Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Crea un connettore in AWS da BlueXP

Collaboratori
PDF

Per creare un connettore in AWS da BlueXP, devi configurare il tuo networking, preparare le autorizzazioni AWS e quindi creare il connettore.

Prima di iniziare

Dovresti rivedere "Limitazioni del connettore".

Fase 1: Configurare la rete

Assicurarsi che la posizione di rete in cui si intende installare il connettore supporti i seguenti requisiti. Il connettore, che soddisfa questi requisiti, consente di gestire le risorse e i processi all'interno del tuo ambiente di cloud ibrido.

VPC e subnet

Quando si crea il connettore, è necessario specificare il VPC e la subnet in cui deve risiedere il connettore.

Connessioni alle reti di destinazione

Un connettore richiede una connessione di rete alla posizione in cui si intende creare e gestire gli ambienti di lavoro. Ad esempio, la rete in cui intendi creare sistemi Cloud Volumes ONTAP o un sistema storage nel tuo ambiente on-premise.

Accesso a Internet in uscita

La posizione di rete in cui si implementa il connettore deve disporre di una connessione Internet in uscita per contattare endpoint specifici.

Endpoint contattati dal connettore

Il connettore richiede l'accesso a Internet in uscita per contattare i seguenti endpoint al fine di gestire risorse e processi all'interno dell'ambiente di cloud pubblico per le operazioni quotidiane.

Si noti che gli endpoint elencati di seguito sono tutte le voci CNAME.

Endpoint Scopo

Servizi AWS (amazonaws.com):

  • CloudFormation

  • Elastic Compute Cloud (EC2)

  • Gestione delle identità e degli accessi (IAM)

  • Servizio di gestione delle chiavi (KMS)

  • Servizio token di sicurezza (STS)

  • S3 (Simple Storage Service)

Per gestire le risorse in AWS. L'endpoint esatto dipende dall'area AWS che stai utilizzando. "Per ulteriori informazioni, fare riferimento alla documentazione AWS"

https://support.netapp.com
https://mysupport.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp.

https://*.api.bluexp.netapp.com

https://api.bluexp.netapp.com

https://*.cloudmanager.cloud.netapp.com

https://cloudmanager.cloud.netapp.com

https://netapp-cloud-account.auth0.com

Fornire funzionalità e servizi SaaS all'interno di BlueXP.

Tenere presente che il connettore sta contattando "cloudmanager.cloud.netapp.com", ma inizierà a contattare "api.bluexp.netapp.com" in una versione successiva.

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io

Per aggiornare il connettore e i relativi componenti Docker.
Endpoint contattati dalla console BlueXP

Quando utilizzi la console basata sul web BlueXP fornita attraverso il layer SaaS, contatta diversi endpoint per completare le attività di gestione dei dati. Sono inclusi gli endpoint che vengono contattati per implementare il connettore dalla console BlueXP.

"Visualizzare l'elenco degli endpoint contattati dalla console BlueXP".

Server proxy

Se l'organizzazione richiede la distribuzione di un server proxy per tutto il traffico Internet in uscita, ottenere le seguenti informazioni sul proxy HTTP o HTTPS. Queste informazioni devono essere fornite durante l'installazione.

  • Indirizzo IP

  • Credenziali

  • Certificato HTTPS

BlueXP non supporta i server proxy trasparenti.

Porte

Non c'è traffico in entrata verso il connettore, a meno che non venga avviato o se il connettore viene utilizzato come proxy per inviare messaggi AutoSupport da Cloud Volumes ONTAP al supporto NetApp.

  • HTTP (80) e HTTPS (443) forniscono l'accesso all'interfaccia utente locale, che verrà utilizzata in rare circostanze.

  • SSH (22) è necessario solo se è necessario connettersi all'host per la risoluzione dei problemi.

  • Le connessioni in entrata sulla porta 3128 sono necessarie se si implementano sistemi Cloud Volumes ONTAP in una subnet in cui non è disponibile una connessione Internet in uscita.

    Se i sistemi Cloud Volumes ONTAP non dispongono di una connessione a Internet in uscita per inviare messaggi AutoSupport, BlueXP configura automaticamente tali sistemi in modo che utilizzino un server proxy incluso nel connettore. L'unico requisito è garantire che il gruppo di sicurezza del connettore consenta le connessioni in entrata sulla porta 3128. Dopo aver implementato il connettore, aprire questa porta.

