Skip to main content
BlueXP setup and administration
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

BlueXP에서 Azure에 커넥터를 만듭니다

기여자

커넥터는 클라우드 네트워크 또는 온프레미스 네트워크에서 실행되는 NetApp 소프트웨어로, BlueXP 의 모든 기능과 서비스를 사용할 수 있습니다. 사용 가능한 설치 옵션 중 하나는 BlueXP 에서 직접 Azure에 커넥터를 만드는 것입니다. BlueXP에서 Azure에서 Connector를 생성하려면 네트워킹을 설정하고 Azure 권한을 준비한 다음 Connector를 생성해야 합니다.

시작하기 전에

단계 1: 네트워킹을 설정한다

커넥터를 설치할 네트워크 위치가 다음 요구 사항을 지원하는지 확인합니다. 이러한 요구사항을 충족하면 Connector가 하이브리드 클라우드 환경 내에서 리소스와 프로세스를 관리할 수 있습니다.

Azure 지역

Cloud Volumes ONTAP를 사용하는 경우 커넥터가 관리하는 Cloud Volumes ONTAP 시스템과 동일한 Azure 영역에 배포되거나 에 배포되어야 합니다 "Azure 지역 쌍" Cloud Volumes ONTAP 시스템의 경우 이 요구 사항은 Cloud Volumes ONTAP와 연결된 스토리지 계정 간에 Azure 전용 링크 연결이 사용되도록 합니다.

VNET 및 서브넷

Connector를 생성할 때 Connector가 상주할 VNET와 서브넷을 지정해야 합니다.

대상 네트워크에 대한 연결

Connector를 사용하려면 작업 환경을 만들고 관리할 위치에 대한 네트워크 연결이 필요합니다. 예를 들어, 온프레미스 환경에서 Cloud Volumes ONTAP 시스템 또는 스토리지 시스템을 생성할 네트워크를 예로 들 수 있습니다.

아웃바운드 인터넷 액세스

커넥터를 배포하는 네트워크 위치에 특정 끝점에 연결하려면 아웃바운드 인터넷 연결이 있어야 합니다.

커넥터에서 접촉된 끝점

Connector는 일상적인 운영을 위해 퍼블릭 클라우드 환경 내의 리소스 및 프로세스를 관리하려면 다음 엔드포인트에 연결하는 아웃바운드 인터넷 액세스가 필요합니다.

아래 나열된 끝점은 모두 CNAME 항목입니다.

엔드포인트 목적

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

Azure 공공 지역의 리소스를 관리합니다.

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

Azure 중국 지역의 리소스를 관리합니다.

https://support.netapp.com 으로 문의하십시오
https://mysupport.netapp.com 으로 문의하십시오

라이센스 정보를 얻고 AutoSupport 메시지를 NetApp 지원 팀에 전송합니다.

https://*.api.bluexp.netapp.com

https://api.bluexp.netapp.com

https://*.cloudmanager.cloud.netapp.com

https://cloudmanager.cloud.netapp.com

https://netapp-cloud-account.auth0.com

BlueXP 내에서 SaaS 기능 및 서비스를 제공합니다.

현재 Connector가 "cloudmanager.cloud.netapp.com" 에 문의하고 있지만 곧 출시될 릴리스에서 "api.bluexp.netapp.com" 에 연락하기 시작합니다.

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io

Connector 및 해당 Docker 구성 요소를 업그레이드합니다.

BlueXP 콘솔에서 연결된 엔드포인트에는

SaaS 계층을 통해 제공되는 BlueXP 웹 기반 콘솔을 사용하면 여러 엔드포인트에 접속하여 데이터 관리 작업을 완료합니다. 여기에는 BlueXP 콘솔에서 커넥터를 배포하기 위해 연결된 엔드포인트가 포함됩니다.

프록시 서버

회사에서 보내는 모든 인터넷 트래픽에 프록시 서버를 배포해야 하는 경우 HTTP 또는 HTTPS 프록시에 대한 다음 정보를 얻습니다. 설치하는 동안 이 정보를 제공해야 합니다. BlueXP는 투명한 프록시 서버를 지원하지 않습니다.

