Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

プライベートモードでの導入を準備します

共同作成者
PDF

BlueXPをプライベートモードで導入する前に、環境を準備します。たとえば、ホストの要件の確認、ネットワークの準備、権限の設定などが必要になります。

メモ でBlueXPを使用する場合は "AWSシークレットクラウド" または "AWSのトップシークレットクラウド"それらの環境で作業を開始するには、別の手順に従う必要があります。 "AWSシークレットクラウドまたはTop Secret CloudでCloud Volumes ONTAPの使用を開始する方法をご確認ください"

ステップ1:プライベートモードの仕組みを理解する

作業を開始する前に、BlueXPがプライベートモードでどのように動作するかを理解しておく必要があります。

たとえば、インストールする必要があるBlueXP Connectorからローカルにアクセスできるブラウザベースのインターフェイスを使用する必要があることを理解しておく必要があります。BlueXPには、SaaSレイヤ経由で提供されるWebベースのコンソールからはアクセスできません。

また、すべてのBlueXPサービスを利用できるわけではありません。

"プライベートモードの仕組みを説明します"

手順2:インストールオプションを確認する

プライベートモードでは、コネクタを自社のLinuxホストに手動でインストールすることで、コネクタをオンプレミスまたはクラウドにインストールできます。

コネクタのインストール先によって、プライベートモードの使用時に使用できるBlueXPのサービスと機能が決まります。たとえば、Cloud Volumes ONTAPを導入して管理する場合は、コネクタをクラウドにインストールする必要があります。 "プライベートモードの詳細"

手順3:ホスト要件を確認する

コネクタソフトウェアは、特定のオペレーティングシステム要件、 RAM 要件、ポート要件などを満たすホストで実行する必要があります。

専用ホスト

他のアプリケーションと共有しているホストでは、このコネクタはサポートされていません。専用のホストである必要があります。

オペレーティングシステムとコンテナの要件

BlueXP  は、プライベートモードでBlueXP  を使用する場合、次のオペレーティングシステムでコネクタをサポートします。コネクタをインストールする前に、コンテナオーケストレーションツールが必要です。

オペレーティングシステム サポートされるOSバージョン サポートされるコネクタのバージョン 必要なコンテナツール SELinux

Red Hat Enterprise Linux の場合

9.1~9.4

8.6~8.10

3.9.42以降(BlueXP  をプライベートモードで使用)

Podmanバージョン4.6.1または4.9.4

Podman設定要件の表示です。

強制モードまたは許可モードでサポート1

Ubuntu

22.04 LTS

3.9.29以降

Docker Engine 23.0.6~26.0.0

26.0.0は_new_connector 3.9.44以降のインストールでサポートされます。

サポート対象外

注:

  1. Cloud Volumes ONTAPシステムの管理は、オペレーティングシステムでSELinuxが有効になっているコネクタではサポートされていません。

  2. Connector は、これらのオペレーティングシステムの英語版でサポートされています。

  3. RHELの場合は、ホストをRed Hat Subscription Managementに登録する必要があります。登録されていない場合、ホストはコネクタのインストール時に必要なサードパーティ製ソフトウェアを更新するためのリポジトリにアクセスできません。

ハイパーバイザー

サポート対象のオペレーティングシステムの実行が認定されているベアメタルまたはホスト型ハイパーバイザーが必要です。

CPU

8 コアまたは 8 個の vCPU

RAM

32GB

AWS EC2 インスタンスタイプ

上記の CPU と RAM の要件を満たすインスタンスタイプ。t3.2xlarge をお勧めします。

Azure VM サイズ

上記の CPU と RAM の要件を満たすインスタンスタイプ。Standard_D8s_v3 をお勧めします。

Google Cloudマシンのタイプ

上記の CPU と RAM の要件を満たすインスタンスタイプ。n2-standard-8を推奨します。

このコネクタは、OSがサポートされているVMインスタンス上のGoogle Cloudでサポートされます "シールドVM機能"

/opt のディスクスペース

100GiB のスペースが使用可能である必要があります

BlueXP  は、を使用して `/opt`ディレクトリとその内容をインストールし `/opt/application/netapp`ます。

/var のディスク領域

20GiB のスペースが必要です

このスペースはBlueXPの /var DockerやPodmanは、このディレクトリ内にコンテナを作成するように設計されているためです。具体的には、 /var/lib/containers/storage ディレクトリ。このスペースでは外部マウントやシンボリックリンクは使用できません。

