NetApp Console 에서 Azure에 콘솔 에이전트 만들기
변경 제안
PDF
NetApp Console 에서 Azure에 콘솔 에이전트를 만들려면 네트워킹을 설정하고, Azure 권한을 준비한 다음 콘솔 에이전트를 만들어야 합니다.
-
당신은 ~을 가져야합니다"콘솔 에이전트에 대한 이해" .
-
검토해야 합니다"콘솔 에이전트 제한 사항" .
1단계: 네트워킹 설정
콘솔 에이전트를 설치하려는 네트워크 위치가 다음 요구 사항을 지원하는지 확인하세요. 이러한 요구 사항을 통해 콘솔 에이전트는 하이브리드 클라우드 리소스를 관리할 수 있습니다.
- Azure 지역
-
Cloud Volumes ONTAP 사용하는 경우 콘솔 에이전트는 관리하는 Cloud Volumes ONTAP 시스템과 동일한 Azure 지역이나 "Azure 지역 쌍" Cloud Volumes ONTAP 시스템용. 이 요구 사항은 Cloud Volumes ONTAP 과 연결된 스토리지 계정 간에 Azure Private Link 연결이 사용되도록 보장합니다.
- VNet 및 서브넷
-
콘솔 에이전트를 만들 때는 에이전트가 상주해야 하는 VNet과 서브넷을 지정해야 합니다.
- 대상 네트워크에 대한 연결
-
콘솔 에이전트를 사용하려면 시스템을 만들고 관리하려는 위치에 대한 네트워크 연결이 필요합니다. 예를 들어, Cloud Volumes ONTAP 시스템이나 온프레미스 환경의 스토리지 시스템을 만들 계획인 네트워크입니다.
- 아웃바운드 인터넷 접속
-
콘솔 에이전트를 배포하는 네트워크 위치에는 특정 엔드포인트에 연결하기 위한 아웃바운드 인터넷 연결이 있어야 합니다.
- 콘솔 에이전트에서 연락한 엔드포인트
-
콘솔 에이전트는 일상 업무를 위해 퍼블릭 클라우드 환경 내의 리소스와 프로세스를 관리하기 위해 다음 엔드포인트에 연결하기 위해 아웃바운드 인터넷 액세스가 필요합니다.
아래 나열된 엔드포인트는 모두 CNAME 항목입니다.
엔드포인트 목적 Azure 공용 지역의 리소스를 관리합니다.
Azure China 지역의 리소스를 관리합니다.
라이선스 정보를 얻고 NetApp 지원팀에 AutoSupport 메시지를 보냅니다.
라이선스 정보를 얻고 NetApp 지원팀에 AutoSupport 메시지를 보냅니다.
NetApp 지원 사이트(NSS) 자격 증명을 업데이트하거나 NetApp Console 에 새로운 NSS 자격 증명을 추가합니다.
라이선스 정보를 얻고 NetApp 지원팀에 AutoSupport 메시지를 보내고 Cloud Volumes ONTAP 에 대한 소프트웨어 업데이트를 받습니다.
NetApp Console 내에서 기능과 서비스를 제공합니다.
콘솔 에이전트 업그레이드를 위한 이미지를 얻으려면.
-
새로운 에이전트를 배포할 때 유효성 검사를 통해 현재 엔드포인트에 대한 연결성을 테스트합니다. 당신이 사용하는 경우"이전 종료점" , 유효성 검사에 실패합니다. 이러한 실패를 방지하려면 유효성 검사를 건너뛰세요.
이전 엔드포인트는 계속 지원되지만 NetApp 가능한 한 빨리 현재 엔드포인트에 맞게 방화벽 규칙을 업데이트할 것을 권장합니다. "엔드포인트 목록을 업데이트하는 방법을 알아보세요" .
-
방화벽의 현재 엔드포인트로 업데이트하면 기존 에이전트도 계속 작동합니다.
-
- NetApp 콘솔에서 연결된 엔드포인트
-
SaaS 계층을 통해 제공되는 웹 기반 NetApp Console 사용하면 여러 엔드포인트에 연결하여 데이터 관리 작업을 완료할 수 있습니다. 여기에는 콘솔에서 콘솔 에이전트를 배포하기 위해 연결된 엔드포인트가 포함됩니다.
- 프록시 서버
-
NetApp 명시적 프록시 구성과 투명 프록시 구성을 모두 지원합니다. 투명 프록시를 사용하는 경우 프록시 서버에 대한 인증서만 제공하면 됩니다. 명시적 프록시를 사용하는 경우 IP 주소와 자격 증명도 필요합니다.
