Crie um conetor a partir do Azure Marketplace
Um conetor é o software NetApp executado em sua rede na nuvem ou na rede local que permite usar todos os recursos e serviços do BlueXP . Uma das opções de instalação disponíveis é criar um conetor no Azure diretamente a partir do Azure Marketplace. Para criar um conetor a partir do Azure Marketplace, você precisa configurar sua rede, preparar permissões do Azure, analisar os requisitos de instância e criar o conetor.
-
Você deve ter um "Compreensão dos conetores".
-
Você deve rever "Limitações do conetor".
Passo 1: Configurar a rede
Certifique-se de que a localização da rede onde pretende instalar o conetor suporta os seguintes requisitos. Atender a esses requisitos permite que o conetor gerencie recursos e processos em seu ambiente de nuvem híbrida.
- Região do Azure
-
Se você usar o Cloud Volumes ONTAP, o conetor deve ser implantado na mesma região do Azure que os sistemas Cloud Volumes ONTAP gerenciados ou no "Par de regiões do Azure" para os sistemas Cloud Volumes ONTAP. Esse requisito garante que uma conexão com o Azure Private Link seja usada entre o Cloud Volumes ONTAP e suas contas de armazenamento associadas.
- VNet e sub-rede
-
Ao criar o conetor, você precisa especificar a VNet e a sub-rede onde o conetor deve residir.
- Conexões com redes de destino
-
Um conetor requer uma conexão de rede com o local onde você está planejando criar e gerenciar ambientes de trabalho. Por exemplo, a rede em que você planeja criar sistemas Cloud Volumes ONTAP ou um sistema de storage em seu ambiente local.
- Acesso de saída à Internet
-
O local de rede onde você implantar o conetor deve ter uma conexão de saída de Internet para contatar pontos de extremidade específicos.
- Terminais contactados a partir do conetor
-
O conetor requer acesso de saída à Internet para entrar em Contato com os seguintes endpoints, a fim de gerenciar recursos e processos em seu ambiente de nuvem pública para operações diárias.
Observe que os endpoints listados abaixo são todas as entradas CNAME.
Endpoints Finalidade https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net
Para gerenciar recursos em regiões públicas do Azure.
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn
Para gerenciar recursos nas regiões do Azure China.
Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte do NetApp.
Para fornecer recursos e serviços SaaS no BlueXP .
Observe que o conetor está entrando em Contato atualmente com "cloudmanager.cloud.NetApp.com", mas começará a entrar em Contato com "API.BlueXP .NetApp.com" em uma próxima versão.
https://*.blob.core.windows.net
https://cloudmanagerinfraprod.azurecr.io
Para atualizar o conetor e seus componentes do Docker.
- Servidor proxy
-
Se a sua empresa exigir a implantação de um servidor proxy para todo o tráfego de saída da Internet, obtenha as seguintes informações sobre o proxy HTTP ou HTTPS. Você precisará fornecer essas informações durante a instalação. Observe que o BlueXP não oferece suporte a servidores proxy transparentes.
-
Endereço IP
-
Credenciais
-
Certificado HTTPS
-
- Portas
-
Não há tráfego de entrada para o conetor, a menos que você o inicie ou se o conetor for usado como um proxy para enviar mensagens AutoSupport do Cloud Volumes ONTAP para o suporte da NetApp.
-
HTTP (80) e HTTPS (443) fornecem acesso à IU local, que você usará em circunstâncias raras.
-
SSH (22) só é necessário se você precisar se conetar ao host para solução de problemas.
-
Conexões de entrada pela porta 3128 são necessárias se você implantar sistemas Cloud Volumes ONTAP em uma sub-rede onde uma conexão de saída à Internet não está disponível.
Se os sistemas Cloud Volumes ONTAP não tiverem uma conexão de saída à Internet para enviar mensagens AutoSupport, o BlueXP configura automaticamente esses sistemas para usar um servidor proxy incluído no conetor. O único requisito é garantir que o grupo de segurança do conetor permita conexões de entrada pela porta 3128. Você precisará abrir essa porta depois de implantar o conetor.
