Prepararsi per l'implementazione in modalità privata
Preparare l'ambiente prima di implementare BlueXP in modalità privata. Ad esempio, è necessario rivedere i requisiti degli host, preparare il networking, impostare le autorizzazioni e molto altro ancora.
|
Per utilizzare BlueXP in "Cloud segreto AWS" o il "Cloud AWS top secret" , seguire le istruzioni specifiche per quegli ambienti. "Scopri come iniziare a utilizzare Cloud Volumes ONTAP nel cloud segreto AWS o nel cloud top secret" |
Passaggio 1: Comprendere il funzionamento della modalità privata
Prima di iniziare, è opportuno comprendere il funzionamento della modalità privata.
Ad esempio, è necessario utilizzare l'interfaccia basata sul browser disponibile localmente dal connettore installato. Non è possibile accedere a BlueXP dalla console basata sul Web fornita tramite il layer SaaS.
Inoltre, non tutte le funzionalità e i servizi sono disponibili.
Passaggio 2: Esaminare le opzioni di installazione
In modalità privata, è possibile installare il connettore on-premise o nel cloud installando manualmente il connettore sul proprio host Linux.
Il punto in cui viene installato il connettore determina quali servizi e funzionalità di BlueXP sono disponibili quando si utilizza la modalità privata. Ad esempio, per implementare e gestire Cloud Volumes ONTAP, il connettore deve essere installato nel cloud. "Ulteriori informazioni sulla modalità privata".
Fase 3: Esaminare i requisiti dell'host
Per eseguire il software Connector, l'host deve soddisfare requisiti specifici del sistema operativo, requisiti di RAM, requisiti di porta e così via.
- Host dedicato
-
Il connettore non è supportato su un host condiviso con altre applicazioni. L'host deve essere un host dedicato.
L'host può essere di qualsiasi architettura che soddisfi i seguenti requisiti di dimensioni:
-
CPU: 8 core o 8 vCPU
-
RAM: 32 GB
-
- requisiti del sistema operativo e del contenitore
-
BlueXP supporta il connettore con i seguenti sistemi operativi quando si utilizza BlueXP in modalità privata. Prima di installare il connettore è necessario uno strumento di orchestrazione del container.
Sistema operativo Versioni di OS supportate Versioni di connettori supportate Attrezzo contenitore richiesto SELinux Red Hat Enterprise Linux
da 9,1 a 9,4
da 8,6 a 8,10
3.9.42 o versione successiva con BlueXP in modalità privata
Podman versione 4.6.1 o 4.9.4
Supportato in modalità enforcing o permissiva 1
Ubuntu
22,04 LTS
3.9.29 o versione successiva
Docker Engine da 23.0.6 a 26.0.0
26.0.0 è supportato con nuovo connettore 3.9.44 o installazioni successive
Non supportato
Note:
-
La gestione dei sistemi Cloud Volumes ONTAP non è supportata dai connettori che hanno SELinux abilitato sul sistema operativo.
-
Il connettore è supportato dalle versioni in lingua inglese di questi sistemi operativi.
-
Per RHEL, l'host deve essere registrato con Red Hat Subscription Management. Se non è registrato, l'host non può accedere ai repository per aggiornare il software di terze parti richiesto durante l'installazione del connettore.
-
- Hypervisor
-
È necessario un hypervisor bare metal o in hosting certificato per l'esecuzione di un sistema operativo supportato.
- CPU
-
8 core o 8 vCPU
- RAM
-
32 GB
- Tipo di istanza AWS EC2
-
Un tipo di istanza che soddisfa i requisiti di CPU e RAM indicati in precedenza. Si consiglia di utilizzare t3.2xlarge.
- Dimensione delle macchine virtuali Azure
-
Un tipo di istanza che soddisfa i requisiti di CPU e RAM indicati in precedenza. Si consiglia di utilizzare Standard_D8s_v3.
- Tipo di macchina Google Cloud
-
Un tipo di istanza che soddisfa i requisiti di CPU e RAM indicati in precedenza. Consigliamo n2-standard-8.