  • IP 주소입니다

  • 자격 증명

  • HTTPS 인증서

포트

커넥터를 시작하거나 커넥터가 Cloud Volumes ONTAP에서 NetApp 지원으로 AutoSupport 메시지를 보내는 프록시로 사용되지 않는 한 커넥터로 들어오는 트래픽이 없습니다.

  • HTTP(80) 및 HTTPS(443)는 드물게 사용되는 로컬 UI에 대한 액세스를 제공합니다.

  • SSH(22)는 문제 해결을 위해 호스트에 연결해야 하는 경우에만 필요합니다.

  • 아웃바운드 인터넷 연결을 사용할 수 없는 서브넷에 Cloud Volumes ONTAP 시스템을 배포하는 경우 포트 3128을 통한 인바운드 연결이 필요합니다.

    Cloud Volumes ONTAP 시스템에 AutoSupport 메시지를 보내기 위한 아웃바운드 인터넷 연결이 없는 경우 BlueXP는 자동으로 해당 시스템이 커넥터에 포함된 프록시 서버를 사용하도록 구성합니다. 유일한 요구 사항은 커넥터 보안 그룹이 포트 3128을 통한 인바운드 연결을 허용하는지 확인하는 것입니다. Connector를 배포한 후 이 포트를 열어야 합니다.

NTP를 활성화합니다

BlueXP 분류를 사용하여 회사 데이터 소스를 검사하려는 경우 BlueXP Connector 시스템과 BlueXP 분류 시스템 모두에서 NTP(Network Time Protocol) 서비스를 활성화하여 시스템 간에 시간이 동기화되도록 해야 합니다. "BlueXP 분류에 대해 자세히 알아보십시오"

Connector를 만든 후 이 네트워킹 요구 사항을 구현해야 합니다.

2단계: 사용자 지정 역할을 만듭니다

Azure 계정 또는 Microsoft Entra 서비스 보안 주체에 할당할 수 있는 Azure 사용자 지정 역할을 만듭니다. BlueXP는 Azure를 사용하여 인증을 수행하고 이러한 권한을 사용하여 사용자를 대신하여 Connector 인스턴스를 만듭니다.

Azure 포털, Azure PowerShell, Azure CLI 또는 REST API를 사용하여 Azure 사용자 지정 역할을 생성할 수 있습니다. 다음 단계에서는 Azure CLI를 사용하여 역할을 생성하는 방법을 보여 줍니다. 다른 방법을 사용하려면 을 참조하십시오 "Azure 문서"

단계
  1. Azure에서 새 사용자 지정 역할에 필요한 권한을 복사하여 JSON 파일에 저장합니다.

