Prepare-se para a implantação no modo privado
Prepare seu ambiente antes de implantar o BlueXP no modo privado. Por exemplo, você precisa analisar os requisitos do host, preparar a rede, configurar permissões e muito mais.
Se quiser usar o BlueXP no "Nuvem secreta da AWS" ou no "Nuvem secreta principal da AWS", siga instruções separadas para começar nesses ambientes. "Saiba como começar a usar o Cloud Volumes ONTAP na nuvem secreta da AWS ou na nuvem secreta principal" |
Passo 1: Entenda como o modo privado funciona
Antes de começar, você deve ter uma compreensão de como o BlueXP funciona no modo privado.
Por exemplo, você deve entender que precisa usar a interface baseada em navegador que está disponível localmente a partir do conetor BlueXP que você precisa instalar. Não é possível acessar o BlueXP a partir do console baseado na Web fornecido pela camada SaaS.
Além disso, nem todos os serviços BlueXP estão disponíveis.
Passo 2: Reveja as opções de instalação
No modo privado, você pode instalar o conetor no local ou na nuvem instalando manualmente o conetor em seu próprio host Linux.
Quando você instala o conetor determina quais serviços e recursos do BlueXP estão disponíveis ao usar o modo privado. Por exemplo, o conetor deve ser instalado na nuvem se você quiser implantar e gerenciar o Cloud Volumes ONTAP. "Saiba mais sobre o modo privado".
Etapa 3: Revise os requisitos do host
O software do conetor deve ser executado em um host que atenda a requisitos específicos do sistema operacional, requisitos de RAM, requisitos de porta, etc.
- Host dedicado
-
O conetor não é suportado em um host que é compartilhado com outros aplicativos. O host deve ser um host dedicado.
- requisitos de sistema operacional e contentor
-
O BlueXP suporta o conetor com os seguintes sistemas operacionais ao usar o BlueXP no modo privado. Uma ferramenta de orquestração de contêineres é necessária antes de instalar o conetor.
Sistema operacional Versões de OS compatíveis Versões de conetor suportadas Ferramenta de recipiente necessária SELinux Red Hat Enterprise Linux
9,1 a 9,4
8,6 a 8,10
3.9.42 ou posterior com BlueXP em modo privado
Podman versão 4.6.1 ou 4.9.4
Suporte no modo de execução ou modo permissivo 1
Ubuntu
22,04 LTS
3.9.29 ou posterior
Docker Engine 23.0.6 a 26.0.0
26.0.0 é suportado com new Connector 3.9.44 ou instalações posteriores
Não suportado
Notas:
-
O gerenciamento de sistemas Cloud Volumes ONTAP não é suportado por conetores que tenham o SELinux habilitado no sistema operacional.
-
O conetor é suportado em versões em inglês destes sistemas operativos.
-
Para o RHEL, o host deve estar registrado no Red Hat Subscription Management. Se não estiver registrado, o host não poderá acessar repositórios para atualizar o software necessário de 3rd partes durante a instalação do conetor.
-
- Hipervisor
-
É necessário um hypervisor bare metal ou hospedado certificado para executar um sistema operacional suportado.
- CPU
-
8 núcleos ou 8 vCPUs
- RAM
-
32 GB
- Tipo de instância do AWS EC2
-
Um tipo de instância que atende aos requisitos de CPU e RAM acima. Recomendamos t3,2xlarge.
- Tamanho da VM do Azure
-
Um tipo de instância que atende aos requisitos de CPU e RAM acima. Recomendamos Standard_D8s_v3.
- Tipo de máquina Google Cloud
-
Um tipo de instância que atende aos requisitos de CPU e RAM acima. Recomendamos n2-standard-8.
