Skip to main content
NetApp Console setup and administration
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetApp ConsoleからAWSにConsoleエージェントをデプロイする

共同作成者 netapp-tonias netapp-mwallis
PDF

AWSのコンソール エージェントは、NetApp Consoleから直接デプロイできます。ConsoleからAWSにコンソール エージェントをデプロイする前に、ネットワークをセットアップし、AWSの権限を準備する必要があります。

AWSにエージェントをデプロイすると、選択したVPC内でLinuxとNetApp Consoleエージェントソフトウェアを実行するEC2インスタンスが起動します。

開始する前に

ステップ1: AWSにコンソールエージェントを展開するためのネットワークを設定する

コンソール エージェントをインストールする予定のネットワークの場所が次の要件をサポートしていることを確認します。これらの要件により、コンソール エージェントはハイブリッド クラウド内のリソースとプロセスを管理できるようになります。

VPCとサブネット

コンソール エージェントを作成するときは、そのエージェントが存在する VPC とサブネットを指定する必要があります。

ターゲットネットワークへの接続

コンソール エージェントには、システムを作成および管理する予定の場所へのネットワーク接続が必要です。たとえば、オンプレミス環境にCloud Volumes ONTAPシステムまたはストレージ システムを作成する予定のネットワークなどです。

アウトバウンドインターネットアクセス

コンソール エージェントを展開するネットワークの場所には、特定のエンドポイントに接続するための送信インターネット接続が必要です。

コンソールエージェントから接続されたエンドポイント

コンソール エージェントは、日常業務でパブリック クラウド環境内のリソースとプロセスを管理するために、次のエンドポイントに接続するために、送信インターネット アクセスを必要とします。

以下にリストされているエンドポイントはすべて CNAME エントリです。

エンドポイント 目的

AWS サービス (amazonaws.com):

  • クラウドフォーメーション

  • エラスティックコンピューティングクラウド (EC2)

  • アイデンティティとアクセス管理(IAM)

  • キー管理サービス (KMS)

  • セキュリティトークンサービス(STS)

  • シンプルストレージサービス(S3)

AWS リソースを管理します。エンドポイントは AWS リージョンによって異なります。 "詳細についてはAWSドキュメントを参照してください"

Amazon FSx for NetApp ONTAP:

  • api.workloads.netapp.com

Webベースのコンソールは、このエンドポイントに接続して Workload Factory API と対話し、FSx for ONTAPベースのワークロードを管理および操作します。

https://mysupport.netapp.com

ライセンス情報を取得し、AutoSupportメッセージをNetAppサポートに送信します。

https://signin.b2c.netapp.com

NetAppサポート サイト (NSS) の資格情報を更新したり、 NetApp Consoleに新しい NSS 資格情報を追加したりします。

https://support.netapp.com

ライセンス情報を取得し、AutoSupportメッセージをNetAppサポートに送信するとともに、Cloud Volumes ONTAPのソフトウェアアップデートを受信するため。

https://api.bluexp.netapp.com https://netapp-cloud-account.auth0.com https://netapp-cloud-account.us.auth0.com https://console.netapp.com https://components.console.netapp.com https://cdn.auth0.com

NetApp Console内で機能とサービスを提供します。

https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

コンソール エージェントのアップグレード用のイメージを取得します。

  • 新しいエージェントを展開すると、検証チェックによって現在のエンドポイントへの接続がテストされます。使用する場合"以前のエンドポイント"、検証チェックは失敗します。この失敗を回避するには、検証チェックをスキップします。

    以前のエンドポイントも引き続きサポートされますが、 NetApp、ファイアウォール ルールをできるだけ早く現在のエンドポイントに更新することをお勧めします。"エンドポイントリストを更新する方法を学ぶ"

  • ファイアウォールの現在のエンドポイントに更新すると、既存のエージェントは引き続き動作します。
NetAppコンソールから接続されたエンドポイント

WebベースのNetApp Console SaaSアプリケーションを使用すると、データ管理タスクを完了するために複数のエンドポイントに接続します。これには、ConsoleからConsoleエージェントを導入するために接続されるエンドポイントが含まれます。

"NetApp Console から接続されたエンドポイントのリストを表示します"

プロキシ サーバ

NetApp は明示的プロキシ構成と透過的プロキシ構成の両方をサポートしています。透過プロキシを使用している場合は、プロキシ サーバーの証明書のみを提供する必要があります。明示的なプロキシを使用している場合は、IP アドレスと資格情報も必要になります。

  • IPアドレス

  • Credentials

  • HTTPS証明書

ポート

コンソールエージェントへの受信トラフィックはありません。ただし、ユーザーが開始した場合、またはプロキシとして使用してAutoSupportメッセージをCloud Volumes ONTAPからNetAppサポートに送信する場合は除きます。