    참고 이 사용자 지정 역할에는 BlueXP에서 Azure에서 Connector VM을 실행하는 데 필요한 권한만 포함됩니다. 다른 상황에서는 이 정책을 사용하지 마십시오. BlueXP에서 Connector를 생성하면 Connector VM에 새로운 권한이 적용되므로 Connector에서 Azure 리소스를 관리할 수 있습니다.
    {
        "Name": "Azure SetupAsService",
        "Actions": [
            "Microsoft.Compute/disks/delete",
            "Microsoft.Compute/disks/read",
            "Microsoft.Compute/disks/write",
            "Microsoft.Compute/locations/operations/read",
            "Microsoft.Compute/operations/read",
            "Microsoft.Compute/virtualMachines/instanceView/read",
            "Microsoft.Compute/virtualMachines/read",
            "Microsoft.Compute/virtualMachines/write",
            "Microsoft.Compute/virtualMachines/delete",
            "Microsoft.Compute/virtualMachines/extensions/write",
            "Microsoft.Compute/virtualMachines/extensions/read",
            "Microsoft.Compute/availabilitySets/read",
            "Microsoft.Network/locations/operationResults/read",
            "Microsoft.Network/locations/operations/read",
            "Microsoft.Network/networkInterfaces/join/action",
            "Microsoft.Network/networkInterfaces/read",
            "Microsoft.Network/networkInterfaces/write",
            "Microsoft.Network/networkInterfaces/delete",
            "Microsoft.Network/networkSecurityGroups/join/action",
            "Microsoft.Network/networkSecurityGroups/read",
            "Microsoft.Network/networkSecurityGroups/write",
            "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read",
            "Microsoft.Network/virtualNetworks/read",
            "Microsoft.Network/virtualNetworks/subnets/join/action",
            "Microsoft.Network/virtualNetworks/subnets/read",
            "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read",
            "Microsoft.Network/virtualNetworks/virtualMachines/read",
            "Microsoft.Network/publicIPAddresses/write",
            "Microsoft.Network/publicIPAddresses/read",
            "Microsoft.Network/publicIPAddresses/delete",
            "Microsoft.Network/networkSecurityGroups/securityRules/read",
            "Microsoft.Network/networkSecurityGroups/securityRules/write",
            "Microsoft.Network/networkSecurityGroups/securityRules/delete",
            "Microsoft.Network/publicIPAddresses/join/action",
            "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read",
            "Microsoft.Network/networkInterfaces/ipConfigurations/read",
            "Microsoft.Resources/deployments/operations/read",
            "Microsoft.Resources/deployments/read",
            "Microsoft.Resources/deployments/delete",
            "Microsoft.Resources/deployments/cancel/action",
            "Microsoft.Resources/deployments/validate/action",
            "Microsoft.Resources/resources/read",
            "Microsoft.Resources/subscriptions/operationresults/read",
            "Microsoft.Resources/subscriptions/resourceGroups/delete",
            "Microsoft.Resources/subscriptions/resourceGroups/read",
            "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
            "Microsoft.Resources/subscriptions/resourceGroups/write",
            "Microsoft.Authorization/roleDefinitions/write",
            "Microsoft.Authorization/roleAssignments/write",
            "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read",
            "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write",
            "Microsoft.Network/networkSecurityGroups/delete",
            "Microsoft.Storage/storageAccounts/delete",
            "Microsoft.Storage/storageAccounts/write",
            "Microsoft.Resources/deployments/write",
            "Microsoft.Resources/deployments/operationStatuses/read",
            "Microsoft.Authorization/roleAssignments/read"
        ],
        "NotActions": [],
        "AssignableScopes": [],
        "Description": "Azure SetupAsService",
        "IsCustom": "true"
    }
  2. Azure 구독 ID를 할당 가능한 범위에 추가하여 JSON을 수정합니다.

    • 예 *

    "AssignableScopes": [
    "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz"
    ],
  3. JSON 파일을 사용하여 Azure에서 사용자 지정 역할을 생성합니다.

    다음 단계에서는 Azure Cloud Shell에서 Bash를 사용하여 역할을 생성하는 방법을 설명합니다.

    1. 시작 "Azure 클라우드 셸" Bash 환경을 선택하십시오.

    2. JSON 파일을 업로드합니다.

      파일을 업로드하는 옵션을 선택할 수 있는 Azure Cloud Shell의 스크린 샷

    3. 다음 Azure CLI 명령을 입력합니다.

      az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json

    이제 _Azure SetupAsService_라는 사용자 지정 역할이 있어야 합니다. 이제 사용자 계정이나 서비스 보안 주체에 이 사용자 지정 역할을 적용할 수 있습니다.

단계 3: 인증을 설정합니다

BlueXP에서 커넥터를 생성할 때 BlueXP가 Azure에서 인증되고 VM을 배포할 수 있도록 로그인을 제공해야 합니다. 두 가지 옵션이 있습니다.

  1. 메시지가 표시되면 Azure 계정으로 로그인합니다. 이 계정에는 특정 Azure 권한이 있어야 합니다. 이 옵션이 기본 옵션입니다.

  2. Microsoft Entra 서비스 보안 주체에 대한 자세한 정보를 제공합니다. 이 서비스 보안 주체는 특정 권한도 필요합니다.

단계에 따라 BlueXP와 함께 사용할 인증 방법 중 하나를 준비합니다.

