Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Azure Marketplace からコネクタを作成します

共同作成者
PDF

コネクタは、クラウドネットワークまたはオンプレミスネットワークで実行されるNetAppソフトウェアであり、BlueXP  のすべての機能とサービスを使用できます。利用可能なインストールオプションの1つは、Azure MarketplaceからAzureでコネクタを直接作成することです。Azure Marketplaceからコネクタを作成するには、ネットワークを設定し、Azureの権限を準備し、インスタンス要件を確認してからコネクタを作成する必要があります。

作業を開始する前に

手順1:ネットワークをセットアップする

コネクタをインストールするネットワークの場所が、次の要件をサポートしていることを確認します。これらの要件を満たすことで、コネクタはハイブリッドクラウド環境内のリソースとプロセスを管理できるようになります。

Azure リージョン

Cloud Volumes ONTAPを使用する場合は、コネクタを管理するCloud Volumes ONTAPシステムと同じAzureリージョンまたはに導入する必要があります "Azure リージョンペア" Cloud Volumes ONTAP システム用。この要件により、 Cloud Volumes ONTAP とそれに関連付けられたストレージアカウント間で Azure Private Link 接続が使用されるようになります。

"Cloud Volumes ONTAP での Azure プライベートリンクの使用方法をご確認ください"

VNetおよびサブネット

コネクタを作成するときは、コネクタを配置するVNetとサブネットを指定する必要があります。

ターゲットネットワークへの接続

コネクタには、作業環境を作成および管理する予定の場所へのネットワーク接続が必要です。たとえば、オンプレミス環境にCloud Volumes ONTAPシステムやストレージシステムを作成するネットワークなどです。

アウトバウンドインターネットアクセス

コネクタを展開するネットワークの場所には、特定のエンドポイントに接続するためのアウトバウンドインターネット接続が必要です。

コネクタから接続されたエンドポイント

このコネクタは、パブリッククラウド環境内のリソースとプロセスを日常的に管理するために、次のエンドポイントに接続するためのアウトバウンドインターネットアクセスを必要とします。

次に示すエンドポイントはすべてCNAMEエントリであることに注意してください。

エンドポイント 目的

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

Azureパブリックリージョン内のリソースを管理します。

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

をクリックしてAzure中国地域のリソースを管理してください。

\ https://support.netapp.com
https://mysupport.netapp.com をご覧ください

ライセンス情報を取得し、ネットアップサポートに AutoSupport メッセージを送信するため。

https://*.api.bluexp.netapp.com

https://api.bluexp.netapp.com

https://*.cloudmanager.cloud.netapp.com

https://cloudmanager.cloud.netapp.com

https://netapp-cloud-account.auth0.com

BlueXPでSaaSの機能とサービスを提供するため。

コネクタは現在「cloudmanager.cloud.netapp.com"」に連絡していますが、今後のリリースでは「api.bluexp.netapp.com"」に連絡を開始します。

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io

をクリックして、 Connector と Docker コンポーネントをアップグレードします。
プロキシサーバ

すべての送信インターネットトラフィック用にプロキシサーバーを展開する必要がある場合は、HTTPまたはHTTPSプロキシに関する次の情報を取得します。この情報は、インストール時に入力する必要があります。BlueXPでは透過型プロキシサーバはサポートされません。

  • IP アドレス

  • クレデンシャル

  • HTTPS証明書

ポート

コネクタを起動するか、コネクタがCloud Volumes ONTAPからNetAppサポートにAutoSupportメッセージを送信するためのプロキシとして使用されている場合を除き、コネクタへの受信トラフィックはありません。

  • HTTP ( 80 )と HTTPS ( 443 )はローカル UI へのアクセスを提供しますが、これはまれに使用されます。

  • SSH ( 22 )は、トラブルシューティングのためにホストに接続する必要がある場合にのみ必要です。

  • アウトバウンドインターネット接続を使用できないサブネットにCloud Volumes ONTAP システムを導入する場合は、ポート3128経由のインバウンド接続が必要です。