  • HTTP (80) と HTTPS (443) は、まれにしか使用されないローカル UI へのアクセスを提供します。

  • SSH(22)は、トラブルシューティングのためにホストに接続する必要がある場合にのみ必要です。

  • アウトバウンド インターネット接続が利用できないサブネットにCloud Volumes ONTAPシステムを展開する場合は、ポート 3128 経由のインバウンド接続が必要です。

    Cloud Volumes ONTAPシステムにAutoSupportメッセージを送信するためのアウトバウンド インターネット接続がない場合、コンソールは、コンソール エージェントに含まれているプロキシ サーバーを使用するようにそれらのシステムを自動的に構成します。唯一の要件は、コンソール エージェントのセキュリティ グループがポート 3128 経由の受信接続を許可していることを確認することです。コンソール エージェントを展開した後、このポートを開く必要があります。

NTP を有効にする

NetApp Data Classificationを使用して企業データソースをスキャンする予定がある場合は、コンソールエージェントとNetApp Data Classificationシステムの両方でネットワークタイムプロトコル(NTP)サービスを有効にして、システム間で時刻が同期されるようにする必要があります "NetApp Data Classificationの詳細については、こちらをご覧ください"

コンソール エージェントを作成した後、このネットワーク要件を実装する必要があります。

ステップ2: コンソールエージェントのAWS権限を設定する

コンソールは、VPC にコンソールエージェントをデプロイする前に、AWS で認証する必要があります。次のいずれかの認証方法を選択できます。

  • コンソールに必要な権限を持つIAMロールを割り当てます

  • 必要な権限を持つIAMユーザーにAWSアクセスキーとシークレットキーを提供します

どちらのオプションを使用する場合でも、最初のステップは IAM ポリシーを作成することです。このポリシーには、コンソールから AWS のコンソールエージェントを起動するために必要な権限のみが含まれています。

必要に応じて、IAMを使用してIAMポリシーを制限することができます。 `Condition`要素。 "AWS ドキュメント: 条件要素"

手順

  1. AWS IAM コンソールに移動します。

  2. *ポリシー > ポリシーの作成*を選択します。

  3. 「JSON」を選択します。

  4. 次のポリシーをコピーして貼り付けます。

    このポリシーには、コンソールから AWS のコンソールエージェントを起動するために必要な権限のみが含まれています。コンソールがコンソールエージェントを作成すると、コンソールエージェントが AWS リソースを管理できるようにする新しい権限セットがコンソールエージェントに適用されます。"コンソールエージェント自体に必要な権限の表示"

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:DeleteRole",
        "iam:PutRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:DeleteRolePolicy",
        "iam:AddRoleToInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeleteInstanceProfile",
        "iam:PassRole",
        "iam:ListRoles",
        "ec2:DescribeInstanceStatus",
        "ec2:RunInstances",
        "ec2:ModifyInstanceAttribute",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeInstances",
        "ec2:CreateTags",
        "ec2:DescribeImages",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeLaunchTemplates",
        "ec2:CreateLaunchTemplate",
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:ValidateTemplate",
        "ec2:AssociateIamInstanceProfile",
        "ec2:DescribeIamInstanceProfileAssociations",
        "ec2:DisassociateIamInstanceProfile",
        "iam:GetRole",
        "iam:TagRole",
        "kms:ListAliases",
        "cloudformation:ListStacks"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/OCCMInstance": "*"
        }
      },
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

  5. 必要に応じて、[次へ] を選択し、タグを追加します。

  6. *次へ*を選択し、名前と説明を入力します。

  7. *ポリシーの作成*を選択します。

  8. コンソールが引き受けることができる IAM ロールまたは IAM ユーザーにポリシーをアタッチして、コンソールにアクセスキーを提供できるようにします。

    • (オプション 1) コンソールが引き受けることができる IAM ロールを設定します。

      1. ターゲットアカウントの AWS IAM コンソールに移動します。

      2. [アクセス管理] で、[ロール] > [ロールの作成] を選択し、手順に従ってロールを作成します。

      3. *信頼されたエンティティタイプ*で、*AWS アカウント*を選択します。

      4. *別のAWSアカウント*を選択し、コンソールSaaSアカウントのIDを入力します: 952013314444

      5. 前のセクションで作成したポリシーを選択します。

      6. ロールを作成したら、コンソール エージェントを作成するときにコンソールに貼り付けることができるように、ロール ARN をコピーします。

    • (オプション 2) コンソールにアクセスキーを提供できるように、IAM ユーザーの権限を設定します。

      1. AWS IAM コンソールから [ユーザー] を選択し、ユーザー名を選択します。

      2. *権限の追加 > 既存のポリシーを直接添付*を選択します。

      3. 作成したポリシーを選択します。

      4. *次へ*を選択し、*権限の追加*を選択します。

      5. IAM ユーザーのアクセスキーとシークレットキーがあることを確認します。

結果

これで、必要な権限を持つ IAM ロールまたは必要な権限を持つ IAM ユーザーが作成されているはずです。コンソールからコンソール エージェントを作成するときに、ロールまたはアクセス キーに関する情報を提供できます。

