Skip to main content
BlueXP setup and administration
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Crie um conetor no Azure a partir do BlueXP 

Colaboradores

Um conetor é o software NetApp executado em sua rede na nuvem ou na rede local que permite usar todos os recursos e serviços do BlueXP . Uma das opções de instalação disponíveis é criar um conetor no Azure diretamente a partir do BlueXP . Para criar um conetor no Azure a partir do BlueXP , você precisa configurar sua rede, preparar permissões do Azure e, em seguida, criar o conetor.

Antes de começar

Passo 1: Configurar a rede

Certifique-se de que a localização da rede onde pretende instalar o conetor suporta os seguintes requisitos. Atender a esses requisitos permite que o conetor gerencie recursos e processos em seu ambiente de nuvem híbrida.

Região do Azure

Se você usar o Cloud Volumes ONTAP, o conetor deve ser implantado na mesma região do Azure que os sistemas Cloud Volumes ONTAP gerenciados ou no "Par de regiões do Azure" para os sistemas Cloud Volumes ONTAP. Esse requisito garante que uma conexão com o Azure Private Link seja usada entre o Cloud Volumes ONTAP e suas contas de armazenamento associadas.

VNet e sub-rede

Ao criar o conetor, você precisa especificar a VNet e a sub-rede onde o conetor deve residir.

Conexões com redes de destino

Um conetor requer uma conexão de rede com o local onde você está planejando criar e gerenciar ambientes de trabalho. Por exemplo, a rede em que você planeja criar sistemas Cloud Volumes ONTAP ou um sistema de storage em seu ambiente local.

Acesso de saída à Internet

O local de rede onde você implantar o conetor deve ter uma conexão de saída de Internet para contatar pontos de extremidade específicos.

Terminais contactados a partir do conetor

O conetor requer acesso de saída à Internet para entrar em Contato com os seguintes endpoints, a fim de gerenciar recursos e processos em seu ambiente de nuvem pública para operações diárias.

Observe que os endpoints listados abaixo são todas as entradas CNAME.

Endpoints Finalidade

https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net

Para gerenciar recursos em regiões públicas do Azure.

https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn

Para gerenciar recursos nas regiões do Azure China.

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte do NetApp.

Para fornecer recursos e serviços SaaS no BlueXP .

Observe que o conetor está entrando em Contato atualmente com "cloudmanager.cloud.NetApp.com", mas começará a entrar em Contato com "API.BlueXP .NetApp.com" em uma próxima versão.

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io

Para atualizar o conetor e seus componentes do Docker.

Terminais contactados a partir da consola BlueXP 

À medida que você usa o console baseado na Web do BlueXP  fornecido pela camada SaaS, ele entra em Contato com vários endpoints para concluir as tarefas de gerenciamento de dados. Isso inclui endpoints que são contatados para implantar o conetor a partir do console BlueXP .

Servidor proxy

Se a sua empresa exigir a implantação de um servidor proxy para todo o tráfego de saída da Internet, obtenha as seguintes informações sobre o proxy HTTP ou HTTPS. Você precisará fornecer essas informações durante a instalação. Observe que o BlueXP  não oferece suporte a servidores proxy transparentes.

  • Endereço IP

  • Credenciais

  • Certificado HTTPS

Portas

Não há tráfego de entrada para o conetor, a menos que você o inicie ou se o conetor for usado como um proxy para enviar mensagens AutoSupport do Cloud Volumes ONTAP para o suporte da NetApp.

  • HTTP (80) e HTTPS (443) fornecem acesso à IU local, que você usará em circunstâncias raras.

  • SSH (22) só é necessário se você precisar se conetar ao host para solução de problemas.

  • Conexões de entrada pela porta 3128 são necessárias se você implantar sistemas Cloud Volumes ONTAP em uma sub-rede onde uma conexão de saída à Internet não está disponível.

    Se os sistemas Cloud Volumes ONTAP não tiverem uma conexão de saída à Internet para enviar mensagens AutoSupport, o BlueXP  configura automaticamente esses sistemas para usar um servidor proxy incluído no conetor. O único requisito é garantir que o grupo de segurança do conetor permita conexões de entrada pela porta 3128. Você precisará abrir essa porta depois de implantar o conetor.

