リリースノート
コネクタを制限モードで展開します
変更を提案
PDF
BlueXPのSaaSレイヤへのアウトバウンド接続を制限してBlueXPを使用できるように、コネクタを制限モードで導入します。まず、コネクタをインストールし、コネクタで実行されているユーザインターフェイスにアクセスしてBlueXPをセットアップし、以前に設定したクラウド権限を指定します。
手順1:コネクタを取り付ける
クラウドプロバイダのマーケットプレイスから、または手動で独自のLinuxホストにソフトウェアをインストールして、コネクタをインストールします。
次の情報が必要です。
-
ネットワーク要件を満たすVPCとサブネット。
-
コネクタに必要な権限を含むポリシーが添付されたIAMロール。
-
IAMユーザのAWS Marketplaceをサブスクライブおよびサブスクライブ解除する権限。
-
インスタンスのCPUとRAMの要件を理解していること。
-
EC2インスタンスのキーペア。
-
にアクセスします "AWS MarketplaceのBlueXPページ"
-
[Marketplace]ページで、[Continue to Subscribe]*を選択し、[Continue to Configuration]*を選択します。
-
デフォルトのオプションを変更して、*[起動を続行]*を選択します。
-
[Choose Action]*で、[Launch through EC2]*を選択し、[Launch]*を選択します。
以下の手順では、コンソールからEC2コンソールからインスタンスを起動する方法について説明します。これは、IAMロールをコネクタインスタンスに関連付けることができるためです。これは、 * ウェブサイトからの起動 * アクションを使用しては実行できません。
-
プロンプトに従って、インスタンスを設定および導入します。
-
名前とタグ:インスタンスの名前とタグを入力します。
-
アプリケーションとOSイメージ:このセクションは省略します。コネクタAMIはすでに選択されています。
-
インスタンスタイプ:リージョンの可用性に応じて、RAMとCPUの要件を満たすインスタンスタイプを選択します(T3.xlargeを推奨)。
-
キーペア(ログイン):インスタンスへのセキュアな接続に使用するキーペアを選択します。
-
ネットワーク設定:必要に応じてネットワーク設定を編集します。
-
目的のVPCとサブネットを選択します。
-
インスタンスにパブリックIPアドレスを割り当てるかどうかを指定します。
-
コネクタインスタンスに必要な接続方法(SSH、HTTP、HTTPS)を有効にするファイアウォール設定を指定します。
特定の構成にはさらにいくつかのルールが必要です。
-
-
ストレージの構成:ルートボリュームのデフォルトサイズとディスクタイプを維持します。
ルートボリュームでAmazon EBS暗号化を有効にする場合は、[アドバンスト]*を選択し、[ボリューム1]を展開して[暗号化]*を選択し、KMSキーを選択します。
-
詳細情報:*[IAMインスタンスプロファイル]*で、コネクタに必要な権限を含むIAMロールを選択します。
-
概要:概要を確認し、*インスタンスの起動*を選択します。
-
AWS は、指定した設定でソフトウェアを起動します。コネクタインスタンスとソフトウェアは、約 5 分後に実行される必要があります。
BlueXPをセットアップします。
次の情報が必要です。
-
ネットワーク要件を満たすVPCとサブネット。
-
コネクタに必要な権限を含むポリシーが添付されたIAMロール。
-
IAMユーザのAWS Marketplaceをサブスクライブおよびサブスクライブ解除する権限。
-
EC2インスタンスのキーペア。
-
AWS MarketplaceのBlueXP製品にアクセスします。
-
EC2サービスを開き、*インスタンスの起動*を選択します。
-
「AWS Marketplace *」を選択します。
-
BlueXPを検索して、製品を選択します。
-
「 * Continue * 」を選択します。
-
-
プロンプトに従って、インスタンスを設定および導入します。
-
インスタンスタイプを選択:リージョンの可用性に応じて、サポートされているインスタンスタイプ(t3.xlargeを推奨)のいずれかを選択します。
-
* Configure Instance Details*:VPCとサブネットを選択し、手順1で作成したIAMロールを選択して、終了保護を有効にし(推奨)、要件を満たす他の設定オプションを選択します。
-
* Add Storage* :デフォルトのストレージ・オプションをそのまま使用します。
