Skip to main content
NetApp Console setup and administration
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Crea un agente Console in Google Cloud da NetApp Console

Collaboratori netapp-tonias
PDF

È possibile creare un agente Console in Google Cloud dalla Console. È necessario configurare la rete, preparare le autorizzazioni di Google Cloud, abilitare le API di Google Cloud e quindi creare l'agente della console.

Prima di iniziare

Passaggio 1: configurare la rete

Configurare la rete per garantire che l'agente della console possa gestire le risorse, con connessioni alle reti di destinazione e accesso a Internet in uscita.

VPC e sottorete

Quando si crea l'agente Console, è necessario specificare la VPC e la subnet in cui deve risiedere.

Connessioni alle reti di destinazione

L'agente Console richiede una connessione di rete alla posizione in cui si prevede di creare e gestire i sistemi. Ad esempio, la rete in cui intendi creare sistemi Cloud Volumes ONTAP o un sistema di archiviazione nel tuo ambiente locale.

Accesso a Internet in uscita

La posizione di rete in cui si distribuisce l'agente Console deve disporre di una connessione Internet in uscita per contattare endpoint specifici.

Endpoint contattati dall'agente della console

L'agente della console necessita di accesso a Internet in uscita per contattare i seguenti endpoint per gestire risorse e processi all'interno dell'ambiente cloud pubblico per le operazioni quotidiane.

Gli endpoint elencati di seguito sono tutti voci CNAME.

Punti finali Scopo

\ https://www.googleapis.com/compute/v1/ \ https://compute.googleapis.com/compute/v1 \ https://cloudresourcemanager.googleapis.com/v1/projects \ https://www.googleapis.com/compute/beta \ https://storage.googleapis.com/storage/v1 \ https://www.googleapis.com/storage/v1 \ https://iam.googleapis.com/v1 \ https://cloudkms.googleapis.com/v1 \ https://www.googleapis.com/deploymentmanager/v2/projects

Per gestire le risorse in Google Cloud.

\ https://mysupport.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp .

\ https://support.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp .

\ https://signin.b2c.netapp.com

Per aggiornare le credenziali del sito di supporto NetApp (NSS) o per aggiungere nuove credenziali NSS alla NetApp Console.

\ https://support.netapp.com

Per ottenere informazioni sulle licenze e inviare messaggi AutoSupport al supporto NetApp , nonché per ricevere aggiornamenti software per Cloud Volumes ONTAP.

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Per fornire funzionalità e servizi all'interno della NetApp Console.

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Per ottenere immagini per gli aggiornamenti dell'agente della console.

  • Quando si distribuisce un nuovo agente, il controllo di convalida verifica la connettività agli endpoint correnti. Se usi"punti finali precedenti" , il controllo di convalida fallisce. Per evitare questo errore, saltare il controllo di convalida.

    Sebbene gli endpoint precedenti siano ancora supportati, NetApp consiglia di aggiornare le regole del firewall agli endpoint correnti il ​​prima possibile. "Scopri come aggiornare l'elenco degli endpoint" .

  • Quando esegui l'aggiornamento agli endpoint correnti nel firewall, gli agenti esistenti continueranno a funzionare.
Endpoint contattati dalla console NetApp

Utilizzando la NetApp Console basata sul Web fornita tramite il livello SaaS, questa contatta diversi endpoint per completare le attività di gestione dei dati. Sono inclusi gli endpoint contattati per distribuire l'agente della Console dalla Console.

"Visualizza l'elenco degli endpoint contattati dalla console NetApp" .

Server proxy

NetApp supporta sia configurazioni proxy esplicite che trasparenti. Se si utilizza un proxy trasparente, è necessario fornire solo il certificato per il server proxy. Se si utilizza un proxy esplicito, saranno necessari anche l'indirizzo IP e le credenziali.

  • indirizzo IP

  • Credenziali

  • Certificato HTTPS

porti

Non c'è traffico in entrata verso l'agente della console, a meno che non venga avviato dall'utente o utilizzato come proxy per inviare messaggi AutoSupport da Cloud Volumes ONTAP al supporto NetApp .

  • HTTP (80) e HTTPS (443) forniscono l'accesso all'interfaccia utente locale, che utilizzerai in rare circostanze.

