Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Creare un connettore in Azure da BlueXP

Collaboratori
PDF

Per creare un connettore in Azure da BlueXP, devi configurare il networking, preparare le autorizzazioni di Azure e quindi creare il connettore.

Prima di iniziare

Dovresti rivedere "Limitazioni del connettore".

Fase 1: Configurare la rete

Assicurarsi che la posizione di rete in cui si intende installare il connettore supporti i seguenti requisiti. Il connettore, che soddisfa questi requisiti, consente di gestire le risorse e i processi all'interno del tuo ambiente di cloud ibrido.

Regione di Azure

Se si utilizza Cloud Volumes ONTAP, il connettore deve essere implementato nella stessa area Azure dei sistemi Cloud Volumes ONTAP gestiti o in "Coppia di regioni Azure" Per i sistemi Cloud Volumes ONTAP. Questo requisito garantisce l'utilizzo di una connessione Azure Private link tra Cloud Volumes ONTAP e i relativi account di storage associati.

"Scopri come Cloud Volumes ONTAP utilizza un collegamento privato Azure"

VNET e subnet

Quando si crea il connettore, è necessario specificare il VNET e la subnet in cui deve risiedere il connettore.

Connessioni alle reti di destinazione

Un connettore richiede una connessione di rete alla posizione in cui si intende creare e gestire gli ambienti di lavoro. Ad esempio, la rete in cui intendi creare sistemi Cloud Volumes ONTAP o un sistema storage nel tuo ambiente on-premise.

Accesso a Internet in uscita

La posizione di rete in cui si implementa il connettore deve disporre di una connessione Internet in uscita per contattare endpoint specifici.

Endpoint contattati dal connettore

Il connettore richiede l'accesso a Internet in uscita per contattare i seguenti endpoint al fine di gestire risorse e processi all'interno dell'ambiente di cloud pubblico per le operazioni quotidiane.

Si noti che gli endpoint elencati di seguito sono tutte le voci CNAME.

Endpoint Scopo

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

Per gestire le risorse nelle aree pubbliche di Azure.

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

Per gestire le risorse nelle regioni Azure China.

https://support.netapp.com
https://mysupport.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp.

https://*.api.bluexp.netapp.com

https://api.bluexp.netapp.com

https://*.cloudmanager.cloud.netapp.com

https://cloudmanager.cloud.netapp.com

https://netapp-cloud-account.auth0.com

Fornire funzionalità e servizi SaaS all'interno di BlueXP.

Tenere presente che il connettore sta contattando "cloudmanager.cloud.netapp.com", ma inizierà a contattare "api.bluexp.netapp.com" in una versione successiva.

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io

Per aggiornare il connettore e i relativi componenti Docker.
Endpoint contattati dalla console BlueXP

Quando utilizzi la console basata sul web BlueXP fornita attraverso il layer SaaS, contatta diversi endpoint per completare le attività di gestione dei dati. Sono inclusi gli endpoint che vengono contattati per implementare il connettore dalla console BlueXP.

"Visualizzare l'elenco degli endpoint contattati dalla console BlueXP".

Server proxy

Se l'organizzazione richiede la distribuzione di un server proxy per tutto il traffico Internet in uscita, ottenere le seguenti informazioni sul proxy HTTP o HTTPS. Queste informazioni devono essere fornite durante l'installazione.

  • Indirizzo IP

  • Credenziali

  • Certificato HTTPS

BlueXP non supporta i server proxy trasparenti.

Porte

Non c'è traffico in entrata verso il connettore, a meno che non venga avviato o se il connettore viene utilizzato come proxy per inviare messaggi AutoSupport da Cloud Volumes ONTAP al supporto NetApp.

  • HTTP (80) e HTTPS (443) forniscono l'accesso all'interfaccia utente locale, che verrà utilizzata in rare circostanze.

  • SSH (22) è necessario solo se è necessario connettersi all'host per la risoluzione dei problemi.

  • Le connessioni in entrata sulla porta 3128 sono necessarie se si implementano sistemi Cloud Volumes ONTAP in una subnet in cui non è disponibile una connessione Internet in uscita.