    Cloud Volumes ONTAPシステムでAutoSupportメッセージを送信するためのアウトバウンドインターネット接続が確立されていない場合は、コネクタに付属のプロキシサーバを使用するように自動的に設定されます。唯一の要件は、コネクタのセキュリティグループがポート3128を介したインバウンド接続を許可することです。コネクタを展開した後、このポートを開く必要があります。

NTPを有効にする

BlueXP分類を使用して企業データソースをスキャンする場合は、システム間で時刻が同期されるように、BlueXP ConnectorシステムとBlueXP分類システムの両方でネットワークタイムプロトコル(NTP)サービスを有効にする必要があります。 "BlueXPの分類の詳細については、こちらをご覧ください"

コネクタを作成した後で、このネットワーク要件を実装する必要があります。

ステップ2:VMの要件を確認する

コネクタを作成するときは、次の要件を満たす仮想マシンタイプを選択する必要があります。

CPU

8 コアまたは 8 個の vCPU

RAM

32GB

Azure VM サイズ

上記の CPU と RAM の要件を満たすインスタンスタイプ。Standard_D8s_v3 をお勧めします。

手順3:権限を設定する

権限は次の方法で指定できます。

  • オプション1:システム割り当ての管理IDを使用して、Azure VMにカスタムロールを割り当てます。

  • オプション2:必要な権限を持つAzureサービスプリンシパルのクレデンシャルをBlueXPに提供します。

BlueXPの権限を設定するには、次の手順を実行します。

カスタムロール

Azureカスタムロールは、Azureポータル、Azure PowerShell、Azure CLI、またはREST APIを使用して作成できます。Azure CLIを使用してロールを作成する手順を次に示します。別の方法を使用する場合は、を参照してください。 "Azure に関するドキュメント"

手順

  1. 独自のホストにソフトウェアを手動でインストールする場合は、カスタムロールを使用して必要なAzure権限を提供できるように、VMでシステムが割り当てた管理IDを有効にします。

    "Microsoft Azureのドキュメント:Azureポータルを使用して、VM上のAzureリソースの管理IDを設定します"

  2. の内容をコピーします "Connectorのカスタムロールの権限" JSONファイルに保存します。

  3. 割り当て可能なスコープに Azure サブスクリプション ID を追加して、 JSON ファイルを変更します。

    BlueXPで使用する各AzureサブスクリプションのIDを追加する必要があります。

    • 例 *

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

  4. JSON ファイルを使用して、 Azure でカスタムロールを作成します。

    次の手順は、 Azure Cloud Shell で Bash を使用してロールを作成する方法を示しています。

    1. 開始 "Azure Cloud Shell の略" Bash 環境を選択します。

    2. JSON ファイルをアップロードします。

      ファイルをアップロードするオプションを選択できる Azure Cloud Shell のスクリーンショット。

    3. Azure CLIを使用してカスタムロールを作成します。

      az role definition create --role-definition Connector_Policy.json
結果

これで、Connector仮想マシンに割り当てることができるBlueXP Operatorというカスタムロールが作成されました。

サービスプリンシパル

Microsoft Entra IDでサービスプリンシパルを作成してセットアップし、BlueXPに必要なAzureクレデンシャルを取得します。

ロールベースアクセス制御用のMicrosoft Entraアプリケーションの作成

  1. Active Directoryアプリケーションを作成し、そのアプリケーションをロールに割り当てる権限がAzureにあることを確認します。

    詳細については、を参照してください "Microsoft Azure のドキュメント:「 Required permissions"