  • SSH (22) è necessario solo se è necessario connettersi all'host per la risoluzione dei problemi.

  • Le connessioni in ingresso sulla porta 3128 sono necessarie se si distribuiscono sistemi Cloud Volumes ONTAP in una subnet in cui non è disponibile una connessione Internet in uscita.

    Se i sistemi Cloud Volumes ONTAP non dispongono di una connessione Internet in uscita per inviare messaggi AutoSupport , la Console configura automaticamente tali sistemi per utilizzare un server proxy incluso nell'agente della Console. L'unico requisito è assicurarsi che il gruppo di sicurezza dell'agente Console consenta connessioni in entrata sulla porta 3128. Sarà necessario aprire questa porta dopo aver distribuito l'agente Console.

Abilita NTP

Se si prevede di utilizzare NetApp Data Classification per analizzare le origini dati aziendali, è necessario abilitare un servizio Network Time Protocol (NTP) sia sull'agente della console sia sul sistema NetApp Data Classification, in modo che l'ora sia sincronizzata tra i sistemi. "Scopri di più sulla classificazione dei dati NetApp"

Implementare questo requisito di rete dopo aver creato l'agente Console.

Passaggio 2: impostare le autorizzazioni per creare l'agente della console

Prima di poter distribuire un agente Console dalla Console, è necessario impostare le autorizzazioni per l'utente di Google Platform che distribuisce la VM dell'agente Console.

Passi

  1. Crea un ruolo personalizzato in Google Platform:

    1. Crea un file YAML che includa le seguenti autorizzazioni:

      title: Console agent deployment policy
description: Permissions for the user who deploys the Console agent
stage: GA
includedPermissions:
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.list

    2. Da Google Cloud, attiva Cloud Shell.

    3. Carica il file YAML che include le autorizzazioni richieste.

    4. Crea un ruolo personalizzato utilizzando gcloud iam roles create comando.

      L'esempio seguente crea un ruolo denominato "connectorDeployment" a livello di progetto:

      gcloud iam roles create connectorDeployment --project=myproject --file=connector-deployment.yaml

    "Documentazione di Google Cloud: creazione e gestione di ruoli personalizzati"

  2. Assegna questo ruolo personalizzato all'utente che distribuirà l'agente della Console dalla Console o tramite gcloud.

    "Documenti di Google Cloud: Concedi un singolo ruolo"

Passaggio 3: impostare le autorizzazioni per le operazioni dell'agente della console

È necessario un account di servizio Google Cloud per fornire all'agente della Console le autorizzazioni di cui la Console ha bisogno per gestire le risorse in Google Cloud. Quando si crea l'agente Console, è necessario associare questo account di servizio alla VM dell'agente Console.

È tua responsabilità aggiornare il ruolo personalizzato man mano che vengono aggiunte nuove autorizzazioni nelle versioni successive. Se saranno necessarie nuove autorizzazioni, queste saranno elencate nelle note di rilascio.

Passi

  1. Crea un ruolo personalizzato in Google Cloud:

    1. Crea un file YAML che includa il contenuto del"autorizzazioni dell'account di servizio per l'agente della console" .

    2. Da Google Cloud, attiva Cloud Shell.

    3. Carica il file YAML che include le autorizzazioni richieste.

    4. Crea un ruolo personalizzato utilizzando gcloud iam roles create comando.

      L'esempio seguente crea un ruolo denominato "connettore" a livello di progetto:

      gcloud iam roles create connector --project=myproject --file=connector.yaml

    "Documentazione di Google Cloud: creazione e gestione di ruoli personalizzati"

  2. Crea un account di servizio in Google Cloud e assegna il ruolo all'account di servizio:

    1. Dal servizio IAM e amministrazione, seleziona Account di servizio > Crea account di servizio.

    2. Inserisci i dettagli dell'account di servizio e seleziona Crea e continua.

    3. Seleziona il ruolo che hai appena creato.

    4. Completa i passaggi rimanenti per creare il ruolo.

      "Documentazione di Google Cloud: creazione di un account di servizio"

  3. Se si prevede di distribuire i sistemi Cloud Volumes ONTAP in progetti diversi da quello in cui risiede l'agente della console, sarà necessario fornire all'account di servizio dell'agente della console l'accesso a tali progetti.