Ativar NTP

Se estiver a planear utilizar a classificação BlueXP  para analisar as suas fontes de dados empresariais, deve ativar um serviço de Protocolo de tempo de rede (NTP) no sistema de conetores BlueXP  e no sistema de classificação BlueXP  para que o tempo seja sincronizado entre os sistemas. "Saiba mais sobre a classificação BlueXP"

Você precisará implementar esse requisito de rede depois de criar o conetor.

Passo 2: Crie uma função personalizada

Crie uma função personalizada do Azure que você pode atribuir à sua conta do Azure ou a um diretor de serviço do Microsoft Entra. O BlueXP  se autentica com o Azure e usa essas permissões para criar a instância do Connector em seu nome.

Observe que você pode criar uma função personalizada do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. As etapas a seguir mostram como criar a função usando a CLI do Azure. Se você preferir usar um método diferente, consulte "Documentação do Azure"

Passos
  1. Copie as permissões necessárias para uma nova função personalizada no Azure e salve-as em um arquivo JSON.

    Observação Esta função personalizada contém apenas as permissões necessárias para iniciar a VM Connector no Azure a partir do BlueXP . Não use esta política para outras situações. Quando o BlueXP  cria o conetor, ele aplica um novo conjunto de permissões à VM do conetor que permite que o conetor gerencie recursos do Azure.
    {
        "Name": "Azure SetupAsService",
        "Actions": [
            "Microsoft.Compute/disks/delete",
            "Microsoft.Compute/disks/read",
            "Microsoft.Compute/disks/write",
            "Microsoft.Compute/locations/operations/read",
            "Microsoft.Compute/operations/read",
            "Microsoft.Compute/virtualMachines/instanceView/read",
            "Microsoft.Compute/virtualMachines/read",
            "Microsoft.Compute/virtualMachines/write",
            "Microsoft.Compute/virtualMachines/delete",
            "Microsoft.Compute/virtualMachines/extensions/write",
            "Microsoft.Compute/virtualMachines/extensions/read",
            "Microsoft.Compute/availabilitySets/read",
            "Microsoft.Network/locations/operationResults/read",
            "Microsoft.Network/locations/operations/read",
            "Microsoft.Network/networkInterfaces/join/action",
            "Microsoft.Network/networkInterfaces/read",
            "Microsoft.Network/networkInterfaces/write",
            "Microsoft.Network/networkInterfaces/delete",
            "Microsoft.Network/networkSecurityGroups/join/action",
            "Microsoft.Network/networkSecurityGroups/read",
            "Microsoft.Network/networkSecurityGroups/write",
            "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read",
            "Microsoft.Network/virtualNetworks/read",
            "Microsoft.Network/virtualNetworks/subnets/join/action",
            "Microsoft.Network/virtualNetworks/subnets/read",
            "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read",
            "Microsoft.Network/virtualNetworks/virtualMachines/read",
            "Microsoft.Network/publicIPAddresses/write",
            "Microsoft.Network/publicIPAddresses/read",
            "Microsoft.Network/publicIPAddresses/delete",
            "Microsoft.Network/networkSecurityGroups/securityRules/read",
            "Microsoft.Network/networkSecurityGroups/securityRules/write",
            "Microsoft.Network/networkSecurityGroups/securityRules/delete",
            "Microsoft.Network/publicIPAddresses/join/action",
            "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read",
            "Microsoft.Network/networkInterfaces/ipConfigurations/read",
            "Microsoft.Resources/deployments/operations/read",
            "Microsoft.Resources/deployments/read",
            "Microsoft.Resources/deployments/delete",
            "Microsoft.Resources/deployments/cancel/action",
            "Microsoft.Resources/deployments/validate/action",
            "Microsoft.Resources/resources/read",
            "Microsoft.Resources/subscriptions/operationresults/read",
            "Microsoft.Resources/subscriptions/resourceGroups/delete",
            "Microsoft.Resources/subscriptions/resourceGroups/read",
            "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
            "Microsoft.Resources/subscriptions/resourceGroups/write",
            "Microsoft.Authorization/roleDefinitions/write",
            "Microsoft.Authorization/roleAssignments/write",
            "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read",
            "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write",
            "Microsoft.Network/networkSecurityGroups/delete",
            "Microsoft.Storage/storageAccounts/delete",
            "Microsoft.Storage/storageAccounts/write",
            "Microsoft.Resources/deployments/write",
            "Microsoft.Resources/deployments/operationStatuses/read",
            "Microsoft.Authorization/roleAssignments/read"
        ],
        "NotActions": [],
        "AssignableScopes": [],
        "Description": "Azure SetupAsService",
        "IsCustom": "true"
    }
  2. Modifique o JSON adicionando seu ID de assinatura do Azure ao escopo atribuível.

