Crie um conetor no Google Cloud a partir do BlueXP ou do gcloud
Um conetor é o software NetApp executado em sua rede na nuvem ou na rede local que permite usar todos os recursos e serviços do BlueXP . As opções de instalação disponíveis incluem a criação do conetor na AWS diretamente do BlueXP ou usando o gcloud. Para criar um conetor no Google Cloud a partir do BlueXP ou usando o gcloud, você precisa configurar sua rede, preparar permissões do Google Cloud, ativar as APIs do Google Cloud e, em seguida, criar o conetor.
-
Você deve ter um "Compreensão dos conetores".
-
Você deve rever "Limitações do conetor".
Passo 1: Configurar a rede
Configure sua rede para que o conetor possa gerenciar recursos e processos em seu ambiente de nuvem híbrida. Por exemplo, você precisa garantir que as conexões estejam disponíveis para redes de destino e que o acesso de saída à Internet esteja disponível.
- VPC e sub-rede
-
Ao criar o conetor, você precisa especificar a VPC e a sub-rede onde o conetor deve residir.
- Conexões com redes de destino
-
Um conetor requer uma conexão de rede com o local onde você está planejando criar e gerenciar ambientes de trabalho. Por exemplo, a rede em que você planeja criar sistemas Cloud Volumes ONTAP ou um sistema de storage em seu ambiente local.
- Acesso de saída à Internet
-
O local de rede onde você implantar o conetor deve ter uma conexão de saída de Internet para contatar pontos de extremidade específicos.
- Terminais contactados a partir do conetor
-
O conetor requer acesso de saída à Internet para entrar em Contato com os seguintes endpoints, a fim de gerenciar recursos e processos em seu ambiente de nuvem pública para operações diárias.
Observe que os endpoints listados abaixo são todas as entradas CNAME.
Endpoints Finalidade https://www.googleapis.com/compute/v1/ https://compute.googleapis.com/compute/v1 https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects
Para gerenciar recursos no Google Cloud.
Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte do NetApp.
Para fornecer recursos e serviços SaaS no BlueXP .
Observe que o conetor está entrando em Contato atualmente com "cloudmanager.cloud.NetApp.com", mas começará a entrar em Contato com "API.BlueXP .NetApp.com" em uma próxima versão.
https://*.blob.core.windows.net
https://cloudmanagerinfraprod.azurecr.io
Para atualizar o conetor e seus componentes do Docker.
- Terminais contactados a partir da consola BlueXP
-
À medida que você usa o console baseado na Web do BlueXP fornecido pela camada SaaS, ele entra em Contato com vários endpoints para concluir as tarefas de gerenciamento de dados. Isso inclui endpoints que são contatados para implantar o conetor a partir do console BlueXP .
- Servidor proxy
-
Se a sua empresa exigir a implantação de um servidor proxy para todo o tráfego de saída da Internet, obtenha as seguintes informações sobre o proxy HTTP ou HTTPS. Você precisará fornecer essas informações durante a instalação. Observe que o BlueXP não oferece suporte a servidores proxy transparentes.
-
Endereço IP
-
Credenciais
-
Certificado HTTPS
-
- Portas
-
Não há tráfego de entrada para o conetor, a menos que você o inicie ou se o conetor for usado como um proxy para enviar mensagens AutoSupport do Cloud Volumes ONTAP para o suporte da NetApp.
-
HTTP (80) e HTTPS (443) fornecem acesso à IU local, que você usará em circunstâncias raras.
-
SSH (22) só é necessário se você precisar se conetar ao host para solução de problemas.
-
Conexões de entrada pela porta 3128 são necessárias se você implantar sistemas Cloud Volumes ONTAP em uma sub-rede onde uma conexão de saída à Internet não está disponível.
Se os sistemas Cloud Volumes ONTAP não tiverem uma conexão de saída à Internet para enviar mensagens AutoSupport, o BlueXP configura automaticamente esses sistemas para usar um servidor proxy incluído no conetor. O único requisito é garantir que o grupo de segurança do conetor permita conexões de entrada pela porta 3128. Você precisará abrir essa porta depois de implantar o conetor.
-
- Ativar NTP
-
Se estiver a planear utilizar a classificação BlueXP para analisar as suas fontes de dados empresariais, deve ativar um serviço de Protocolo de tempo de rede (NTP) no sistema de conetores BlueXP e no sistema de classificação BlueXP para que o tempo seja sincronizado entre os sistemas. "Saiba mais sobre a classificação BlueXP"
Você precisará implementar esse requisito de rede depois de criar o conetor.
Passo 2: Configurar permissões para criar o conetor
Antes de implantar um conetor do BlueXP ou usando o gcloud, você precisa configurar permissões para o usuário do Google Cloud que implantará a VM do Connector.
