Skip to main content
NetApp Console setup and administration
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Creare un agente console da Azure Marketplace

Collaboratori netapp-tonias
PDF

È possibile creare un agente Console in Azure direttamente da Azure Marketplace. Per creare un agente Console da Azure Marketplace, è necessario configurare la rete, preparare le autorizzazioni di Azure, esaminare i requisiti dell'istanza e quindi creare l'agente Console.

Prima di iniziare

Passaggio 1: configurare la rete

Assicurati che il percorso di rete in cui intendi installare l'agente Console supporti i seguenti requisiti. Questi requisiti consentono all'agente Console di gestire le risorse nel tuo cloud ibrido.

Regione azzurra

Se si utilizza Cloud Volumes ONTAP, l'agente della console deve essere distribuito nella stessa regione di Azure dei sistemi Cloud Volumes ONTAP che gestisce oppure nella "Coppia di regioni di Azure" per i sistemi Cloud Volumes ONTAP . Questo requisito garantisce che venga utilizzata una connessione Azure Private Link tra Cloud Volumes ONTAP e i relativi account di archiviazione associati.

"Scopri come Cloud Volumes ONTAP utilizza un collegamento privato di Azure"

VNet e subnet

Quando si crea l'agente Console, è necessario specificare la rete virtuale e la subnet in cui deve risiedere.

Connessioni alle reti di destinazione

L'agente Console richiede una connessione di rete alla posizione in cui si prevede di creare e gestire i sistemi. Ad esempio, la rete in cui intendi creare sistemi Cloud Volumes ONTAP o un sistema di archiviazione nel tuo ambiente locale.

Accesso a Internet in uscita

La posizione di rete in cui si distribuisce l'agente Console deve disporre di una connessione Internet in uscita per contattare endpoint specifici.

Endpoint contattati dall'agente della console

L'agente della console necessita di accesso a Internet in uscita per contattare i seguenti endpoint per gestire risorse e processi all'interno dell'ambiente cloud pubblico per le operazioni quotidiane.

Gli endpoint elencati di seguito sono tutti voci CNAME.

Punti finali Scopo

\ https://management.azure.com \ https://login.microsoftonline.com \ https://blob.core.windows.net \ https://core.windows.net

Per gestire le risorse nelle aree pubbliche di Azure.

\ https://management.chinacloudapi.cn \ https://login.chinacloudapi.cn \ https://blob.core.chinacloudapi.cn \ https://core.chinacloudapi.cn

Per gestire le risorse nelle regioni di Azure Cina.

\ https://mysupport.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp .

\ https://support.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp .

\ https://signin.b2c.netapp.com

Per aggiornare le credenziali del sito di supporto NetApp (NSS) o per aggiungere nuove credenziali NSS alla NetApp Console.

\ https://support.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp , nonché per ricevere aggiornamenti software per Cloud Volumes ONTAP.

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Per fornire funzionalità e servizi all'interno della NetApp Console.

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Per ottenere immagini per gli aggiornamenti dell'agente della console.

  • Quando si distribuisce un nuovo agente, il controllo di convalida verifica la connettività agli endpoint correnti. Se usi"punti finali precedenti" , il controllo di convalida fallisce. Per evitare questo errore, saltare il controllo di convalida.

    Sebbene gli endpoint precedenti siano ancora supportati, NetApp consiglia di aggiornare le regole del firewall agli endpoint correnti il ​​prima possibile. "Scopri come aggiornare l'elenco degli endpoint" .

  • Quando esegui l'aggiornamento agli endpoint correnti nel firewall, gli agenti esistenti continueranno a funzionare.
Server proxy

NetApp supporta sia configurazioni proxy esplicite che trasparenti. Se si utilizza un proxy trasparente, è necessario fornire solo il certificato per il server proxy. Se si utilizza un proxy esplicito, saranno necessari anche l'indirizzo IP e le credenziali.

  • indirizzo IP

  • Credenziali

  • Certificato HTTPS

porti

Non c'è traffico in entrata verso l'agente della console, a meno che non venga avviato dall'utente o utilizzato come proxy per inviare messaggi AutoSupport da Cloud Volumes ONTAP al supporto NetApp .