-
- Ativar NTP
-
Se estiver a planear utilizar a classificação BlueXP para analisar as suas fontes de dados empresariais, deve ativar um serviço de Protocolo de tempo de rede (NTP) no sistema de conetores BlueXP e no sistema de classificação BlueXP para que o tempo seja sincronizado entre os sistemas. "Saiba mais sobre a classificação BlueXP"
Você precisará implementar esse requisito de rede depois de criar o conetor.
Etapa 2: Revise os requisitos da VM
Ao criar o conetor, você precisa escolher um tipo de máquina virtual que atenda aos seguintes requisitos.
- CPU
-
8 núcleos ou 8 vCPUs
- RAM
-
32 GB
- Tamanho da VM do Azure
-
Um tipo de instância que atende aos requisitos de CPU e RAM acima. Recomendamos Standard_D8s_v3.
Passo 3: Configurar permissões
Você pode fornecer permissões das seguintes maneiras:
-
Opção 1: Atribua uma função personalizada à VM do Azure usando uma identidade gerenciada atribuída ao sistema.
-
Opção 2: Forneça ao BlueXP as credenciais de um responsável de serviço do Azure que tenha as permissões necessárias.
Siga estas etapas para configurar permissões para o BlueXP .
Observe que você pode criar uma função personalizada do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. As etapas a seguir mostram como criar a função usando a CLI do Azure. Se você preferir usar um método diferente, consulte "Documentação do Azure"
-
Se você estiver planejando instalar manualmente o software em seu próprio host, habilite uma identidade gerenciada atribuída ao sistema na VM para que você possa fornecer as permissões necessárias do Azure por meio de uma função personalizada.
-
Copie o conteúdo do "Permissões de função personalizadas para o conetor" e salve-o em um arquivo JSON.
-
Modifique o arquivo JSON adicionando IDs de assinatura do Azure ao escopo atribuível.
Você deve adicionar o ID para cada assinatura do Azure que deseja usar com o BlueXP .
Exemplo
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
Use o arquivo JSON para criar uma função personalizada no Azure.
As etapas a seguir descrevem como criar a função usando o Bash no Azure Cloud Shell.
-
Comece "Azure Cloud Shell" e escolha o ambiente Bash.
-
Carregue o arquivo JSON.
-
Use a CLI do Azure para criar a função personalizada:
az role definition create --role-definition Connector_Policy.json
-
Agora você deve ter uma função personalizada chamada Operador BlueXP que você pode atribuir à máquina virtual do conetor.
Crie e configure um princípio de serviço no Microsoft Entra ID e obtenha as credenciais do Azure de que o BlueXP precisa.
-
Certifique-se de ter permissões no Azure para criar um aplicativo do ative Directory e atribuir o aplicativo a uma função.
Para obter mais informações, consulte "Documentação do Microsoft Azure: Permissões necessárias"
-
No portal do Azure, abra o serviço Microsoft Entra ID.
-
No menu, selecione inscrições de aplicativos.
-
Selecione novo registo.
-
Especifique detalhes sobre o aplicativo:
-
Nome: Insira um nome para o aplicativo.
-
Tipo de conta: Selecione um tipo de conta (qualquer funcionará com o BlueXP ).
-
* URI de redirecionamento*: Você pode deixar este campo em branco.
-
-
Selecione Registe-se.
Você criou o aplicativo AD e o principal de serviço.
-
Crie uma função personalizada:
Observe que você pode criar uma função personalizada do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. As etapas a seguir mostram como criar a função usando a CLI do Azure. Se você preferir usar um método diferente, consulte "Documentação do Azure"
-
Copie o conteúdo do "Permissões de função personalizadas para o conetor" e salve-o em um arquivo JSON.
-
Modifique o arquivo JSON adicionando IDs de assinatura do Azure ao escopo atribuível.
Você deve adicionar o ID para cada assinatura do Azure a partir da qual os usuários criarão sistemas Cloud Volumes ONTAP.
Exemplo
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
Use o arquivo JSON para criar uma função personalizada no Azure.
As etapas a seguir descrevem como criar a função usando o Bash no Azure Cloud Shell.
-
Comece "Azure Cloud Shell" e escolha o ambiente Bash.
-
Carregue o arquivo JSON.
-
Use a CLI do Azure para criar a função personalizada:
az role definition create --role-definition Connector_Policy.json
Agora você deve ter uma função personalizada chamada Operador BlueXP que você pode atribuir à máquina virtual do conetor.