    Ad esempio, supponiamo che l'agente Console si trovi nel progetto 1 e che si desideri creare sistemi Cloud Volumes ONTAP nel progetto 2. Sarà necessario concedere l'accesso all'account di servizio nel progetto 2.

    1. Dal servizio IAM e amministrazione, seleziona il progetto Google Cloud in cui desideri creare i sistemi Cloud Volumes ONTAP .

    2. Nella pagina IAM, seleziona Concedi accesso e fornisci i dettagli richiesti.

      • Inserisci l'email dell'account di servizio dell'agente della console.

      • Selezionare il ruolo personalizzato dell'agente della console.

      • Seleziona Salva.

    Per maggiori dettagli, fare riferimento a "Documentazione di Google Cloud"

Passaggio 4: impostare le autorizzazioni VPC condivise

Se si utilizza una VPC condivisa per distribuire risorse in un progetto di servizio, sarà necessario preparare le autorizzazioni.

Questa tabella è di riferimento e il tuo ambiente dovrebbe riflettere la tabella delle autorizzazioni una volta completata la configurazione IAM.

Visualizza le autorizzazioni VPC condivise
Identità Creatore Ospitato in Autorizzazioni del progetto di servizio Autorizzazioni del progetto host Scopo

Account Google per distribuire l'agente

Costume

Progetto di servizio

"Politica di distribuzione degli agenti"

compute.networkUser

Distribuzione dell'agente nel progetto di servizio

account di servizio agente

Costume

Progetto di servizio

"Politica dell'account del servizio agente"

compute.networkUser deploymentmanager.editor

Distribuzione e manutenzione di Cloud Volumes ONTAP e dei servizi nel progetto di servizio

Account di servizio Cloud Volumes ONTAP

Costume

Progetto di servizio

membro storage.admin: account di servizio NetApp Console come serviceAccount.user

N / A

(Facoltativo) Per NetApp Cloud Tiering e NetApp Backup and Recovery

Agente di servizio delle API di Google

Google Cloud

Progetto di servizio

(Predefinito) Editor

compute.networkUser

Interagisce con le API di Google Cloud per conto della distribuzione. Consente alla Console di utilizzare la rete condivisa.

Account di servizio predefinito di Google Compute Engine

Google Cloud

Progetto di servizio

(Predefinito) Editor

compute.networkUser

Distribuisce istanze di Google Cloud e infrastrutture di elaborazione per conto della distribuzione. Consente alla Console di utilizzare la rete condivisa.

Note:

  1. deploymentmanager.editor è necessario nel progetto host solo se non si passano regole del firewall alla distribuzione e si sceglie di lasciare che la Console le crei per conto proprio. Se non è specificata alcuna regola, la NetApp Console crea una distribuzione nel progetto host che contiene la regola del firewall VPC0.

  2. firewall.create e firewall.delete sono necessari solo se non si passano regole del firewall alla distribuzione e si sceglie di lasciare che la Console le crei per conto proprio. Queste autorizzazioni si trovano nel file .yaml dell'account Console. Se si distribuisce una coppia HA utilizzando una VPC condivisa, queste autorizzazioni verranno utilizzate per creare le regole del firewall per VPC1, 2 e 3. Per tutte le altre distribuzioni, queste autorizzazioni verranno utilizzate anche per creare regole per VPC0.

  3. Per Cloud Tiering, l'account del servizio di tiering deve avere il ruolo serviceAccount.user sull'account del servizio, non solo a livello di progetto. Attualmente, se si assegna serviceAccount.user a livello di progetto, le autorizzazioni non vengono visualizzate quando si esegue una query sull'account di servizio con getIAMPolicy.

Passaggio 5: abilita le API di Google Cloud

È necessario abilitare diverse API di Google Cloud prima di distribuire l'agente Console e Cloud Volumes ONTAP.

Fare un passo

  1. Abilita le seguenti API di Google Cloud nel tuo progetto:

    • API di Cloud Deployment Manager V2

    • API di registrazione cloud

    • API di Cloud Resource Manager

    • API di Compute Engine

    • API di gestione dell'identità e dell'accesso (IAM)

    • API del servizio di gestione delle chiavi cloud (KMS)

      (Obbligatorio solo se si prevede di utilizzare NetApp Backup and Recovery con chiavi di crittografia gestite dal cliente (CMEK))

"Documentazione di Google Cloud: abilitazione delle API"

Passaggio 6: creare l'agente della console

Crea un agente Console direttamente dalla Console.

