Skip to main content
NetApp Console setup and administration
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Google Cloud の NetApp Console からコンソール エージェントをデプロイします

共同作成者 netapp-tonias
PDF

NetApp Console から Google Cloud に Console エージェントをデプロイできます。ネットワークの設定、Google Cloud のアクセス許可の準備、Google Cloud API の有効化を行い、その後 Console エージェントをデプロイする必要があります。

Google Cloud にエージェントを導入すると、選択した VPC 内で Linux と NetApp Console エージェントソフトウェアを実行する VM インスタンスが起動します。

開始する前に

ステップ1: ネットワークを設定する

コンソール エージェントがターゲット ネットワークへの接続とアウトバウンド インターネット アクセスを使用してリソースを管理できるように、ネットワークを設定します。

VPCとサブネット

コンソール エージェントを作成するときは、そのエージェントが存在する VPC とサブネットを指定する必要があります。

ターゲットネットワークへの接続

コンソール エージェントには、システムを作成および管理する予定の場所へのネットワーク接続が必要です。たとえば、オンプレミス環境にCloud Volumes ONTAPシステムまたはストレージ システムを作成する予定のネットワークなどです。

アウトバウンドインターネットアクセス

コンソール エージェントを展開するネットワークの場所には、特定のエンドポイントに接続するための送信インターネット接続が必要です。

コンソールエージェントから接続されたエンドポイント

コンソール エージェントは、日常業務でパブリック クラウド環境内のリソースとプロセスを管理するために、次のエンドポイントに接続するために、送信インターネット アクセスを必要とします。

以下にリストされているエンドポイントはすべて CNAME エントリです。

エンドポイント 目的

https://www.googleapis.com/compute/v1/ https://compute.googleapis.com/compute/v1 https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://config.googleapis.com/v1/projects

Google Cloud 内のリソースを管理します。

https://mysupport.netapp.com

ライセンス情報を取得し、AutoSupportメッセージをNetAppサポートに送信します。

https://signin.b2c.netapp.com

NetAppサポート サイト (NSS) の資格情報を更新したり、 NetApp Consoleに新しい NSS 資格情報を追加したりします。

https://support.netapp.com

ライセンス情報を取得し、AutoSupportメッセージをNetAppサポートに送信するとともに、Cloud Volumes ONTAPのソフトウェアアップデートを受信するため。

https://api.bluexp.netapp.com https://netapp-cloud-account.auth0.com https://netapp-cloud-account.us.auth0.com https://console.netapp.com https://components.console.netapp.com https://cdn.auth0.com

NetApp Console内で機能とサービスを提供します。

https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

コンソール エージェントのアップグレード用のイメージを取得します。

  • 新しいエージェントを展開すると、検証チェックによって現在のエンドポイントへの接続がテストされます。使用する場合"以前のエンドポイント"、検証チェックは失敗します。この失敗を回避するには、検証チェックをスキップします。

    以前のエンドポイントも引き続きサポートされますが、 NetApp、ファイアウォール ルールをできるだけ早く現在のエンドポイントに更新することをお勧めします。"エンドポイントリストを更新する方法を学ぶ"

  • ファイアウォールの現在のエンドポイントに更新すると、既存のエージェントは引き続き動作します。
NetAppコンソールから接続されたエンドポイント

WebベースのNetApp Console SaaSアプリケーションを使用すると、データ管理タスクを完了するために複数のエンドポイントに接続します。これには、ConsoleからConsoleエージェントを導入するために接続されるエンドポイントが含まれます。

"NetApp Console から接続されたエンドポイントのリストを表示します"

プロキシ サーバ

NetApp は明示的プロキシ構成と透過的プロキシ構成の両方をサポートしています。透過プロキシを使用している場合は、プロキシ サーバーの証明書のみを提供する必要があります。明示的なプロキシを使用している場合は、IP アドレスと資格情報も必要になります。

  • IPアドレス

  • Credentials

  • HTTPS証明書

ポート

コンソールエージェントへの受信トラフィックはありません。ただし、ユーザーが開始した場合、またはプロキシとして使用してAutoSupportメッセージをCloud Volumes ONTAPからNetAppサポートに送信する場合は除きます。

  • HTTP (80) と HTTPS (443) は、まれにしか使用されないローカル UI へのアクセスを提供します。

  • SSH(22)は、トラブルシューティングのためにホストに接続する必要がある場合にのみ必要です。

  • アウトバウンド インターネット接続が利用できないサブネットにCloud Volumes ONTAPシステムを展開する場合は、ポート 3128 経由のインバウンド接続が必要です。

