des messages AutoSupport au support NetApp.

https://*.api.bluexp.netapp.com

https://api.bluexp.netapp.com

https://*.cloudmanager.cloud.netapp.com

https://cloudmanager.cloud.netapp.com

https://netapp-cloud-account.auth0.com

Pour fournir des fonctions et des services SaaS dans BlueXP.

Notez que le connecteur est actuellement en contact avec « cloudmanager.cloud.netapp.com", mais il commencera à contacter « api.bluexp.netapp.com" dans une prochaine version.

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io

Pour mettre à niveau le connecteur et ses composants Docker.
Serveur proxy

Si votre organisation nécessite le déploiement d'un serveur proxy pour tout le trafic Internet sortant, procurez-vous les informations suivantes sur votre proxy HTTP ou HTTPS. Vous devrez fournir ces informations pendant l'installation.

  • Adresse IP

  • Informations d'identification

  • Certificat HTTPS

Notez que BlueXP ne prend pas en charge les serveurs proxy transparents.

Ports

Il n'y a pas de trafic entrant vers le connecteur, sauf si vous l'initiez ou si le connecteur est utilisé comme proxy pour envoyer des messages AutoSupport de Cloud Volumes ONTAP au support NetApp.

  • HTTP (80) et HTTPS (443) permettent d'accéder à l'interface utilisateur locale que vous utiliserez dans de rares circonstances.

  • SSH (22) n'est nécessaire que si vous devez vous connecter à l'hôte pour le dépannage.

  • Les connexions entrantes via le port 3128 sont requises si vous déployez des systèmes Cloud Volumes ONTAP dans un sous-réseau où aucune connexion Internet sortante n'est disponible.

    Si les systèmes Cloud Volumes ONTAP ne disposent pas d'une connexion Internet sortante pour envoyer des messages AutoSupport, BlueXP les configure automatiquement pour qu'ils utilisent un serveur proxy inclus avec le connecteur. La seule condition est de s'assurer que le groupe de sécurité du connecteur autorise les connexions entrantes sur le port 3128. Vous devrez ouvrir ce port après le déploiement du connecteur.

Activez le protocole NTP

Si vous prévoyez d'utiliser la classification BlueXP pour analyser vos sources de données d'entreprise, vous devez activer un service NTP (Network Time Protocol) sur le système de connecteur BlueXP et le système de classification BlueXP afin que l'heure soit synchronisée entre les systèmes. "En savoir plus sur la classification BlueXP"

Vous devrez implémenter cette exigence de mise en réseau après avoir créé le connecteur.

Étape 2 : passez en revue les exigences relatives aux ordinateurs virtuels

Lorsque vous créez le connecteur, vous devez choisir un type de machine virtuelle répondant aux exigences suivantes.

CPU

4 cœurs ou 4 CPU virtuels

RAM

14 GO

Taille des machines virtuelles Azure

Type d'instance qui répond aux exigences relatives au CPU et à la RAM indiquées ci-dessus. Nous recommandons DS3 v2.

Étape 3 : configurer les autorisations

Vous pouvez fournir des autorisations de l'une des manières suivantes :

  • Option 1 : attribuez un rôle personnalisé à la machine virtuelle Azure en utilisant une identité gérée attribuée par le système.

  • Option 2 : fournissez à BlueXP les identifiants d'un principal de service Azure qui possède les autorisations requises.

Procédez comme suit pour configurer des autorisations pour BlueXP.

Rôle personnalisé

Notez que vous pouvez créer un rôle personnalisé Azure à l'aide du portail Azure, d'Azure PowerShell, de l'interface de ligne de commandes Azure ou de l'API REST. La procédure suivante explique comment créer le rôle à l'aide de l'interface de ligne de commandes Azure. Si vous préférez utiliser une autre méthode, reportez-vous à la section "Documentation Azure"

Étapes

  1. Si vous prévoyez d'installer manuellement le logiciel sur votre propre hôte, activez une identité gérée attribuée par le système sur la machine virtuelle afin de fournir les autorisations Azure requises via un rôle personnalisé.

    "Documentation Microsoft Azure : configurez les identités gérées des ressources Azure sur une machine virtuelle à l'aide du portail Azure"

  2. Copier le contenu du "Autorisations de rôle personnalisées pour le connecteur" Et les enregistrer dans un fichier JSON.

  3. Modifiez le fichier JSON en ajoutant des identifiants d'abonnement Azure à l'étendue assignable.

    Vous devez ajouter l'identifiant de chaque abonnement Azure que vous souhaitez utiliser avec BlueXP.

    Exemple

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

  4. Utilisez le fichier JSON pour créer un rôle personnalisé dans Azure.

    Les étapes suivantes expliquent comment créer le rôle à l'aide de Bash dans Azure Cloud Shell.