Enable NTP (attiva NTP)

Se stai pensando di utilizzare la classificazione BlueXP per analizzare le origini dati aziendali, dovresti attivare un servizio NTP (Network Time Protocol) sia sul sistema del connettore BlueXP che sul sistema di classificazione BlueXP in modo che l'ora venga sincronizzata tra i sistemi. "Scopri di più sulla classificazione BlueXP"

Una volta creato il connettore, sarà necessario implementare questo requisito di rete.

Passaggio 2: Impostare le autorizzazioni AWS

BlueXP deve eseguire l'autenticazione con AWS prima di poter implementare l'istanza del connettore nel VPC. È possibile scegliere uno dei seguenti metodi di autenticazione:

  • Lasciare che BlueXP assuma un ruolo IAM con le autorizzazioni richieste

  • Fornire una chiave di accesso AWS e una chiave segreta per un utente IAM che dispone delle autorizzazioni richieste

Con entrambe le opzioni, il primo passo è creare un criterio IAM. Questo criterio contiene solo le autorizzazioni necessarie per avviare l'istanza di Connector in AWS da BlueXP.

Se necessario, è possibile limitare la policy IAM utilizzando il modulo IAM Condition elemento. "Documentazione AWS: Elemento Condition"

Suggerimento Quando BlueXP crea il connettore, applica un nuovo set di autorizzazioni all'istanza del connettore che consente al connettore di gestire le risorse AWS.
Fasi

  1. Accedere alla console AWS IAM.

  2. Selezionare Criteri > Crea policy.

  3. Selezionare JSON.

  4. Copiare e incollare il seguente criterio:

    Si ricorda che questo criterio contiene solo le autorizzazioni necessarie per avviare l'istanza di Connector in AWS da BlueXP. "Visualizza le autorizzazioni richieste per l'istanza del connettore".

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:DeleteRole",
        "iam:PutRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:DeleteRolePolicy",
        "iam:AddRoleToInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeleteInstanceProfile",
        "iam:PassRole",
        "iam:ListRoles",
        "ec2:DescribeInstanceStatus",
        "ec2:RunInstances",
        "ec2:ModifyInstanceAttribute",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeInstances",
        "ec2:CreateTags",
        "ec2:DescribeImages",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeLaunchTemplates",
        "ec2:CreateLaunchTemplate",
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:ValidateTemplate",
        "ec2:AssociateIamInstanceProfile",
        "ec2:DescribeIamInstanceProfileAssociations",
        "ec2:DisassociateIamInstanceProfile",
        "iam:GetRole",
        "iam:TagRole",
        "kms:ListAliases",
        "cloudformation:ListStacks"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/OCCMInstance": "*"
        }
      },
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

  5. Selezionare Avanti e aggiungere tag, se necessario.

  6. Selezionare Avanti e immettere un nome e una descrizione.

  7. Selezionare Crea policy.

  8. Allegare il criterio a un ruolo IAM che BlueXP può assumere o a un utente IAM in modo da poter fornire a BlueXP le chiavi di accesso:

    • (Opzione 1) impostare un ruolo IAM che BlueXP può assumere:

      1. Accedere alla console AWS IAM nell'account di destinazione.

      2. In Gestione accessi, selezionare ruoli > Crea ruolo e seguire i passaggi per creare il ruolo.

      3. In Trusted entity type, selezionare AWS account.

      4. Selezionare un altro account AWS e inserire l'ID dell'account BlueXP SaaS: 952013314444

      5. Selezionare il criterio creato nella sezione precedente.

      6. Dopo aver creato il ruolo, copiare l'ARN del ruolo in modo da poterlo incollare in BlueXP quando si crea il connettore.

    • (Opzione 2) impostare le autorizzazioni per un utente IAM in modo da poter fornire a BlueXP le chiavi di accesso:

      1. Dalla console di AWS IAM, selezionare Users (utenti), quindi selezionare il nome utente.

      2. Selezionare Aggiungi permessi > Allega direttamente policy esistenti.

      3. Selezionare il criterio creato.

      4. Selezionare Avanti, quindi selezionare Aggiungi permessi.

      5. Assicurarsi di disporre della chiave di accesso e della chiave segreta per l'utente IAM.

Risultato

Ora dovresti disporre di un ruolo IAM con le autorizzazioni richieste o di un utente IAM con le autorizzazioni richieste. Quando si crea il connettore da BlueXP, è possibile fornire informazioni sul ruolo o sulle chiavi di accesso.