-
Crie uma função personalizada no Google Cloud:
-
Crie um arquivo YAML que inclua as seguintes permissões:
title: Connector deployment policy description: Permissions for the user who deploys the Connector from BlueXP stage: GA includedPermissions: - compute.disks.create - compute.disks.get - compute.disks.list - compute.disks.setLabels - compute.disks.use - compute.firewalls.create - compute.firewalls.delete - compute.firewalls.get - compute.firewalls.list - compute.globalOperations.get - compute.images.get - compute.images.getFromFamily - compute.images.list - compute.images.useReadOnly - compute.instances.attachDisk - compute.instances.create - compute.instances.get - compute.instances.list - compute.instances.setDeletionProtection - compute.instances.setLabels - compute.instances.setMachineType - compute.instances.setMetadata - compute.instances.setTags - compute.instances.start - compute.instances.updateDisplayDevice - compute.machineTypes.get - compute.networks.get - compute.networks.list - compute.networks.updatePolicy - compute.projects.get - compute.regions.get - compute.regions.list - compute.subnetworks.get - compute.subnetworks.list - compute.zoneOperations.get - compute.zones.get - compute.zones.list - deploymentmanager.compositeTypes.get - deploymentmanager.compositeTypes.list - deploymentmanager.deployments.create - deploymentmanager.deployments.delete - deploymentmanager.deployments.get - deploymentmanager.deployments.list - deploymentmanager.manifests.get - deploymentmanager.manifests.list - deploymentmanager.operations.get - deploymentmanager.operations.list - deploymentmanager.resources.get - deploymentmanager.resources.list - deploymentmanager.typeProviders.get - deploymentmanager.typeProviders.list - deploymentmanager.types.get - deploymentmanager.types.list - resourcemanager.projects.get - compute.instances.setServiceAccount - iam.serviceAccounts.list
-
No Google Cloud, ative o shell da nuvem.
-
Carregue o arquivo YAML que inclui as permissões necessárias.
-
Crie uma função personalizada usando o
gcloud iam roles create
comando.O exemplo a seguir cria uma função chamada "connectorDeployment" no nível do projeto:
As funções do gcloud iam criam connectorDeployment --project-file-deployment.yaml
-
-
Atribua essa função personalizada ao usuário que implantará o conetor do BlueXP ou usando o gcloud.
O usuário do Google Cloud agora tem as permissões necessárias para criar o conetor.
Passo 3: Configurar permissões para o conetor
Uma conta de serviço do Google Cloud é necessária para fornecer ao conetor as permissões que o BlueXP precisa para gerenciar recursos no Google Cloud. Ao criar o conetor, você precisará associar essa conta de serviço à VM do conetor.
É sua responsabilidade atualizar a função personalizada à medida que novas permissões são adicionadas em versões subsequentes. Se novas permissões forem necessárias, elas serão listadas nas notas de versão.
-
Crie uma função personalizada no Google Cloud:
-
Crie um arquivo YAML que inclua o conteúdo do "Permissões de conta de serviço para o conetor".
-
No Google Cloud, ative o shell da nuvem.
-
Carregue o arquivo YAML que inclui as permissões necessárias.
-
Crie uma função personalizada usando o
gcloud iam roles create
comando.O exemplo a seguir cria uma função chamada "Connector" no nível do projeto:
gcloud iam roles create connector --project=myproject --file=connector.yaml
-
-
Crie uma conta de serviço no Google Cloud e atribua a função à conta de serviço:
-
No serviço IAM e Admin, selecione Contas de serviço > criar conta de serviço.
-
Insira os detalhes da conta de serviço e selecione criar e continuar.
-
Selecione a função que você acabou de criar.
-
Conclua as etapas restantes para criar a função.
-
-
Se você planeja implantar sistemas Cloud Volumes ONTAP em projetos diferentes do projeto em que o conetor reside, precisará fornecer à conta de serviço do conetor acesso a esses projetos.
Por exemplo, digamos que o conetor está no projeto 1 e você deseja criar sistemas Cloud Volumes ONTAP no projeto 2. Você precisará conceder acesso à conta de serviço no projeto 2.
-
No serviço IAM e Admin, selecione o projeto Google Cloud onde você deseja criar sistemas Cloud Volumes ONTAP.
-
Na página IAM, selecione Grant Access e forneça os detalhes necessários.
-
Introduza o e-mail da conta de serviço do conetor.
-
Selecione a função personalizada do conetor.
-
Selecione Guardar.
-
Para obter mais detalhes, consulte "Documentação do Google Cloud"
-
A conta de serviço da VM Connector é configurada.
Etapa 4: Configurar permissões de VPC compartilhadas
Se você estiver usando uma VPC compartilhada para implantar recursos em um projeto de serviço, precisará preparar suas permissões.