手順4:PodmanまたはDocker Engineをインストールする

PodmanまたはDocker Engineをインストールして、コネクタ用のホストを準備する必要があります。

オペレーティングシステムに応じて、コネクタをインストールする前にPodmanまたはDocker Engineのいずれかが必要です。

例 1. 手順
ポドマン

次の手順に従って、Podmanをインストールし、次の要件を満たすように設定します。

  • podman.socketサービスを有効にして開始する必要があります

  • Python3がインストールされている必要があります

  • podman-composeパッケージバージョン1.0.6がインストールされている必要があります。

  • podman-composeをPATH環境変数に追加する必要があります

手順

  1. podman-dockerパッケージがホストにインストールされている場合は削除します。

    dnf remove podman-docker
rm /var/run/docker.sock

  2. Podmanをインストールします。

    PodmanはRed Hat Enterprise Linuxの公式リポジトリから入手できます。

    Red Hat Enterprise Linux 9の場合:

    sudo dnf install podman-2:<version>

    <version>は、インストールするPodmanのサポートされているバージョンです。BlueXP  がサポートするPodmanバージョンを表示するです。

    Red Hat Enterprise Linux 8の場合:

    sudo dnf install podman-3:<version>

    <version>は、インストールするPodmanのサポートされているバージョンです。BlueXP  がサポートするPodmanバージョンを表示するです。

  3. podman.socketサービスを有効にして開始します。

    sudo systemctl enable --now podman.socket

  4. python3をインストールします。

    sudo dnf install python3

  5. EPELリポジトリパッケージがシステムにない場合はインストールします。

    podman-composeはExtra Packages for Enterprise Linux(EPEL)リポジトリから利用できるため、この手順が必要です。

    Red Hat Enterprise Linux 9の場合:

    sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm

    Red Hat Enterprise Linux 8の場合:

    sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

  6. podman-composeパッケージ1.0.6をインストールします。

    sudo dnf install podman-compose-1.0.6
    メモ を使用する dnf install コマンドは、PATH環境変数にpodman-composeを追加するための要件を満たしています。インストールコマンドを実行すると、/usr/binにpodman-composeが追加されます。 secure_path オプションを指定します。
Docker Engine の略

Dockerのドキュメントに従ってDocker Engineをインストールします。

手順

  1. "Dockerからインストール手順を表示"

    特定のバージョンのDocker Engineをインストールするには、必ず次の手順に従ってください。最新バージョンをインストールすると、BlueXPでサポートされていないバージョンのDockerがインストールされます。

  2. Dockerが有効で実行されていることを確認します。

    sudo systemctl enable docker && sudo systemctl start docker

手順5:ネットワークを準備する

コネクタがパブリッククラウド環境内のリソースやプロセスを管理できるように、ネットワークを設定します。コネクタの仮想ネットワークとサブネットを使用する以外に、次の要件が満たされていることを確認する必要があります。

ターゲットネットワークへの接続

コネクタには、ストレージを管理する場所へのネットワーク接続が必要です。たとえば、Cloud Volumes ONTAP を導入するVPCまたはVNet、オンプレミスのONTAP クラスタが配置されているデータセンターなどです。

日常業務のエンドポイント

Cloud Volumes ONTAPシステムを作成する場合は、クラウドプロバイダの一般に利用可能なリソース内のエンドポイントにコネクタを接続する必要があります。

エンドポイント 目的

AWS サービス( amazonaws.com ):

  • クラウド形成

  • 柔軟なコンピューティングクラウド( EC2 )

  • IDおよびアクセス管理(IAM)

  • キー管理サービス( KMS )

  • セキュリティトークンサービス( STS )

  • シンプルなストレージサービス( S3 )

AWSでリソースを管理できます。正確なエンドポイントは、使用しているAWSリージョンによって異なります。 "詳細については、AWSのドキュメントを参照してください"

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

Azureパブリックリージョン内のリソースを管理します。

https://management.azure.microsoft.scloud
https://login.microsoftonline.microsoft.scloud
https://blob.core.microsoft.scloud
https://core.microsoft.scloud

をクリックして、Azure IL6リージョン内のリソースを管理します。

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

をクリックしてAzure中国地域のリソースを管理してください。

https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects

Google Cloudでリソースを管理します。
AzureのパブリックIPアドレス

AzureのコネクタVMでパブリックIPアドレスを使用する場合は、そのIPアドレスでBasic SKUを使用して、BlueXPでこのパブリックIPアドレスが使用されるようにする必要があります。