  2. Azureポータルで、* Microsoft Entra ID *サービスを開きます。

    は、 Microsoft Azure の Active Directory サービスを示しています。

  3. メニューで*アプリ登録*を選択します。

  4. [New registration]*を選択します。

  5. アプリケーションの詳細を指定します。

    • * 名前 * :アプリケーションの名前を入力します。

    • アカウントの種類:アカウントの種類を選択します(すべてのアカウントはBlueXPで動作します)。

    • * リダイレクト URI *: このフィールドは空白のままにできます。

  6. [*Register] を選択します。

    AD アプリケーションとサービスプリンシパルを作成しておきます。

アプリケーションをロールに割り当てます

  1. カスタムロールを作成します。

    Azureカスタムロールは、Azureポータル、Azure PowerShell、Azure CLI、またはREST APIを使用して作成できます。Azure CLIを使用してロールを作成する手順を次に示します。別の方法を使用する場合は、を参照してください。 "Azure に関するドキュメント"

    1. の内容をコピーします "Connectorのカスタムロールの権限" JSONファイルに保存します。

    2. 割り当て可能なスコープに Azure サブスクリプション ID を追加して、 JSON ファイルを変更します。

      ユーザが Cloud Volumes ONTAP システムを作成する Azure サブスクリプションごとに ID を追加する必要があります。

      • 例 *

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. JSON ファイルを使用して、 Azure でカスタムロールを作成します。

      次の手順は、 Azure Cloud Shell で Bash を使用してロールを作成する方法を示しています。

      • 開始 "Azure Cloud Shell の略" Bash 環境を選択します。

      • JSON ファイルをアップロードします。

        ファイルをアップロードするオプションを選択できる Azure Cloud Shell のスクリーンショット。

      • Azure CLIを使用してカスタムロールを作成します。

        az role definition create --role-definition Connector_Policy.json

        これで、Connector仮想マシンに割り当てることができるBlueXP Operatorというカスタムロールが作成されました。

  2. ロールにアプリケーションを割り当てます。

    1. Azure ポータルで、 * Subscriptions * サービスを開きます。

    2. サブスクリプションを選択します。

    3. [アクセス制御(IAM)]>[追加]>[ロール割り当ての追加]*を選択します。

    4. [ロール]タブで、[BlueXP Operator]*ロールを選択し、[次へ]*を選択します。

    5. [* Members* (メンバー * ) ] タブで、次の手順を実行します。

      • [* ユーザー、グループ、またはサービスプリンシパル * ] を選択したままにします。

      • [メンバーの選択]*を選択します。

        アプリケーションにロールを追加するときに Members タブを表示する Azure ポータルのスクリーンショット。

      • アプリケーションの名前を検索します。

        次に例を示します。

      Azure ポータルのスクリーンショットで、 Azure ポータルのロール割り当ての追加フォームが表示されています。

      • アプリケーションを選択し、*選択*を選択します。

      • 「 * 次へ * 」を選択します。

    6. [Review + Assign]*を選択します。

      サービスプリンシパルに、 Connector の導入に必要な Azure 権限が付与されるようになりました。

    Cloud Volumes ONTAP を複数の Azure サブスクリプションから導入する場合は、サービスプリンシパルを各サブスクリプションにバインドする必要があります。BlueXPを使用すると、Cloud Volumes ONTAP の導入時に使用するサブスクリプションを選択できます。

Windows Azure Service Management API 権限を追加します

  1. Microsoft Entra ID *サービスで、*アプリ登録*を選択し、アプリケーションを選択します。

  2. [API permissions]>[Add a permission]*を選択します。

  3. Microsoft API* で、 * Azure Service Management * を選択します。

    Azure Service Management API 権限を示す Azure ポータルのスクリーンショット。

  4. を選択し、[Add permissions]*を選択します。

    Azure Service Management API の追加を示す Azure ポータルのスクリーンショット。

アプリケーションのアプリケーションIDとディレクトリIDを取得します

  1. Microsoft Entra ID *サービスで、*アプリ登録*を選択し、アプリケーションを選択します。

  2. アプリケーション(クライアント) ID * とディレクトリ(テナント) ID * をコピーします。

    Microsoft Entra IDYのアプリケーションのアプリケーション(クライアント)IDとディレクトリ(テナント)IDを示すスクリーンショット。

    AzureアカウントをBlueXPに追加するときは、アプリケーション(クライアント)IDとディレクトリ(テナント)IDを指定する必要があります。BlueXPでは、プログラムでサインインするためにIDが使用されます。

