Skip to main content
NetApp Console setup and administration
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Crea un agente Console in AWS dalla NetApp Console

Collaboratori netapp-tonias
PDF

È possibile creare un agente Console in AWS direttamente dalla NetApp Console. Prima di creare un agente Console in AWS dalla Console, è necessario configurare la rete e preparare le autorizzazioni AWS.

Prima di iniziare

Passaggio 1: configurare la rete per la distribuzione di un agente della console in AWS

Assicurarsi che il percorso di rete in cui si prevede di installare l'agente Console supporti i seguenti requisiti. Questi requisiti consentono all'agente della console di gestire risorse e processi nel cloud ibrido.

VPC e sottorete

Quando si crea l'agente Console, è necessario specificare la VPC e la subnet in cui deve risiedere.

Connessioni alle reti di destinazione

L'agente Console richiede una connessione di rete alla posizione in cui si prevede di creare e gestire i sistemi. Ad esempio, la rete in cui intendi creare sistemi Cloud Volumes ONTAP o un sistema di archiviazione nel tuo ambiente locale.

Accesso a Internet in uscita

La posizione di rete in cui si distribuisce l'agente Console deve disporre di una connessione Internet in uscita per contattare endpoint specifici.

Endpoint contattati dall'agente della console

L'agente della console necessita di accesso a Internet in uscita per contattare i seguenti endpoint per gestire risorse e processi all'interno dell'ambiente cloud pubblico per le operazioni quotidiane.

Gli endpoint elencati di seguito sono tutti voci CNAME.

Punti finali Scopo

Servizi AWS (amazonaws.com):

  • Formazione delle nuvole

  • Elastic Compute Cloud (EC2)

  • Gestione dell'identità e degli accessi (IAM)

  • Servizio di gestione delle chiavi (KMS)

  • Servizio token di sicurezza (STS)

  • Servizio di archiviazione semplice (S3)

Per gestire le risorse AWS. L'endpoint dipende dalla tua regione AWS. "Per i dettagli, fare riferimento alla documentazione AWS"

\ https://mysupport.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp .

\ https://support.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp .

\ https://signin.b2c.netapp.com

Per aggiornare le credenziali del sito di supporto NetApp (NSS) o per aggiungere nuove credenziali NSS alla NetApp Console.

\ https://support.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp , nonché per ricevere aggiornamenti software per Cloud Volumes ONTAP.

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Per fornire funzionalità e servizi all'interno della NetApp Console.

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Per ottenere immagini per gli aggiornamenti dell'agente della console.

  • Quando si distribuisce un nuovo agente, il controllo di convalida verifica la connettività agli endpoint correnti. Se usi"punti finali precedenti" , il controllo di convalida fallisce. Per evitare questo errore, saltare il controllo di convalida.

    Sebbene gli endpoint precedenti siano ancora supportati, NetApp consiglia di aggiornare le regole del firewall agli endpoint correnti il ​​prima possibile. "Scopri come aggiornare l'elenco degli endpoint" .

  • Quando esegui l'aggiornamento agli endpoint correnti nel firewall, gli agenti esistenti continueranno a funzionare.
Endpoint contattati dalla console NetApp

Utilizzando la NetApp Console basata sul Web fornita tramite il livello SaaS, questa contatta diversi endpoint per completare le attività di gestione dei dati. Sono inclusi gli endpoint contattati per distribuire l'agente della Console dalla Console.

"Visualizza l'elenco degli endpoint contattati dalla console NetApp" .

Server proxy

NetApp supporta sia configurazioni proxy esplicite che trasparenti. Se si utilizza un proxy trasparente, è necessario fornire solo il certificato per il server proxy. Se si utilizza un proxy esplicito, saranno necessari anche l'indirizzo IP e le credenziali.

  • indirizzo IP

  • Credenziali

  • Certificato HTTPS

porti

Non c'è traffico in entrata verso l'agente della console, a meno che non venga avviato dall'utente o utilizzato come proxy per inviare messaggi AutoSupport da Cloud Volumes ONTAP al supporto NetApp .

  • HTTP (80) e HTTPS (443) forniscono l'accesso all'interfaccia utente locale, che utilizzerai in rare circostanze.

  • SSH (22) è necessario solo se è necessario connettersi all'host per la risoluzione dei problemi.

  • Le connessioni in ingresso sulla porta 3128 sono necessarie se si distribuiscono sistemi Cloud Volumes ONTAP in una subnet in cui non è disponibile una connessione Internet in uscita.

    Se i sistemi Cloud Volumes ONTAP non dispongono di una connessione Internet in uscita per inviare messaggi AutoSupport , la Console configura automaticamente tali sistemi per utilizzare un server proxy incluso nell'agente della Console. L'unico requisito è assicurarsi che il gruppo di sicurezza dell'agente Console consenta connessioni in entrata sulla porta 3128. Sarà necessario aprire questa porta dopo aver distribuito l'agente Console.