Informazioni su questo compito

La creazione dell'agente Console distribuisce un'istanza di macchina virtuale in Google Cloud utilizzando una configurazione predefinita. Non passare a un'istanza VM più piccola con meno CPU o meno RAM dopo aver creato l'agente Console. "Scopri la configurazione predefinita per l'agente Console" .

Prima di iniziare

Dovresti avere quanto segue:

  • Le autorizzazioni Google Cloud richieste per creare l'agente Console e un account di servizio per la VM dell'agente Console.

  • Una VPC e una subnet che soddisfano i requisiti di rete.

  • Dettagli su un server proxy, se è necessario un proxy per l'accesso a Internet dall'agente della console.

Passi

  1. Selezionare Amministrazione > Agenti.

  2. Nella pagina Panoramica, seleziona Distribuisci agente > Google Cloud

  3. Nella pagina Distribuzione di un agente, rivedi i dettagli su ciò di cui avrai bisogno. Hai due opzioni:

    1. Selezionare Continua per preparare la distribuzione utilizzando la guida integrata nel prodotto. Ogni passaggio della guida integrata nel prodotto include le informazioni contenute in questa pagina della documentazione.

    2. Seleziona Vai alla distribuzione se hai già effettuato la preparazione seguendo i passaggi indicati in questa pagina.

  4. Per creare l'agente Console, seguire i passaggi della procedura guidata:

    • Se richiesto, accedi al tuo account Google, che dovrebbe disporre delle autorizzazioni necessarie per creare l'istanza della macchina virtuale.

      Il modulo è di proprietà e ospitato da Google. Le tue credenziali non vengono fornite a NetApp.

    • Dettagli: immettere un nome per l'istanza della macchina virtuale, specificare i tag, selezionare un progetto e quindi selezionare l'account di servizio che dispone delle autorizzazioni richieste (fare riferimento alla sezione precedente per i dettagli).

    • Posizione: specificare una regione, una zona, una VPC e una subnet per l'istanza.

    • Rete: scegliere se abilitare un indirizzo IP pubblico e, facoltativamente, specificare una configurazione proxy.

    • Tag di rete: aggiungere un tag di rete all'istanza dell'agente Console se si utilizza un proxy trasparente. I tag di rete devono iniziare con una lettera minuscola e possono contenere lettere minuscole, numeri e trattini. I tag devono terminare con una lettera minuscola o un numero. Ad esempio, potresti utilizzare il tag "console-agent-proxy".

    • Criterio firewall: scegliere se creare un nuovo criterio firewall o se selezionarne uno esistente che consenta le regole in entrata e in uscita richieste.

      "Regole del firewall in Google Cloud"

  5. Rivedi le tue selezioni per verificare che la configurazione sia corretta.

    1. La casella di controllo Convalida configurazione agente è selezionata per impostazione predefinita affinché la Console convalidi i requisiti di connettività di rete durante la distribuzione. Se la Console non riesce a distribuire l'agente, fornisce un report per aiutarti a risolvere il problema. Se la distribuzione riesce, non viene fornito alcun report.

    Se stai ancora utilizzando il"punti finali precedenti" utilizzato per gli aggiornamenti degli agenti, la convalida fallisce con un errore. Per evitare ciò, deselezionare la casella di controllo per saltare il controllo di convalida.

  6. Selezionare Aggiungi.

    L'istanza sarà pronta in circa 10 minuti; resta sulla pagina fino al completamento del processo.

Risultato

Una volta completato il processo, l'agente Console è disponibile per l'uso.

Nota Se la distribuzione non riesce, puoi scaricare un report e i registri dalla Console per aiutarti a risolvere i problemi."Scopri come risolvere i problemi di installazione."

Se disponi di bucket Google Cloud Storage nello stesso account Google Cloud in cui hai creato l'agente Console, vedrai automaticamente un sistema Google Cloud Storage apparire nella pagina Sistemi. "Scopri come gestire Google Cloud Storage dalla Console"