Il connettore è supportato in Google Cloud su un'istanza di macchina virtuale con un sistema operativo che supporta "Funzioni di VM schermate"
- Spazio su disco in /opz
-
100 GiB di spazio deve essere disponibile
BlueXP utilizza
/opt
per installare la/opt/application/netapp
directory e il relativo contenuto. - Spazio su disco in /var
-
20 GiB di spazio deve essere disponibile
BlueXP richiede questo spazio in
/var
Perché Docker o Podman sono progettati per creare i container all'interno di questa directory. In particolare, creeranno contenitori in/var/lib/containers/storage
directory. Montaggi esterni o collegamenti simbolici non funzionano per questo spazio.
Passaggio 4: Installare Podman o Docker Engine
Devi preparare l'host per il connettore installando Podman o Docker Engine.
A seconda del sistema operativo in uso, prima di installare il connettore è necessario utilizzare Podman o Docker Engine.
-
Podman è necessario per Red Hat Enterprise Linux 8 e 9.
-
Docker Engine è richiesto per Ubuntu.
Per installare Podman e configurarlo in modo che soddisfi i seguenti requisiti, procedere come segue:
-
Abilita e avvia il servizio podman.socket
-
Installare python3
-
Installa il pacchetto podman-compose versione 1.0.6
-
Aggiungere podman-compose alla variabile d'ambiente PATH
|
Quando si utilizza Podman, modificare la porta del servizio aardvark-dns (predefinita: 53) dopo l'installazione del connettore per evitare conflitti con la porta DNS sull'host. Seguire le istruzioni per configurare la porta. |
-
Rimuovere il pacchetto podman-docker se è installato sull'host.
dnf remove podman-docker rm /var/run/docker.sock
-
Installa Podman.
Podman è disponibile presso i repository ufficiali di Red Hat Enterprise Linux.
Per Red Hat Enterprise Linux 9:
sudo dnf install podman-2:<version>
Dove <version> è la versione supportata di Podman che stai installando. Visualizza le versioni di Podman supportate da BlueXP .
Per Red Hat Enterprise Linux 8:
sudo dnf install podman-3:<version>
Dove <version> è la versione supportata di Podman che stai installando. Visualizza le versioni di Podman supportate da BlueXP .
-
Abilitare e avviare il servizio podman.socket.
sudo systemctl enable --now podman.socket
-
Installare python3.
sudo dnf install python3
-
Installare il pacchetto repository EPEL se non è già disponibile sul sistema.
Questo passaggio è necessario perché podman-compose è disponibile nel repository Extra Packages for Enterprise Linux (EPEL).
Per Red Hat Enterprise Linux 9:
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
Per Red Hat Enterprise Linux 8:
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
-
Installare il pacchetto podman-Compose 1,0.6.
sudo dnf install podman-compose-1.0.6
Utilizzando il dnf install
Il comando soddisfa il requisito per aggiungere podman-compose alla variabile di ambiente PATH. Il comando di installazione aggiunge podman-componete a /usr/bin, che è già incluso insecure_path
sull'host.
Segui la documentazione di Docker per installare Docker Engine.
-
"Consulta le istruzioni di installazione di Docker"
Assicurati di seguire la procedura per installare una versione specifica di Docker Engine. L'installazione della versione più recente installerà una versione di Docker che BlueXP non supporta.
-
Verifica che Docker sia abilitato e in esecuzione.
sudo systemctl enable docker && sudo systemctl start docker
Fase 5: Preparare il collegamento in rete
Configura la rete per il connettore per gestire le risorse nel tuo cloud pubblico. Oltre ad avere una rete virtuale e una subnet per il connettore, assicurati che siano soddisfatti i seguenti requisiti. Connessioni alle reti di destinazione: il connettore deve disporre di una connessione di rete alla posizione in cui intendi gestire lo storage. Ad esempio, il VPC o VNET in cui si intende implementare Cloud Volumes ONTAP o il data center in cui risiedono i cluster ONTAP on-premise.
- Endpoint per le operazioni quotidiane
-
Se hai in programma di creare sistemi Cloud Volumes ONTAP, il connettore deve essere connesso agli endpoint nelle risorse pubblicamente disponibili del tuo cloud provider.