Azure 계정

BlueXP에서 커넥터를 배포할 사용자에게 사용자 지정 역할을 할당합니다.

단계
  1. Azure 포털에서 * Subscriptions * 서비스를 열고 사용자의 구독을 선택합니다.

  2. IAM(액세스 제어) * 을 클릭합니다.

  3. Add * > * Add role assignment * 를 클릭한 후 권한을 추가합니다.

    1. Azure SetupAsService * 역할을 선택하고 * 다음 * 을 클릭합니다.

      참고 Azure SetupAsService는 Azure의 커넥터 배포 정책에 제공된 기본 이름입니다. 역할에 다른 이름을 선택한 경우 대신 해당 이름을 선택합니다.
    2. 사용자, 그룹 또는 서비스 보안 주체 * 를 선택한 상태로 유지합니다.

    3. 회원 선택 * 을 클릭하고 사용자 계정을 선택한 다음 * 선택 * 을 클릭합니다.

    4. 다음 * 을 클릭합니다.

    5. 검토 + 할당 * 을 클릭합니다.

결과

이제 Azure 사용자는 BlueXP에서 커넥터를 배포하는 데 필요한 권한을 갖게 됩니다.

서비스 책임자

Azure 계정으로 로그인하는 대신 필요한 권한이 있는 Azure 서비스 보안 주체에 대한 자격 증명을 BlueXP에 제공할 수 있습니다.

Microsoft Entra ID에서 서비스 주체를 생성 및 설정하고 BlueXP에 필요한 Azure 자격 증명을 받습니다.

역할 기반 액세스 제어를 위한 Microsoft Entra 응용 프로그램을 만듭니다
  1. Azure에서 Active Directory 응용 프로그램을 만들고 응용 프로그램을 역할에 할당할 수 있는 권한이 있는지 확인합니다.

    자세한 내용은 을 참조하십시오 "Microsoft Azure 문서: 필요한 권한"

  2. Azure 포털에서 * Microsoft Entra ID * 서비스를 엽니다.

    에는 Microsoft Azure의 Active Directory 서비스가 나와 있습니다.

  3. 메뉴에서 * 앱 등록 * 을 선택합니다.

  4. 새 등록 * 을 선택합니다.

  5. 응용 프로그램에 대한 세부 정보를 지정합니다.

    • * 이름 *: 응용 프로그램의 이름을 입력합니다.

    • * 계정 유형 *: 계정 유형을 선택합니다(모두 BlueXP에서 사용 가능).

    • * URI 리디렉션 *: 이 필드는 비워 둘 수 있습니다.

  6. Register * 를 선택합니다.

    AD 응용 프로그램 및 서비스 보안 주체를 만들었습니다.

응용 프로그램에 사용자 지정 역할을 할당합니다
  1. Azure 포털에서 * Subscriptions * 서비스를 엽니다.

  2. 구독을 선택합니다.

  3. IAM(Access Control) > 추가 > 역할 할당 추가 * 를 클릭합니다.

  4. Role * 탭에서 * BlueXP Operator * 역할을 선택하고 * Next * 를 클릭합니다.

  5. Members* 탭에서 다음 단계를 완료합니다.

    1. 사용자, 그룹 또는 서비스 보안 주체 * 를 선택한 상태로 유지합니다.

    2. 구성원 선택 * 을 클릭합니다.

      애플리케이션에 역할을 추가할 때 구성원 탭을 표시하는 Azure 포털의 스크린샷

    3. 응용 프로그램의 이름을 검색합니다.

      예를 들면 다음과 같습니다.

    Azure 포털에서 역할 할당 추가 양식을 보여 주는 Azure 포털의 스크린샷

    1. 응용 프로그램을 선택하고 * 선택 * 을 클릭합니다.

    2. 다음 * 을 클릭합니다.

  6. 검토 + 할당 * 을 클릭합니다.

    이제 서비스 보안 주체에 Connector를 배포하는 데 필요한 Azure 권한이 있습니다.