-
* Add Tags* :必要に応じて、インスタンスのタグを入力します。
-
* セキュリティグループの設定 * :コネクタインスタンスに必要な接続方法( SSH 、 HTTP 、 HTTPS )を指定します。
-
確認:選択内容を確認し、*起動*を選択します。
-
AWS は、指定した設定でソフトウェアを起動します。コネクタインスタンスとソフトウェアは、約 5 分後に実行される必要があります。
BlueXPをセットアップします。
次の情報が必要です。
-
ネットワーク要件を満たすVNetとサブネット。
-
コネクタに必要な権限を含むAzureのカスタムロール。
-
Azure MarketplaceのNetApp Connector VMのページに移動します。
-
を選択し、[続行]*を選択します。
-
Azureポータルで、*[作成]*を選択し、手順に従って仮想マシンを設定します。
VM を設定する際には、次の点に注意してください。
-
* VMサイズ*:CPUとRAMの要件を満たすVMサイズを選択します。DS3 v2 を推奨します。
-
ディスク:コネクタはHDDまたはSSDディスクで最適なパフォーマンスを発揮します。
-
*パブリックIP *:コネクタVMでパブリックIPアドレスを使用する場合、BlueXPでこのパブリックIPアドレスが確実に使用されるように、そのIPアドレスでBasic SKUを使用する必要があります。
フィールドで[Basic]を選択できます。"]Standard SKUのIPアドレスを代わりに使用する場合、BlueXPでは、パブリックIPではなくコネクタの_private_IPアドレスが使用されます。BlueXPコンソールへのアクセスに使用しているマシンがそのプライベートIPアドレスにアクセスできない場合、BlueXPコンソールからの操作が失敗します。
-
ネットワークセキュリティグループ:コネクタには、SSH、HTTP、およびHTTPSを使用したインバウンド接続が必要です。
-
* ID : Management で Enable system assigned managed identity *を選択します。
管理されたIDを使用すると、コネクタ仮想マシンは資格情報を提供せずにMicrosoft Entra IDに対して自身を識別できるため、この設定は重要です。 "Azure リソース用の管理対象 ID の詳細については、こちらをご覧ください"。
-
-
[確認と作成]ページで、選択内容を確認し、*[作成]*を選択して導入を開始します。
指定した設定で仮想マシンが展開されます。仮想マシンと Connector ソフトウェアが起動するまでの所要時間は約 5 分です。
BlueXPをセットアップします。
次の情報が必要です。
-
コネクタをインストールするためのroot権限。
-
コネクタからのインターネットアクセスにプロキシが必要な場合は、プロキシサーバに関する詳細。
インストール後にプロキシサーバを設定することもできますが、その場合はコネクタを再起動する必要があります。
BlueXPでは透過型プロキシサーバはサポートされません。
-
プロキシサーバがHTTPSを使用している場合、またはプロキシが代行受信プロキシの場合は、CA署名証明書。
NetApp Support Siteで入手できるインストーラは、それよりも古いバージョンの場合があります。インストール後、新しいバージョンが利用可能になると、コネクタは自動的に更新されます。
-
Docker が有効で実行されていることを確認します。
sudo systemctl enable docker && sudo systemctl start docker -
ホストに_http_proxy_or_https_proxy_system変数が設定されている場合は、削除します。
unset http_proxy unset https_proxyこれらのシステム変数を削除しないと、インストールは失敗します。
-
からConnectorソフトウェアをダウンロードします "NetApp Support Site"をクリックし、 Linux ホストにコピーします。
ネットワークまたはクラウドで使用するための「オンライン」コネクタインストーラをダウンロードする必要があります。コネクタには別の「オフライン」インストーラが用意されていますが、プライベートモード展開でのみサポートされています。
-
スクリプトを実行する権限を割り当てます。
chmod +x BlueXP-Connector-Cloud-<version><version> は、ダウンロードしたコネクタのバージョンです。
-