    Se i sistemi Cloud Volumes ONTAP non dispongono di una connessione a Internet in uscita per inviare messaggi AutoSupport, BlueXP configura automaticamente tali sistemi in modo che utilizzino un server proxy incluso nel connettore. L'unico requisito è garantire che il gruppo di sicurezza del connettore consenta le connessioni in entrata sulla porta 3128. Dopo aver implementato il connettore, aprire questa porta.

Enable NTP (attiva NTP)

Se stai pensando di utilizzare la classificazione BlueXP per analizzare le origini dati aziendali, dovresti attivare un servizio NTP (Network Time Protocol) sia sul sistema del connettore BlueXP che sul sistema di classificazione BlueXP in modo che l'ora venga sincronizzata tra i sistemi. "Scopri di più sulla classificazione BlueXP"

Una volta creato il connettore, sarà necessario implementare questo requisito di rete.

Passaggio 2: Creare un ruolo personalizzato

Creare un ruolo personalizzato Azure che è possibile assegnare all'account Azure o a un'entità del servizio Microsoft Entra. BlueXP esegue l'autenticazione con Azure e utilizza queste autorizzazioni per creare l'istanza di Connector per conto dell'utente.

Si noti che è possibile creare un ruolo personalizzato di Azure utilizzando il portale Azure, Azure PowerShell, Azure CLI o REST API. I passaggi seguenti mostrano come creare il ruolo utilizzando la CLI di Azure. Se si preferisce utilizzare un metodo diverso, fare riferimento a. "Documentazione di Azure"

Fasi

  1. Copiare le autorizzazioni richieste per un nuovo ruolo personalizzato in Azure e salvarle in un file JSON.

    Nota Questo ruolo personalizzato contiene solo le autorizzazioni necessarie per avviare la macchina virtuale del connettore in Azure da BlueXP. Non utilizzare questa policy per altre situazioni. Quando BlueXP crea il connettore, applica un nuovo set di autorizzazioni alla macchina virtuale del connettore che consente al connettore di gestire le risorse nell'ambiente di cloud pubblico. 
    {
    "Name": "Azure SetupAsService",
    "Actions": [
        "Microsoft.Compute/disks/delete",
        "Microsoft.Compute/disks/read",
        "Microsoft.Compute/disks/write",
        "Microsoft.Compute/locations/operations/read",
        "Microsoft.Compute/operations/read",
        "Microsoft.Compute/virtualMachines/instanceView/read",
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Compute/virtualMachines/write",
        "Microsoft.Compute/virtualMachines/delete",
        "Microsoft.Compute/virtualMachines/extensions/write",
        "Microsoft.Compute/virtualMachines/extensions/read",
        "Microsoft.Compute/availabilitySets/read",
        "Microsoft.Network/locations/operationResults/read",
        "Microsoft.Network/locations/operations/read",
        "Microsoft.Network/networkInterfaces/join/action",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkInterfaces/write",
        "Microsoft.Network/networkInterfaces/delete",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/networkSecurityGroups/write",
        "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read",
        "Microsoft.Network/virtualNetworks/virtualMachines/read",
        "Microsoft.Network/publicIPAddresses/write",
        "Microsoft.Network/publicIPAddresses/read",
        "Microsoft.Network/publicIPAddresses/delete",
        "Microsoft.Network/networkSecurityGroups/securityRules/read",
        "Microsoft.Network/networkSecurityGroups/securityRules/write",
        "Microsoft.Network/networkSecurityGroups/securityRules/delete",
        "Microsoft.Network/publicIPAddresses/join/action",
        "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read",
        "Microsoft.Network/networkInterfaces/ipConfigurations/read",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/deployments/delete",
        "Microsoft.Resources/deployments/cancel/action",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Authorization/roleDefinitions/write",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read",
        "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write",
        "Microsoft.Network/networkSecurityGroups/delete",
        "Microsoft.Storage/storageAccounts/delete",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/deployments/operationStatuses/read",
        "Microsoft.Authorization/roleAssignments/read"
    ],
    "NotActions": [],
    "AssignableScopes": [],
    "Description": "Azure SetupAsService",
    "IsCustom": "true"
}

  2. Modificare il JSON aggiungendo il proprio ID di abbonamento Azure all'ambito assegnabile.

    Esempio

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz"
],

  3. Utilizzare il file JSON per creare un ruolo personalizzato in Azure.

    I passaggi seguenti descrivono come creare il ruolo utilizzando Bash in Azure Cloud Shell.