クライアントシークレットを作成します

  1. Microsoft Entra ID *サービスを開きます。

  2. *アプリ登録*を選択し、アプリケーションを選択します。

  3. [Certificates & secrets]>[New client secret]*を選択します。

  4. シークレットと期間の説明を入力します。

  5. 「 * 追加」を選択します。

  6. クライアントシークレットの値をコピーします。

    Microsoft Entraサービスプリンシパルのクライアントシークレットを示すAzureポータルのスクリーンショット。

    BlueXPでクライアントシークレットを使用してMicrosoft Entra IDで認証できるようになりました。

結果

これでサービスプリンシパルが設定され、アプリケーション(クライアント) ID 、ディレクトリ(テナント) ID 、およびクライアントシークレットの値をコピーしました。Azureアカウントを追加する場合は、BlueXPでこの情報を入力する必要があります。

手順4:コネクタを作成する

Azure Marketplaceからコネクタを直接起動します。

このタスクについて

Azure Marketplaceからコネクタを作成すると、デフォルト構成を使用してAzureに仮想マシンが導入されます。 "コネクタのデフォルト設定について説明します"

作業を開始する前に

次の情報が必要です。

  • Azure サブスクリプション。

  • 選択した Azure リージョン内の VNet およびサブネット

  • すべての発信インターネットトラフィックにプロキシを必要とする場合は、プロキシサーバの詳細を参照してください。

    • IP アドレス

    • クレデンシャル

    • HTTPS証明書

  • コネクタ仮想マシンでその認証方法を使用する場合は、SSH公開鍵。認証方法のもう1つのオプションは、パスワードを使用することです。

    "AzureでLinux VMに接続する方法について説明します"

  • BlueXPでコネクタ用のAzureロールを自動的に作成しない場合は、自分で作成する必要があります "このページのポリシーを使用する"

    これらの権限はコネクタインスタンス自体に適用されます。これは、コネクタVMを導入するために以前に設定した権限とは異なる権限のセットです。

手順

  1. Azure MarketplaceのNetApp Connector VMのページに移動します。

    "Azure Marketplaceの一般企業向けページ"

  2. を選択し、[続行]*を選択します。

  3. Azureポータルで、*[作成]*を選択し、手順に従って仮想マシンを設定します。

    VM を設定する際には、次の点に注意してください。

    • * VMサイズ*:CPUとRAMの要件を満たすVMサイズを選択します。Standard_D8s_v3 をお勧めします。

    • ディスク:コネクタはHDDまたはSSDディスクで最適なパフォーマンスを発揮します。

    • ネットワークセキュリティグループ:コネクタには、SSH、HTTP、およびHTTPSを使用したインバウンド接続が必要です。

      "Azureのセキュリティグループルールを表示します"

    • * ID Management Enable system assigned managed identity *を選択します。

      管理されたIDを使用すると、コネクタ仮想マシンは資格情報を提供せずにMicrosoft Entra IDに対して自身を識別できるため、この設定は重要です。 "Azure リソース用の管理対象 ID の詳細については、こちらをご覧ください"