    Exemplo

    "AssignableScopes": [
    "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz"
    ],
  3. Use o arquivo JSON para criar uma função personalizada no Azure.

    As etapas a seguir descrevem como criar a função usando o Bash no Azure Cloud Shell.

    1. Comece "Azure Cloud Shell" e escolha o ambiente Bash.

    2. Carregue o arquivo JSON.

      Uma captura de tela do Azure Cloud Shell, onde você pode escolher a opção para carregar um arquivo.

    3. Digite o seguinte comando CLI do Azure:

      az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json

    Agora você deve ter uma função personalizada chamada Azure SetupAsService. Agora você pode aplicar essa função personalizada à sua conta de usuário ou a um responsável de serviço.

Passo 3: Configurar a autenticação

Ao criar o conetor do BlueXP , você precisa fornecer um login que permita que o BlueXP  se autentique com o Azure e implante a VM. Você tem duas opções:

  1. Inicie sessão com a sua conta Azure quando solicitado. Essa conta deve ter permissões específicas do Azure. Esta é a opção padrão.

  2. Fornecer detalhes sobre um responsável de serviço Microsoft Entra. Este princípio de serviço também requer permissões específicas.

Siga as etapas para preparar um desses métodos de autenticação para uso com o BlueXP .

Conta Azure

Atribua a função personalizada ao usuário que implantará o conetor do BlueXP .

Passos
  1. No portal do Azure, abra o serviço Subscrições e selecione a assinatura do usuário.

  2. Clique em Access Control (IAM).

  3. Clique em Adicionar > Adicionar atribuição de função e, em seguida, adicione as permissões:

    1. Selecione a função Azure SetupAsService e clique em Next.

      Observação Azure SetupAsService é o nome padrão fornecido na política de implantação do conetor para o Azure. Se você escolher um nome diferente para a função, selecione esse nome em vez disso.
    2. Mantenha Usuário, grupo ou responsável do serviço selecionado.

    3. Clique em Selecionar membros, escolha sua conta de usuário e clique em Selecionar.

    4. Clique em seguinte.

    5. Clique em Rever e atribuir.

Resultado

O usuário do Azure agora tem as permissões necessárias para implantar o conetor do BlueXP .

Serviço principal

Em vez de iniciar sessão com a sua conta Azure, pode fornecer à BlueXP  as credenciais de um responsável de serviço do Azure que tem as permissões necessárias.

Crie e configure um princípio de serviço no Microsoft Entra ID e obtenha as credenciais do Azure de que o BlueXP  precisa.

Crie um aplicativo Microsoft Entra para controle de acesso baseado em funções
  1. Certifique-se de ter permissões no Azure para criar um aplicativo do ative Directory e atribuir o aplicativo a uma função.

    Para obter mais informações, consulte "Documentação do Microsoft Azure: Permissões necessárias"

  2. No portal do Azure, abra o serviço Microsoft Entra ID.

    Mostra o serviço ative Directory no Microsoft Azure.

  3. No menu, selecione inscrições de aplicativos.

  4. Selecione novo registo.

  5. Especifique detalhes sobre o aplicativo:

    • Nome: Insira um nome para o aplicativo.

    • Tipo de conta: Selecione um tipo de conta (qualquer funcionará com o BlueXP ).