"Azureで新しいIPアドレスを作成するスクリーンショット。[SKUフィールドで[Basic]を選択できます。"]

Standard SKUのIPアドレスを代わりに使用する場合、BlueXPでは、パブリックIPではなくコネクタの_private_IPアドレスが使用されます。BlueXPコンソールへのアクセスに使用しているマシンがそのプライベートIPアドレスにアクセスできない場合、BlueXPコンソールからの操作が失敗します。

"Azureのドキュメント:パブリックIP SKU"

プロキシサーバ

すべての送信インターネットトラフィック用にプロキシサーバーを展開する必要がある場合は、HTTPまたはHTTPSプロキシに関する次の情報を取得します。この情報は、インストール時に入力する必要があります。BlueXPでは透過型プロキシサーバはサポートされません。

  • IP アドレス

  • クレデンシャル

  • HTTPS証明書

    プライベートモードの場合、BlueXPがアウトバウンドトラフィックを送信するのは、Cloud Volumes ONTAP システムを作成するためにクラウドプロバイダにしかありません。

ポート

コネクタへの着信トラフィックは、開始しない限りありません。

HTTP(80)およびHTTPS(443)は、BlueXPコンソールへのアクセスを提供します。SSH ( 22 )は、トラブルシューティングのためにホストに接続する必要がある場合にのみ必要です。

NTPを有効にする

BlueXP分類を使用して企業データソースをスキャンする場合は、システム間で時刻が同期されるように、BlueXP ConnectorシステムとBlueXP分類システムの両方でネットワークタイムプロトコル(NTP)サービスを有効にする必要があります。 "BlueXPの分類の詳細については、こちらをご覧ください"

ステップ6:クラウドの権限を準備する

コネクタがクラウドにインストールされていて、Cloud Volumes ONTAPシステムを作成する場合は、クラウドプロバイダからBlueXPの権限が必要です。クラウドプロバイダで権限を設定し、インストール後にそれらの権限をコネクタインスタンスに関連付ける必要があります。

必要な手順を表示するには、クラウドプロバイダに使用する認証オプションを選択します。

AWS IAMロール

コネクタに権限を付与するには、IAMロールを使用します。コネクタのEC2インスタンスにロールを手動でアタッチする必要があります。

手順

  1. AWSコンソールにログインし、IAMサービスに移動します。

  2. ポリシーを作成します。

    1. [Policies]>[Create policy]*を選択します。

    2. [*json]*を選択し、の内容をコピーして貼り付けます "コネクタのIAMポリシー"

    3. 残りの手順を完了してポリシーを作成します。

  3. IAMロールを作成します。

    1. [ロール]>[ロールの作成]*を選択します。

    2. [AWS service]>[EC2]*を選択します。

    3. 作成したポリシーを適用して権限を追加します。

    4. 残りの手順を完了してロールを作成します。

結果

これで、コネクタEC2インスタンスのIAMロールが作成されました。

AWSアクセスキー

IAMユーザの権限とアクセスキーを設定します。コネクタをインストールしてBlueXPをセットアップしたら、BlueXPにAWSアクセスキーを指定する必要があります。

手順

  1. AWSコンソールにログインし、IAMサービスに移動します。

  2. ポリシーを作成します。

    1. [Policies]>[Create policy]*を選択します。

    2. [*json]*を選択し、の内容をコピーして貼り付けます "コネクタのIAMポリシー"

    3. 残りの手順を完了してポリシーを作成します。

      使用するBlueXPサービスによっては、2つ目のポリシーの作成が必要になる場合があります。

    標準のリージョンでは、権限は2つのポリシーに分散されます。AWSの管理対象ポリシーの最大文字数に制限されているため、2つのポリシーが必要です。 "コネクタのIAMポリシーの詳細については、こちらを参照してください"

  3. IAMユーザにポリシーを適用します。

  4. コネクタのインストール後にBlueXPに追加できるアクセスキーがユーザに割り当てられていることを確認します。

結果

これで、アカウントに必要な権限が付与されました。

Azureロール

必要な権限を持つAzureカスタムロールを作成します。このロールをコネクタVMに割り当てます。

Azureカスタムロールは、Azureポータル、Azure PowerShell、Azure CLI、またはREST APIを使用して作成できます。Azure CLIを使用してロールを作成する手順を次に示します。別の方法を使用する場合は、を参照してください。 "Azure に関するドキュメント"