  • HTTP (80) e HTTPS (443) forniscono l'accesso all'interfaccia utente locale, che utilizzerai in rare circostanze.

  • SSH (22) è necessario solo se è necessario connettersi all'host per la risoluzione dei problemi.

  • Le connessioni in ingresso sulla porta 3128 sono necessarie se si distribuiscono sistemi Cloud Volumes ONTAP in una subnet in cui non è disponibile una connessione Internet in uscita.

    Se i sistemi Cloud Volumes ONTAP non dispongono di una connessione Internet in uscita per inviare messaggi AutoSupport , la Console configura automaticamente tali sistemi per utilizzare un server proxy incluso nell'agente della Console. L'unico requisito è assicurarsi che il gruppo di sicurezza dell'agente Console consenta connessioni in entrata sulla porta 3128. Sarà necessario aprire questa porta dopo aver distribuito l'agente Console.

Abilita NTP

Se si prevede di utilizzare NetApp Data Classification per analizzare le origini dati aziendali, è necessario abilitare un servizio Network Time Protocol (NTP) sia sull'agente della console sia sul sistema NetApp Data Classification, in modo che l'ora sia sincronizzata tra i sistemi. "Scopri di più sulla classificazione dei dati NetApp"

Implementare i requisiti di rete dopo aver creato l'agente Console.

Passaggio 2: rivedere i requisiti della VM

Quando si crea l'agente Console, scegliere un tipo di macchina virtuale che soddisfi i seguenti requisiti.

processore

8 core o 8 vCPU

Memoria RAM

32 GB

Dimensioni della VM di Azure

Un tipo di istanza che soddisfa i requisiti di CPU e RAM sopra indicati. Consigliamo Standard_D8s_v3.

Passaggio 3: impostare le autorizzazioni

È possibile concedere le autorizzazioni nei seguenti modi:

  • Opzione 1: assegnare un ruolo personalizzato alla macchina virtuale di Azure utilizzando un'identità gestita assegnata dal sistema.

  • Opzione 2: fornire alla console le credenziali per un'entità servizio di Azure che disponga delle autorizzazioni richieste.

Per impostare le autorizzazioni per la Console, seguire questi passaggi.

Ruolo personalizzato

Tieni presente che puoi creare un ruolo personalizzato di Azure tramite il portale di Azure, Azure PowerShell, Azure CLI o REST API. I passaggi seguenti mostrano come creare il ruolo utilizzando l'interfaccia della riga di comando di Azure. Se preferisci utilizzare un metodo diverso, fai riferimento a "Documentazione di Azure"

Passi

  1. Se intendi installare manualmente il software sul tuo host, abilita un'identità gestita assegnata dal sistema sulla macchina virtuale, in modo da poter fornire le autorizzazioni di Azure richieste tramite un ruolo personalizzato.

    "Documentazione di Microsoft Azure: configurare le identità gestite per le risorse di Azure su una macchina virtuale tramite il portale di Azure"

  2. Copia il contenuto del"autorizzazioni di ruolo personalizzate per il connettore" e salvarli in un file JSON.

  3. Modificare il file JSON aggiungendo gli ID di sottoscrizione di Azure all'ambito assegnabile.

    Dovresti aggiungere l'ID per ogni sottoscrizione di Azure che desideri utilizzare con NetApp Console.

    Esempio

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

  4. Utilizzare il file JSON per creare un ruolo personalizzato in Azure.

    I passaggi seguenti descrivono come creare il ruolo utilizzando Bash in Azure Cloud Shell.

    1. Inizio "Azure Cloud Shell" e scegli l'ambiente Bash.

    2. Carica il file JSON.

      Uno screenshot di Azure Cloud Shell in cui è possibile scegliere l'opzione per caricare un file.

    3. Utilizzare l'interfaccia della riga di comando di Azure per creare il ruolo personalizzato:

      az role definition create --role-definition Connector_Policy.json
Principale del servizio

Creare e configurare un'entità servizio in Microsoft Entra ID e ottenere le credenziali di Azure necessarie alla console.

Creare un'applicazione Microsoft Entra per il controllo degli accessi basato sui ruoli

  1. Assicurati di disporre delle autorizzazioni in Azure per creare un'applicazione Active Directory e per assegnare l'applicazione a un ruolo.