    Cloud Volumes ONTAPシステムにAutoSupportメッセージを送信するためのアウトバウンド インターネット接続がない場合、コンソールは、コンソール エージェントに含まれているプロキシ サーバーを使用するようにそれらのシステムを自動的に構成します。唯一の要件は、コンソール エージェントのセキュリティ グループがポート 3128 経由の受信接続を許可していることを確認することです。コンソール エージェントを展開した後、このポートを開く必要があります。

NTP を有効にする

NetApp Data Classificationを使用して企業データソースをスキャンする予定がある場合は、コンソールエージェントとNetApp Data Classificationシステムの両方でネットワークタイムプロトコル(NTP)サービスを有効にして、システム間で時刻が同期されるようにする必要があります "NetApp Data Classificationの詳細については、こちらをご覧ください"

コンソール エージェントを作成した後、このネットワーク要件を実装します。

ステップ2: コンソールエージェントを作成するための権限を設定する

コンソールからコンソール エージェントをデプロイする前に、コンソール エージェント VM をデプロイする Google プラットフォーム ユーザーの権限を設定する必要があります。

手順

  1. Google プラットフォームでカスタムロールを作成します。

    1. 次の権限を含む YAML ファイルを作成します。

      title: Console agent deployment policy
description: Permissions for the user who deploys the Console agent
stage: GA
includedPermissions:

- cloudbuild.builds.get
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- config.deployments.create
- config.operations.get
- config.deployments.delete
- config.deployments.deleteState
- config.deployments.get
- config.deployments.getState
- config.deployments.list
- config.deployments.update
- config.deployments.updateState
- config.previews.get
- config.previews.list
- config.revisions.get
- config.resources.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.actAs
- iam.serviceAccounts.create
- iam.serviceAccounts.list
- iam.serviceAccountKeys.create
- storage.buckets.create
- storage.buckets.get
- storage.objects.create
- storage.folders.create
- storage.objects.list

    2. Google Cloud から Cloud Shell を有効にします。

    3. 必要な権限を含む YAML ファイルをアップロードします。

    4. カスタムロールを作成するには、 `gcloud iam roles create`指示。

      次の例では、プロジェクト レベルで「agentDeployment」という名前のロールを作成します。

    gcloud iam roles create agentDeployment --project=myproject --file=agent-deployment.yaml

    +
    "Google Cloud ドキュメント: カスタムロールの作成と管理"

  2. このカスタムロールは、コンソールから、または gcloud を使用してコンソール エージェントをデプロイするユーザーに割り当てます。

    "Google Cloud ドキュメント: 単一のロールを付与する"

ステップ 3: エージェントで使用する Google Cloud サービス アカウントを作成する

Google Cloud 内のリソースを管理するためにコンソールが必要とする権限をコンソール エージェントに付与するには、Google Cloud サービス アカウントが必要です。コンソール エージェントを作成するときは、このサービス アカウントをコンソール エージェント VM に関連付ける必要があります。

以降のリリースで新しい権限が追加された場合、カスタム ロールを更新するのはお客様の責任となります。新しい権限が必要な場合は、リリース ノートに記載されます。

手順

  1. Google Cloud でカスタムロールを作成します。

    1. 以下の内容を含むYAMLファイルを作成します。"コンソールエージェントのサービスアカウント権限"

    2. Google Cloud から Cloud Shell を有効にします。

    3. 必要な権限を含む YAML ファイルをアップロードします。

    4. カスタムロールを作成するには、 `gcloud iam roles create`指示。

      次の例では、プロジェクト レベルで「agent」という名前のロールを作成します。

    gcloud iam roles create agent --project=myproject --file=agent.yaml

    +
    "Google Cloud ドキュメント: カスタムロールの作成と管理"

  2. Google Cloud でサービス アカウントを作成し、そのサービス アカウントにロールを割り当てます。

    1. IAM & Admin サービスから、サービス アカウント > サービス アカウントの作成 を選択します。

    2. サービス アカウントの詳細を入力し、[作成して続行] を選択します。

    3. 作成したロールを選択します。

    4. 残りの手順を完了して、サービスアカウントを作成します。

      "Google Cloud ドキュメント: サービス アカウントの作成"

  3. コンソールエージェントが存在するプロジェクト以外のプロジェクトに Cloud Volumes ONTAP システムを導入する場合は、コンソールエージェントのサービスアカウントにそれらのプロジェクトへのアクセス権を付与する必要があります。