    1. Inizio "Azure Cloud Shell" E scegliere l'ambiente Bash.

    2. Caricare il file JSON.

      Schermata di Azure Cloud Shell in cui è possibile scegliere l'opzione per caricare un file.

    3. Immettere il seguente comando Azure CLI:

      az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json

    Ora dovresti avere un ruolo personalizzato chiamato Azure SetupAsService. È ora possibile applicare questo ruolo personalizzato al proprio account utente o a un service principal.

Fase 3: Configurare l'autenticazione

Quando si crea il connettore da BlueXP, è necessario fornire un login che consenta a BlueXP di autenticarsi con Azure e implementare la macchina virtuale. Sono disponibili due opzioni:

  1. Accedi con l'account Azure quando richiesto. Questo account deve disporre di autorizzazioni Azure specifiche. Questa è l'opzione predefinita.

  2. Fornire dettagli su un'entità del servizio Microsoft Entra. Questa entità del servizio richiede anche autorizzazioni specifiche.

Seguire la procedura per preparare uno di questi metodi di autenticazione per l'utilizzo con BlueXP.

Account Azure

Assegnare il ruolo personalizzato all'utente che implementerà il connettore da BlueXP.

Fasi

  1. Nel portale Azure, aprire il servizio Subscriptions e selezionare l'abbonamento dell'utente.

  2. Fare clic su controllo di accesso (IAM).

  3. Fare clic su Aggiungi > Aggiungi assegnazione ruolo e aggiungere le autorizzazioni:

    1. Selezionare il ruolo Azure SetupAsService e fare clic su Avanti.

      Nota Azure SetupAsService è il nome predefinito fornito nel criterio di implementazione del connettore per Azure. Se si sceglie un nome diverso per il ruolo, selezionare il nome desiderato.

    2. Mantieni selezionata l'opzione User, group o service principal.

    3. Fare clic su Select members (Seleziona membri), scegliere il proprio account utente e fare clic su Select (Seleziona).

    4. Fare clic su Avanti.

    5. Fare clic su Rivedi + assegna.

Risultato

L'utente Azure dispone ora delle autorizzazioni necessarie per implementare il connettore da BlueXP.

Principale del servizio

Invece di effettuare l'accesso con l'account Azure, è possibile fornire a BlueXP le credenziali per un'entità del servizio Azure che dispone delle autorizzazioni necessarie.

Creare e configurare un'entità di servizio in Microsoft Entra ID e ottenere le credenziali di Azure necessarie per BlueXP.

Creare un'applicazione Microsoft Entra per il controllo degli accessi basato sui ruoli

  1. Assicurarsi di disporre delle autorizzazioni in Azure per creare un'applicazione Active Directory e assegnarla a un ruolo.

    Per ulteriori informazioni, fare riferimento a. "Documentazione di Microsoft Azure: Autorizzazioni richieste"

  2. Dal portale di Azure, aprire il servizio Microsoft Entra ID.

    Mostra il servizio Active Directory in Microsoft Azure.

  3. Nel menu, selezionare App Registrations.

  4. Selezionare Nuova registrazione.

  5. Specificare i dettagli dell'applicazione:

    • Nome: Immettere un nome per l'applicazione.

    • Tipo di account: Selezionare un tipo di account (qualsiasi sarà compatibile con BlueXP).

    • Reindirizza URI: Questo campo può essere lasciato vuoto.

  6. Selezionare Registra.

    Hai creato l'applicazione ad e il service principal.