Endpoint Scopo Servizi AWS (amazonaws.com):
-
CloudFormation
-
Elastic Compute Cloud (EC2)
-
Gestione delle identità e degli accessi (IAM)
-
Servizio di gestione delle chiavi (KMS)
-
Servizio token di sicurezza (STS)
-
S3 (Simple Storage Service)
Per gestire le risorse in AWS. L'endpoint esatto dipende dall'area AWS che stai utilizzando. "Per ulteriori informazioni, fare riferimento alla documentazione AWS"
https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.netPer gestire le risorse nelle aree pubbliche di Azure.
https://management.azure.microsoft.scloud
https://login.microsoftonline.microsoft.scloud
https://blob.core.microsoft.scloud
https://core.microsoft.scloudPer gestire le risorse nell'area Azure IL6.
https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cnPer gestire le risorse nelle regioni Azure China.
https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projectsPer gestire le risorse in Google Cloud.
-
- Indirizzo IP pubblico in Azure
-
Se si desidera utilizzare un indirizzo IP pubblico con la macchina virtuale del connettore in Azure, l'indirizzo IP deve utilizzare una SKU di base per assicurarsi che BlueXP utilizzi questo indirizzo IP pubblico.
Se invece si utilizza un indirizzo IP SKU standard, BlueXP utilizza l'indirizzo private IP del connettore, invece dell'indirizzo IP pubblico. Se il computer utilizzato per accedere a BlueXP Console non dispone dell'accesso a tale indirizzo IP privato, le azioni da BlueXP Console non avranno esito positivo.
- Server proxy
-
NetApp supporta configurazioni proxy sia esplicite che trasparenti. Se si utilizza un proxy trasparente, è necessario fornire solo il certificato per il server proxy. Se si utilizza un proxy esplicito, saranno necessari anche l'indirizzo IP e le credenziali.
-
Indirizzo IP
-
Credenziali
-
Certificato HTTPS
Con la modalità privata, l'unica volta in cui BlueXP invia il traffico in uscita è al provider cloud per creare un sistema Cloud Volumes ONTAP.
-
- Porte
-
Non c'è traffico in entrata verso il connettore, a meno che non venga avviato.
HTTP (80) e HTTPS (443) forniscono l'accesso alla console BlueXP. SSH (22) è necessario solo se è necessario connettersi all'host per la risoluzione dei problemi.
- Enable NTP (attiva NTP)
-
Se stai pensando di utilizzare la classificazione BlueXP per analizzare le origini dati aziendali, dovresti attivare un servizio NTP (Network Time Protocol) sia sul sistema del connettore BlueXP che sul sistema di classificazione BlueXP in modo che l'ora venga sincronizzata tra i sistemi. "Scopri di più sulla classificazione BlueXP"
Passaggio 6: Preparare le autorizzazioni del cloud
Se il connettore è installato nel cloud e si prevede di creare sistemi Cloud Volumes ONTAP, BlueXP richiede le autorizzazioni del provider cloud. È necessario impostare le autorizzazioni nel provider cloud e associarle all'istanza di Connector dopo l'installazione.
Per visualizzare i passaggi richiesti, selezionare l'opzione di autenticazione che si desidera utilizzare per il provider di servizi cloud.
Utilizzare un ruolo IAM per fornire al connettore le autorizzazioni. Sarà necessario associare manualmente il ruolo all'istanza EC2 per il connettore.
-
Accedere alla console AWS e accedere al servizio IAM.
-
Creare una policy:
-
Selezionare Criteri > Crea policy.
-
Selezionare JSON e copiare e incollare il contenuto di "Policy IAM per il connettore".
-
Completare i passaggi rimanenti per creare il criterio.
-
-
Creare un ruolo IAM:
-
Selezionare ruoli > Crea ruolo.
-
Selezionare servizio AWS > EC2.
-
Aggiungere le autorizzazioni allegando il criterio appena creato.
-
Completare i passaggi rimanenti per creare il ruolo.
-
Ora hai un ruolo IAM per l'istanza di Connector EC2.
Impostare le autorizzazioni e una chiave di accesso per un utente IAM. Dopo aver installato il connettore e configurato BlueXP, fornisci a BlueXP la chiave di accesso AWS.
-
Accedere alla console AWS e accedere al servizio IAM.
-
Creare una policy:
-
Selezionare Criteri > Crea policy.
-
Selezionare JSON e copiare e incollare il contenuto di "Policy IAM per il connettore".
-
Completare i passaggi rimanenti per creare il criterio.
A seconda dei servizi BlueXP che si intende utilizzare, potrebbe essere necessario creare una seconda policy.
Per le regioni standard, le autorizzazioni sono distribuite in due policy. Sono necessarie due policy a causa di un limite massimo di dimensioni dei caratteri per le policy gestite in AWS. "Scopri di più sulle policy IAM per il connettore".
