Skip to main content
NetApp Console setup and administration
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetAppコンソールから Google Cloud にコンソール エージェントを作成する

共同作成者 netapp-tonias
PDF

コンソールから Google Cloud にコンソール エージェントを作成できます。ネットワークを設定し、Google Cloud の権限を準備し、Google Cloud API を有効にして、コンソール エージェントを作成する必要があります。

開始する前に

ステップ1: ネットワークを設定する

コンソール エージェントがターゲット ネットワークへの接続とアウトバウンド インターネット アクセスを使用してリソースを管理できるように、ネットワークを設定します。

VPCとサブネット

コンソール エージェントを作成するときは、そのエージェントが存在する VPC とサブネットを指定する必要があります。

ターゲットネットワークへの接続

コンソール エージェントには、システムを作成および管理する予定の場所へのネットワーク接続が必要です。たとえば、オンプレミス環境にCloud Volumes ONTAPシステムまたはストレージ システムを作成する予定のネットワークなどです。

アウトバウンドインターネットアクセス

コンソール エージェントを展開するネットワークの場所には、特定のエンドポイントに接続するための送信インターネット接続が必要です。

コンソールエージェントから接続されたエンドポイント

コンソール エージェントは、日常業務でパブリック クラウド環境内のリソースとプロセスを管理するために、次のエンドポイントに接続するために、送信インターネット アクセスを必要とします。

以下にリストされているエンドポイントはすべて CNAME エントリです。

エンドポイント 目的

https://www.googleapis.com/compute/v1/ https://compute.googleapis.com/compute/v1 https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects

Google Cloud 内のリソースを管理します。

https://mysupport.netapp.com

ライセンス情報を取得し、 AutoSupportメッセージをNetAppサポートに送信します。

https://support.netapp.com

ライセンス情報を取得し、 AutoSupportメッセージをNetAppサポートに送信します。

https://signin.b2c.netapp.com

NetAppサポート サイト (NSS) の資格情報を更新するか、 NetAppコンソールに新しい NSS 資格情報を追加します。

https://api.bluexp.netapp.com https://netapp-cloud-account.auth0.com https://netapp-cloud-account.us.auth0.com https://console.netapp.com https://components.console.bluexp.netapp.com https://cdn.auth0.com

NetAppコンソール内で機能とサービスを提供します。

https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

コンソール エージェントのアップグレード用のイメージを取得します。

  • 新しいエージェントを展開すると、検証チェックによって現在のエンドポイントへの接続がテストされます。使用する場合"以前のエンドポイント"、検証チェックは失敗します。この失敗を回避するには、検証チェックをスキップします。

    以前のエンドポイントも引き続きサポートされますが、 NetApp、ファイアウォール ルールをできるだけ早く現在のエンドポイントに更新することをお勧めします。"エンドポイントリストを更新する方法を学ぶ"

  • ファイアウォールの現在のエンドポイントに更新すると、既存のエージェントは引き続き動作します。
NetAppコンソールから接続されたエンドポイント

SaaS レイヤーを通じて提供される Web ベースのNetAppコンソールを使用すると、複数のエンドポイントに接続してデータ管理タスクが完了します。これには、コンソールからコンソール エージェントを展開するために接続されるエンドポイントが含まれます。

"NetAppコンソールから接続されたエンドポイントのリストを表示します"

プロキシ サーバ

NetApp は明示的プロキシ構成と透過的プロキシ構成の両方をサポートしています。透過プロキシを使用している場合は、プロキシ サーバーの証明書のみを提供する必要があります。明示的なプロキシを使用している場合は、IP アドレスと資格情報も必要になります。

  • IPアドレス

  • Credentials

  • HTTPS証明書

ポート

ユーザーが開始した場合、またはCloud Volumes ONTAPからNetAppサポートにAutoSupportメッセージを送信するためのプロキシとして使用された場合を除いて、コンソール エージェントへの着信トラフィックはありません。