-
-
-
Atribua o aplicativo à função:
-
No portal do Azure, abra o serviço Subscrições.
-
Selecione a subscrição.
-
Selecione Access Control (IAM) > Add > Add > Add Role assignment (Adicionar controlo de acesso).
-
Na guia função, selecione a função Operador BlueXP e selecione seguinte.
-
Na guia Membros, execute as seguintes etapas:
-
Mantenha Usuário, grupo ou responsável do serviço selecionado.
-
Selecione Selecionar membros.
-
Procure o nome da aplicação.
Aqui está um exemplo:
-
Selecione a aplicação e selecione Select.
-
Selecione seguinte.
-
-
Selecione Rever e atribuir.
O principal de serviço agora tem as permissões necessárias do Azure para implantar o conetor.
Se você quiser implantar o Cloud Volumes ONTAP a partir de várias assinaturas do Azure, então você deve vincular o principal de serviço a cada uma dessas assinaturas. O BlueXP permite que você selecione a assinatura que deseja usar ao implantar o Cloud Volumes ONTAP.
-
-
No serviço Microsoft Entra ID, selecione inscrições de aplicativos e selecione o aplicativo.
-
Selecione permissões de API > Adicionar uma permissão.
-
Em Microsoft APIs, selecione Azure Service Management.
-
Selecione Acesse o Gerenciamento de Serviços do Azure como usuários da organização e selecione Adicionar permissões.
-
No serviço Microsoft Entra ID, selecione inscrições de aplicativos e selecione o aplicativo.
-
Copie o ID do aplicativo (cliente) e o ID do diretório (locatário).
Quando você adiciona a conta do Azure ao BlueXP , você precisa fornecer o ID do aplicativo (cliente) e o ID do diretório (locatário) para o aplicativo. O BlueXP usa os IDs para fazer login programaticamente.
-
Abra o serviço Microsoft Entra ID.
-
Selecione inscrições de aplicativos e selecione sua inscrição.
-
Selecione certificados e segredos > segredo de novo cliente.
-
Forneça uma descrição do segredo e uma duração.
-
Selecione Adicionar.
-
Copie o valor do segredo do cliente.
Agora você tem um segredo de cliente que o BlueXP pode usá-lo para autenticar com o Microsoft Entra ID.
Seu responsável de serviço está configurado e você deve ter copiado o ID do aplicativo (cliente), o ID do diretório (locatário) e o valor do segredo do cliente. Você precisa inserir essas informações no BlueXP ao adicionar uma conta do Azure.
Passo 4: Crie o conetor
Inicie o conetor diretamente do Azure Marketplace.
A criação do conetor no Azure Marketplace implanta uma máquina virtual no Azure usando uma configuração padrão. "Saiba mais sobre a configuração padrão do conetor".
Você deve ter o seguinte:
-
Uma subscrição do Azure.
-
Uma VNet e uma sub-rede na sua região do Azure escolhida.
-
Detalhes sobre um servidor proxy, se a sua organização exigir um proxy para todo o tráfego de saída da Internet:
-
Endereço IP
-
Credenciais
-
Certificado HTTPS
-
-
Uma chave pública SSH, se você quiser usar esse método de autenticação para a máquina virtual do conetor. A outra opção para o método de autenticação é usar uma senha.
-
Se você não quiser que o BlueXP crie automaticamente uma função do Azure para o conetor, precisará criar o seu próprio "uso da política nesta página".
Essas permissões são para a própria instância do conetor. É um conjunto diferente de permissões do que você configurou anteriormente para implantar a VM Connector.
-
Vá para a página VM do NetApp Connector no Azure Marketplace.
-
Selecione Obtenha agora e, em seguida, selecione continuar.
-
No portal do Azure, selecione criar e siga as etapas para configurar a máquina virtual.
Observe o seguinte ao configurar a VM:
-
Tamanho da VM: Escolha um tamanho de VM que atenda aos requisitos de CPU e RAM. Recomendamos Standard_D8s_v3.
-
Disks: O conetor pode funcionar de forma ideal com discos HDD ou SSD.
-
Grupo de segurança de rede: O conetor requer conexões de entrada usando SSH, HTTP e HTTPS.
-
Identidade: Em Gerenciamento, selecione Ativar identidade gerenciada atribuída ao sistema.