インストールスクリプトを実行します。
./BlueXP-Connector-Cloud-<version> --proxy <HTTP or HTTPS proxy server> --cacert <path and file name of a CA-signed certificate>--proxyパラメータと—cacert.pemパラメータはオプションです。プロキシサーバを使用している場合は、次のようにパラメータを入力する必要があります。プロキシに関する情報の入力を求めるプロンプトは表示されません。
次に、両方のオプションパラメータを使用したコマンドの例を示します。
./BlueXP-Connector-Cloud-v3.9.38 --proxy https://user:password@10.0.0.30:8080/ --cacert /tmp/cacert/certificate.cer--proxyは、次のいずれかの形式を使用してHTTPまたはHTTPSプロキシサーバを使用するようにコネクタを設定します。
-
http://address:port
-
http://user-name:password@address:port
-
http://domain-name%92user-name:password@address:port
-
https://address:port
-
https://user-name:password@address:port
-
https://domain-name%92user-name:password@address:port
次の点に注意してください。
-
ユーザには、ローカルユーザまたはドメインユーザを指定できます。
-
ドメインユーザの場合は、上記のように\にASCIIコードを使用する必要があります。
-
BlueXPでは、@文字を含むパスワードはサポートされていません。
-
--cacertsは、コネクタとプロキシサーバ間のHTTPSアクセスに使用するCA署名証明書を指定しています。このパラメータは、HTTPSプロキシサーバを指定する場合、または代行受信プロキシを指定する場合にのみ必要です。
-
これでコネクタがインストールされました。プロキシサーバを指定した場合は、インストールの終了時にConnectorサービス(occm)が2回再起動されます。
BlueXPをセットアップします。
ステップ2:BlueXPをセットアップする
BlueXPコンソールに初めてアクセスすると、コネクタを関連付けるアカウントを選択するように求められ、制限モードを有効にする必要があります。
|
すでにアカウントを持っていて、別のアカウントを作成する場合は、Tenancy APIを使用する必要があります。 "BlueXPアカウントを追加で作成する方法をご紹介します"。 |
-
コネクタインスタンスに接続されているホストから Web ブラウザを開き、次の URL を入力します。
-
BlueXPに登録またはログインします。
-
ログインしたら、BlueXPをセットアップします。
-
コネクタの名前を入力します。
-
新しいBlueXPアカウントの名前を入力するか、既存のアカウントを選択します。
ログインがすでにBlueXPアカウントに関連付けられている場合は、既存のアカウントを選択できます。
-
[セキュリティ保護された環境で実行していますか?]*を選択します
-
*このアカウントで制限モードを有効にする*を選択します。
BlueXPでアカウントが作成されると、この設定を変更することはできません。制限モードは後で有効にすることも、後で無効にすることもできません。
コネクタを政府地域に配置した場合、このチェックボックスはすでに有効になっており、変更することはできません。これは、制限モードが政府地域でサポートされている唯一のモードであるためです。
-
[* Let's start]*を選択します。
-
これで、コネクタのインストールとBlueXPアカウントでのセットアップが完了しました。すべてのユーザがコネクタインスタンスのIPアドレスを使用してBlueXPにアクセスする必要があります。
以前に設定した権限をBlueXPに付与します。
ステップ3:BlueXPへの権限を付与する
Azure Marketplaceからコネクタを導入した場合やコネクタソフトウェアを手動でインストールした場合は、BlueXPサービスを使用できるように、以前に設定した権限を指定する必要があります。
AWS Marketplaceからコネクタをデプロイした場合、デプロイ時に必要なIAMロールを選択したため、これらの手順は適用されません。