  • HTTP (80) と HTTPS (443) は、まれに使用するローカル UI へのアクセスを提供します。

  • SSH(22)は、トラブルシューティングのためにホストに接続する必要がある場合にのみ必要です。

  • アウトバウンド インターネット接続が利用できないサブネットにCloud Volumes ONTAPシステムを展開する場合は、ポート 3128 経由のインバウンド接続が必要です。

    Cloud Volumes ONTAPシステムにAutoSupportメッセージを送信するためのアウトバウンド インターネット接続がない場合、コンソールは、コンソール エージェントに含まれているプロキシ サーバーを使用するようにそれらのシステムを自動的に構成します。唯一の要件は、コンソール エージェントのセキュリティ グループがポート 3128 経由の受信接続を許可していることを確認することです。コンソール エージェントを展開した後、このポートを開く必要があります。

NTP を有効にする

NetApp Data Classification を使用して企業のデータ ソースをスキャンする予定の場合は、システム間で時刻が同期されるように、コンソール エージェントとNetApp Data Classification システムの両方で Network Time Protocol (NTP) サービスを有効にする必要があります。 "NetAppデータ分類の詳細"

コンソール エージェントを作成した後、このネットワーク要件を実装します。

ステップ2: コンソールエージェントを作成するための権限を設定する

コンソールからコンソール エージェントをデプロイする前に、コンソール エージェント VM をデプロイする Google プラットフォーム ユーザーの権限を設定する必要があります。

手順

  1. Google プラットフォームでカスタムロールを作成します。

    1. 次の権限を含む YAML ファイルを作成します。

      title: Console agent deployment policy
description: Permissions for the user who deploys the Console agent
stage: GA
includedPermissions:
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.list

    2. Google Cloud から Cloud Shell を有効にします。

    3. 必要な権限を含む YAML ファイルをアップロードします。

    4. カスタムロールを作成するには、 `gcloud iam roles create`指示。

      次の例では、プロジェクト レベルで「connectorDeployment」という名前のロールを作成します。

      gcloud iam ロール コネクタデプロイメントを作成 --project=myproject --file=connector-deployment.yaml

    "Google Cloud ドキュメント: カスタムロールの作成と管理"

  2. このカスタムロールは、コンソールから、または gcloud を使用してコンソール エージェントをデプロイするユーザーに割り当てます。

    "Google Cloud ドキュメント: 単一のロールを付与する"

ステップ3: コンソールエージェント操作の権限を設定する

Google Cloud 内のリソースを管理するためにコンソールが必要とする権限をコンソール エージェントに付与するには、Google Cloud サービス アカウントが必要です。コンソール エージェントを作成するときは、このサービス アカウントをコンソール エージェント VM に関連付ける必要があります。

以降のリリースで新しい権限が追加された場合、カスタム ロールを更新するのはお客様の責任となります。新しい権限が必要な場合は、リリース ノートに記載されます。

手順

  1. Google Cloud でカスタムロールを作成します。

    1. 以下の内容を含むYAMLファイルを作成します。"コンソールエージェントのサービスアカウント権限"

    2. Google Cloud から Cloud Shell を有効にします。

    3. 必要な権限を含む YAML ファイルをアップロードします。

    4. カスタムロールを作成するには、 `gcloud iam roles create`指示。

      次の例では、プロジェクト レベルで「connector」という名前のロールを作成します。

      gcloud iam roles create connector --project=myproject --file=connector.yaml

    "Google Cloud ドキュメント: カスタムロールの作成と管理"

  2. Google Cloud でサービス アカウントを作成し、そのサービス アカウントにロールを割り当てます。

    1. IAM & Admin サービスから、サービス アカウント > サービス アカウントの作成 を選択します。

    2. サービス アカウントの詳細を入力し、[作成して続行] を選択します。

    3. 作成したロールを選択します。

    4. 残りの手順を完了してロールを作成します。

      "Google Cloud ドキュメント: サービス アカウントの作成"

  3. コンソール エージェントが存在するプロジェクトとは異なるプロジェクトにCloud Volumes ONTAPシステムを展開する予定の場合は、コンソール エージェントのサービス アカウントにそれらのプロジェクトへのアクセス権を付与する必要があります。