    여러 Azure 구독에서 리소스를 관리하려면 각 구독에 서비스 보안 주체를 바인딩해야 합니다. 예를 들어, BlueXP에서는 Cloud Volumes ONTAP를 배포할 때 사용할 구독을 선택할 수 있습니다.

Windows Azure 서비스 관리 API 권한을 추가합니다
  1. Microsoft Entra ID * 서비스에서 * 앱 등록 * 을 선택하고 애플리케이션을 선택합니다.

  2. API 권한 > 권한 추가 * 를 선택합니다.

  3. Microsoft API * 에서 * Azure Service Management * 를 선택합니다.

    Azure 서비스 관리 API 권한을 보여 주는 Azure 포털의 스크린샷

  4. Access Azure Service Management as organization users * 를 선택한 다음 * Add permissions * 를 선택합니다.

    Azure 서비스 관리 API 추가를 보여 주는 Azure 포털의 스크린샷

응용 프로그램의 응용 프로그램 ID 및 디렉터리 ID를 가져옵니다
  1. Microsoft Entra ID * 서비스에서 * 앱 등록 * 을 선택하고 애플리케이션을 선택합니다.

  2. 응용 프로그램(클라이언트) ID * 와 * 디렉터리(테넌트) ID * 를 복사합니다.

    Microsoft Entra IDy의 응용 프로그램에 대한 응용 프로그램(클라이언트) ID 및 디렉터리(테넌트) ID를 보여 주는 스크린샷.

    Azure 계정을 BlueXP에 추가하는 경우 응용 프로그램의 응용 프로그램(클라이언트) ID와 디렉터리(테넌트) ID를 제공해야 합니다. BlueXP는 ID를 사용하여 프로그래밍 방식으로 로그인합니다.

클라이언트 암호를 생성합니다
  1. Microsoft Entra ID * 서비스를 엽니다.

  2. 앱 등록 * 을 선택하고 응용 프로그램을 선택합니다.

  3. 인증서 및 비밀 > 새 클라이언트 비밀 * 을 선택합니다.

  4. 비밀과 기간에 대한 설명을 제공하십시오.

  5. 추가 * 를 선택합니다.

  6. 클라이언트 암호 값을 복사합니다.

    Microsoft Entra 서비스 보안 주체의 클라이언트 암호를 보여 주는 Azure 포털 스크린샷

    이제 BlueXP에서 Microsoft Entra ID를 사용하여 인증하는 클라이언트 암호가 있습니다.

결과

이제 서비스 보안 주체가 설정되었으므로 응용 프로그램(클라이언트) ID, 디렉터리(테넌트) ID 및 클라이언트 암호 값을 복사해야 합니다. 커넥터를 생성할 때 BlueXP에 이 정보를 입력해야 합니다.

4단계: 커넥터를 만듭니다

BlueXP 웹 기반 콘솔에서 직접 커넥터를 생성합니다.

이 작업에 대해
  • BlueXP에서 Connector를 생성하면 기본 구성을 사용하여 Azure에서 가상 머신을 구축할 수 있습니다. Connector를 생성한 후에는 CPU 또는 RAM이 적은 더 작은 VM 유형으로 변경하지 마십시오. "Connector의 기본 설정에 대해 알아봅니다".

  • BlueXP가 Connector를 배포하면 맞춤형 역할을 생성하고 Connector VM에 할당합니다. 이 역할에는 Connector가 Azure 리소스를 관리할 수 있도록 하는 권한이 포함됩니다. 이후 릴리스에서 새 권한이 추가됨에 따라 역할이 최신 상태로 유지되도록 해야 합니다. "Connector의 사용자 지정 역할에 대해 자세히 알아보십시오".

시작하기 전에

다음과 같은 항목이 있어야 합니다.

  • Azure 구독.

  • 선택한 Azure 지역에서 VNET 및 서브넷입니다.