    たとえば、コンソール エージェントがプロジェクト 1 にあり、プロジェクト 2 にCloud Volumes ONTAPシステムを作成するとします。プロジェクト 2 のサービス アカウントにアクセス権を付与する必要があります。

    1. IAM & Admin サービスから、 Cloud Volumes ONTAPシステムを作成する Google Cloud プロジェクトを選択します。

    2. IAM ページで、アクセスを許可 を選択し、必要な詳細を入力します。

      • コンソール エージェントのサービス アカウントの電子メールを入力します。

      • コンソール エージェントのカスタム ロールを選択します。

      • *保存*を選択します。

    詳細については、 "Google Cloud ドキュメント"

ステップ4: 共有VPC権限を設定する

共有 VPC を使用してリソースをサービス プロジェクトにデプロイする場合は、権限を準備する必要があります。

この表は参考用であり、IAM 構成が完了すると、環境に権限表が反映されるはずです。

共有 VPC 権限を表示する
身元 クリエイター 開催地 サービスプロジェクトの権限 ホストプロジェクトの権限 目的

エージェントを展開するためのGoogleアカウント

カスタム

奉仕プロジェクト

"エージェント展開ポリシー"

compute.networkUser

サービスプロジェクトにエージェントをデプロイする

エージェントサービスアカウント

カスタム

奉仕プロジェクト

"エージェント サービス アカウント ポリシー"

compute.networkUser デプロイメントマネージャー.エディター

サービス プロジェクトでCloud Volumes ONTAPとサービスをデプロイおよび保守する

Cloud Volumes ONTAPサービス アカウント

カスタム

奉仕プロジェクト

storage.admin メンバー: serviceAccount.user としてのNetApp Consoleサービス アカウント

該当なし

(オプション) NetApp Cloud TieringおよびNetApp Backup and Recoveryの場合

Google API サービス エージェント

Google Cloud

奉仕プロジェクト

(デフォルト) エディター

compute.networkUser

デプロイメントに代わって Google Cloud API と対話します。コンソールが共有ネットワークを使用できるようにします。

Google Compute Engine のデフォルトのサービス アカウント

Google Cloud

奉仕プロジェクト

(デフォルト) エディター

compute.networkUser

デプロイメントに代わって、Google Cloud インスタンスとコンピューティング インフラストラクチャをデプロイします。コンソールが共有ネットワークを使用できるようにします。

注:

  1. `deploymentmanager.editor`ファイアウォールルールをデプロイメントに渡さず、NetApp Consoleに作成させることを選択した場合にのみ、ホストプロジェクトで必要になります。NetApp Consoleは、ルールが指定されていない場合、VPC0ファイアウォールルールを含むデプロイメントをホストプロジェクト内に作成します。

  2. `firewall.create`および `firewall.delete`は、ファイアウォールルールをデプロイメントに渡さず、NetApp Consoleに作成させる場合にのみ必要です。これらの権限は、NetApp Consoleアカウントの.yamlファイルに記述されています。共有VPCを使用してHAペアをデプロイする場合、これらの権限はVPC1、2、および3のファイアウォールルールを作成するために使用されます。その他のすべてのデプロイメントにおいても、これらの権限はVPC0のルールを作成するために使用されます。

  3. Cloud Tieringの場合、階層化サービスアカウントには、プロジェクトレベルだけでなく、サービスアカウントに対する `serviceAccount.user`ロールが必要です。プロジェクトレベルで `serviceAccount.user`を割り当てた場合、 `getIAMPolicy`でサービスアカウントをクエリしても権限は表示されません。

ステップ5: Google Cloud APIを有効にする

Console エージェントとCloud Volumes ONTAPをデプロイする前に、いくつかの Google Cloud API を有効にする必要があります。

手順

  1. プロジェクトで次の Google Cloud API を有効にします。

    • Cloud Build API(Infrastructure Managerを使用したプライベートモードCloud Volumes ONTAPデプロイメントに必要)

    • クラウド デプロイメント マネージャー V2 API

    • クラウド インフラストラクチャ マネージャー API

    • クラウドロギングAPI

    • クラウド リソース マネージャー API

    • コンピューティングエンジン API

    • アイデンティティとアクセス管理 (IAM) API

    • Cloud Key Management Service(KMS)API(NetApp Backup and Recoveryを顧客管理暗号化キー(CMEK)で使用する予定がある場合のみ必要)

    • Cloud Quotas API(Infrastructure Managerを使用したCloud Volumes ONTAPデプロイメントに必要)