    たとえば、コンソール エージェントがプロジェクト 1 にあり、プロジェクト 2 にCloud Volumes ONTAPシステムを作成するとします。プロジェクト 2 のサービス アカウントにアクセス権を付与する必要があります。

    1. IAM & Admin サービスから、 Cloud Volumes ONTAPシステムを作成する Google Cloud プロジェクトを選択します。

    2. IAM ページで、アクセスを許可 を選択し、必要な詳細を入力します。

      • コンソール エージェントのサービス アカウントの電子メールを入力します。

      • コンソール エージェントのカスタム ロールを選択します。

      • *保存*を選択します。

    詳細については、 "Google Cloud ドキュメント"

ステップ4: 共有VPC権限を設定する

共有 VPC を使用してリソースをサービス プロジェクトにデプロイする場合は、権限を準備する必要があります。

この表は参考用であり、IAM 構成が完了すると、環境に権限表が反映されるはずです。

共有 VPC 権限を表示する
身元 クリエイター 開催地 サービスプロジェクトの権限 ホストプロジェクトの権限 目的

エージェントを展開するためのGoogleアカウント

カスタム

奉仕プロジェクト

"エージェント展開ポリシー"

compute.networkUser

サービスプロジェクトにエージェントをデプロイする

エージェントサービスアカウント

カスタム

奉仕プロジェクト

"エージェントサービスアカウントポリシー"

compute.networkUser デプロイメントマネージャー.エディター

サービス プロジェクトでCloud Volumes ONTAPとサービスをデプロイおよび保守する

Cloud Volumes ONTAPサービス アカウント

カスタム

奉仕プロジェクト

storage.admin メンバー: serviceAccount.user としてのNetAppコンソール サービス アカウント

該当なし

(オプション) NetApp Cloud TieringおよびNetApp Backup and Recoveryの場合

Google API サービス エージェント

Google Cloud

奉仕プロジェクト

(デフォルト) エディター

compute.networkUser

デプロイメントに代わって Google Cloud API と対話します。コンソールが共有ネットワークを使用できるようにします。

Google Compute Engine のデフォルトのサービス アカウント

Google Cloud

奉仕プロジェクト

(デフォルト) エディター

compute.networkUser

デプロイメントに代わって、Google Cloud インスタンスとコンピューティング インフラストラクチャをデプロイします。コンソールが共有ネットワークを使用できるようにします。

注:

  1. ファイアウォール ルールをデプロイメントに渡さず、コンソールで自動的に作成するように選択した場合にのみ、ホスト プロジェクトで deploymentmanager.editor が必要になります。ルールが指定されていない場合、 NetAppコンソールは、VPC0 ファイアウォール ルールを含むデプロイメントをホスト プロジェクトに作成します。

  2. firewall.create と firewall.delete は、デプロイメントにファイアウォール ルールを渡さず、コンソールで自動的に作成するように選択した場合にのみ必要です。これらの権限は、コンソール アカウントの .yaml ファイルにあります。共有 VPC を使用して HA ペアを展開する場合、これらの権限は VPC1、2、3 のファイアウォール ルールを作成するために使用されます。他のすべてのデプロイメントでは、これらの権限は VPC0 のルールの作成にも使用されます。

  3. クラウド階層化の場合、階層化サービス アカウントには、プロジェクト レベルだけでなく、サービス アカウントに対する serviceAccount.user ロールが必要です。現在、プロジェクト レベルで serviceAccount.user を割り当てると、getIAMPolicy を使用してサービス アカウントをクエリしても権限が表示されません。

ステップ5: Google Cloud APIを有効にする

Console エージェントとCloud Volumes ONTAPをデプロイする前に、いくつかの Google Cloud API を有効にする必要があります。

手順

  1. プロジェクトで次の Google Cloud API を有効にします。

    • クラウド デプロイメント マネージャー V2 API

    • クラウドロギングAPI

    • クラウド リソース マネージャー API

    • コンピューティングエンジン API

    • アイデンティティとアクセス管理 (IAM) API

    • クラウド キー管理サービス (KMS) API

      (顧客管理暗号化キー(CMEK)を使用したNetApp Backup and Recovery を使用する予定の場合のみ必要)