Essa tabela é para referência e seu ambiente deve refletir a tabela de permissões quando a configuração do IAM estiver concluída.
Exibir permissões de VPC compartilhadas
Identidade | Criador | Hospedado em | Permissões do projeto de serviço | Permissões do projeto de host | Finalidade |
---|---|---|---|---|---|
Conta Google para implantar o conetor |
Personalizado |
Projeto de Serviço |
compute.networkUser |
Implantando o conetor no projeto de serviço |
|
Conta de serviço do conetor |
Personalizado |
Projeto de serviço |
compute.networkUser deploymentmanager.editor |
Implantação e manutenção de Cloud Volumes ONTAP e serviços no projeto de serviço |
|
Conta de serviço Cloud Volumes ONTAP |
Personalizado |
Projeto de serviço |
Membro Storage.admin: Conta de serviço BlueXP como serviceAccount.user |
N/A. |
(Opcional) para disposição de dados em categorias e backup e recuperação do BlueXP |
Agente de serviços de APIs do Google |
Google Cloud |
Projeto de serviço |
(Predefinição) Editor |
compute.networkUser |
Interage com as APIs do Google Cloud em nome da implantação. Permite que o BlueXP utilize a rede partilhada. |
Conta de serviço padrão do Google Compute Engine |
Google Cloud |
Projeto de serviço |
(Predefinição) Editor |
compute.networkUser |
Implanta instâncias do Google Cloud e infraestrutura de computação em nome da implantação. Permite que o BlueXP utilize a rede partilhada. |
Notas:
-
Deploymentmanager.editor só é necessário no projeto host se você não estiver passando regras de firewall para a implantação e estiver escolhendo permitir que o BlueXP as crie para você. O BlueXP criará uma implantação no projeto host que contém a regra de firewall VPC0 se nenhuma regra for especificada.
-
Firewall.create e firewall.delete só são necessários se você não estiver passando regras de firewall para a implantação e estiver escolhendo permitir que o BlueXP as crie para você. Essas permissões residem no arquivo .yaml da conta do BlueXP . Se você estiver implantando um par de HA usando uma VPC compartilhada, essas permissões serão usadas para criar as regras de firewall para VPC1, 2 e 3. Para todas as outras implantações, essas permissões também serão usadas para criar regras para VPC0.
-
Para categorização de dados, a conta de serviço de disposição em categorias precisa ter a função serviceAccount.user na conta de serviço, não apenas no nível do projeto. Atualmente, se você atribuir serviceAccount.user no nível do projeto, as permissões não serão exibidas quando você consultar a conta de serviço com getIAMPolicy.
Etapa 5: Habilite as APIs do Google Cloud
Várias APIs do Google Cloud devem estar ativadas antes de implantar o Connector e o Cloud Volumes ONTAP no Google Cloud.
-
Ative as seguintes APIs do Google Cloud em seu projeto:
-
API do Cloud Deployment Manager V2
-
API Cloud Logging
-
API do Cloud Resource Manager
-
API do mecanismo de computação
-
API de gerenciamento de identidade e acesso (IAM)
-
API do Cloud Key Management Service (KMS)
(Necessário somente se você estiver planejando usar o backup e a recuperação do BlueXP com chaves de criptografia gerenciadas pelo cliente (CMEK))
-
Passo 6: Crie o conetor
Crie um conetor diretamente do console baseado na Web do BlueXP ou usando o gcloud.
A criação do conetor implanta uma instância de máquina virtual no Google Cloud usando uma configuração padrão. Depois de criar o conetor, você não deve mudar para uma instância de VM menor que tenha menos CPU ou RAM. "Saiba mais sobre a configuração padrão do conetor".
Você deve ter o seguinte:
-
As permissões necessárias do Google Cloud para criar o conetor e uma conta de serviço para a VM do conetor.
-
VPC e sub-rede que atendem aos requisitos de rede.
-
Detalhes sobre um servidor proxy, se for necessário um proxy para acesso à Internet a partir do conetor.
-
Selecione a lista suspensa Connector e selecione Add Connector.
-
Escolha Google Cloud Platform como seu provedor de nuvem.
-
Na página implantando um conetor, revise os detalhes sobre o que você precisará. Você tem duas opções:
-
Selecione continuar para se preparar para a implantação usando o guia do produto. Cada etapa do guia do produto inclui as informações contidas nesta página da documentação.
-
Selecione Skip to Deployment se você já tiver preparado seguindo as etapas desta página.
-
-
Siga as etapas no assistente para criar o conetor:
-
Se você for solicitado, faça login na sua conta do Google, que deve ter as permissões necessárias para criar a instância da máquina virtual.
O formulário é de propriedade e hospedado pelo Google. Suas credenciais não são fornecidas ao NetApp.