Fase 3: Creare il connettore

Creare il connettore direttamente dalla console BlueXP basata sul Web.

A proposito di questa attività

La creazione del connettore da BlueXP implementa un'istanza EC2 in AWS usando una configurazione predefinita. Dopo aver creato il connettore, non si dovrebbe passare a un tipo di istanza EC2 più piccolo che ha meno CPU o RAM. "Informazioni sulla configurazione predefinita del connettore".

Prima di iniziare

Dovresti disporre di quanto segue:

  • Metodo di autenticazione AWS: Un ruolo IAM o chiavi di accesso per un utente IAM con le autorizzazioni richieste.

  • VPC e subnet che soddisfano i requisiti di rete.

  • Coppia di chiavi per l'istanza EC2.

  • Dettagli su un server proxy, se è richiesto un proxy per l'accesso a Internet dal connettore.

Fasi

  1. Selezionare l'elenco a discesa Connector (connettore) e selezionare Add Connector (Aggiungi connettore).

    Una schermata che mostra l'icona del connettore nell'intestazione e l'azione Add Connector.

  2. Scegli Amazon Web Services come cloud provider e seleziona continua.

  3. Nella pagina Deploying a Connector (implementazione di un connettore), consultare i dettagli relativi alle esigenze. Sono disponibili due opzioni:

    1. Selezionare continua per prepararsi all'implementazione utilizzando la guida all'interno del prodotto. Ogni fase della guida all'interno del prodotto include le informazioni contenute in questa pagina della documentazione.

    2. Selezionare Skip to Deployment (passa alla distribuzione) se si è già pronti seguendo la procedura riportata in questa pagina.

  4. Seguire i passaggi della procedura guidata per creare il connettore:

    • Get Ready: Consulta le informazioni necessarie.

    • AWS Credentials: Specificare la regione AWS e scegliere un metodo di autenticazione, ovvero un ruolo IAM che BlueXP può assumere o una chiave di accesso AWS e una chiave segreta.

      Suggerimento Se si sceglie assumere ruolo, è possibile creare il primo set di credenziali dalla distribuzione guidata del connettore. Qualsiasi set di credenziali aggiuntivo deve essere creato dalla pagina credenziali. Saranno quindi disponibili dalla procedura guidata in un elenco a discesa. "Scopri come aggiungere ulteriori credenziali".

    • Dettagli: Fornire dettagli sul connettore.

      • Immettere un nome per l'istanza.

      • Aggiungere tag personalizzati (metadati) all'istanza.

      • Scegliere se si desidera che BlueXP crei un nuovo ruolo con le autorizzazioni richieste o se si desidera selezionare un ruolo esistente configurato "le autorizzazioni richieste".

      • Scegliere se si desidera crittografare i dischi EBS del connettore. È possibile utilizzare la chiave di crittografia predefinita o una chiave personalizzata.

    • Rete: Specificare un VPC, una subnet e una coppia di chiavi per l'istanza, scegliere se attivare un indirizzo IP pubblico e, facoltativamente, specificare una configurazione del proxy.

      Assicurarsi di disporre della coppia di chiavi corretta da utilizzare con il connettore. Senza una coppia di chiavi, non sarà possibile accedere alla macchina virtuale Connector.

    • Security Group: Scegliere se creare un nuovo gruppo di sicurezza o se selezionare un gruppo di sicurezza esistente che consenta le regole in entrata e in uscita richieste.

      "Visualizzare le regole del gruppo di sicurezza per AWS".

    • Revisione: Controllare le selezioni per verificare che la configurazione sia corretta.

  5. Selezionare Aggiungi.

    L'istanza dovrebbe essere pronta in circa 7 minuti. Si consiglia di rimanere sulla pagina fino al completamento del processo.

Risultato

Una volta completato il processo, il connettore è disponibile per l'utilizzo da parte di BlueXP.

Se hai bucket Amazon S3 nello stesso account AWS in cui hai creato il connettore, vedrai automaticamente un ambiente di lavoro Amazon S3 su BlueXP Canvas. "Scopri come gestire i bucket S3 da BlueXP"