    1. Démarrer "Shell cloud Azure" Et choisissez l'environnement Bash.

    2. Téléchargez le fichier JSON.

      Capture d'écran d'Azure Cloud Shell sur laquelle vous pouvez choisir de charger un fichier.

    3. Pour créer le rôle personnalisé, utilisez l'interface de ligne de commandes Azure :

      az role definition create --role-definition Connector_Policy.json
Résultat

Vous devez maintenant avoir un rôle personnalisé appelé opérateur BlueXP que vous pouvez affecter à la machine virtuelle connecteur.

Principal du service

Créez et configurez un principal de service dans Microsoft Entra ID et obtenez les informations d'identification Azure dont BlueXP a besoin.

Créez une application Microsoft Entra pour le contrôle d'accès basé sur les rôles

  1. Assurez-vous que vous disposez des autorisations dans Azure pour créer une application Active Directory et attribuer l'application à un rôle.

    Pour plus de détails, reportez-vous à "Documentation Microsoft Azure : autorisations requises"

  2. À partir du portail Azure, ouvrez le service Microsoft Entra ID.

    Affiche le service Active Directory dans Microsoft Azure.

  3. Dans le menu, sélectionnez enregistrements d'applications.

  4. Sélectionnez nouvel enregistrement.

  5. Spécifiez les détails de l'application :

    • Nom : saisissez un nom pour l'application.

    • Type de compte : sélectionnez un type de compte (tout fonctionne avec BlueXP).

    • URI de redirection: Vous pouvez laisser ce champ vide.

  6. Sélectionnez Enregistrer.

    Vous avez créé l'application AD et le principal de service.

Attribuez l'application à un rôle

  1. Création d'un rôle personnalisé :

    Notez que vous pouvez créer un rôle personnalisé Azure à l'aide du portail Azure, d'Azure PowerShell, de l'interface de ligne de commandes Azure ou de l'API REST. La procédure suivante explique comment créer le rôle à l'aide de l'interface de ligne de commandes Azure. Si vous préférez utiliser une autre méthode, reportez-vous à la section "Documentation Azure"

    1. Copier le contenu du "Autorisations de rôle personnalisées pour le connecteur" Et les enregistrer dans un fichier JSON.

    2. Modifiez le fichier JSON en ajoutant des identifiants d'abonnement Azure à l'étendue assignable.

      Vous devez ajouter l'ID de chaque abonnement Azure à partir duquel les utilisateurs créeront des systèmes Cloud Volumes ONTAP.

      Exemple

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. Utilisez le fichier JSON pour créer un rôle personnalisé dans Azure.

      Les étapes suivantes expliquent comment créer le rôle à l'aide de Bash dans Azure Cloud Shell.

      • Démarrer "Shell cloud Azure" Et choisissez l'environnement Bash.

      • Téléchargez le fichier JSON.

        Capture d'écran d'Azure Cloud Shell sur laquelle vous pouvez choisir de charger un fichier.

      • Pour créer le rôle personnalisé, utilisez l'interface de ligne de commandes Azure :

        az role definition create --role-definition Connector_Policy.json

        Vous devez maintenant avoir un rôle personnalisé appelé opérateur BlueXP que vous pouvez affecter à la machine virtuelle connecteur.

  2. Attribuez l'application au rôle :

    1. À partir du portail Azure, ouvrez le service abonnements.

    2. Sélectionnez l'abonnement.

    3. Sélectionnez contrôle d'accès (IAM) > Ajouter > Ajouter une affectation de rôle.

    4. Dans l'onglet role, sélectionnez le rôle BlueXP Operator et sélectionnez Next.

    5. Dans l'onglet membres, procédez comme suit :

      • Conserver utilisateur, groupe ou entité de service sélectionnée.

      • Sélectionnez Sélectionner membres.

        Capture d'écran du portail Azure affichant l'onglet membres lors de l'ajout d'un rôle à une application.

      • Recherchez le nom de l'application.

        Voici un exemple :

      Une capture d'écran du portail Azure affichant le formulaire d'affectation de rôle Add dans le portail Azure.

      • Sélectionnez l'application et sélectionnez Sélectionner.

      • Sélectionnez Suivant.

    6. Sélectionnez consulter + affecter.

      Le principal de service dispose désormais des autorisations Azure nécessaires pour déployer le connecteur.

    Si vous souhaitez déployer Cloud Volumes ONTAP à partir de plusieurs abonnements Azure, vous devez lier le principal de service à chacun de ces abonnements. BlueXP vous permet de sélectionner l'abonnement que vous souhaitez utiliser lors du déploiement de Cloud Volumes ONTAP.

