Cloud Manager から Google Cloud でコネクタを作成します
Cloud Manager のほとんどの機能を使用するには、 Account Admin が _ Connector を導入する必要があります。 "コネクタが必要になるタイミングを学習します"。Connector を使用すると、 Cloud Manager でパブリッククラウド環境内のリソースとプロセスを管理できます。
このページでは、Cloud ManagerからGoogle Cloudで直接コネクタを作成する方法について説明します。 "コネクタを配置するその他の方法について説明します"。
これらの手順は、 Account Admin ロールを持つユーザが実行する必要があります。ワークスペース管理者はコネクタを作成できません。
|
最初の Cloud Volumes ONTAP 作業環境を作成する際、まだコネクタがない場合は、 Cloud Manager からコネクタの作成を求められます。 |
権限を設定しています
Connectorを導入する前に、Google Cloudアカウントに正しい権限があること、およびConnector VMのサービスアカウントが設定されていることを確認する必要があります。
-
Connectorを展開するGoogle Cloudユーザーがに権限を持っていることを確認します "Google CloudのConnector展開ポリシー"。
"YAML ファイルを使用してカスタムロールを作成できます" ユーザーに添付します。gcloud コマンドラインを使用して、ロールを作成する必要があります。
-
プロジェクトで Cloud Volumes ONTAP システムを作成および管理するために Cloud Manager に必要な権限を持つサービスアカウントをセットアップします。
このサービスアカウントは、作成時に Connector VM に関連付けます。
-
"GCP で役割を作成します" で定義した権限を含むポリシーを作成します "Google Cloud用のCloud Managerポリシー"。ここでも gcloud コマンドラインを使用する必要があります。
この YAML ファイルに含まれる権限は、手順 1 の権限とは異なります。
-
Cloud Volumes ONTAP を他のプロジェクトに導入する場合は、 "クラウドでサービスアカウントを追加してアクセスを許可します そのプロジェクトに対するマネージャの役割"。プロジェクトごとにこの手順を繰り返す必要があります。
-
Google Cloudユーザに、Connector VMのサービスアカウントの作成に必要な権限が付与されるようになりました。
共有 VPC の権限
共有 VPC を使用してリソースをサービスプロジェクトに導入する場合は、次の権限が必要です。IAM の設定が完了したら、この表を参考にして権限の表を環境に反映させる必要があります。
ID | 作成者 | でホストされています | サービスプロジェクトの権限 | ホストプロジェクトの権限 | 目的 |
---|---|---|---|---|---|
Connectorの展開に使用されるGoogleアカウント |
カスタム |
サービスプロジェクト |
|
サービスプロジェクトへのコネクタの配置 |
|
Connectorサービスアカウント |
カスタム |
サービスプロジェクト |
|
サービスプロジェクトへの Cloud Volumes ONTAP とサービスの導入と保守 |
|
Cloud Volumes ONTAP サービスアカウント |
カスタム |
サービスプロジェクト |
|
該当なし |
(オプション)データ階層化と Cloud Backup に使用できます |
Google API サービスエージェント |
Google Cloud |
サービスプロジェクト |
|
|
導入に代わってGoogle Cloud APIと対話します。Cloud Manager で共有ネットワークを使用できるようにします。 |
Google Compute Engine のデフォルトのサービスアカウント |
Google Cloud |
サービスプロジェクト |
|
|
導入に代わってGoogle Cloudインスタンスとコンピューティングインフラストラクチャを導入します。Cloud Manager で共有ネットワークを使用できるようにします。 |
注:
-
deploymentmanager. editor は、ファイアウォールルールを導入環境に渡しておらず、 Cloud Manager に作成を許可することを選択している場合にのみホストプロジェクトで必要です。ルールを指定しない場合、 Cloud Manager はホストプロジェクトに導入を作成し、 VPC0 ファイアウォールルールを適用します。
-
Firewall.create および firewall.delete が必要となるのは、ファイアウォールルールを導入環境に渡しず、 Cloud Manager で作成することを選択している場合だけです。これらの権限は、 Cloud Manager サービスアカウントの .yaml ファイルに格納されています。共有 VPC を使用して HA ペアを導入する場合は、これらの権限を使用して VPC1 、 2 、および 3 のファイアウォールルールが作成されます。他のすべての展開では、これらの権限は VPC0 のルールの作成にも使用されます。
-
データ階層化の場合、階層化サービスアカウントは、プロジェクトレベルだけでなく、サービスアカウントに対して serviceAccount.user ロールを持つ必要があります。現在、プロジェクトレベルで serviceAccount.user を割り当てている場合、 getIAMPolicy でサービスアカウントを照会しても権限は表示されません。
Google Cloud API の有効化
Connector と Cloud Volumes ONTAP を導入するには、いくつかの API が必要です。
-
"プロジェクトで次の Google Cloud API を有効にします"。
-
Cloud Deployment Manager V2 API
-
クラウドロギング API
-
Cloud Resource Manager API の略
-
Compute Engine API
-
ID およびアクセス管理( IAM ) API
-
Google Cloudでコネクタを作成する
Cloud Manager ユーザインターフェイスから直接、または gcloud を使用して、 Google Cloud でコネクタを作成する。
-
。 "必要な権限" Google Cloud アカウントの場合は、このページの最初のセクションで説明します。
-
Google Cloud プロジェクト。
-
このページの最初のセクションで説明するように、 Cloud Volumes ONTAP の作成と管理に必要な権限を持つサービスアカウント。