-
Detalhes: Insira um nome para a instância da máquina virtual, especifique tags, selecione um projeto e, em seguida, selecione a conta de serviço que tem as permissões necessárias (consulte a seção acima para obter detalhes).
-
Localização: Especifique uma região, zona, VPC e sub-rede para a instância.
-
Rede: Escolha se deseja ativar um endereço IP público e, opcionalmente, especificar uma configuração de proxy.
-
Política de firewall: Escolha se deseja criar uma nova política de firewall ou se deseja selecionar uma política de firewall existente que permita as regras de entrada e saída necessárias.
-
Revisão: Revise suas seleções para verificar se a configuração está correta.
-
-
Selecione Adicionar.
A instância deve estar pronta em cerca de 7 minutos. Você deve permanecer na página até que o processo esteja concluído.
Após o processo ser concluído, o conetor está disponível para uso no BlueXP .
Se você tiver buckets do Google Cloud Storage na mesma conta do Google Cloud onde criou o conetor, verá um ambiente de trabalho do Google Cloud Storage aparecer automaticamente na tela do BlueXP . "Saiba como gerenciar o Google Cloud Storage da BlueXP "
Você deve ter o seguinte:
-
As permissões necessárias do Google Cloud para criar o conetor e uma conta de serviço para a VM do conetor.
-
VPC e sub-rede que atendem aos requisitos de rede.
-
Uma compreensão dos requisitos de instância de VM.
-
* CPU*: 8 núcleos ou 8 vCPUs
-
RAM: 32 GB
-
* Tipo de máquina*: Recomendamos n2-standard-8.
O conetor é compatível com o Google Cloud em uma instância de VM com um sistema operacional que suporta recursos de VM blindados.
-
-
Faça login no SDK do gcloud usando sua metodologia preferida.
Em nossos exemplos, usaremos um shell local com o gcloud SDK instalado, mas você pode usar o Google Cloud Shell nativo no console do Google Cloud.
Para obter mais informações sobre o SDK do Google Cloud, visite o "Página de documentação do Google Cloud SDK".
-
Verifique se você está conetado como um usuário que tem as permissões necessárias definidas na seção acima:
gcloud auth list
A saída deve mostrar o seguinte em que a conta de utilizador * é a conta de utilizador pretendida para iniciar sessão como:
Credentialed Accounts ACTIVE ACCOUNT some_user_account@domain.com * desired_user_account@domain.com To set the active account, run: $ gcloud config set account `ACCOUNT` Updates are available for some Cloud SDK components. To install them, please run: $ gcloud components update
-
Execute o
gcloud compute instances create
comando:gcloud compute instances create <instance-name> --machine-type=n2-standard-8 --image-project=netapp-cloudmanager --image-family=cloudmanager --scopes=cloud-platform --project=<project> --service-account=<service-account> --zone=<zone> --no-address --tags <network-tag> --network <network-path> --subnet <subnet-path> --boot-disk-kms-key <kms-key-path>
- nome da instância
-
O nome da instância desejada para a instância da VM.
- projeto
-
(Opcional) o projeto onde você deseja implantar a VM.
- conta de serviço
-
A conta de serviço especificada na saída do passo 2.
- zona
-
A zona em que você deseja implantar a VM
- sem endereço
-
(Opcional) nenhum endereço IP externo é usado (você precisa de um NAT ou proxy na nuvem para rotear o tráfego para a Internet pública)
- etiqueta de rede
-
(Opcional) Adicione tags de rede para vincular uma regra de firewall usando tags à instância do conetor
- caminho de rede
-
(Opcional) Adicione o nome da rede para implantar o conetor (para uma VPC compartilhada, você precisa do caminho completo)
- caminho de sub-rede
-
(Opcional) Adicione o nome da sub-rede para implantar o conetor (para uma VPC compartilhada, você precisa do caminho completo)
- kms-chave-caminho
-
(Opcional) Adicionar uma chave KMS para criptografar os discos do conetor (as permissões do IAM também precisam ser aplicadas)
Para obter mais informações sobre essas bandeiras, visite o "Documentação do SDK de computação do Google Cloud".
+
Executar o comando implanta o conetor usando a imagem dourada do NetApp. A instância do conetor e o software devem estar sendo executados em aproximadamente cinco minutos.
-
Abra um navegador da Web a partir de um host que tenha uma conexão com a instância do conetor e insira o seguinte URL:
-
Depois de iniciar sessão, configure o conetor:
-
Especifique a organização BlueXP a associar ao conetor.
-
Introduza um nome para o sistema.
-
O conetor está agora instalado e configurado com a sua organização BlueXP .
Abra um navegador da Web e vá para a "Consola BlueXP" para começar a usar o conetor com o BlueXP .