"Google Cloud ドキュメント: API の有効化"

ステップ6: コンソールエージェントを作成する

コンソールから直接コンソール エージェントを作成します。

タスク概要

コンソール エージェントを作成すると、デフォルト構成を使用して Google Cloud に仮想マシン インスタンスがデプロイされます。コンソール エージェントを作成した後、CPU や RAM が少ない小さな VM インスタンスに切り替えないでください。"コンソールエージェントのデフォルト構成について学習します"

開始する前に

次のものが必要です:

  • コンソール エージェントとコンソール エージェント VM のサービス アカウントを作成するために必要な Google Cloud 権限。

  • ネットワーク要件を満たす VPC とサブネット。

  • コンソール エージェントからのインターネット アクセスにプロキシが必要な場合のプロキシ サーバーの詳細。

手順

  1. *管理 > エージェント*を選択します。

  2. *概要*ページで、*エージェントのデプロイ > Google Cloud*を選択します。

  3. *エージェントのデプロイ*ページで、必要なものの詳細を確認します。次の 2 つのオプションがあります。

    1. 製品内ガイドを使用して展開の準備をするには、[続行] を選択します。製品内ガイドの各ステップには、ドキュメントのこのページに記載されている情報が含まれています。

    2. このページの手順に従ってすでに準備している場合は、[展開にスキップ] を選択します。

  4. ウィザードの手順に従ってコンソール エージェントを作成します。

    • プロンプトが表示されたら、仮想マシン インスタンスを作成するために必要な権限を持つ Google アカウントにログインします。

      このフォームは Google が所有し、ホストしています。資格情報がNetAppに提供されていません。

    • 詳細: 仮想マシン インスタンスの名前を入力し、タグを指定して、プロジェクトを選択し、必要な権限を持つサービス アカウントを選択します (詳細については上記のセクションを参照してください)。

    • 場所: インスタンスのリージョン、ゾーン、VPC、サブネットを指定します。

    • ネットワーク: パブリック IP アドレスを有効にするかどうかを選択し、オプションでプロキシ構成を指定します。

    • ネットワーク タグ: 透過プロキシを使用している場合は、コンソール エージェント インスタンスにネットワーク タグを追加します。ネットワーク タグは小文字で始まる必要があり、小文字、数字、ハイフンを含めることができます。タグは小文字または数字で終わる必要があります。たとえば、「console-agent-proxy」というタグを使用できます。

    • ファイアウォール ポリシー: 新しいファイアウォール ポリシーを作成するか、必要な受信ルールと送信ルールを許可する既存のファイアウォール ポリシーを選択するかを選択します。

      "Google Cloud のファイアウォール ルール"

  5. 選択内容を確認して、セットアップが正しいことを確認します。

    1. エージェント構成の検証 チェック ボックスはデフォルトでオンになっており、展開時にコンソールによってネットワーク接続要件が検証されます。コンソールがエージェントの展開に失敗した場合、トラブルシューティングに役立つレポートが提供されます。デプロイメントが成功した場合、レポートは提供されません。

    まだ使用している場合は"以前のエンドポイント"エージェントのアップグレードに使用すると、検証が失敗し、エラーが発生します。これを回避するには、チェックボックスをオフにして検証チェックをスキップします。

  6. *追加*を選択します。

    インスタンスは約 10 分で準備完了します。プロセスが完了するまで、このページに留まってください。

結果

プロセスが完了すると、コンソール エージェントが使用できるようになります。

メモ デプロイメントが失敗した場合は、コンソールからレポートとログをダウンロードして、問題の解決に役立てることができます。"インストールの問題をトラブルシューティングする方法を学びます。"

コンソール エージェントを作成したのと同じ Google Cloud アカウントに Google Cloud Storage バケットがある場合は、[システム] ページに Google Cloud Storage システムが自動的に表示されます。 "コンソールから Google Cloud Storage を管理する方法を学びます"