O conetor é compatível com o Google Cloud em uma instância de VM com um sistema operacional compatível "Recursos de VM blindados"
- Espaço em disco em /opt
-
100 GiB de espaço deve estar disponível
O BlueXP usa
/opt
para instalar o/opt/application/netapp
diretório e seu conteúdo. - Espaço em disco em /var
-
20 GiB de espaço deve estar disponível
O BlueXP requer esse espaço
/var
porque o Docker ou o Podman são arquitetados para criar os contentores dentro desse diretório. Especificamente, eles irão criar contentores no/var/lib/containers/storage
diretório. Montagens externas ou links simbólicos não funcionam para este espaço.
Passo 4: Instale o Podman ou Docker Engine
Você precisa preparar o host para o conetor instalando Podman ou Docker Engine.
Dependendo do seu sistema operacional, o Podman ou o Docker Engine são necessários antes de instalar o conetor.
-
O Podman é necessário para o Red Hat Enterprise Linux 8 e 9.
-
Docker Engine é necessário para o Ubuntu.
Siga estas etapas para instalar o Podman e configurá-lo para atender aos seguintes requisitos:
-
O serviço podman.socket deve ser ativado e iniciado
-
python3 deve ser instalado
-
O pacote podman-compose versão 1.0.6 deve ser instalado
-
Podman-compose deve ser adicionado à variável de ambiente PATH
-
Remova o pacote podman-docker se ele estiver instalado no host.
dnf remove podman-docker rm /var/run/docker.sock
-
Instale o Podman.
O Podman está disponível nos repositórios oficiais do Red Hat Enterprise Linux.
Para Red Hat Enterprise Linux 9:
sudo dnf install podman-2:<version>
Onde o <version> é a versão suportada do Podman que você está instalando. Veja as versões do Podman suportadas pelo BlueXP .
Para Red Hat Enterprise Linux 8:
sudo dnf install podman-3:<version>
Onde o <version> é a versão suportada do Podman que você está instalando. Veja as versões do Podman suportadas pelo BlueXP .
-
Ative e inicie o serviço podman.socket.
sudo systemctl enable --now podman.socket
-
Instale o python3.
sudo dnf install python3
-
Instale o pacote do repositório EPEL se ainda não estiver disponível no seu sistema.
Esta etapa é necessária porque o podman-compose está disponível no repositório extra Packages for Enterprise Linux (EPEL).
Para Red Hat Enterprise Linux 9:
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
Para Red Hat Enterprise Linux 8:
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
-
Instale o pacote podman-compose 1,0.6.
sudo dnf install podman-compose-1.0.6
Usar o dnf install
comando atende ao requisito para adicionar podman-compose à variável de ambiente PATH. O comando installation adiciona podman-compose ao /usr/bin, que já está incluído nasecure_path
opção no host.
Siga a documentação do Docker para instalar o Docker Engine.
-
"Veja as instruções de instalação do Docker"
Certifique-se de seguir as etapas para instalar uma versão específica do Docker Engine. Instalar a versão mais recente irá instalar uma versão do Docker que o BlueXP não suporta.
-
Verifique se o Docker está ativado e em execução.
sudo systemctl enable docker && sudo systemctl start docker
Passo 5: Prepare a rede
Configure sua rede para que o conetor possa gerenciar recursos e processos em seu ambiente de nuvem pública. Além de ter uma rede virtual e uma sub-rede para o conetor, você precisará garantir que os seguintes requisitos sejam atendidos.
- Conexões com redes de destino
-
O conetor deve ter uma conexão de rede com o local onde você planeja gerenciar o armazenamento. Por exemplo, a VPC ou o VNet onde você pretende implantar o Cloud Volumes ONTAP ou o data center onde residem seus clusters ONTAP no local.
- Endpoints para operações diárias
-
Se você está planejando criar sistemas Cloud Volumes ONTAP, o conetor precisa de conetividade para endpoints nos recursos disponíveis publicamente do seu provedor de nuvem.
Endpoints Finalidade Serviços da AWS (amazonaws.com):
-
CloudFormation
-
Nuvem de computação elástica (EC2)
-
Gerenciamento de identidade e acesso (IAM)
-
Key Management Service (KMS)
-
Serviço de token de segurança (STS)
-
Serviço de armazenamento simples (S3)
Para gerenciar recursos na AWS. O endpoint exato depende da região da AWS que você está usando. "Consulte a documentação da AWS para obter detalhes"
https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net
Para gerenciar recursos em regiões públicas do Azure.