    • * URI de redirecionamento*: Você pode deixar este campo em branco.

  6. Selecione Registe-se.

    Você criou o aplicativo AD e o principal de serviço.

Atribua a função personalizada ao aplicativo
  1. No portal do Azure, abra o serviço Subscrições.

  2. Selecione a subscrição.

  3. Clique em Access control (IAM) > Add > Add Role assignment (Adicionar > Adicionar atribuição de função*).

  4. Na guia Role, selecione a função Operador BlueXP  e clique em Avançar.

  5. Na guia Membros, execute as seguintes etapas:

    1. Mantenha Usuário, grupo ou responsável do serviço selecionado.

    2. Clique em Selecionar membros.

      Uma captura de tela do portal do Azure que mostra a guia Membros ao adicionar uma função a um aplicativo.

    3. Procure o nome da aplicação.

      Aqui está um exemplo:

    Uma captura de tela do portal do Azure que mostra o formulário Adicionar atribuição de função no portal do Azure.

    1. Selecione a aplicação e clique em Select.

    2. Clique em seguinte.

  6. Clique em Rever e atribuir.

    O principal de serviço agora tem as permissões necessárias do Azure para implantar o conetor.

    Se você quiser gerenciar recursos em várias assinaturas do Azure, então você deve vincular o principal de serviço a cada uma dessas assinaturas. Por exemplo, o BlueXP  permite que você selecione a assinatura que deseja usar ao implantar o Cloud Volumes ONTAP.

Adicione permissões da API de Gerenciamento de Serviços do Windows Azure
  1. No serviço Microsoft Entra ID, selecione inscrições de aplicativos e selecione o aplicativo.

  2. Selecione permissões de API > Adicionar uma permissão.

  3. Em Microsoft APIs, selecione Azure Service Management.

    Uma captura de tela do portal do Azure que mostra as permissões da API de Gerenciamento de Serviços do Azure.

  4. Selecione Acesse o Gerenciamento de Serviços do Azure como usuários da organização e selecione Adicionar permissões.

    Uma captura de tela do portal do Azure que mostra a adição das APIs de Gerenciamento de Serviços do Azure.

Obtenha o ID do aplicativo e o ID do diretório para o aplicativo
  1. No serviço Microsoft Entra ID, selecione inscrições de aplicativos e selecione o aplicativo.

  2. Copie o ID do aplicativo (cliente) e o ID do diretório (locatário).

    Uma captura de tela que mostra o ID do aplicativo (cliente) e ID do diretório (locatário) para um aplicativo no Microsoft Entra IDy.

    Quando você adiciona a conta do Azure ao BlueXP , você precisa fornecer o ID do aplicativo (cliente) e o ID do diretório (locatário) para o aplicativo. O BlueXP  usa os IDs para fazer login programaticamente.

Crie um segredo de cliente
  1. Abra o serviço Microsoft Entra ID.

  2. Selecione inscrições de aplicativos e selecione sua inscrição.

  3. Selecione certificados e segredos > segredo de novo cliente.

  4. Forneça uma descrição do segredo e uma duração.

  5. Selecione Adicionar.

  6. Copie o valor do segredo do cliente.

    Uma captura de tela do portal do Azure que mostra um segredo de cliente para o responsável do serviço Microsoft Entra.

    Agora você tem um segredo de cliente que o BlueXP  pode usá-lo para autenticar com o Microsoft Entra ID.

Resultado

Seu responsável de serviço está configurado e você deve ter copiado o ID do aplicativo (cliente), o ID do diretório (locatário) e o valor do segredo do cliente. Você precisa inserir essas informações no BlueXP  quando você criar o conetor.

Passo 4: Crie o conetor

Crie o conetor diretamente do console baseado na Web do BlueXP .

Sobre esta tarefa
  • A criação do conetor do BlueXP  implanta uma máquina virtual no Azure usando uma configuração padrão. Depois de criar o conetor, você não deve mudar para um tipo de VM menor que tenha menos CPU ou RAM. "Saiba mais sobre a configuração padrão do conetor".