Assegnare il ruolo personalizzato all'applicazione

  1. Dal portale Azure, aprire il servizio Subscriptions.

  2. Selezionare l'abbonamento.

  3. Fare clic su Access control (IAM) > Add > Add role assignment (controllo accesso (IAM) > Add > Add role assign

  4. Nella scheda ruolo, selezionare il ruolo operatore BlueXP e fare clic su Avanti.

  5. Nella scheda membri, completare la seguente procedura:

    1. Mantieni selezionata l'opzione User, group o service principal.

    2. Fare clic su Seleziona membri.

      Schermata del portale Azure che mostra la scheda membri quando si aggiunge un ruolo a un'applicazione.

    3. Cercare il nome dell'applicazione.

      Ecco un esempio:

    Schermata del portale Azure che mostra il modulo Add role assignment nel portale Azure.

    1. Selezionare l'applicazione e fare clic su Select (Seleziona).

    2. Fare clic su Avanti.

  6. Fare clic su Rivedi + assegna.

    L'entità del servizio dispone ora delle autorizzazioni Azure necessarie per implementare il connettore.

    Se si desidera gestire le risorse in più sottoscrizioni Azure, è necessario associare l'entità del servizio a ciascuna di queste sottoscrizioni. Ad esempio, BlueXP consente di selezionare l'abbonamento che si desidera utilizzare durante l'implementazione di Cloud Volumes ONTAP.

Aggiungere le autorizzazioni API per la gestione dei servizi Windows Azure

  1. Nel servizio Microsoft Entra ID, selezionare registrazioni app e selezionare l'applicazione.

  2. Selezionare API permissions > Add a permission (autorizzazioni API > Aggiungi autorizzazione).

  3. In Microsoft API, selezionare Azure Service Management.

    Una schermata del portale Azure che mostra le autorizzazioni API di Azure Service Management.

  4. Selezionare Access Azure Service Management as organization users (accesso a Azure Service Management come utenti dell'organizzazione), quindi selezionare Add permissions (Aggiungi autorizzazioni).

    Una schermata del portale Azure che mostra l'aggiunta delle API di gestione dei servizi Azure.

Ottenere l'ID dell'applicazione e l'ID della directory per l'applicazione

  1. Nel servizio Microsoft Entra ID, selezionare registrazioni app e selezionare l'applicazione.

  2. Copiare Application (client) ID e Directory (tenant) ID.

    Una schermata che mostra l'ID dell'applicazione (client) e l'ID della directory (tenant) per un'applicazione in Microsoft Entra IDy.

    Quando si aggiunge l'account Azure a BlueXP, è necessario fornire l'ID dell'applicazione (client) e l'ID della directory (tenant) per l'applicazione. BlueXP utilizza gli ID per effettuare l'accesso a livello di programmazione.

Creare un client segreto

  1. Aprire il servizio Microsoft Entra ID.

  2. Selezionare App Registrations e selezionare l'applicazione.

  3. Selezionare certificati e segreti > nuovo segreto client.

  4. Fornire una descrizione del segreto e una durata.

  5. Selezionare Aggiungi.

  6. Copiare il valore del client secret.

    Uno screenshot del portale di Azure che mostra un segreto client per l'entità del servizio Microsoft Entra.

    A questo punto, si dispone di una chiave segreta del client che BlueXP può utilizzare per eseguire l'autenticazione con Microsoft Entra ID.

Risultato

L'entità del servizio è ora impostata e l'ID dell'applicazione (client), l'ID della directory (tenant) e il valore del client secret dovrebbero essere stati copiati. Inserire queste informazioni in BlueXP quando si crea il connettore.

Fase 4: Creare il connettore

Creare il connettore direttamente dalla console BlueXP basata sul Web.

A proposito di questa attività

La creazione del connettore da BlueXP implementa una macchina virtuale in Azure usando una configurazione predefinita. Dopo aver creato il connettore, non si dovrebbe passare a un tipo di VM più piccolo che abbia meno CPU o RAM. "Informazioni sulla configurazione predefinita del connettore".

Prima di iniziare

Dovresti disporre di quanto segue:

  • Un abbonamento Azure.

  • Una VNET e una subnet nella regione Azure desiderata.