Ajoutez des autorisations d'API de gestion de service Windows Azure

  1. Dans le service Microsoft Entra ID, sélectionnez enregistrements d'applications et sélectionnez l'application.

  2. Sélectionnez autorisations API > Ajouter une autorisation.

  3. Sous Microsoft API, sélectionnez Azure Service Management.

    Capture d'écran du portail Azure affichant les autorisations de l'API de gestion de services Azure.

  4. Sélectionnez accéder à Azure Service Management en tant qu'utilisateurs de l'organisation, puis sélectionnez Ajouter des autorisations.

    Une capture d'écran du portail Azure montrant l'ajout des API de gestion de services Azure.

Obtenez l'ID d'application et l'ID de répertoire de l'application

  1. Dans le service Microsoft Entra ID, sélectionnez enregistrements d'applications et sélectionnez l'application.

  2. Copiez l'ID application (client) et l'ID Directory (tenant).

    Capture d'écran affichant l'ID de l'application (client) et de l'annuaire (locataire) pour une application dans Microsoft Entra IDy.

    Lorsque vous ajoutez le compte Azure à BlueXP, vous devez fournir l'ID d'application (client) et l'ID de répertoire (tenant) de l'application. BlueXP utilise les ID pour se connecter par programmation.

Créez un secret client

  1. Ouvrez le service Microsoft Entra ID.

  2. Sélectionnez enregistrements d'applications et sélectionnez votre application.

  3. Sélectionnez certificats et secrets > Nouveau secret client.

  4. Fournissez une description du secret et une durée.

  5. Sélectionnez Ajouter.

  6. Copier la valeur du secret client.

    Capture d'écran du portail Azure montrant un secret client pour le principal de service Microsoft Entra.

    BlueXP peut maintenant utiliser un code client pour s'authentifier auprès de Microsoft Entra ID.

Résultat

Votre principal de service est maintenant configuré et vous devez avoir copié l'ID de l'application (client), l'ID du répertoire (tenant) et la valeur du secret client. Vous devez saisir ces informations dans BlueXP lorsque vous ajoutez un compte Azure.

Étape 4 : créer le connecteur

Lancez Connector directement à partir d'Azure Marketplace.

Description de la tâche

La création du connecteur à partir d'Azure Marketplace déploie une machine virtuelle dans Azure à l'aide d'une configuration par défaut. "En savoir plus sur la configuration par défaut du connecteur".

Avant de commencer

Vous devez disposer des éléments suivants :

  • Un abonnement Azure.

  • Un vnet et un sous-réseau dans votre région Azure de votre choix.

  • Détails sur un serveur proxy, si votre organisation nécessite un proxy pour tout le trafic Internet sortant :

    • Adresse IP

    • Informations d'identification

    • Certificat HTTPS

  • Une clé publique SSH, si vous souhaitez utiliser cette méthode d'authentification pour la machine virtuelle Connector. L'autre option de la méthode d'authentification est d'utiliser un mot de passe.

    "Découvrez comment vous connecter à une VM Linux dans Azure"

  • Si vous ne souhaitez pas que BlueXP crée automatiquement un rôle Azure pour le connecteur, vous devrez créer votre propre rôle "utilisation de la stratégie sur cette page".

    Ces autorisations sont pour l'instance de connecteur elle-même. Il s'agit d'un ensemble d'autorisations différent de ce que vous avez configuré précédemment pour déployer la machine virtuelle Connector.

Étapes

  1. Rendez-vous sur la page NetApp Connector VM du Marketplace Azure.

    "Page Azure Marketplace pour les régions commerciales"

  2. Sélectionnez obtenir maintenant, puis Continuer.

  3. Dans le portail Azure, sélectionnez Create et suivez les étapes pour configurer la machine virtuelle.

    Noter les éléments suivants lors de la configuration de la machine virtuelle :

    • Taille de la VM : choisissez une taille de VM qui répond aux exigences de CPU et de RAM. Nous recommandons DS3 v2.

    • Disques : le connecteur peut fonctionner de manière optimale avec des disques durs ou SSD.

    • Groupe de sécurité réseau : le connecteur nécessite des connexions entrantes utilisant SSH, HTTP et HTTPS.

      "Afficher les règles des groupes de sécurité pour Azure".

    • Identité : sous gestion, sélectionnez Activer l'identité gérée attribuée par le système.

      Ce paramètre est important car une identité gérée permet à la machine virtuelle Connector de s'identifier à Microsoft Entra ID sans fournir d'informations d'identification. "En savoir plus sur les identités gérées pour les ressources Azure".

  4. Sur la page consulter + créer, vérifiez vos sélections et sélectionnez Créer pour démarrer le déploiement.

    Azure déploie la machine virtuelle avec les paramètres spécifiés. Le logiciel de la machine virtuelle et du connecteur doit s'exécuter en cinq minutes environ.