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud
Para gerenciar recursos na região do Azure IL6.
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn
Para gerenciar recursos nas regiões do Azure China.
https://www.googleapis.com/compute/v1/ https://compute.googleapis.com/compute/v1 https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects
Para gerenciar recursos no Google Cloud.
-
- Endereço IP público no Azure
-
Se você quiser usar um endereço IP público com a VM do conetor no Azure, o endereço IP deve usar uma SKU básica para garantir que o BlueXP use esse endereço IP público.
Se você usar um endereço IP SKU padrão, o BlueXP usará o endereço IP private do conetor, em vez do IP público. Se a máquina que você está usando para acessar o Console do BlueXP não tiver acesso a esse endereço IP privado, as ações do Console do BlueXP falharão.
- Servidor proxy
-
Se a sua empresa exigir a implantação de um servidor proxy para todo o tráfego de saída da Internet, obtenha as seguintes informações sobre o proxy HTTP ou HTTPS. Você precisará fornecer essas informações durante a instalação. Observe que o BlueXP não oferece suporte a servidores proxy transparentes.
-
Endereço IP
-
Credenciais
-
Certificado HTTPS
Com o modo privado, a única vez que o BlueXP envia tráfego de saída é para o seu provedor de nuvem para criar um sistema Cloud Volumes ONTAP.
-
- Portas
-
Não há tráfego de entrada para o conetor, a menos que você o inicie.
HTTP (80) e HTTPS (443) fornecem acesso ao console BlueXP . SSH (22) só é necessário se você precisar se conetar ao host para solução de problemas.
- Ativar NTP
-
Se estiver a planear utilizar a classificação BlueXP para analisar as suas fontes de dados empresariais, deve ativar um serviço de Protocolo de tempo de rede (NTP) no sistema de conetores BlueXP e no sistema de classificação BlueXP para que o tempo seja sincronizado entre os sistemas. "Saiba mais sobre a classificação BlueXP"
Etapa 6: Preparar permissões na nuvem
Se o conetor estiver instalado na nuvem e você estiver planejando criar sistemas Cloud Volumes ONTAP, o BlueXP precisará de permissões do seu provedor de nuvem. Você precisa configurar permissões no seu provedor de nuvem e associá-las à instância do Connector depois de instalá-la.
Para exibir as etapas necessárias, selecione a opção de autenticação que deseja usar para o provedor de nuvem.
Use uma função do IAM para fornecer permissões ao conetor. Você precisará anexar manualmente a função à instância EC2 para o conetor.
-
Faça login no console da AWS e navegue até o serviço do IAM.
-
Criar uma política:
-
Selecione políticas > criar política.
-
Selecione JSON e copie e cole o conteúdo do "Política do IAM para o conetor".
-
Conclua as etapas restantes para criar a política.
-
-
Crie uma função do IAM:
-
Selecione funções > criar função.
-
Selecione AWS Service > EC2.
-
Adicione permissões anexando a política que você acabou de criar.
-
Conclua as etapas restantes para criar a função.
-
Agora você tem uma função do IAM para a instância do Connector EC2.
Configurar permissões e uma chave de acesso para um usuário do IAM. Você precisará fornecer à BlueXP a chave de acesso da AWS depois de instalar o conetor e configurar o BlueXP .
-
Faça login no console da AWS e navegue até o serviço do IAM.
-
Criar uma política:
-
Selecione políticas > criar política.
-
Selecione JSON e copie e cole o conteúdo do "Política do IAM para o conetor".
-
Conclua as etapas restantes para criar a política.
Dependendo dos serviços do BlueXP que você está planejando usar, talvez seja necessário criar uma segunda política.
