Skip to main content
NetApp Console setup and administration
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créer un agent de console à partir de Google Cloud

Contributeurs netapp-tonias
PDF

Pour créer un agent de console dans Google Cloud à l'aide de Google Cloud, vous devez configurer votre réseau, préparer les autorisations Google Cloud, activer les API Google Cloud, puis créer l'agent de console.

Avant de commencer

Étape 1 : Configurer le réseau

Configurez la mise en réseau pour permettre à l'agent de la console de gérer les ressources et de se connecter aux réseaux cibles et à Internet.

VPC et sous-réseau

Lorsque vous créez l’agent de console, vous devez spécifier le VPC et le sous-réseau où il doit résider.

Connexions aux réseaux cibles

L'agent de console nécessite une connexion réseau à l'emplacement où vous prévoyez de créer et de gérer des systèmes. Par exemple, le réseau sur lequel vous prévoyez de créer des systèmes Cloud Volumes ONTAP ou un système de stockage dans votre environnement local.

Accès Internet sortant

L’emplacement réseau où vous déployez l’agent de console doit disposer d’une connexion Internet sortante pour contacter des points de terminaison spécifiques.

Points de terminaison contactés depuis l'agent de la console

L'agent de console nécessite un accès Internet sortant pour contacter les points de terminaison suivants afin de gérer les ressources et les processus au sein de votre environnement de cloud public pour les opérations quotidiennes.

Les points de terminaison répertoriés ci-dessous sont tous des entrées CNAME.

Points de terminaison But

\ https://www.googleapis.com/compute/v1/ \ https://compute.googleapis.com/compute/v1 \ https://cloudresourcemanager.googleapis.com/v1/projects \ https://www.googleapis.com/compute/beta \ https://storage.googleapis.com/storage/v1 \ https://www.googleapis.com/storage/v1 \ https://iam.googleapis.com/v1 \ https://cloudkms.googleapis.com/v1 \ https://www.googleapis.com/deploymentmanager/v2/projects

Pour gérer les ressources dans Google Cloud.

\ https://mysupport.netapp.com

Pour obtenir des informations de licence et envoyer des messages AutoSupport au support NetApp .

\ https://support.netapp.com

Pour obtenir des informations de licence et envoyer des messages AutoSupport au support NetApp .

\ https://signin.b2c.netapp.com

Pour mettre à jour les informations d'identification du site de support NetApp (NSS) ou pour ajouter de nouvelles informations d'identification NSS à la console NetApp .

\https:\\support.netapp.com

Pour obtenir des informations de licence et envoyer des messages AutoSupport au support NetApp ainsi que pour recevoir des mises à jour logicielles pour Cloud Volumes ONTAP.

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Pour fournir des fonctionnalités et des services au sein de la console NetApp .

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Pour obtenir des images pour les mises à niveau de l'agent de console.

  • Lorsque vous déployez un nouvel agent, le contrôle de validation teste la connectivité aux points de terminaison actuels. Si vous utilisez"points finaux précédents" , le contrôle de validation échoue. Pour éviter cet échec, ignorez la vérification de validation.

    Bien que les points de terminaison précédents soient toujours pris en charge, NetApp recommande de mettre à jour vos règles de pare-feu vers les points de terminaison actuels dès que possible. "Apprenez à mettre à jour votre liste de points de terminaison" .

  • Lorsque vous effectuez une mise à jour vers les points de terminaison actuels de votre pare-feu, vos agents existants continueront de fonctionner.
Points de terminaison contactés depuis la console NetApp

Lorsque vous utilisez la console NetApp Web fournie via la couche SaaS, elle contacte plusieurs points de terminaison pour effectuer des tâches de gestion des données. Cela inclut les points de terminaison contactés pour déployer l'agent de console à partir de la console.

"Afficher la liste des points de terminaison contactés depuis la console NetApp" .

Serveur proxy

NetApp prend en charge les configurations de proxy explicites et transparentes. Si vous utilisez un proxy transparent, vous devez uniquement fournir le certificat du serveur proxy. Si vous utilisez un proxy explicite, vous aurez également besoin de l'adresse IP et des informations d'identification.

  • adresse IP

  • Informations d'identification

  • Certificat HTTPS

Ports

Il n'y a aucun trafic entrant vers l'agent de console, sauf si vous l'initiez ou s'il est utilisé comme proxy pour envoyer des messages AutoSupport de Cloud Volumes ONTAP au support NetApp .