-
IP 주소
-
신임장
-
HTTPS 인증서
-
- 포트
-
Cloud Volumes ONTAP 에서 NetApp 지원팀으로 AutoSupport 메시지를 보내기 위한 프록시로 사용되거나 사용자가 시작하지 않는 한 콘솔 에이전트로 들어오는 트래픽이 없습니다.
-
HTTP(80) 및 HTTPS(443)는 로컬 UI에 대한 액세스를 제공하며 이는 드문 상황에서 사용됩니다.
-
SSH(22)는 문제 해결을 위해 호스트에 연결해야 하는 경우에만 필요합니다.
-
아웃바운드 인터넷 연결을 사용할 수 없는 서브넷에 Cloud Volumes ONTAP 시스템을 배포하는 경우 포트 3128을 통한 인바운드 연결이 필요합니다.
Cloud Volumes ONTAP 시스템에 AutoSupport 메시지를 보낼 아웃바운드 인터넷 연결이 없는 경우 콘솔은 콘솔 에이전트에 포함된 프록시 서버를 사용하도록 해당 시스템을 자동으로 구성합니다. 유일한 요구 사항은 콘솔 에이전트의 보안 그룹이 포트 3128을 통한 인바운드 연결을 허용하는 것입니다. 콘솔 에이전트를 배포한 후 이 포트를 열어야 합니다.
-
- NTP 활성화
-
NetApp Data Classification 사용하여 회사 데이터 소스를 스캔하려는 경우 콘솔 에이전트와 NetApp Data Classification 시스템 모두에서 NTP(네트워크 시간 프로토콜) 서비스를 활성화하여 시스템 간의 시간을 동기화해야 합니다. "NetApp 데이터 분류에 대해 자세히 알아보세요"
콘솔 에이전트를 만든 후 이 네트워킹 요구 사항을 구현해야 합니다.
2단계: 콘솔 에이전트 배포 정책(사용자 지정 역할) 만들기
Azure에서 콘솔 에이전트를 배포할 수 있는 권한이 있는 사용자 지정 역할을 만들어야 합니다.
Azure 계정이나 Microsoft Entra 서비스 주체에 할당할 수 있는 Azure 사용자 지정 역할을 만듭니다. 콘솔은 Azure에 인증하고 이러한 권한을 사용하여 사용자를 대신하여 콘솔 에이전트 인스턴스를 만듭니다.
콘솔은 Azure에 콘솔 에이전트 VM을 배포하고 다음을 활성화합니다. "시스템 할당 관리 ID" , 필요한 역할을 생성하고 이를 VM에 할당합니다. "콘솔이 권한을 사용하는 방식을 검토하세요." .
Azure Portal, Azure PowerShell, Azure CLI 또는 REST API를 사용하여 Azure 사용자 지정 역할을 만들 수 있습니다. 다음 단계에서는 Azure CLI를 사용하여 역할을 만드는 방법을 보여줍니다. 다른 방법을 사용하려면 다음을 참조하세요. "Azure 설명서"
-
Azure에서 새로운 사용자 지정 역할에 필요한 권한을 복사하여 JSON 파일에 저장합니다.
이 사용자 지정 역할에는 콘솔에서 Azure의 콘솔 에이전트 VM을 시작하는 데 필요한 권한만 포함되어 있습니다. 다른 상황에서는 이 정책을 사용하지 마세요. 콘솔에서 콘솔 에이전트를 만들면 콘솔 에이전트 VM에 새로운 권한 집합이 적용되어 콘솔 에이전트가 Azure 리소스를 관리할 수 있게 됩니다. { "Name": "Azure SetupAsService", "Actions": [ "Microsoft.Compute/disks/delete", "Microsoft.Compute/disks/read", "Microsoft.Compute/disks/write", "Microsoft.Compute/locations/operations/read", "Microsoft.Compute/operations/read", "Microsoft.Compute/virtualMachines/instanceView/read", "Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/virtualMachines/write", "Microsoft.Compute/virtualMachines/delete", "Microsoft.Compute/virtualMachines/extensions/write", "Microsoft.Compute/virtualMachines/extensions/read", "Microsoft.Compute/availabilitySets/read", "Microsoft.Network/locations/operationResults/read", "Microsoft.Network/locations/operations/read", "Microsoft.Network/networkInterfaces/join/action", "Microsoft.Network/networkInterfaces/read", "Microsoft.Network/networkInterfaces/write", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkSecurityGroups/join/action", "Microsoft.Network/networkSecurityGroups/read", "Microsoft.Network/networkSecurityGroups/write", "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/join/action", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read", "Microsoft.Network/virtualNetworks/virtualMachines/read", "Microsoft.Network/publicIPAddresses/write", "Microsoft.Network/publicIPAddresses/read", "Microsoft.Network/publicIPAddresses/delete", "Microsoft.Network/networkSecurityGroups/securityRules