以前に作成したIAMロールを、コネクタをインストールしたEC2インスタンスにアタッチします。
これらの手順は、コネクタをAWSに手動でインストールした場合にのみ該当します。AWS Marketplace環境の場合は、コネクタインスタンスに必要な権限を含むIAMロールがすでに関連付けられています。
-
Amazon EC2コンソールに移動します。
-
[インスタンス]*を選択します。
-
コネクターインスタンスを選択します。
-
[アクション]>[セキュリティ]>[IAMロールの変更]*を選択します。
-
IAMロールを選択し、*[IAMロールの更新]*を選択します。
BlueXPに、AWSでユーザに代わって操作を実行するために必要な権限が付与されました。
必要な権限を持つIAMユーザのAWSアクセスキーをBlueXPに渡します。
-
BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。
-
[クレデンシャルの追加]*を選択し、ウィザードの手順に従います。
-
* 資格情報の場所 * :「 * Amazon Web Services > Connector * 」を選択します。
-
クレデンシャルを定義:AWSアクセスキーとシークレットキーを入力します。
-
* Marketplace サブスクリプション *: 今すぐ登録するか、既存のサブスクリプションを選択して、 Marketplace サブスクリプションをこれらの資格情報に関連付けます。
-
確認:新しいクレデンシャルの詳細を確認し、*[追加]*を選択します。
-
BlueXPに、AWSでユーザに代わって操作を実行するために必要な権限が付与されました。
Azureポータルに移動し、1つ以上のサブスクリプションのコネクタ仮想マシンにAzureカスタムロールを割り当てます。
-
Azure Portalで、* Subscriptions *サービスを開き、サブスクリプションを選択します。
-
>[追加]>[ロール割り当ての追加]*を選択します。
-
[ロール]タブで、[BlueXP Operator]*ロールを選択し、[次へ]*を選択します。
BlueXP Operatorは'BlueXPポリシーで指定されているデフォルト名ですロールに別の名前を選択した場合は、代わりにその名前を選択します。 -
[* Members* (メンバー * ) ] タブで、次の手順を実行します。
-
* 管理対象 ID * へのアクセス権を割り当てます。
-
*メンバーの選択*を選択し、コネクター仮想マシンが作成されたサブスクリプションを選択して*仮想マシン*を選択し、コネクター仮想マシンを選択します。
-
[選択]*を選択します。
-
「 * 次へ * 」を選択します。
-
[Review + Assign]*を選択します。
-
追加のAzureサブスクリプションでリソースを管理する場合は、そのサブスクリプションに切り替えてから、上記の手順を繰り返します。
-
BlueXPに、Azureで処理を実行するために必要な権限が付与されました。
以前にセットアップしたAzureサービスプリンシパルのクレデンシャルをBlueXPに指定します。
-
BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。
-
[クレデンシャルの追加]*を選択し、ウィザードの手順に従います。
-
* 資格情報の場所 * : Microsoft Azure > Connector * を選択します。
-
資格情報の定義:必要な権限を付与するMicrosoft Entraサービスプリンシパルに関する情報を入力します。
-
アプリケーション(クライアント)ID
-
ディレクトリ(テナント)ID
-
クライアントシークレット
-
-
* Marketplace サブスクリプション *: 今すぐ登録するか、既存のサブスクリプションを選択して、 Marketplace サブスクリプションをこれらの資格情報に関連付けます。
-
確認:新しいクレデンシャルの詳細を確認し、*[追加]*を選択します。
-
BlueXPに、Azureで処理を実行するために必要な権限が付与されました。
サービスアカウントをコネクタVMに関連付けます。
-
Google Cloudポータルに移動し、コネクタVMインスタンスにサービスアカウントを割り当てます。
-
他のプロジェクトのリソースを管理する場合は、BlueXPロールを持つサービスアカウントをそのプロジェクトに追加してアクセスを許可します。プロジェクトごとにこの手順を繰り返す必要があります。
BlueXPに、Google Cloudでユーザに代わって操作を実行するために必要な権限が付与されました。