  • HTTP (80) et HTTPS (443) donnent accès à l'interface utilisateur locale, que vous utiliserez dans de rares circonstances.

  • SSH (22) n'est nécessaire que si vous devez vous connecter à l'hôte pour le dépannage.

  • Les connexions entrantes via le port 3128 sont requises si vous déployez des systèmes Cloud Volumes ONTAP dans un sous-réseau où une connexion Internet sortante n'est pas disponible.

    Si les systèmes Cloud Volumes ONTAP ne disposent pas d'une connexion Internet sortante pour envoyer des messages AutoSupport , la console configure automatiquement ces systèmes pour utiliser un serveur proxy inclus avec l'agent de la console. La seule exigence est de s’assurer que le groupe de sécurité de l’agent de console autorise les connexions entrantes sur le port 3128. Vous devrez ouvrir ce port après avoir déployé l’agent de console.

Activer NTP

Si vous prévoyez d'utiliser NetApp Data Classification pour analyser vos sources de données d'entreprise, vous devez activer un service NTP (Network Time Protocol) sur l'agent de console et sur le système NetApp Data Classification afin que l'heure soit synchronisée entre les systèmes. "En savoir plus sur la classification des données NetApp"

Implémentez cette exigence de mise en réseau après avoir créé l’agent de console.

Étape 2 : Configurer les autorisations pour créer l’agent de console

Configurez les autorisations pour que l’utilisateur Google Cloud puisse déployer la machine virtuelle de l’agent de la console à partir de Google Cloud.

Étapes

  1. Créer un rôle personnalisé dans Google Platform :

    1. Créez un fichier YAML qui inclut les autorisations suivantes :

      title: Console agent deployment policy
description: Permissions for the user who deploys the NetApp Console agent
stage: GA
includedPermissions:
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.list

    2. Depuis Google Cloud, activez Cloud Shell.

    3. Téléchargez le fichier YAML qui inclut les autorisations requises.

    4. Créez un rôle personnalisé en utilisant le gcloud iam roles create commande.

      L'exemple suivant crée un rôle nommé « connectorDeployment » au niveau du projet :

      rôles gcloud iam créer un connecteurDéploiement --project=myproject --file=connector-deployment.yaml

    "Documentation Google Cloud : Création et gestion de rôles personnalisés"

  2. Attribuez ce rôle personnalisé à l’utilisateur qui déploie l’agent de console à partir de Google Cloud.

    "Documentation Google Cloud : Attribuer un rôle unique"

Étape 3 : Configurer les autorisations pour les opérations de l'agent de console

Un compte de service Google Cloud est requis pour fournir à l'agent de la console les autorisations dont la console a besoin pour gérer les ressources dans Google Cloud. Lorsque vous créez l’agent de console, vous devez associer ce compte de service à la machine virtuelle de l’agent de console.

Il est de votre responsabilité de mettre à jour le rôle personnalisé à mesure que de nouvelles autorisations sont ajoutées dans les versions ultérieures. Si de nouvelles autorisations sont requises, elles seront répertoriées dans les notes de version.

Étapes

  1. Créer un rôle personnalisé dans Google Cloud :

    1. Créez un fichier YAML qui inclut le contenu du"autorisations de compte de service pour l'agent de console" .

    2. Depuis Google Cloud, activez Cloud Shell.

    3. Téléchargez le fichier YAML qui inclut les autorisations requises.

    4. Créez un rôle personnalisé en utilisant le gcloud iam roles create commande.

      L'exemple suivant crée un rôle nommé « connecteur » au niveau du projet :

      gcloud iam roles create connector --project=myproject --file=connector.yaml

    "Documentation Google Cloud : Création et gestion de rôles personnalisés"

  2. Créez un compte de service dans Google Cloud et attribuez le rôle au compte de service :

    1. Depuis le service IAM & Admin, sélectionnez Comptes de service > Créer un compte de service.

    2. Saisissez les détails du compte de service et sélectionnez Créer et continuer.

    3. Sélectionnez le rôle que vous venez de créer.

    4. Terminez les étapes restantes pour créer le rôle.

      "Documentation Google Cloud : Création d'un compte de service"

  3. Si vous prévoyez de déployer des systèmes Cloud Volumes ONTAP dans des projets différents de celui dans lequel réside l'agent de console, vous devrez fournir au compte de service de l'agent de console un accès à ces projets.

    Par exemple, disons que l’agent de console se trouve dans le projet 1 et que vous souhaitez créer des systèmes Cloud Volumes ONTAP dans le projet 2. Vous devrez accorder l’accès au compte de service dans le projet 2.