    Per i dettagli, fare riferimento a "Documentazione di Microsoft Azure: autorizzazioni richieste"

  2. Dal portale di Azure, aprire il servizio Microsoft Entra ID.

    Mostra il servizio Active Directory in Microsoft Azure.

  3. Nel menu, seleziona Registrazioni app.

  4. Selezionare Nuova registrazione.

  5. Specificare i dettagli sull'applicazione:

    • Nome: inserisci un nome per l'applicazione.

    • Tipo di account: seleziona un tipo di account (qualsiasi funzionerà con la NetApp Console).

    • URI di reindirizzamento: puoi lasciare vuoto questo campo.

  6. Seleziona Registrati.

    Hai creato l'applicazione AD e il servizio principale.

Assegnare l'applicazione a un ruolo

  1. Crea un ruolo personalizzato:

    Tieni presente che puoi creare un ruolo personalizzato di Azure tramite il portale di Azure, Azure PowerShell, Azure CLI o REST API. I passaggi seguenti mostrano come creare il ruolo utilizzando l'interfaccia della riga di comando di Azure. Se preferisci utilizzare un metodo diverso, fai riferimento a "Documentazione di Azure"

    1. Copia il contenuto del"autorizzazioni di ruolo personalizzate per l'agente della console" e salvarli in un file JSON.

    2. Modificare il file JSON aggiungendo gli ID di sottoscrizione di Azure all'ambito assegnabile.

      È necessario aggiungere l'ID per ogni sottoscrizione di Azure da cui gli utenti creeranno i sistemi Cloud Volumes ONTAP .

      Esempio

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. Utilizzare il file JSON per creare un ruolo personalizzato in Azure.

      I passaggi seguenti descrivono come creare il ruolo utilizzando Bash in Azure Cloud Shell.

      • Inizio "Azure Cloud Shell" e scegli l'ambiente Bash.

      • Carica il file JSON.

        Uno screenshot di Azure Cloud Shell in cui è possibile scegliere l'opzione per caricare un file.

      • Utilizzare l'interfaccia della riga di comando di Azure per creare il ruolo personalizzato:

        az role definition create --role-definition Connector_Policy.json

        Ora dovresti avere un ruolo personalizzato denominato Operatore Console che puoi assegnare alla macchina virtuale dell'agente Console.

  2. Assegnare l'applicazione al ruolo:

    1. Dal portale di Azure, aprire il servizio Sottoscrizioni.

    2. Seleziona l'abbonamento.

    3. Selezionare Controllo accessi (IAM) > Aggiungi > Aggiungi assegnazione ruolo.

    4. Nella scheda Ruolo, seleziona il ruolo Operatore console e seleziona Avanti.

    5. Nella scheda Membri, completa i seguenti passaggi:

      • Mantieni selezionato Utente, gruppo o entità servizio.

      • Seleziona Seleziona membri.

        Uno screenshot del portale di Azure che mostra la pagina Membri quando si aggiunge un ruolo a un'applicazione.

      • Cerca il nome dell'applicazione.

        Ecco un esempio:

      Uno screenshot del portale di Azure che mostra il modulo Aggiungi assegnazione ruolo nel portale di Azure.

      • Selezionare l'applicazione e fare clic su Seleziona.

      • Selezionare Avanti.

    6. Seleziona Revisiona + assegna.

      L'entità servizio ora dispone delle autorizzazioni di Azure necessarie per distribuire l'agente della console.

    Se si desidera distribuire Cloud Volumes ONTAP da più sottoscrizioni di Azure, è necessario associare l'entità servizio a ciascuna di tali sottoscrizioni. Nella NetApp Console, puoi selezionare l'abbonamento che desideri utilizzare durante la distribuzione Cloud Volumes ONTAP.

Aggiungere autorizzazioni API di gestione dei servizi Windows Azure

  1. Nel servizio Microsoft Entra ID, seleziona Registrazioni app e seleziona l'applicazione.

  2. Selezionare Autorizzazioni API > Aggiungi un'autorizzazione.

  3. In API Microsoft, seleziona Azure Service Management.

    Uno screenshot del portale di Azure che mostra le autorizzazioni dell'API Azure Service Management.