  • Dettagli su un server proxy, se l'organizzazione richiede un proxy per tutto il traffico Internet in uscita:

    • Indirizzo IP

    • Credenziali

    • Certificato HTTPS

  • Una chiave pubblica SSH, se si desidera utilizzare tale metodo di autenticazione per la macchina virtuale Connector. L'altra opzione per il metodo di autenticazione consiste nell'utilizzare una password.

    "Scopri di più sulla connessione a una macchina virtuale Linux in Azure"

  • Se non si desidera che BlueXP crei automaticamente un ruolo Azure per il connettore, sarà necessario crearne uno personalizzato "utilizzando il criterio riportato in questa pagina".

    Queste autorizzazioni sono valide per l'istanza del connettore. Si tratta di un set di autorizzazioni diverso da quello precedentemente impostato per l'implementazione della macchina virtuale del connettore.

Fasi

  1. Selezionare l'elenco a discesa Connector (connettore) e selezionare Add Connector (Aggiungi connettore).

    Una schermata che mostra l'icona del connettore nell'intestazione e l'azione Add Connector.

  2. Scegli Microsoft Azure come tuo cloud provider.

  3. Nella pagina implementazione di un connettore:

    1. In Authentication (autenticazione), selezionare l'opzione di autenticazione che corrisponde alla modalità di impostazione delle autorizzazioni Azure:

      • Selezionare account utente Azure per accedere all'account Microsoft, che dovrebbe disporre delle autorizzazioni necessarie.

        Il modulo è di proprietà e ospitato da Microsoft. Le tue credenziali non vengono fornite a NetApp.

      Suggerimento Se hai già effettuato l'accesso a un account Azure, BlueXP utilizzerà automaticamente tale account. Se disponi di più account, potrebbe essere necessario prima disconnettersi per assicurarsi di utilizzare l'account corretto.

      • Selezionare identità servizio Active Directory per immettere le informazioni sull'entità del servizio Microsoft Entra che concede le autorizzazioni richieste:

        • ID dell'applicazione (client)

        • ID directory (tenant)

        • Segreto del client

    Scopri come ottenere questi valori per un service principal.

  4. Seguire i passaggi della procedura guidata per creare il connettore:

    • VM Authentication: Scegliere un abbonamento Azure, una posizione, un nuovo gruppo di risorse o un gruppo di risorse esistente, quindi scegliere un metodo di autenticazione per la macchina virtuale Connector che si sta creando.

      Il metodo di autenticazione per la macchina virtuale può essere una password o una chiave pubblica SSH.

    "Scopri di più sulla connessione a una macchina virtuale Linux in Azure"

    • Dettagli: Immettere un nome per l'istanza, specificare i tag e scegliere se si desidera che BlueXP crei un nuovo ruolo con le autorizzazioni richieste o se si desidera selezionare un ruolo esistente impostato "le autorizzazioni richieste".

      Nota: Puoi scegliere le sottoscrizioni Azure associate a questo ruolo. Ogni abbonamento scelto fornisce le autorizzazioni di connessione per gestire le risorse in tale abbonamento (ad esempio, Cloud Volumes ONTAP).

    • Rete: Scegliere un VNET e una subnet, se attivare un indirizzo IP pubblico e, facoltativamente, specificare una configurazione proxy.

    • Security Group: Scegliere se creare un nuovo gruppo di sicurezza o se selezionare un gruppo di sicurezza esistente che consenta le regole in entrata e in uscita richieste.

      "Visualizza le regole del gruppo di sicurezza per Azure".

    • Revisione: Controllare le selezioni per verificare che la configurazione sia corretta.

  5. Fare clic su Aggiungi.

    La macchina virtuale dovrebbe essere pronta in circa 7 minuti. Si consiglia di rimanere sulla pagina fino al completamento del processo.

Risultato

Una volta completato il processo, il connettore è disponibile per l'utilizzo da parte di BlueXP.

Se disponi di storage Azure Blob nella stessa iscrizione di Azure in cui hai creato il connettore, visualizzerai automaticamente un ambiente di lavoro dello storage di Azure Blob su BlueXP Canvas. "Scopri come gestire lo storage BLOB di Azure da BlueXP"