    1. Depuis le service IAM & Admin, sélectionnez le projet Google Cloud dans lequel vous souhaitez créer des systèmes Cloud Volumes ONTAP .

    2. Sur la page IAM, sélectionnez Accorder l'accès et fournissez les détails requis.

      • Saisissez l’e-mail du compte de service de l’agent de la console.

      • Sélectionnez le rôle personnalisé de l’agent de console.

      • Sélectionnez Enregistrer.

    Pour plus de détails, reportez-vous à "Documentation Google Cloud"

Étape 4 : configurer les autorisations VPC partagées

Si vous utilisez un VPC partagé pour déployer des ressources dans un projet de service, vous devrez préparer vos autorisations.

Ce tableau est fourni à titre de référence et votre environnement doit refléter le tableau des autorisations une fois la configuration IAM terminée.

Afficher les autorisations VPC partagées
Identité Créateur Hébergé dans Autorisations du projet de service Autorisations du projet hôte But

Compte Google pour déployer l'agent

Coutume

Projet de service

"Politique de déploiement de l'agent"

compute.networkUser

Déploiement de l'agent dans le projet de service

compte de service d'agent

Coutume

Projet de service

"Politique de compte de service d'agent"

compute.networkUser deploymentmanager.editor

Déploiement et maintenance de Cloud Volumes ONTAP et des services dans le projet de service

Compte de service Cloud Volumes ONTAP

Coutume

Projet de service

Membre storage.admin : compte de service de la console NetApp en tant que serviceAccount.user

S/O

(Facultatif) Pour NetApp Cloud Tiering et NetApp Backup and Recovery

Agent de service des API Google

Google Cloud

Projet de service

Éditeur (par défaut)

compute.networkUser

Interagit avec les API Google Cloud au nom du déploiement. Permet à la console d'utiliser le réseau partagé.

Compte de service par défaut de Google Compute Engine

Google Cloud

Projet de service

Éditeur (par défaut)

compute.networkUser

Déploie des instances Google Cloud et une infrastructure de calcul pour le compte du déploiement. Permet à la console d'utiliser le réseau partagé.

Remarques :

  1. deploymentmanager.editor n'est requis au niveau du projet hôte que si vous ne transmettez pas de règles de pare-feu au déploiement et que vous choisissez de laisser la console les créer pour vous. La console NetApp crée un déploiement dans le projet hôte qui contient la règle de pare-feu VPC0 si aucune règle n'est spécifiée.

  2. firewall.create et firewall.delete ne sont requis que si vous ne transmettez pas de règles de pare-feu au déploiement et que vous choisissez de laisser la console les créer pour vous. Ces autorisations résident dans le fichier .yaml du compte de console. Si vous déployez une paire HA à l’aide d’un VPC partagé, ces autorisations seront utilisées pour créer les règles de pare-feu pour VPC1, 2 et 3. Pour tous les autres déploiements, ces autorisations seront également utilisées pour créer des règles pour VPC0.

  3. Pour la hiérarchisation du cloud, le compte de service de hiérarchisation doit avoir le rôle serviceAccount.user sur le compte de service, pas seulement au niveau du projet. Actuellement, si vous attribuez serviceAccount.user au niveau du projet, les autorisations ne s'affichent pas lorsque vous interrogez le compte de service avec getIAMPolicy.

Étape 5 : Activer les API Google Cloud

Activez plusieurs API Google Cloud avant de déployer l’agent de console et Cloud Volumes ONTAP.

Étape

  1. Activez les API Google Cloud suivantes dans votre projet :

    • API du gestionnaire de déploiement cloud V2

    • API de journalisation dans le cloud

    • API du gestionnaire de ressources cloud

    • API Compute Engine

    • API de gestion des identités et des accès (IAM)

    • API du service de gestion des clés cloud (KMS)

      (Requis uniquement si vous prévoyez d'utiliser NetApp Backup and Recovery avec des clés de chiffrement gérées par le client (CMEK))

"Documentation Google Cloud : Activation des API"

Étape 6 : Créer l’agent de console

Créez un agent de console à l’aide de Google Cloud.

La création de l’agent de console déploie une instance de machine virtuelle dans Google Cloud avec la configuration par défaut. Ne passez pas à une instance de machine virtuelle plus petite avec moins de processeurs ou moins de RAM après avoir créé l'agent de console. "En savoir plus sur la configuration par défaut de l'agent de console" .