  5. Ouvrez un navigateur Web à partir d'un hôte connecté à la machine virtuelle Connector et entrez l'URL suivante :

    https://ipaddress

  6. Une fois connecté, configurez le connecteur :

    1. Spécifiez le compte BlueXP à associer au connecteur.

    2. Entrez un nom pour le système.

    3. Sous exécutez-vous dans un environnement sécurisé ? maintenez le mode restreint désactivé.

      Vous devez désactiver le mode restreint, car ces étapes décrivent l'utilisation de BlueXP en mode standard. Vous devez activer le mode restreint uniquement si vous disposez d'un environnement sécurisé et souhaitez déconnecter ce compte des services back-end BlueXP. Si c'est le cas, "Suivez les étapes pour démarrer avec BlueXP en mode restreint".

    4. Sélectionnez commençons.

Résultat

Le connecteur est maintenant installé et configuré avec votre compte BlueXP.

Si vous disposez d'un stockage Azure Blob dans le même abonnement Azure que celui sur lequel vous avez créé le connecteur, un environnement de travail du stockage Azure Blob apparaît automatiquement sur le canevas BlueXP. "Découvrez comment gérer le stockage Azure Blob à partir de BlueXP"

Étape 5 : fournissez des autorisations à BlueXP

Maintenant que vous avez créé le connecteur, vous devez fournir à BlueXP les autorisations que vous avez précédemment configurées. Si vous disposez des autorisations requises, BlueXP peut gérer vos données et votre infrastructure de stockage dans Azure.

Rôle personnalisé

Accédez au portail Azure et attribuez le rôle personnalisé Azure à la machine virtuelle Connector pour un ou plusieurs abonnements.

Étapes

  1. Sur le portail Azure, ouvrez le service Subscriptions et sélectionnez votre abonnement.

    Il est important d'attribuer le rôle à partir du service Subscriptions car cela spécifie la portée de l'affectation de rôle au niveau de l'abonnement. Le scope définit l'ensemble des ressources auxquelles l'accès s'applique. Si vous spécifiez une étendue à un niveau différent (par exemple, au niveau des machines virtuelles), votre capacité à effectuer des actions depuis BlueXP sera affectée.

    "Documentation Microsoft Azure : étendue du contrôle d'accès basé sur des rôles Azure"

  2. Sélectionnez contrôle d'accès (IAM) > Ajouter > Ajouter une affectation de rôle.

  3. Dans l'onglet role, sélectionnez le rôle BlueXP Operator et sélectionnez Next.

    Remarque BlueXP Operator est le nom par défaut fourni dans la stratégie BlueXP. Si vous avez choisi un autre nom pour le rôle, sélectionnez-le à la place.

  4. Dans l'onglet membres, procédez comme suit :

    1. Attribuez l'accès à une identité gérée.

    2. Sélectionnez Sélectionner les membres, sélectionnez l'abonnement dans lequel la machine virtuelle du connecteur a été créée, sous identité gérée, choisissez machine virtuelle, puis sélectionnez la machine virtuelle du connecteur.

    3. Sélectionnez Sélectionner.

    4. Sélectionnez Suivant.

    5. Sélectionnez consulter + affecter.

    6. Si vous souhaitez gérer les ressources d'autres abonnements Azure, passez à cet abonnement, puis répétez ces étapes.

Résultat

BlueXP dispose désormais des autorisations dont il a besoin pour effectuer des actions dans Azure en votre nom.

Et la suite ?

Accédez au "Console BlueXP" Pour commencer à utiliser le connecteur avec BlueXP.

Principal du service
Étapes

  1. Dans le coin supérieur droit de la console BlueXP, sélectionnez l'icône Paramètres, puis sélectionnez informations d'identification.

    Capture d'écran affichant l'icône Paramètres dans le coin supérieur droit de la console BlueXP.

  2. Sélectionnez Ajouter des informations d'identification et suivez les étapes de l'assistant.

    1. Emplacement des informations d'identification : sélectionnez Microsoft Azure > connecteur.

    2. Définir les informations d'identification : saisissez les informations relatives à l'entité de service Microsoft Entra qui accorde les autorisations requises :

      • ID de l'application (client)

      • ID du répertoire (locataire)

      • Secret client

    3. Abonnement Marketplace : associez un abonnement Marketplace à ces identifiants en vous abonnant maintenant ou en sélectionnant un abonnement existant.

    4. Révision : confirmez les détails des nouvelles informations d'identification et sélectionnez Ajouter.

Résultat

BlueXP dispose désormais des autorisations dont il a besoin pour effectuer des actions dans Azure en votre nom.