Abilita NTP

Se si prevede di utilizzare NetApp Data Classification per analizzare le origini dati aziendali, è necessario abilitare un servizio Network Time Protocol (NTP) sia sull'agente della console sia sul sistema NetApp Data Classification, in modo che l'ora sia sincronizzata tra i sistemi. "Scopri di più sulla classificazione dei dati NetApp"

Sarà necessario implementare questo requisito di rete dopo aver creato l'agente Console.

Passaggio 2: impostare le autorizzazioni AWS per l'agente della console

La Console deve autenticarsi con AWS prima di poter distribuire l'istanza dell'agente della Console nella VPC. Puoi scegliere uno di questi metodi di autenticazione:

  • Consentire alla Console di assumere un ruolo IAM che disponga delle autorizzazioni richieste

  • Fornire una chiave di accesso AWS e una chiave segreta per un utente IAM che dispone delle autorizzazioni richieste

In entrambe le opzioni, il primo passo è creare un criterio IAM. Questa policy contiene solo le autorizzazioni necessarie per avviare l'istanza dell'agente Console in AWS dalla Console.

Se necessario, è possibile limitare la policy IAM utilizzando l'IAM Condition elemento. "Documentazione AWS: Elemento Condizione"

Passi

  1. Vai alla console AWS IAM.

  2. Selezionare Criteri > Crea criterio.

  3. Selezionare JSON.

  4. Copia e incolla la seguente policy:

    Questa policy contiene solo le autorizzazioni necessarie per avviare l'istanza dell'agente Console in AWS dalla Console. Quando la Console crea l'agente della Console, applica un nuovo set di autorizzazioni all'istanza dell'agente della Console che consente all'agente della Console di gestire le risorse AWS. "Visualizza le autorizzazioni richieste per l'istanza dell'agente Console stessa" .

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:DeleteRole",
        "iam:PutRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:DeleteRolePolicy",
        "iam:AddRoleToInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeleteInstanceProfile",
        "iam:PassRole",
        "iam:ListRoles",
        "ec2:DescribeInstanceStatus",
        "ec2:RunInstances",
        "ec2:ModifyInstanceAttribute",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeInstances",
        "ec2:CreateTags",
        "ec2:DescribeImages",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeLaunchTemplates",
        "ec2:CreateLaunchTemplate",
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:ValidateTemplate",
        "ec2:AssociateIamInstanceProfile",
        "ec2:DescribeIamInstanceProfileAssociations",
        "ec2:DisassociateIamInstanceProfile",
        "iam:GetRole",
        "iam:TagRole",
        "kms:ListAliases",
        "cloudformation:ListStacks"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/OCCMInstance": "*"
        }
      },
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

  5. Selezionare Avanti e aggiungere tag, se necessario.

  6. Selezionare Avanti e immettere un nome e una descrizione.

  7. Selezionare Crea policy.

  8. È possibile associare il criterio a un ruolo IAM che la Console può assumere oppure a un utente IAM in modo da poter fornire alla Console le chiavi di accesso:

    • (Opzione 1) Impostare un ruolo IAM che la Console può assumere:

      1. Vai alla console AWS IAM nell'account di destinazione.

      2. In Gestione accessi, seleziona Ruoli > Crea ruolo e segui i passaggi per creare il ruolo.

      3. In Tipo di entità attendibile, seleziona Account AWS.

      4. Seleziona Un altro account AWS e inserisci l'ID dell'account SaaS della console: 952013314444

      5. Seleziona la policy creata nella sezione precedente.

      6. Dopo aver creato il ruolo, copia l'ARN del ruolo in modo da poterlo incollare nella Console quando crei l'agente della Console.

    • (Opzione 2) Impostare le autorizzazioni per un utente IAM in modo da poter fornire alla Console le chiavi di accesso:

      1. Dalla console AWS IAM, seleziona Utenti e poi seleziona il nome utente.

      2. Seleziona Aggiungi autorizzazioni > Allega direttamente i criteri esistenti.

      3. Seleziona la policy che hai creato.

      4. Selezionare Avanti e quindi Aggiungi autorizzazioni.

      5. Assicurati di disporre della chiave di accesso e della chiave segreta per l'utente IAM.

Risultato

Ora dovresti avere un ruolo IAM con le autorizzazioni richieste o un utente IAM con le autorizzazioni richieste. Quando si crea l'agente Console dalla Console, è possibile fornire informazioni sul ruolo o sulle chiavi di accesso.