Essa configuração é importante porque uma identidade gerenciada permite que a máquina virtual do conetor se identifique com o Microsoft Entra ID sem fornecer credenciais. "Saiba mais sobre identidades gerenciadas para recursos do Azure".
-
-
Na página Revisão e criação, revise suas seleções e selecione criar para iniciar a implantação.
O Azure implanta a máquina virtual com as configurações especificadas. A máquina virtual e o software do conetor devem estar funcionando em aproximadamente cinco minutos.
-
Abra um navegador da Web a partir de um host que tenha uma conexão com a máquina virtual do conetor e insira o seguinte URL:
-
Depois de iniciar sessão, configure o conetor:
-
Especifique a organização BlueXP a associar ao conetor.
-
Introduza um nome para o sistema.
-
Em você está executando em um ambiente seguro? mantenha o modo restrito desativado.
Você deve manter o modo restrito desativado porque estas etapas descrevem como usar o BlueXP no modo padrão. Você deve habilitar o modo restrito somente se tiver um ambiente seguro e quiser desconetar essa conta dos serviços de back-end do BlueXP . Se for esse o caso"Siga os passos para começar a utilizar o BlueXP no modo restrito", .
-
Selecione vamos começar.
-
O conetor está agora instalado e está configurado com a sua organização BlueXP .
Se você tiver o armazenamento de Blobs do Azure na mesma assinatura do Azure em que criou o conetor, verá um ambiente de trabalho de armazenamento de Blobs do Azure aparecer automaticamente na tela do BlueXP . "Saiba como gerenciar o armazenamento de Blobs do Azure a partir do BlueXP "
Passo 5: Forneça permissões para o BlueXP
Agora que você criou o conetor, você precisa fornecer ao BlueXP as permissões que você configurou anteriormente. Com o fornecimento de permissões, o BlueXP pode gerenciar sua infraestrutura de dados e storage no Azure.
Vá para o portal do Azure e atribua a função personalizada do Azure à máquina virtual Connector para uma ou mais subscrições.
-
No Portal do Azure, abra o serviço Subscrições e selecione a sua subscrição.
É importante atribuir a função do serviço Subscrições porque especifica o escopo da atribuição de função no nível da assinatura. O scope define o conjunto de recursos aos quais o acesso se aplica. Se você especificar um escopo em um nível diferente (por exemplo, no nível da máquina virtual), sua capacidade de concluir ações de dentro do BlueXP será afetada.
-
Selecione Access control (IAM) > Add > Add > Add role assignment.
-
Na guia função, selecione a função Operador BlueXP e selecione seguinte.
Operador BlueXP é o nome padrão fornecido na política BlueXP . Se você escolher um nome diferente para a função, selecione esse nome em vez disso. -
Na guia Membros, execute as seguintes etapas:
-
Atribua acesso a uma identidade gerenciada.
-
Selecione Selecionar membros, selecione a assinatura na qual a máquina virtual do conetor foi criada, em identidade gerenciada, escolha Máquina Virtual e, em seguida, selecione a máquina virtual do conetor.
-
Selecione Selecionar.
-
Selecione seguinte.
-
Selecione Rever e atribuir.
-
Se você quiser gerenciar recursos em assinaturas adicionais do Azure, mude para essa assinatura e repita essas etapas.
-
O BlueXP agora tem as permissões necessárias para executar ações no Azure em seu nome.
Passe à "Consola BlueXP" para começar a utilizar o conetor com o BlueXP .
-
No canto superior direito do console BlueXP , selecione o ícone Configurações e selecione credenciais.
-
Selecione Adicionar credenciais e siga as etapas do assistente.
-
Credentials Location: Selecione Microsoft Azure > Connector.
-
Definir credenciais: Insira informações sobre o responsável do serviço Microsoft Entra que concede as permissões necessárias:
-
ID da aplicação (cliente)
-
ID do diretório (locatário)
-
Segredo Cliente
-
-
Assinatura do Marketplace: Associe uma assinatura do Marketplace a essas credenciais assinando agora ou selecionando uma assinatura existente.
-
Revisão: Confirme os detalhes sobre as novas credenciais e selecione Adicionar.
-
O BlueXP agora tem as permissões necessárias para executar ações no Azure em seu nome.