手順

  1. カスタムロールを使用して必要なAzure権限を提供できるように、コネクタをインストールするVMでシステム割り当ての管理IDを有効にします。

    "Microsoft Azureのドキュメント:Azureポータルを使用して、VM上のAzureリソースの管理IDを設定します"

  2. の内容をコピーします "Connectorのカスタムロールの権限" JSONファイルに保存します。

  3. 割り当て可能なスコープに Azure サブスクリプション ID を追加して、 JSON ファイルを変更します。

    BlueXPで使用する各AzureサブスクリプションのIDを追加する必要があります。

    • 例 *

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

  4. JSON ファイルを使用して、 Azure でカスタムロールを作成します。

    次の手順は、 Azure Cloud Shell で Bash を使用してロールを作成する方法を示しています。

    1. 開始 "Azure Cloud Shell の略" Bash 環境を選択します。

    2. JSON ファイルをアップロードします。

      ファイルをアップロードするオプションを選択できる Azure Cloud Shell のスクリーンショット。

    3. Azure CLIを使用してカスタムロールを作成します。

      az role definition create --role-definition Connector_Policy.json
結果

これで、Connector仮想マシンに割り当てることができるBlueXP Operatorというカスタムロールが作成されました。

Azureサービスプリンシパル

Microsoft Entra IDでサービスプリンシパルを作成してセットアップし、BlueXPに必要なAzureクレデンシャルを取得します。これらのクレデンシャルは、コネクタをインストールしてBlueXPをセットアップしたあとにBlueXPに提供する必要があります。

ロールベースアクセス制御用のMicrosoft Entraアプリケーションの作成

  1. Active Directoryアプリケーションを作成し、そのアプリケーションをロールに割り当てる権限がAzureにあることを確認します。

    詳細については、を参照してください "Microsoft Azure のドキュメント:「 Required permissions"

  2. Azureポータルで、* Microsoft Entra ID *サービスを開きます。

    は、 Microsoft Azure の Active Directory サービスを示しています。

  3. メニューで*アプリ登録*を選択します。

  4. [New registration]*を選択します。

  5. アプリケーションの詳細を指定します。

    • * 名前 * :アプリケーションの名前を入力します。

    • アカウントの種類:アカウントの種類を選択します(すべてのアカウントはBlueXPで動作します)。

    • * リダイレクト URI *: このフィールドは空白のままにできます。

  6. [*Register] を選択します。

    AD アプリケーションとサービスプリンシパルを作成しておきます。

アプリケーションをロールに割り当てます

  1. カスタムロールを作成します。

    Azureカスタムロールは、Azureポータル、Azure PowerShell、Azure CLI、またはREST APIを使用して作成できます。Azure CLIを使用してロールを作成する手順を次に示します。別の方法を使用する場合は、を参照してください。 "Azure に関するドキュメント"

    1. の内容をコピーします "Connectorのカスタムロールの権限" JSONファイルに保存します。

    2. 割り当て可能なスコープに Azure サブスクリプション ID を追加して、 JSON ファイルを変更します。

      ユーザが Cloud Volumes ONTAP システムを作成する Azure サブスクリプションごとに ID を追加する必要があります。

      • 例 *

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. JSON ファイルを使用して、 Azure でカスタムロールを作成します。

      次の手順は、 Azure Cloud Shell で Bash を使用してロールを作成する方法を示しています。

      • 開始 "Azure Cloud Shell の略" Bash 環境を選択します。

      • JSON ファイルをアップロードします。

        ファイルをアップロードするオプションを選択できる Azure Cloud Shell のスクリーンショット。

      • Azure CLIを使用してカスタムロールを作成します。

        az role definition create --role-definition Connector_Policy.json

        これで、Connector仮想マシンに割り当てることができるBlueXP Operatorというカスタムロールが作成されました。

  2. ロールにアプリケーションを割り当てます。

    1. Azure ポータルで、 * Subscriptions * サービスを開きます。

    2. サブスクリプションを選択します。

    3. [アクセス制御(IAM)]>[追加]>[ロール割り当ての追加]*を選択します。

    4. [ロール]タブで、[BlueXP Operator]*ロールを選択し、[次へ]*を選択します。

    5. [* Members* (メンバー * ) ] タブで、次の手順を実行します。

      • [* ユーザー、グループ、またはサービスプリンシパル * ] を選択したままにします。

      • [メンバーの選択]*を選択します。

        アプリケーションにロールを追加するときに Members タブを表示する Azure ポータルのスクリーンショット。

      • アプリケーションの名前を検索します。

        次に例を示します。

      Azure ポータルのスクリーンショットで、 Azure ポータルのロール割り当ての追加フォームが表示されています。

      • アプリケーションを選択し、*選択*を選択します。

      • 「 * 次へ * 」を選択します。

    6. [Review + Assign]*を選択します。

      サービスプリンシパルに、 Connector の導入に必要な Azure 権限が付与されるようになりました。

    Cloud Volumes ONTAP を複数の Azure サブスクリプションから導入する場合は、サービスプリンシパルを各サブスクリプションにバインドする必要があります。BlueXPを使用すると、Cloud Volumes ONTAP の導入時に使用するサブスクリプションを選択できます。