  4. Selezionare Accedi ad Azure Service Management come utenti dell'organizzazione e quindi selezionare Aggiungi autorizzazioni.

    Uno screenshot del portale di Azure che mostra l'aggiunta delle API di Azure Service Management.

Ottieni l'ID dell'applicazione e l'ID della directory per l'applicazione

  1. Nel servizio Microsoft Entra ID, seleziona Registrazioni app e seleziona l'applicazione.

  2. Copiare l'ID applicazione (client) e l'ID directory (tenant).

    Uno screenshot che mostra l'ID dell'applicazione (client) e l'ID della directory (tenant) per un'applicazione in Microsoft Entra IDy.

    Quando si aggiunge l'account Azure alla console, è necessario fornire l'ID dell'applicazione (client) e l'ID della directory (tenant) per l'applicazione. La console utilizza gli ID per effettuare l'accesso in modo programmatico.

Crea un segreto client

  1. Aprire il servizio Microsoft Entra ID.

  2. Seleziona Registrazioni app e seleziona la tua applicazione.

  3. Selezionare Certificati e segreti > Nuovo segreto client.

  4. Fornire una descrizione del segreto e una durata.

  5. Selezionare Aggiungi.

  6. Copia il valore del segreto client.

    Uno screenshot del portale di Azure che mostra un segreto client per l'entità servizio Microsoft Entra.

Passaggio 4: creare l'agente della console

Avviare l'agente Console direttamente da Azure Marketplace.

Informazioni su questo compito

La creazione dell'agente Console da Azure Marketplace imposta una macchina virtuale con una configurazione predefinita. "Scopri la configurazione predefinita per l'agente Console" .

Prima di iniziare

Dovresti avere quanto segue:

  • Un abbonamento Azure.

  • Una rete virtuale e una subnet nella regione Azure di tua scelta.

  • Dettagli su un server proxy, se la tua organizzazione necessita di un proxy per tutto il traffico Internet in uscita:

    • indirizzo IP

    • Credenziali

    • Certificato HTTPS

  • Una chiave pubblica SSH, se si desidera utilizzare tale metodo di autenticazione per la macchina virtuale dell'agente Console. L'altra opzione per il metodo di autenticazione è quella di utilizzare una password.

    "Scopri come connetterti a una VM Linux in Azure"

  • Se non si desidera che la Console crei automaticamente un ruolo di Azure per l'agente della Console, sarà necessario crearne uno proprio"utilizzando la politica in questa pagina" .

    Queste autorizzazioni sono per l'istanza dell'agente Console stessa. Si tratta di un set di autorizzazioni diverso da quello configurato in precedenza per distribuire la VM dell'agente Console.

Passi

  1. Vai alla pagina della macchina virtuale dell'agente NetApp Console in Azure Marketplace.

    "Pagina di Azure Marketplace per le regioni commerciali"

  2. Seleziona Ottienilo ora e poi seleziona Continua.

  3. Dal portale di Azure, seleziona Crea e segui i passaggi per configurare la macchina virtuale.

    Durante la configurazione della VM, tenere presente quanto segue:

    • Dimensioni VM: scegli una dimensione VM che soddisfi i requisiti di CPU e RAM. Consigliamo Standard_D8s_v3.

    • Dischi: l'agente Console può funzionare in modo ottimale sia con dischi HDD che SSD.

    • Gruppo di sicurezza di rete: l'agente della console richiede connessioni in entrata tramite SSH, HTTP e HTTPS.

      "Visualizza le regole del gruppo di sicurezza per Azure" .

    • Identità*: in Gestione, seleziona Abilita identità gestita assegnata dal sistema.

      Questa impostazione è importante perché un'identità gestita consente alla macchina virtuale dell'agente della console di identificarsi con l'ID Microsoft Entra senza fornire alcuna credenziale. "Scopri di più sulle identità gestite per le risorse di Azure" .

  4. Nella pagina Revisiona + crea, rivedi le tue selezioni e seleziona Crea per avviare la distribuzione.

    Azure distribuisce la macchina virtuale con le impostazioni specificate. Entro circa dieci minuti dovresti vedere la macchina virtuale e il software dell'agente della console in esecuzione.

    Nota Se l'installazione non riesce, è possibile visualizzare i registri e un report per risolvere il problema."Scopri come risolvere i problemi di installazione."