  • Quando o BlueXP  implanta o conetor, ele cria uma função personalizada e o atribui à VM do conetor. Essa função inclui permissões que permitem que o conetor gerencie recursos do Azure. Você precisa garantir que a função seja mantida atualizada à medida que novas permissões são adicionadas em versões subsequentes. "Saiba mais sobre a função personalizada para o conetor".

Antes de começar

Você deve ter o seguinte:

  • Uma subscrição do Azure.

  • Uma VNet e uma sub-rede na sua região do Azure escolhida.

  • Detalhes sobre um servidor proxy, se a sua organização exigir um proxy para todo o tráfego de saída da Internet:

    • Endereço IP

    • Credenciais

    • Certificado HTTPS

  • Uma chave pública SSH, se você quiser usar esse método de autenticação para a máquina virtual do conetor. A outra opção para o método de autenticação é usar uma senha.

  • Se você não quiser que o BlueXP  crie automaticamente uma função do Azure para o conetor, precisará criar o seu próprio "uso da política nesta página".

    Essas permissões são para a própria instância do conetor. É um conjunto diferente de permissões do que você configurou anteriormente para implantar a VM Connector.

Passos
  1. Selecione a lista suspensa Connector e selecione Add Connector.

    Uma captura de tela que mostra o ícone do conetor no cabeçalho e a ação Adicionar conetor.

  2. Escolha Microsoft Azure como seu provedor de nuvem.

  3. Na página Implantando um conetor:

    1. Em Autenticação, selecione a opção de autenticação que corresponde à configuração das permissões do Azure:

      • Selecione conta de utilizador do Azure para iniciar sessão na sua conta Microsoft, que deve ter as permissões necessárias.

        O formulário é de propriedade e hospedado pela Microsoft. Suas credenciais não são fornecidas ao NetApp.

      Dica Se você já estiver conetado a uma conta do Azure, o BlueXP  usará essa conta automaticamente. Se você tiver várias contas, talvez seja necessário fazer logout primeiro para garantir que esteja usando a conta certa.
      • Selecione Principal de serviço do ative Directory para inserir informações sobre o principal de serviço do Microsoft Entra que concede as permissões necessárias:

        • ID da aplicação (cliente)

        • ID do diretório (locatário)

        • Segredo Cliente

  4. Siga as etapas no assistente para criar o conetor:

    • Autenticação da VM: Escolha uma assinatura do Azure, um local, um novo grupo de recursos ou um grupo de recursos existente e, em seguida, escolha um método de autenticação para a máquina virtual do conetor que você está criando.

      O método de autenticação para a máquina virtual pode ser uma senha ou uma chave pública SSH.

    • Detalhes: Insira um nome para a instância, especifique tags e escolha se deseja que o BlueXP  crie uma nova função que tenha as permissões necessárias ou se deseja selecionar uma função existente configurada com "as permissões necessárias"o .

      Observe que você pode escolher as assinaturas do Azure associadas a essa função. Cada assinatura escolhida fornece as permissões do conetor para gerenciar recursos nessa assinatura (por exemplo, Cloud Volumes ONTAP).

    • Rede: Escolha uma VNet e uma sub-rede, se deseja ativar um endereço IP público e, opcionalmente, especifique uma configuração de proxy.

    • Grupo de segurança: Escolha se deseja criar um novo grupo de segurança ou se deseja selecionar um grupo de segurança existente que permita as regras de entrada e saída necessárias.

    • Revisão: Revise suas seleções para verificar se a configuração está correta.

  5. Clique em Add.

    A máquina virtual deve estar pronta em cerca de 7 minutos. Você deve permanecer na página até que o processo esteja concluído.

Resultado

Após o processo ser concluído, o conetor está disponível para uso no BlueXP .

Se você tiver o armazenamento de Blobs do Azure na mesma assinatura do Azure em que criou o conetor, verá um ambiente de trabalho de armazenamento de Blobs do Azure aparecer automaticamente na tela do BlueXP . "Saiba como gerenciar o armazenamento de Blobs do Azure a partir do BlueXP "