-
-
Allegare i criteri a un utente IAM.
-
Assicurarsi che l'utente disponga di una chiave di accesso che è possibile aggiungere a BlueXP dopo aver installato il connettore.
L'account dispone ora delle autorizzazioni necessarie.
Creare un ruolo personalizzato Azure con le autorizzazioni richieste. Assegnare questo ruolo alla VM del connettore.
Si noti che è possibile creare un ruolo personalizzato di Azure utilizzando il portale Azure, Azure PowerShell, Azure CLI o REST API. I passaggi seguenti mostrano come creare il ruolo utilizzando la CLI di Azure. Se si preferisce utilizzare un metodo diverso, fare riferimento a. "Documentazione di Azure"
-
Abilitare un'identità gestita assegnata dal sistema sulla macchina virtuale in cui si intende installare il connettore in modo da poter fornire le autorizzazioni necessarie per Azure attraverso un ruolo personalizzato.
-
Copiare il contenuto di "Autorizzazioni di ruolo personalizzate per il connettore" E salvarli in un file JSON.
-
Modificare il file JSON aggiungendo gli ID di abbonamento Azure all'ambito assegnabile.
Aggiungere l'ID per ogni abbonamento Azure che si desidera utilizzare con BlueXP.
Esempio
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
Utilizzare il file JSON per creare un ruolo personalizzato in Azure.
I passaggi seguenti descrivono come creare il ruolo utilizzando Bash in Azure Cloud Shell.
-
Inizio "Azure Cloud Shell" E scegliere l'ambiente Bash.
-
Caricare il file JSON.
-
Utilizzare la CLI di Azure per creare il ruolo personalizzato:
az role definition create --role-definition Connector_Policy.json
-
A questo punto, dovrebbe essere disponibile un ruolo personalizzato denominato BlueXP Operator che è possibile assegnare alla macchina virtuale Connector.
Creare e configurare un'entità di servizio in Microsoft Entra ID e ottenere le credenziali di Azure necessarie per BlueXP. È necessario fornire queste credenziali a BlueXP dopo aver installato il connettore e configurato BlueXP.
-
Assicurarsi di disporre delle autorizzazioni in Azure per creare un'applicazione Active Directory e assegnarla a un ruolo.
Per ulteriori informazioni, fare riferimento a. "Documentazione di Microsoft Azure: Autorizzazioni richieste"
-
Dal portale di Azure, aprire il servizio Microsoft Entra ID.
-
Nel menu, selezionare App Registrations.
-
Selezionare Nuova registrazione.
-
Specificare i dettagli dell'applicazione:
-
Nome: Immettere un nome per l'applicazione.
-
Tipo di account: Selezionare un tipo di account (qualsiasi sarà compatibile con BlueXP).
-
Reindirizza URI: Questo campo può essere lasciato vuoto.
-
-
Selezionare Registra.
Hai creato l'applicazione ad e il service principal.
-
Creare un ruolo personalizzato:
Si noti che è possibile creare un ruolo personalizzato di Azure utilizzando il portale Azure, Azure PowerShell, Azure CLI o REST API. I passaggi seguenti mostrano come creare il ruolo utilizzando la CLI di Azure. Se si preferisce utilizzare un metodo diverso, fare riferimento a. "Documentazione di Azure"
-
Copiare il contenuto di "Autorizzazioni di ruolo personalizzate per il connettore" E salvarli in un file JSON.
-
Modificare il file JSON aggiungendo gli ID di abbonamento Azure all'ambito assegnabile.
È necessario aggiungere l'ID per ogni abbonamento Azure da cui gli utenti creeranno i sistemi Cloud Volumes ONTAP.
Esempio
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
Utilizzare il file JSON per creare un ruolo personalizzato in Azure.
I passaggi seguenti descrivono come creare il ruolo utilizzando Bash in Azure Cloud Shell.
-
Inizio "Azure Cloud Shell" E scegliere l'ambiente Bash.
-
Caricare il file JSON.
-
Utilizzare la CLI di Azure per creare il ruolo personalizzato:
az role definition create --role-definition Connector_Policy.json
A questo punto, dovrebbe essere disponibile un ruolo personalizzato denominato BlueXP Operator che è possibile assegnare alla macchina virtuale Connector.
-
-
-
Assegnare l'applicazione al ruolo:
-
Dal portale Azure, aprire il servizio Subscriptions.