  5. Aprire un browser Web da un host che dispone di una connessione alla macchina virtuale dell'agente Console e immettere il seguente URL:

    https://ipaddress

  6. Dopo aver effettuato l'accesso, configura l'agente Console:

    1. Specificare l'organizzazione della console da associare all'agente della console.

    2. Inserisci un nome per il sistema.

    3. In Stai utilizzando un ambiente protetto? mantieni disattivata la modalità con restrizioni.

      Per utilizzare la Console in modalità standard, disattivare la modalità limitata. Dovresti abilitare la modalità limitata solo se disponi di un ambiente sicuro e desideri disconnettere questo account dai servizi backend della Console. Se è così,"segui i passaggi per iniziare a usare la Console in modalità limitata" .

    4. Seleziona Iniziamo.

Risultato

Ora hai installato l'agente Console e lo hai configurato con la tua organizzazione Console.

Se si dispone di un archivio BLOB di Azure nella stessa sottoscrizione di Azure in cui è stato creato l'agente della console, nella pagina Sistemi verrà visualizzato automaticamente un sistema di archiviazione BLOB di Azure. "Scopri come gestire l'archiviazione BLOB di Azure dalla console"

Passaggio 5: fornire le autorizzazioni all'agente della console

Ora che hai creato l'agente Console, devi fornirgli le autorizzazioni impostate in precedenza. La concessione delle autorizzazioni consente all'agente della console di gestire i dati e l'infrastruttura di archiviazione in Azure.

Ruolo personalizzato

Accedere al portale di Azure e assegnare il ruolo personalizzato di Azure alla macchina virtuale dell'agente della console per una o più sottoscrizioni.

Passi

  1. Dal portale di Azure, apri il servizio Sottoscrizioni e seleziona la tua sottoscrizione.

    È importante assegnare il ruolo dal servizio Abbonamenti perché questo specifica l'ambito dell'assegnazione del ruolo a livello di abbonamento. L'ambito definisce l'insieme di risorse a cui si applica l'accesso. Se si specifica un ambito a un livello diverso (ad esempio, a livello di macchina virtuale), la possibilità di completare azioni dall'interno della NetApp Console ne risentirà.

    "Documentazione di Microsoft Azure: comprendere l'ambito di Azure RBAC"

  2. Selezionare Controllo accessi (IAM) > Aggiungi > Aggiungi assegnazione ruolo.

  3. Nella scheda Ruolo, seleziona il ruolo Operatore console e seleziona Avanti.

    Nota Console Operator è il nome predefinito fornito nel criterio. Se hai scelto un nome diverso per il ruolo, seleziona quel nome.

  4. Nella scheda Membri, completa i seguenti passaggi:

    1. Assegna l'accesso a un'identità gestita.

    2. Selezionare Seleziona membri, selezionare l'abbonamento in cui è stata creata la macchina virtuale dell'agente Console, in Identità gestita, scegliere Macchina virtuale, quindi selezionare la macchina virtuale dell'agente Console.

    3. Seleziona Seleziona.

    4. Selezionare Avanti.

    5. Seleziona Revisiona + assegna.

    6. Se si desidera gestire risorse in sottoscrizioni Azure aggiuntive, passare a tale sottoscrizione e ripetere questi passaggi.

Cosa succederà ora?

Vai al "NetApp Console" per iniziare a utilizzare l'agente Console.

Principale del servizio
Passi

  1. Selezionare Amministrazione > Credenziali.

  2. Selezionare Aggiungi credenziali e seguire i passaggi della procedura guidata.

    1. Posizione delle credenziali: selezionare Microsoft Azure > Agente.

    2. Definisci credenziali: immetti le informazioni sull'entità servizio Microsoft Entra che concede le autorizzazioni richieste:

      • ID applicazione (client)

      • ID directory (tenant)

      • Segreto del cliente

    3. Abbonamento Marketplace: associa un abbonamento Marketplace a queste credenziali abbonandoti ora o selezionando un abbonamento esistente.

    4. Revisione: conferma i dettagli sulle nuove credenziali e seleziona Aggiungi.

Risultato

La console ora dispone delle autorizzazioni necessarie per eseguire azioni in Azure per tuo conto.