Para regiões padrão, as permissões são distribuídas em duas políticas. Duas políticas são necessárias devido a um limite máximo de tamanho de caractere para políticas gerenciadas na AWS. "Saiba mais sobre as políticas do IAM para o conetor".
-
-
Anexe as políticas a um usuário do IAM.
-
Certifique-se de que o utilizador tem uma chave de acesso que pode adicionar ao BlueXP depois de instalar o conetor.
A conta agora tem as permissões necessárias.
Crie uma função personalizada do Azure com as permissões necessárias. Você atribuirá essa função à VM do conetor.
Observe que você pode criar uma função personalizada do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. As etapas a seguir mostram como criar a função usando a CLI do Azure. Se você preferir usar um método diferente, consulte "Documentação do Azure"
-
Ative uma identidade gerenciada atribuída ao sistema na VM onde você planeja instalar o conetor para que você possa fornecer as permissões necessárias do Azure por meio de uma função personalizada.
-
Copie o conteúdo do "Permissões de função personalizadas para o conetor" e salve-o em um arquivo JSON.
-
Modifique o arquivo JSON adicionando IDs de assinatura do Azure ao escopo atribuível.
Você deve adicionar o ID para cada assinatura do Azure que deseja usar com o BlueXP .
Exemplo
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
Use o arquivo JSON para criar uma função personalizada no Azure.
As etapas a seguir descrevem como criar a função usando o Bash no Azure Cloud Shell.
-
Comece "Azure Cloud Shell" e escolha o ambiente Bash.
-
Carregue o arquivo JSON.
-
Use a CLI do Azure para criar a função personalizada:
az role definition create --role-definition Connector_Policy.json
-
Agora você deve ter uma função personalizada chamada Operador BlueXP que você pode atribuir à máquina virtual do conetor.
Crie e configure um princípio de serviço no Microsoft Entra ID e obtenha as credenciais do Azure de que o BlueXP precisa. Você precisará fornecer essas credenciais ao BlueXP depois de instalar o conetor e configurar o BlueXP .
-
Certifique-se de ter permissões no Azure para criar um aplicativo do ative Directory e atribuir o aplicativo a uma função.
Para obter mais informações, consulte "Documentação do Microsoft Azure: Permissões necessárias"
-
No portal do Azure, abra o serviço Microsoft Entra ID.
-
No menu, selecione inscrições de aplicativos.
-
Selecione novo registo.
-
Especifique detalhes sobre o aplicativo:
-
Nome: Insira um nome para o aplicativo.
-
Tipo de conta: Selecione um tipo de conta (qualquer funcionará com o BlueXP ).
-
* URI de redirecionamento*: Você pode deixar este campo em branco.
-
-
Selecione Registe-se.
Você criou o aplicativo AD e o principal de serviço.
-
Crie uma função personalizada:
Observe que você pode criar uma função personalizada do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. As etapas a seguir mostram como criar a função usando a CLI do Azure. Se você preferir usar um método diferente, consulte "Documentação do Azure"
-
Copie o conteúdo do "Permissões de função personalizadas para o conetor" e salve-o em um arquivo JSON.
-
Modifique o arquivo JSON adicionando IDs de assinatura do Azure ao escopo atribuível.
Você deve adicionar o ID para cada assinatura do Azure a partir da qual os usuários criarão sistemas Cloud Volumes ONTAP.
Exemplo
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
Use o arquivo JSON para criar uma função personalizada no Azure.
As etapas a seguir descrevem como criar a função usando o Bash no Azure Cloud Shell.
-
Comece "Azure Cloud Shell" e escolha o ambiente Bash.
-
Carregue o arquivo JSON.
-
Use a CLI do Azure para criar a função personalizada:
az role definition create --role-definition Connector_Policy.json
Agora você deve ter uma função personalizada chamada Operador BlueXP que você pode atribuir à máquina virtual do conetor.
-
-
-
Atribua o aplicativo à função:
-
No portal do Azure, abra o serviço Subscrições.
-
Selecione a subscrição.