/read", "Microsoft.Network/networkSecurityGroups/securityRules/write", "Microsoft.Network/networkSecurityGroups/securityRules/delete", "Microsoft.Network/publicIPAddresses/join/action", "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read", "Microsoft.Network/networkInterfaces/ipConfigurations/read", "Microsoft.Resources/deployments/operations/read", "Microsoft.Resources/deployments/read", "Microsoft.Resources/deployments/delete", "Microsoft.Resources/deployments/cancel/action", "Microsoft.Resources/deployments/validate/action", "Microsoft.Resources/resources/read", "Microsoft.Resources/subscriptions/operationresults/read", "Microsoft.Resources/subscriptions/resourceGroups/delete", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Resources/subscriptions/resourcegroups/resources/read", "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Authorization/roleDefinitions/write", "Microsoft.Authorization/roleAssignments/write", "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read", "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Storage/storageAccounts/delete", "Microsoft.Storage/storageAccounts/write", "Microsoft.Resources/deployments/write", "Microsoft.Resources/deployments/operationStatuses/read", "Microsoft.Authorization/roleAssignments/read" ], "NotActions": [], "AssignableScopes": [], "Description": "Azure SetupAsService", "IsCustom": "true" } -
할당 가능한 범위에 Azure 구독 ID를 추가하여 JSON을 수정합니다.
예
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz" ], -
JSON 파일을 사용하여 Azure에서 사용자 지정 역할을 만듭니다.
다음 단계에서는 Azure Cloud Shell에서 Bash를 사용하여 역할을 만드는 방법을 설명합니다.
-
시작 "Azure 클라우드 셸" Bash 환경을 선택하세요.
-
JSON 파일을 업로드합니다.
-
다음 Azure CLI 명령을 입력하세요.
az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json
이제 _Azure SetupAsService_라는 사용자 지정 역할이 생겼습니다. 이 사용자 지정 역할은 사용자 계정이나 서비스 주체에 적용할 수 있습니다.
-
3단계: 인증 설정
콘솔에서 콘솔 에이전트를 만들 때 콘솔이 Azure에 인증하고 VM을 배포할 수 있도록 하는 로그인을 제공해야 합니다. 두 가지 옵션이 있습니다.
-
메시지가 표시되면 Azure 계정으로 Sign in . 이 계정에는 특정 Azure 권한이 있어야 합니다. 이는 기본 옵션입니다.
-
Microsoft Entra 서비스 주체에 대한 세부 정보를 제공합니다. 이 서비스 주체에도 특정 권한이 필요합니다.
콘솔에서 사용할 인증 방법 중 하나를 준비하려면 다음 단계를 따르세요.
콘솔에서 콘솔 에이전트를 배포할 사용자에게 사용자 지정 역할을 할당합니다.
-
Azure Portal에서 구독 서비스를 열고 사용자의 구독을 선택합니다.
-
*액세스 제어(IAM)*를 클릭합니다.
-
추가 > *역할 할당 추가*를 클릭한 다음 권한을 추가합니다.
-
Azure SetupAsService 역할을 선택하고 *다음*을 클릭합니다.
Azure SetupAsService는 Azure의 콘솔 에이전트 배포 정책에 제공된 기본 이름입니다. 역할에 다른 이름을 선택한 경우 해당 이름을 대신 선택하세요. -
*사용자, 그룹 또는 서비스 주체*를 선택된 상태로 유지합니다.
-
*멤버 선택*을 클릭하고 사용자 계정을 선택한 후 *선택*을 클릭합니다.
-
*다음*을 클릭하세요.
-
*검토 + 할당*을 클릭하세요.
-
Azure 계정으로 로그인하는 대신, 필요한 권한이 있는 Azure 서비스 주체의 자격 증명을 콘솔에 제공할 수 있습니다.
Microsoft Entra ID에서 서비스 주체를 만들고 설정하고 콘솔에 필요한 Azure 자격 증명을 얻습니다.
-
Azure에서 Active Directory 애플리케이션을 만들고 해당 애플리케이션에 역할을 할당할 수 있는 권한이 있는지 확인하세요.
자세한 내용은 다음을 참조하세요. "Microsoft Azure 설명서: 필요한 권한"
-
Azure Portal에서 Microsoft Entra ID 서비스를 엽니다.
-
메뉴에서 *앱 등록*을 선택하세요.
-
*신규 등록*을 선택하세요.