ステップ3: コンソールエージェントを作成する

コンソールの Web ベースのコンソールから直接コンソール エージェントを作成します。

タスク概要

  • コンソールからコンソール エージェントを作成すると、デフォルト設定を使用して AWS に EC2 インスタンスがデプロイされます。コンソールエージェントを作成した後、CPU や RAM が少ない小さな EC2 インスタンスに切り替えないでください。"コンソールエージェントのデフォルト構成について学習します"

  • コンソールがコンソール エージェントを作成すると、エージェントの IAM ロールとプロファイルが作成されます。このロールには、コンソールエージェントが AWS リソースを管理できるようにする権限が含まれています。将来のリリースで新しい権限が追加されたら、ロールが更新されるようにしてください。"コンソールエージェントのIAMポリシーの詳細"

開始する前に

次のものが必要です:

  • AWS 認証方法: 必要な権限を持つ IAM ユーザーの IAM ロールまたはアクセスキーのいずれか。

  • ネットワーク要件を満たす VPC とサブネット。

  • EC2 インスタンスのキーペア。

  • コンソール エージェントからのインターネット アクセスにプロキシが必要な場合のプロキシ サーバーの詳細。

  • 設定"ネットワーク要件"

  • 設定"AWS 権限"

手順

  1. *管理 > エージェント*を選択します。

  2. *概要*ページで、*エージェントのデプロイ > AWS*を選択します。

  3. ウィザードの手順に従ってコンソール エージェントを作成します。

  4. *はじめに*ページではプロセスの概要を説明します

  5. AWS 認証情報 ページで、AWS リージョンを指定し、認証方法 (コンソールが引き受けることができる IAM ロール、または AWS アクセスキーとシークレットキーのいずれか) を選択します。

    ヒント 役割を引き受ける を選択した場合は、コンソール エージェント展開ウィザードから最初の資格情報セットを作成できます。追加の資格情報セットは、「資格情報」ページから作成する必要があります。これらはウィザードのドロップダウン リストで利用できるようになります。"追加の資格情報を追加する方法を学ぶ"

  6. *詳細*ページで、コンソール エージェントに関する詳細を入力します。

    • 名前を入力してください。

    • カスタム タグ (メタデータ) を追加します。

    • コンソールで必要な権限を持つ新しいロールを作成するか、または既存のロールを選択するかを選択します。"必要な権限"

    • コンソール エージェントの EBS ディスクを暗号化するかどうかを選択します。デフォルトの暗号化キーを使用するか、カスタム キーを使用するかを選択できます。

  7. ネットワーク ページで、エージェントの VPC、サブネット、キーペアを指定し、パブリック IP アドレスを有効にするかどうかを選択し、必要に応じてプロキシ設定を指定します。

    コンソール エージェント仮想マシンにアクセスするための正しいキー ペアがあることを確認します。キーペアがないとアクセスできません。

  8. セキュリティ グループ ページで、新しいセキュリティ グループを作成するか、必要な受信ルールと送信ルールを許可する既存のセキュリティ グループを選択するかを選択します。

    "AWS のセキュリティグループルールを表示する"

  9. 選択内容を確認し、セットアップが正しいことを確認してください。

    1. *エージェント構成を検証する*チェックボックスは、デフォルトで選択されており、デプロイ時にNetApp Consoleがネットワーク接続要件を検証するようになっています。NetApp Consoleがエージェントのデプロイに失敗した場合、トラブルシューティングに役立つレポートが提供されます。デプロイが成功した場合、レポートは提供されません。

    メモ

    • エージェントのアップグレードに使用される"以前のエンドポイント"をまだ使用している場合、検証はエラーで失敗します。これを回避するには、チェックボックスをオフにして検証チェックをスキップしてください。

    • インストール中、NetAppは、エージェントホストに、ディスク全体の空き容量の少なくとも80パーセントがあることを確認します。これには、 `/opt`に48 GB、 `/var`に32 GBが含まれます(合計80 GB)。インストール後、ディスク全体の少なくとも20パーセントが利用可能である必要があり、これには、 `/opt`に12 GB、 `/var`に8 GBが含まれます(合計20 GB)。

  10. *追加*を選択します。

    コンソールは約 10 分でエージェントを展開します。プロセスが完了するまでこのページに留まります。

結果

プロセスが完了すると、コンソール エージェントはコンソールから使用できるようになります。

メモ デプロイメントが失敗した場合は、コンソールからレポートとログをダウンロードして、問題の解決に役立てることができます。"インストールの問題をトラブルシューティングする方法を学びます。"

コンソールエージェントを作成したのと同じ AWS アカウントに Amazon S3 バケットがある場合は、システム ページに Amazon S3 作業環境が自動的に表示されます。 "NetApp Consoleから S3 バケットを管理する方法を学びます"