Avant de commencer

Vous devriez avoir les éléments suivants :

  • Les autorisations Google Cloud requises pour créer l’agent de console et un compte de service pour la machine virtuelle de l’agent de console.

  • Un VPC et un sous-réseau qui répondent aux exigences de mise en réseau.

  • Une compréhension des exigences des instances de VM.

    • CPU : 8 cœurs ou 8 vCPU

    • RAM : 32 Go

    • Type de machine : Nous recommandons n2-standard-8.

      L'agent de console est pris en charge dans Google Cloud sur une instance de machine virtuelle avec un système d'exploitation prenant en charge les fonctionnalités de machine virtuelle protégée.

Étapes

  1. Connectez-vous au SDK Google Cloud en utilisant votre méthode préférée.

    Cet exemple utilise un shell local avec le SDK gcloud installé, mais vous pouvez également utiliser Google Cloud Shell.

    Pour plus d'informations sur le SDK Google Cloud, visitez le"Page de documentation du SDK Google Cloud" .

  2. Vérifiez que vous êtes connecté en tant qu'utilisateur disposant des autorisations requises définies dans la section ci-dessus :

    gcloud auth list

    La sortie doit afficher ce qui suit, où le compte utilisateur * est le compte utilisateur sous lequel vous souhaitez vous connecter :

    Credentialed Accounts
ACTIVE  ACCOUNT
     some_user_account@domain.com
*    desired_user_account@domain.com
To set the active account, run:
 $ gcloud config set account `ACCOUNT`
Updates are available for some Cloud SDK components. To install them,
please run:
$ gcloud components update

  3. Exécutez le gcloud compute instances create commande:

    gcloud compute instances create <instance-name>
  --machine-type=n2-standard-8
  --image-project=netapp-cloudmanager
  --image-family=cloudmanager
  --scopes=cloud-platform
  --project=<project>
  --service-account=<service-account>
  --zone=<zone>
  --no-address
  --tags <network-tag>
  --network <network-path>
  --subnet <subnet-path>
  --boot-disk-kms-key <kms-key-path>
    nom d'instance

    Le nom d’instance souhaité pour l’instance de machine virtuelle.

    projet

    (Facultatif) Le projet dans lequel vous souhaitez déployer la machine virtuelle.

    compte de service

    Le compte de service spécifié dans la sortie de l’étape 2.

    zone

    La zone où vous souhaitez déployer la VM

    sans adresse

    (Facultatif) Aucune adresse IP externe n'est utilisée (vous avez besoin d'un NAT cloud ou d'un proxy pour acheminer le trafic vers l'Internet public)

    balise réseau

    (Facultatif) Ajoutez un balisage réseau pour lier une règle de pare-feu utilisant des balises à l'instance de l'agent de console

    chemin réseau

    (Facultatif) Ajoutez le nom du réseau dans lequel déployer l'agent de console (pour un VPC partagé, vous avez besoin du chemin complet)

    chemin de sous-réseau

    (Facultatif) Ajoutez le nom du sous-réseau dans lequel déployer l'agent de console (pour un VPC partagé, vous avez besoin du chemin complet)

    kms-key-path

    (Facultatif) Ajoutez une clé KMS pour crypter les disques de l'agent de console (les autorisations IAM doivent également être appliquées)

    Pour plus d'informations sur ces drapeaux, visitez le"Documentation du SDK de calcul Google Cloud" .

    L’exécution de la commande déploie l’agent de la console. L'instance de l'agent de console et le logiciel devraient être exécutés dans environ cinq minutes.

  4. Ouvrez un navigateur Web et entrez l’URL de l’hôte de l’agent de la console :

    L'URL de l'hôte de la console peut être un hôte local, une adresse IP privée ou une adresse IP publique, selon la configuration de l'hôte. Par exemple, si l’agent de console se trouve dans le cloud public sans adresse IP publique, vous devez saisir une adresse IP privée provenant d’un hôte disposant d’une connexion à l’hôte de l’agent de console.

  5. Après vous être connecté, configurez l’agent de la console :

    1. Spécifiez l’organisation de la console à associer à l’agent de la console.

      "En savoir plus sur la gestion des identités et des accès" .

    2. Entrez un nom pour le système.

Résultat

L'agent de console est maintenant installé et configuré avec votre organisation de console.

Ouvrez un navigateur Web et accédez à la "Console NetApp" pour commencer à utiliser l'agent de console.