  • 프록시 서버에 대한 세부 정보(조직에서 모든 발신 인터넷 트래픽에 대한 프록시를 필요로 하는 경우):

    • IP 주소입니다

    • 자격 증명

    • HTTPS 인증서

  • Connector 가상 머신에 해당 인증 방법을 사용하려는 경우 SSH 공개 키입니다. 인증 방법의 다른 옵션은 암호를 사용하는 것입니다.

  • BlueXP에서 Connector에 대한 Azure 역할을 자동으로 생성하지 않으려면 고유한 역할을 만들어야 합니다 "이 페이지의 정책 사용".

    이러한 권한은 Connector 인스턴스 자체에 대한 것입니다. Connector VM을 배포하기 위해 이전에 설정한 것과 다른 권한 집합입니다.

단계
  1. 커넥터 * 드롭다운을 선택하고 * 커넥터 추가 * 를 선택합니다.

    머리글의 연결선 아이콘 및 연결선 추가 동작을 보여 주는 스크린샷

  2. 클라우드 공급자로 * Microsoft Azure * 를 선택합니다.

  3. 커넥터 배포 * 페이지에서 다음을 수행합니다.

    1. Authentication * 에서 Azure 권한 설정 방법과 일치하는 인증 옵션을 선택합니다.

      • 필요한 권한이 있는 Microsoft 계정에 로그인하려면 * Azure 사용자 계정 * 을 선택합니다.

        이 양식은 Microsoft에서 소유하고 호스팅됩니다. 자격 증명이 NetApp에 제공되지 않습니다.

      팁 이미 Azure 계정에 로그인한 경우 BlueXP에서 해당 계정을 자동으로 사용합니다. 계정이 여러 개인 경우 먼저 로그아웃해야 올바른 계정을 사용할 수 있습니다.
      • 필요한 권한을 부여하는 Microsoft Entra 서비스 보안 주체에 대한 정보를 입력하려면 * Active Directory 서비스 주체 * 를 선택합니다.

        • 애플리케이션(클라이언트) ID입니다

        • 디렉토리(테넌트) ID입니다

        • 클라이언트 암호

  4. 마법사의 단계에 따라 커넥터를 작성합니다.

    • * VM 인증 *: Azure 구독, 위치, 새 리소스 그룹 또는 기존 리소스 그룹을 선택한 다음 만들려는 Connector 가상 머신에 대한 인증 방법을 선택합니다.

      가상 머신의 인증 방법은 암호 또는 SSH 공개 키일 수 있습니다.

    • * 세부 정보 *: 인스턴스의 이름을 입력하고 태그를 지정한 다음 BlueXP에서 필요한 권한이 있는 새 역할을 생성할지 또는 로 설정한 기존 역할을 선택할지 여부를 선택합니다 "필요한 권한".

      이 역할과 연결된 Azure 구독을 선택할 수 있습니다. 선택한 각 구독은 해당 구독의 리소스를 관리하는 커넥터 권한을 제공합니다(예: Cloud Volumes ONTAP).

    • * 네트워크 *: VNET 및 서브넷을 선택하고, 공용 IP 주소를 활성화할지 여부를 선택한 다음 선택적으로 프록시 구성을 지정합니다.

    • * 보안 그룹 *: 새 보안 그룹을 생성할지 또는 필요한 인바운드 및 아웃바운드 규칙을 허용하는 기존 보안 그룹을 선택할지 여부를 선택합니다.

    • * 검토 *: 선택 사항을 검토하여 설정이 올바른지 확인합니다.

  5. 추가 * 를 클릭합니다.

    가상 시스템은 약 7분 내에 준비되어야 합니다. 프로세스가 완료될 때까지 페이지를 유지해야 합니다.

결과

프로세스가 완료되면 BlueXP에서 커넥터를 사용할 수 있습니다.

Connector를 생성한 동일한 Azure 구독에 Azure Blob 스토리지가 있는 경우 BlueXP 캔버스에 Azure Blob 스토리지 작업 환경이 자동으로 표시됩니다. "BlueXP에서 Azure Blob 스토리지를 관리하는 방법에 관해 알아보십시오"