Windows Azure Service Management API 権限を追加します

  1. Microsoft Entra ID *サービスで、*アプリ登録*を選択し、アプリケーションを選択します。

  2. [API permissions]>[Add a permission]*を選択します。

  3. Microsoft API* で、 * Azure Service Management * を選択します。

    Azure Service Management API 権限を示す Azure ポータルのスクリーンショット。

  4. を選択し、[Add permissions]*を選択します。

    Azure Service Management API の追加を示す Azure ポータルのスクリーンショット。

アプリケーションのアプリケーションIDとディレクトリIDを取得します

  1. Microsoft Entra ID *サービスで、*アプリ登録*を選択し、アプリケーションを選択します。

  2. アプリケーション(クライアント) ID * とディレクトリ(テナント) ID * をコピーします。

    Microsoft Entra IDYのアプリケーションのアプリケーション(クライアント)IDとディレクトリ(テナント)IDを示すスクリーンショット。

    AzureアカウントをBlueXPに追加するときは、アプリケーション(クライアント)IDとディレクトリ(テナント)IDを指定する必要があります。BlueXPでは、プログラムでサインインするためにIDが使用されます。

クライアントシークレットを作成します

  1. Microsoft Entra ID *サービスを開きます。

  2. *アプリ登録*を選択し、アプリケーションを選択します。

  3. [Certificates & secrets]>[New client secret]*を選択します。

  4. シークレットと期間の説明を入力します。

  5. 「 * 追加」を選択します。

  6. クライアントシークレットの値をコピーします。

    Microsoft Entraサービスプリンシパルのクライアントシークレットを示すAzureポータルのスクリーンショット。

    BlueXPでクライアントシークレットを使用してMicrosoft Entra IDで認証できるようになりました。

結果

これでサービスプリンシパルが設定され、アプリケーション(クライアント) ID 、ディレクトリ(テナント) ID 、およびクライアントシークレットの値をコピーしました。Azureアカウントを追加する場合は、BlueXPでこの情報を入力する必要があります。

Google Cloudサービスアカウント

ロールを作成し、コネクタVMインスタンスに使用するサービスアカウントに適用します。

手順

  1. Google Cloudでカスタムロールを作成します。

    1. で定義された権限を含むYAMLファイルを作成します "Google Cloudのコネクタポリシー"

    2. Google CloudからCloud Shellをアクティブ化します。

    3. コネクタに必要な権限を含むYAMLファイルをアップロードします。

    4. を使用して、カスタムロールを作成します gcloud iam roles create コマンドを実行します

      次の例では、プロジェクトレベルで「Connector」という名前のロールを作成します。

    gcloud iam roles create connector --project=myproject --file=connector.yaml

    +
    "Google Cloudのドキュメント:カスタムロールの作成と管理"

  2. Google Cloudでサービスアカウントを作成します。

    1. IAMおよび管理サービスから、*サービスアカウント>サービスアカウントの作成*を選択します。

    2. サービスアカウントの詳細を入力し、*作成して続行*を選択します。

    3. 作成したロールを選択します。

    4. 残りの手順を完了してロールを作成します。

      "Google Cloudドキュメント:サービスアカウントの作成"

結果

これで、Connector VMインスタンスに割り当てることができるサービスアカウントが作成されました。

ステップ7:Google Cloud APIを有効にする

Google CloudにCloud Volumes ONTAP を導入するには、いくつかのAPIが必要です。

ステップ

  1. "プロジェクトで次の Google Cloud API を有効にします"

    • Cloud Deployment Manager V2 API

    • クラウドロギング API

    • Cloud Resource Manager API の略

    • Compute Engine API

    • ID およびアクセス管理( IAM ) API

    • Cloud Key Management Service(KMS)APIの略

      (お客様が管理する暗号化キー(CMEK)でBlueXPのバックアップとリカバリを使用する場合にのみ必要)