-
신청서에 대한 세부 사항을 지정하세요:
-
이름: 애플리케이션의 이름을 입력하세요.
-
계정 유형: 계정 유형을 선택하세요(모든 계정 유형이 NetApp Console 에서 작동합니다).
-
리디렉션 URI: 이 필드는 비워두어도 됩니다.
-
-
*등록*을 선택하세요.
AD 애플리케이션과 서비스 주체를 생성했습니다.
-
Azure Portal에서 구독 서비스를 엽니다.
-
구독을 선택하세요.
-
*액세스 제어(IAM) > 추가 > 역할 할당 추가*를 클릭합니다.
-
역할 탭에서 콘솔 운영자 역할을 선택하고 *다음*을 클릭합니다.
-
멤버 탭에서 다음 단계를 완료하세요.
-
*사용자, 그룹 또는 서비스 주체*를 선택된 상태로 유지합니다.
-
*멤버 선택*을 클릭하세요.
-
애플리케이션 이름을 검색하세요.
예를 들면 다음과 같습니다.
-
해당 애플리케이션을 선택하고 *선택*을 클릭하세요.
-
*다음*을 클릭하세요.
-
-
*검토 + 할당*을 클릭하세요.
이제 서비스 주체는 콘솔 에이전트를 배포하는 데 필요한 Azure 권한을 갖게 되었습니다.
여러 Azure 구독의 리소스를 관리하려면 각 구독에 서비스 주체를 바인딩해야 합니다. 예를 들어, 콘솔을 사용하면 Cloud Volumes ONTAP 배포할 때 사용할 구독을 선택할 수 있습니다.
-
Microsoft Entra ID 서비스에서 *앱 등록*을 선택하고 애플리케이션을 선택합니다.
-
*API 권한 > 권한 추가*를 선택합니다.
-
*Microsoft API*에서 *Azure Service Management*를 선택합니다.
-
*조직 사용자로 Azure Service Management에 액세스*를 선택한 다음 *권한 추가*를 선택합니다.
-
Microsoft Entra ID 서비스에서 *앱 등록*을 선택하고 애플리케이션을 선택합니다.
-
*애플리케이션(클라이언트) ID*와 *디렉토리(테넌트) ID*를 복사합니다.
콘솔에 Azure 계정을 추가하는 경우 애플리케이션(클라이언트) ID와 애플리케이션의 디렉터리(테넌트) ID를 제공해야 합니다. 콘솔은 ID를 사용하여 프로그래밍 방식으로 로그인합니다.
-
Microsoft Entra ID 서비스를 엽니다.
-
*앱 등록*을 선택하고 애플리케이션을 선택하세요.
-
*인증서 및 비밀번호 > 새 클라이언트 비밀번호*를 선택합니다.
-
비밀에 대한 설명과 기간을 제공하세요.
-
*추가*를 선택하세요.
-
클라이언트 비밀번호 값을 복사합니다.
이제 서비스 주체가 설정되었고 애플리케이션(클라이언트) ID, 디렉토리(테넌트) ID 및 클라이언트 비밀번호 값을 복사했어야 합니다. 콘솔 에이전트를 생성할 때 콘솔에 이 정보를 입력해야 합니다.
4단계: 콘솔 에이전트 만들기
NetApp Console 에서 직접 콘솔 에이전트를 만듭니다.
-
콘솔에서 콘솔 에이전트를 만들면 기본 구성을 사용하여 Azure에 가상 머신이 배포됩니다. 콘솔 에이전트를 만든 후에는 CPU나 RAM이 적은 더 작은 VM 인스턴스로 전환하지 마세요. "콘솔 에이전트의 기본 구성에 대해 알아보세요" .
-
콘솔이 콘솔 에이전트를 배포하면 사용자 지정 역할을 만들고 이를 콘솔 에이전트 VM에 할당합니다. 이 역할에는 콘솔 에이전트가 Azure 리소스를 관리할 수 있는 권한이 포함되어 있습니다. 이후 릴리스에서 새로운 권한이 추가되므로 역할이 최신 상태로 유지되도록 해야 합니다. "콘솔 에이전트의 사용자 정의 역할에 대해 자세히 알아보세요." .
다음 사항이 있어야 합니다.
-
Azure 구독.
-
선택한 Azure 지역의 VNet 및 서브넷.
-
조직에서 모든 발신 인터넷 트래픽에 프록시가 필요한 경우 프록시 서버에 대한 세부 정보:
-
IP 주소
-
신임장
-
HTTPS 인증서
-
-
콘솔 에이전트 가상 머신에 대한 인증 방법을 사용하려면 SSH 공개 키가 필요합니다. 인증 방법에 대한 또 다른 옵션은 비밀번호를 사용하는 것입니다.