"Google Cloud ドキュメント: API の有効化"

ステップ6: コンソールエージェントを作成する

コンソールから直接コンソール エージェントを作成します。

コンソール エージェントを作成すると、デフォルト構成を使用して Google Cloud に仮想マシン インスタンスがデプロイされます。コンソール エージェントを作成した後、CPU や RAM が少ない小さな VM インスタンスに切り替えないでください。"コンソールエージェントのデフォルト構成について学習します"

メモ Google Cloud にエージェントをデプロイすると、エージェントによってデプロイ ファイルを保存するためのバケットが作成されます。
開始する前に

次のものが必要です:

  • コンソール エージェントとコンソール エージェント VM のサービス アカウントを作成するために必要な Google Cloud 権限。

  • ネットワーク要件を満たすVPCとサブネット。

  • コンソール エージェントからのインターネット アクセスにプロキシが必要な場合のプロキシ サーバーの詳細。

手順

  1. *管理 > エージェント*を選択します。

  2. *概要*ページで、*エージェントのデプロイ > Google Cloud*を選択します。

  3. *エージェントのデプロイ*ページで、必要なものの詳細を確認します。次の 2 つのオプションがあります。

    1. 製品内ガイドを使用して展開の準備をするには、[続行] を選択します。製品内ガイドの各ステップには、ドキュメントのこのページに記載されている情報が含まれています。

    2. このページの手順に従ってすでに準備している場合は、[展開にスキップ] を選択します。

  4. ウィザードの手順に従ってコンソール エージェントを作成します。

    • プロンプトが表示されたら、仮想マシン インスタンスを作成するために必要な権限を持つ Google アカウントにログインします。

      このフォームは Google が所有し、ホストしています。資格情報がNetAppに提供されていません。

    • 詳細: 仮想マシン インスタンスの名前を入力し、タグを指定して、プロジェクトを選択し、必要な権限を持つサービス アカウントを選択します (詳細については上記のセクションを参照してください)。

    • 場所: インスタンスのリージョン、ゾーン、VPC、サブネットを指定します。

    • ネットワーク: パブリック IP アドレスを有効にするかどうかを選択し、オプションでプロキシ構成を指定します。

    • ネットワークタグ:透過プロキシを使用する場合は、Consoleエージェントインスタンスにネットワークタグを追加します。ネットワークタグは小文字で始まり、小文字、数字、ハイフンを含めることができます。タグは小文字の英字または数字で終わる必要があります。たとえば、タグ `console-agent-proxy`を使用できます。

    • * ファイアウォール ポリシー * :新しいファイアウォール ポリシーを作成するか、必要なインバウンド ルールとアウトバウンド ルールを許可する既存のファイアウォール ポリシーを選択するかを選択します。

      "Google Cloud のファイアウォール ルール"

  5. 選択内容を確認し、セットアップが正しいことを確認してください。

    1. *エージェント構成を検証する*チェックボックスは、デフォルトで選択されており、デプロイ時にNetApp Consoleがネットワーク接続要件を検証するようになっています。NetApp Consoleがエージェントのデプロイに失敗した場合、トラブルシューティングに役立つレポートが提供されます。デプロイが成功した場合、レポートは提供されません。

    メモ

    • エージェントのアップグレードに使用される"以前のエンドポイント"をまだ使用している場合、検証はエラーで失敗します。これを回避するには、チェックボックスをオフにして検証チェックをスキップしてください。

    • インストール中、NetAppは、エージェントホストに、ディスク全体の空き容量の少なくとも80パーセントがあることを確認します。これには、 `/opt`に48 GB、 `/var`に32 GBが含まれます(合計80 GB)。インストール後、ディスク全体の少なくとも20パーセントが利用可能である必要があり、これには、 `/opt`に12 GB、 `/var`に8 GBが含まれます(合計20 GB)。

  6. *追加*を選択します。

    エージェントは約 10 分で準備完了します。プロセスが完了するまでページに留まってください。

結果

プロセスが完了すると、コンソール エージェントが使用できるようになります。

メモ デプロイメントが失敗した場合は、コンソールからレポートとログをダウンロードして、問題の解決に役立てることができます。"インストールの問題をトラブルシューティングする方法を学びます。"

コンソールエージェントを作成したのと同じ Google Cloud アカウントに Google Cloud Storage バケットがある場合、Google Cloud Storage システムが [システム] ページに自動的に表示されます "コンソールから Google Cloud Storage を管理する方法を学びます"