-
Selezionare l'abbonamento.
-
Selezionare controllo di accesso (IAM) > Aggiungi > Aggiungi assegnazione ruolo.
-
Nella scheda ruolo, selezionare il ruolo operatore BlueXP e selezionare Avanti.
-
Nella scheda membri, completare la seguente procedura:
-
Mantieni selezionata l'opzione User, group o service principal.
-
Seleziona Seleziona membri.
-
Cercare il nome dell'applicazione.
Ecco un esempio:
-
Selezionare l'applicazione e selezionare Seleziona.
-
Selezionare Avanti.
-
-
Selezionare Rivedi + assegna.
L'entità del servizio dispone ora delle autorizzazioni Azure necessarie per implementare il connettore.
Se si desidera implementare Cloud Volumes ONTAP da più sottoscrizioni Azure, è necessario associare l'entità del servizio a ciascuna di queste sottoscrizioni. BlueXP consente di selezionare l'abbonamento che si desidera utilizzare durante l'implementazione di Cloud Volumes ONTAP.
-
-
Nel servizio Microsoft Entra ID, selezionare registrazioni app e selezionare l'applicazione.
-
Selezionare API permissions > Add a permission (autorizzazioni API > Aggiungi autorizzazione).
-
In Microsoft API, selezionare Azure Service Management.
-
Selezionare Access Azure Service Management as organization users (accesso a Azure Service Management come utenti dell'organizzazione), quindi selezionare Add permissions (Aggiungi autorizzazioni).
-
Nel servizio Microsoft Entra ID, selezionare registrazioni app e selezionare l'applicazione.
-
Copiare Application (client) ID e Directory (tenant) ID.
Quando si aggiunge l'account Azure a BlueXP, è necessario fornire l'ID dell'applicazione (client) e l'ID della directory (tenant) per l'applicazione. BlueXP utilizza gli ID per effettuare l'accesso a livello di programmazione.
-
Aprire il servizio Microsoft Entra ID.
-
Selezionare App Registrations e selezionare l'applicazione.
-
Selezionare certificati e segreti > nuovo segreto client.
-
Fornire una descrizione del segreto e una durata.
-
Selezionare Aggiungi.
-
Copiare il valore del client secret.
A questo punto, si dispone di una chiave segreta del client che BlueXP può utilizzare per eseguire l'autenticazione con Microsoft Entra ID.
L'entità del servizio è ora impostata e l'ID dell'applicazione (client), l'ID della directory (tenant) e il valore del client secret dovrebbero essere stati copiati. Immetti queste informazioni in BlueXP quando aggiungi un account Azure.
Creare un ruolo e applicarlo a un account di servizio da utilizzare per l'istanza della macchina virtuale del connettore.
-
Creare un ruolo personalizzato in Google Cloud:
-
Creare un file YAML che includa le autorizzazioni definite in "Policy di Connector per Google Cloud".
-
Da Google Cloud, attiva la shell cloud.
-
Caricare il file YAML che include le autorizzazioni richieste per il connettore.
-
Creare un ruolo personalizzato utilizzando
gcloud iam roles create
comando.Nell'esempio seguente viene creato un ruolo denominato "Connector" a livello di progetto:
gcloud iam roles create connector --project=myproject --file=connector.yaml
-
-
Creare un account di servizio in Google Cloud:
-
Dal servizio IAM & Admin, selezionare account di servizio > Crea account di servizio.
-
Inserire i dettagli dell'account del servizio e selezionare Crea e continua.
-
Selezionare il ruolo appena creato.
-
Completare i passaggi rimanenti per creare il ruolo.
-
A questo punto si dispone di un account di servizio che è possibile assegnare all'istanza della macchina virtuale di Connector.
Passaggio 7: Abilitare le API di Google Cloud
Per distribuire Cloud Volumes ONTAP in Google Cloud è necessario abilitare diverse API.
-
"Abilita le seguenti API di Google Cloud nel tuo progetto"
-
API di Cloud Deployment Manager V2
-
API Cloud Logging
-
API Cloud Resource Manager
-
API di Compute Engine
-
API IAM (Identity and Access Management)
-
API di Cloud Key Management Service (KMS)
(Necessario solo se si intende utilizzare il backup e ripristino BlueXP con le chiavi di crittografia gestite dal cliente (CMEK))
-