Passaggio 3: creare l'agente della console

Creare l'agente Console direttamente dalla console basata sul Web.

Informazioni su questo compito

  • La creazione dell'agente Console dalla Console distribuisce un'istanza EC2 in AWS utilizzando una configurazione predefinita. Non passare a un'istanza EC2 più piccola con meno CPU o meno RAM dopo aver creato l'agente Console. "Scopri la configurazione predefinita per l'agente Console" .

  • Quando la Console crea l'agente Console, crea anche un ruolo IAM e un profilo istanza per l'istanza. Questo ruolo include autorizzazioni che consentono all'agente della console di gestire le risorse AWS. Assicurarsi che il ruolo venga aggiornato man mano che nelle versioni future verranno aggiunte nuove autorizzazioni. "Scopri di più sulla policy IAM per l'agente della console" .

Prima di iniziare

Dovresti avere quanto segue:

  • Un metodo di autenticazione AWS: un ruolo IAM o chiavi di accesso per un utente IAM con le autorizzazioni richieste.

  • Una VPC e una subnet che soddisfano i requisiti di rete.

  • Una coppia di chiavi per l'istanza EC2.

  • Dettagli su un server proxy, se è necessario un proxy per l'accesso a Internet dall'agente della console.

  • Impostare"requisiti di rete" .

  • Impostare"Autorizzazioni AWS" .

Passi

  1. Selezionare Amministrazione > Agenti.

  2. Nella pagina Panoramica, seleziona Distribuisci agente > AWS

  3. Per creare l'agente Console, seguire i passaggi della procedura guidata:

  4. Nella pagina Introduzione viene fornita una panoramica del processo

  5. Nella pagina Credenziali AWS, specifica la tua regione AWS e poi scegli un metodo di autenticazione, che può essere un ruolo IAM che la Console può assumere oppure una chiave di accesso AWS e una chiave segreta.

    Suggerimento Se si sceglie Assumi ruolo, è possibile creare il primo set di credenziali dalla procedura guidata di distribuzione dell'agente della console. Ogni ulteriore set di credenziali deve essere creato dalla pagina Credenziali. Saranno quindi disponibili tramite la procedura guidata in un elenco a discesa. "Scopri come aggiungere credenziali aggiuntive" .

  6. Nella pagina Dettagli, fornire i dettagli sull'agente della console.

    • Inserisci un nome per l'istanza.

    • Aggiungere tag personalizzati (metadati) all'istanza.

    • Scegli se desideri che la Console crei un nuovo ruolo con le autorizzazioni richieste oppure se desideri selezionare un ruolo esistente che hai impostato con"i permessi richiesti" .

    • Scegliere se si desidera crittografare i dischi EBS dell'agente Console. È possibile utilizzare la chiave di crittografia predefinita oppure una chiave personalizzata.

  7. Nella pagina Rete, specifica una VPC, una subnet e una coppia di chiavi per l'istanza, scegli se abilitare un indirizzo IP pubblico e, facoltativamente, specifica una configurazione proxy.

    Assicurati di disporre della coppia di chiavi corretta per accedere alla macchina virtuale dell'agente Console. Senza una coppia di chiavi non è possibile accedervi.

  8. Nella pagina Gruppo di sicurezza, scegliere se creare un nuovo gruppo di sicurezza o se selezionarne uno esistente che consenta le regole in entrata e in uscita richieste.

    "Visualizza le regole del gruppo di sicurezza per AWS" .

  9. Rivedi le tue selezioni per verificare che la configurazione sia corretta.

    1. La casella di controllo Convalida configurazione agente è selezionata per impostazione predefinita affinché la Console convalidi i requisiti di connettività di rete durante la distribuzione. Se la Console non riesce a distribuire l'agente, fornisce un report per aiutarti a risolvere il problema. Se la distribuzione riesce, non viene fornito alcun report.

    Se stai ancora utilizzando il"punti finali precedenti" utilizzato per gli aggiornamenti degli agenti, la convalida fallisce con un errore. Per evitare ciò, deselezionare la casella di controllo per saltare il controllo di convalida.

  10. Selezionare Aggiungi.

    La console prepara l'istanza in circa 10 minuti. Rimani sulla pagina fino al completamento del processo.

Risultato

Una volta completato il processo, l'agente della Console sarà disponibile per l'uso dalla Console.

Nota Se la distribuzione non riesce, puoi scaricare un report e i registri dalla Console per aiutarti a risolvere i problemi."Scopri come risolvere i problemi di installazione."

Se disponi di bucket Amazon S3 nello stesso account AWS in cui hai creato l'agente della console, vedrai apparire automaticamente un ambiente di lavoro Amazon S3 nella pagina Sistemi. "Scopri come gestire i bucket S3 dalla NetApp Console"