-
Selecione Access Control (IAM) > Add > Add > Add Role assignment (Adicionar controlo de acesso).
-
Na guia função, selecione a função Operador BlueXP e selecione seguinte.
-
Na guia Membros, execute as seguintes etapas:
-
Mantenha Usuário, grupo ou responsável do serviço selecionado.
-
Selecione Selecionar membros.
-
Procure o nome da aplicação.
Aqui está um exemplo:
-
Selecione a aplicação e selecione Select.
-
Selecione seguinte.
-
-
Selecione Rever e atribuir.
O principal de serviço agora tem as permissões necessárias do Azure para implantar o conetor.
Se você quiser implantar o Cloud Volumes ONTAP a partir de várias assinaturas do Azure, então você deve vincular o principal de serviço a cada uma dessas assinaturas. O BlueXP permite que você selecione a assinatura que deseja usar ao implantar o Cloud Volumes ONTAP.
-
-
No serviço Microsoft Entra ID, selecione inscrições de aplicativos e selecione o aplicativo.
-
Selecione permissões de API > Adicionar uma permissão.
-
Em Microsoft APIs, selecione Azure Service Management.
-
Selecione Acesse o Gerenciamento de Serviços do Azure como usuários da organização e selecione Adicionar permissões.
-
No serviço Microsoft Entra ID, selecione inscrições de aplicativos e selecione o aplicativo.
-
Copie o ID do aplicativo (cliente) e o ID do diretório (locatário).
Quando você adiciona a conta do Azure ao BlueXP , você precisa fornecer o ID do aplicativo (cliente) e o ID do diretório (locatário) para o aplicativo. O BlueXP usa os IDs para fazer login programaticamente.
-
Abra o serviço Microsoft Entra ID.
-
Selecione inscrições de aplicativos e selecione sua inscrição.
-
Selecione certificados e segredos > segredo de novo cliente.
-
Forneça uma descrição do segredo e uma duração.
-
Selecione Adicionar.
-
Copie o valor do segredo do cliente.
Agora você tem um segredo de cliente que o BlueXP pode usá-lo para autenticar com o Microsoft Entra ID.
Seu responsável de serviço está configurado e você deve ter copiado o ID do aplicativo (cliente), o ID do diretório (locatário) e o valor do segredo do cliente. Você precisa inserir essas informações no BlueXP ao adicionar uma conta do Azure.
Crie uma função e aplique-a a uma conta de serviço que você usará para a instância de VM Connector.
-
Crie uma função personalizada no Google Cloud:
-
Crie um arquivo YAML que inclua as permissões definidas no "Política de conetores para Google Cloud".
-
No Google Cloud, ative o shell da nuvem.
-
Carregue o arquivo YAML que inclui as permissões necessárias para o conetor.
-
Crie uma função personalizada usando o
gcloud iam roles create
comando.O exemplo a seguir cria uma função chamada "Connector" no nível do projeto:
gcloud iam roles create connector --project=myproject --file=connector.yaml
-
-
Crie uma conta de serviço no Google Cloud:
-
No serviço IAM e Admin, selecione Contas de serviço > criar conta de serviço.
-
Insira os detalhes da conta de serviço e selecione criar e continuar.
-
Selecione a função que você acabou de criar.
-
Conclua as etapas restantes para criar a função.
-
Agora você tem uma conta de serviço que pode atribuir à instância de VM Connector.
Etapa 7: Habilite as APIs do Google Cloud
Várias APIs são necessárias para implantar o Cloud Volumes ONTAP no Google Cloud.
-
"Ative as seguintes APIs do Google Cloud em seu projeto"
-
API do Cloud Deployment Manager V2
-
API Cloud Logging
-
API do Cloud Resource Manager
-
API do mecanismo de computação
-
API de gerenciamento de identidade e acesso (IAM)
-
API do Cloud Key Management Service (KMS)
(Necessário somente se você estiver planejando usar o backup e a recuperação do BlueXP com chaves de criptografia gerenciadas pelo cliente (CMEK))
-