  4. [確認と作成]ページで、選択内容を確認し、*[作成]*を選択して導入を開始します。

    指定した設定で仮想マシンが展開されます。仮想マシンと Connector ソフトウェアが起動するまでの所要時間は約 5 分です。

  5. Connector 仮想マシンに接続されているホストから Web ブラウザを開き、次の URL を入力します。

    https://ipaddress

  6. ログイン後、コネクタを設定します。

    1. コネクタに関連付けるBlueXP  組織を指定します。

    2. システムの名前を入力します。

    3. *では、セキュリティ保護された環境で実行していますか?*制限モードを無効にしたままにします。

      標準モードでBlueXPを使用する手順について説明しているため、制限モードは無効にしておく必要があります。セキュアな環境でBlueXPバックエンドサービスからこのアカウントを切断する場合にのみ、制限モードを有効にしてください。その場合は、 "制限モードでBlueXPの使用を開始するには、次の手順に従います"

    4. [* Let's start]*を選択します。

結果

これでコネクタがインストールされ、BlueXP  組織でセットアップされました。

コネクタを作成したAzureサブスクリプションと同じAzure BLOBストレージがある場合は、BlueXPキャンバスにAzure BLOBストレージの作業環境が自動的に表示されます。 "BlueXPからAzure Blobストレージを管理する方法"

手順5:BlueXPに権限を付与する

コネクタの作成が完了したら、以前に設定した権限をBlueXPに付与する必要があります。権限を付与することで、AzureのデータとストレージインフラをBlueXPで管理できるようになります。

カスタムロール

Azureポータルに移動し、1つ以上のサブスクリプションのコネクタ仮想マシンにAzureカスタムロールを割り当てます。

手順

  1. Azure Portalで、* Subscriptions *サービスを開き、サブスクリプションを選択します。

    サブスクリプションレベルでのロール割り当ての範囲が指定されるため、* Subscriptions *サービスからロールを割り当てることが重要です。_scope_は、環境にアクセスするリソースセットを定義します。別のレベル(仮想マシンレベルなど)でスコープを指定すると、BlueXPで操作を実行できなくなります。

    "Microsoft Azureのドキュメント:「Azure RBACの範囲を理解する」"

  2. >[追加]>[ロール割り当ての追加]*を選択します。

  3. [ロール]タブで、[BlueXP Operator]*ロールを選択し、[次へ]*を選択します。

    メモ BlueXP Operatorは'BlueXPポリシーで指定されているデフォルト名ですロールに別の名前を選択した場合は、代わりにその名前を選択します。

  4. [* Members* (メンバー * ) ] タブで、次の手順を実行します。

    1. * 管理対象 ID * へのアクセス権を割り当てます。

    2. * Select members を選択し、コネクター仮想マシンが作成されたサブスクリプションを選択します。 Managed identity Virtual machine *を選択し、コネクター仮想マシンを選択します。

    3. [選択]*を選択します。

    4. 「 * 次へ * 」を選択します。

    5. [Review + Assign]*を選択します。

    6. 追加のAzureサブスクリプションでリソースを管理する場合は、そのサブスクリプションに切り替えてから、上記の手順を繰り返します。

結果

BlueXPに、Azureで処理を実行するために必要な権限が付与されました。

次の手順

にアクセスします "BlueXPコンソール" BlueXPでコネクタの使用を開始します

サービスプリンシパル
手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

    BlueXPコンソールの右上にある設定アイコンを示すスクリーンショット。

  2. [クレデンシャルの追加]*を選択し、ウィザードの手順に従います。

    1. * 資格情報の場所 * : Microsoft Azure > Connector * を選択します。

    2. 資格情報の定義:必要な権限を付与するMicrosoft Entraサービスプリンシパルに関する情報を入力します。

      • アプリケーション(クライアント)ID

      • ディレクトリ(テナント)ID

      • クライアントシークレット

    3. * Marketplace サブスクリプション *: 今すぐ登録するか、既存のサブスクリプションを選択して、 Marketplace サブスクリプションをこれらの資格情報に関連付けます。

    4. 確認:新しいクレデンシャルの詳細を確認し、*[追加]*を選択します。

結果

BlueXPに、Azureで処理を実行するために必要な権限が付与されました。