-
Google Cloud リージョン内の VPC とサブネット。
-
最初の作業環境を作成する場合は、 * 作業環境の追加 * をクリックし、プロンプトに従います。それ以外の場合は、 [connector] ドロップダウンをクリックし、 [Add connector] を選択します。
-
クラウドプロバイダとして * Google Cloud Platform * を選択します。
Connector は、作成する作業環境の種類や有効にするサービスへのネットワーク接続を確立する必要があることに注意してください。
-
ウィザードの手順に従って、コネクタを作成します。
-
* 準備をしてください * :必要なものを確認してください。
-
プロンプトが表示されたら、 Google アカウントにログインします。このアカウントには、仮想マシンインスタンスを作成するために必要な権限が付与されている必要があります。
このフォームは Google が所有およびホストしています。クレデンシャルがネットアップに提供されていません。
-
* 基本設定 * :仮想マシンインスタンスの名前を入力し、タグを指定し、プロジェクトを選択してから、必要な権限を持つサービスアカウントを選択します(詳細については、上記のセクションを参照してください)。
-
* 場所 * :インスタンスのリージョン、ゾーン、 VPC 、およびサブネットを指定します。
-
* ネットワーク * :パブリック IP アドレスを有効にするかどうかを選択し、必要に応じてプロキシ設定を指定します。
-
* ファイアウォールポリシー * :新しいファイアウォールポリシーを作成するか、インバウンド HTTP 、 HTTPS 、 SSH アクセスを許可する既存のファイアウォールポリシーを選択するかを選択します。
コネクタへの着信トラフィックは、開始しない限りありません。へのアクセスは、 HTTP および HTTPS を使用して提供されます "ローカル UI"は、まれな状況で使用します。SSH が必要になるのは、トラブルシューティングのためにホストに接続する必要がある場合のみです。 -
* 復習 * :選択内容を確認して、設定が正しいことを確認してください。
-
-
[ 追加( Add ) ] をクリックします。
インスタンスの準備が完了するまでに約 7 分かかります。処理が完了するまで、ページには表示されたままにしておいてください。
-
ご希望の方法で gcloud SDK にログインします。
この例では、gcloud SDKがインストールされたローカルシェルを使用しますが、Google CloudコンソールでネイティブのGoogle Cloud Shellを使用できます。
Google Cloud SDK の詳細については、を参照してください "Google Cloud SDK ドキュメントページ"。
-
上のセクションで定義した必要な権限を持つユーザとしてログインしていることを確認します。
gcloud auth list
出力には次のように表示されます。ここで、 * user account はログインに使用するユーザアカウントです。
Credentialed Accounts ACTIVE ACCOUNT some_user_account@domain.com * desired_user_account@domain.com To set the active account, run: $ gcloud config set account `ACCOUNT` Updates are available for some Cloud SDK components. To install them, please run: $ gcloud components update
-
gcloud compute instances create コマンドを実行します。
gcloud compute instances create <instance-name> --machine-type=n1-standard-4 --image-project=netapp-cloudmanager --image-family=cloudmanager --scopes=cloud-platform --project=<project> --service-account=<<service-account> --zone=<zone> --no-address --tags <network-tag> --network <network-path> --subnet <subnet-path> --boot-disk-kms-key <kms-key-path>
- インスタンス名
-
VM インスタンスに必要なインスタンス名。
- プロジェクト
-
(オプション) VM を導入するプロジェクト。
- service-account のことです
-
手順 2 の出力で指定したサービスアカウント。
- ゾーン
-
VM を導入するゾーン
- no-address
-
(オプション)外部 IP アドレスは使用されません(パブリックインターネットにトラフィックをルーティングするには、クラウド NAT またはプロキシが必要です)。
- ネットワークタグ
-
(オプション)タグを使用してファイアウォールルールをコネクタインスタンスにリンクするには、ネットワークタグを追加します
- network-path
-
(オプション)コネクタを配置するネットワークの名前を追加します(共有 VPC の場合は完全パスが必要です)。
- subnet-path 」を指定します
-
(オプション)コネクタを導入するサブネットの名前を追加します(共有 VPC の場合は完全パスが必要です)。
- kms -key-path
-
(オプション) KMS キーを追加してコネクタのディスクを暗号化する( IAM 権限も適用する必要があります)
これらの旗についてのより多くの情報のために、訪問しなさい "Google Cloud Compute SDK ドキュメント"。
+
コマンドを実行すると、ネットアップのゴールデンイメージを使用してコネクタが導入されます。コネクタインスタンスとソフトウェアは、約 5 分後に実行される必要があります。
-
コネクタインスタンスに接続されているホストから Web ブラウザを開き、次の URL を入力します。
http://ipaddress:80[]
-
ログイン後、コネクタを設定します。
-
コネクタに関連付けるネットアップアカウントを指定します。
-
システムの名前を入力します。
-
これで、 Connector のインストールとセットアップが完了しました。Cloud Manager は、新しい作業環境の作成時にこのコネクタを自動的に使用します。ただし、コネクタが複数ある場合は、が必要です "スイッチを切り替えます"。