-
콘솔에서 콘솔 에이전트에 대한 Azure 역할을 자동으로 생성하지 않으려면 직접 만들어야 합니다."이 페이지의 정책을 사용하여" .
이러한 권한은 콘솔 에이전트 인스턴스 자체에 대한 것입니다. 이는 이전에 콘솔 에이전트 VM을 배포하기 위해 설정한 것과 다른 권한 집합입니다.
-
*관리 > 에이전트*를 선택하세요.
-
개요 페이지에서 *에이전트 배포 > Azure*를 선택합니다.
-
검토 페이지에서 에이전트 배포에 필요한 요구 사항을 검토합니다. 해당 요구 사항도 이 페이지의 위에 자세히 설명되어 있습니다.
-
가상 머신 인증 페이지에서 Azure 권한을 설정하는 방법과 일치하는 인증 옵션을 선택합니다.
-
Microsoft 계정에 로그인하려면 *로그인*을 선택하세요. 이 계정에는 필요한 권한이 있어야 합니다.
이 양식은 Microsoft에서 소유하고 호스팅합니다. 귀하의 자격 증명은 NetApp 에 제공되지 않습니다.
이미 Azure 계정에 로그인한 경우 콘솔은 자동으로 해당 계정을 사용합니다. 여러 개의 계정이 있는 경우 먼저 로그아웃하여 올바른 계정을 사용하고 있는지 확인해야 할 수도 있습니다. -
필수 권한을 부여하는 Microsoft Entra 서비스 주체에 대한 정보를 입력하려면 *Active Directory 서비스 주체*를 선택하세요.
-
애플리케이션(클라이언트) ID
-
디렉토리(테넌트) ID
-
클라이언트 비밀번호
-
-
-
가상 머신 인증 페이지에서 Azure 구독, 위치, 새 리소스 그룹 또는 기존 리소스 그룹을 선택한 다음, 만들고 있는 콘솔 에이전트 가상 머신에 대한 인증 방법을 선택합니다.
가상 머신의 인증 방법은 비밀번호나 SSH 공개 키가 될 수 있습니다.
-
세부 정보 페이지에서 인스턴스 이름을 입력하고 태그를 지정하고 콘솔에서 필요한 권한이 있는 새 역할을 생성할지 아니면 설정한 기존 역할을 선택할지 선택합니다."필요한 권한" .
이 역할과 연결된 Azure 구독을 선택할 수 있습니다. 선택한 각 구독은 해당 구독의 리소스를 관리할 수 있는 콘솔 에이전트 권한을 제공합니다(예: Cloud Volumes ONTAP).
-
네트워크 페이지에서 VNet과 서브넷을 선택하고, 공용 IP 주소를 활성화할지 여부를 지정하고, 선택적으로 프록시 구성을 지정합니다.
-
보안 그룹 페이지에서 새 보안 그룹을 만들지, 아니면 필요한 인바운드 및 아웃바운드 규칙을 허용하는 기존 보안 그룹을 선택할지 선택합니다.
-
-
선택 사항을 검토하여 설정이 올바른지 확인하세요.
-
에이전트 구성 검증 확인란은 배포 시 콘솔에서 네트워크 연결 요구 사항을 검증하도록 기본적으로 선택되어 있습니다. 콘솔에서 에이전트를 배포하지 못하면 문제 해결에 도움이 되는 보고서가 제공됩니다. 배포가 성공하면 보고서는 제공되지 않습니다.
아직도 사용 중이라면"이전 종료점" 에이전트 업그레이드에 사용되면 유효성 검사가 오류로 인해 실패합니다. 이를 방지하려면 유효성 검사를 건너뛰려면 확인란의 선택을 취소하세요.
-
-
*추가*를 선택하세요.
콘솔은 약 10분 안에 인스턴스를 준비합니다. 프로세스가 완료될 때까지 페이지에 머물러주세요.
프로세스가 완료되면 콘솔 에이전트를 콘솔에서 사용할 수 있습니다.
|
|
배포에 실패하면 콘솔에서 보고서와 로그를 다운로드하여 문제를 해결할 수 있습니다."설치 문제를 해결하는 방법을 알아보세요." |
콘솔 에이전트를 만든 동일한 Azure 구독에 Azure Blob 저장소가 있는 경우 시스템 페이지에 Azure Blob 저장소 시스템이 자동으로 표시됩니다. "NetApp Console 에서 Azure Blob 스토리지를 관리하는 방법을 알아보세요."