Skip to main content
NetApp Console setup and administration
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Crie um agente de console do Google Cloud

Colaboradores netapp-tonias
PDFs

Para criar um agente do Console no Google Cloud usando o Google Cloud, você precisa configurar sua rede, preparar as permissões do Google Cloud, habilitar as APIs do Google Cloud e, em seguida, criar o agente do Console.

Antes de começar

Etapa 1: configurar a rede

Configure a rede para permitir que o agente do Console gerencie recursos e se conecte às redes de destino e à Internet.

VPC e sub-rede

Ao criar o agente do Console, você precisa especificar a VPC e a sub-rede onde ele deve residir.

Conexões com redes de destino

O agente do Console requer uma conexão de rede com o local onde você planeja criar e gerenciar sistemas. Por exemplo, a rede onde você planeja criar sistemas Cloud Volumes ONTAP ou um sistema de armazenamento em seu ambiente local.

Acesso de saída à Internet

O local de rede onde você implanta o agente do Console deve ter uma conexão de saída com a Internet para entrar em contato com endpoints específicos.

Endpoints contatados pelo agente do Console

O agente do Console requer acesso de saída à Internet para entrar em contato com os seguintes endpoints para gerenciar recursos e processos dentro do seu ambiente de nuvem pública para operações diárias.

Os endpoints listados abaixo são todos entradas CNAME.

Pontos finais Propósito

\ https://www.googleapis.com/compute/v1/ \ https://compute.googleapis.com/compute/v1 \ https://cloudresourcemanager.googleapis.com/v1/projects \ https://www.googleapis.com/compute/beta \ https://storage.googleapis.com/storage/v1 \ https://www.googleapis.com/storage/v1 \ https://iam.googleapis.com/v1 \ https://cloudkms.googleapis.com/v1 \ https://www.googleapis.com/deploymentmanager/v2/projects

Para gerenciar recursos no Google Cloud.

\ https://mysupport.netapp.com

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte da NetApp .

\ https://support.netapp.com

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte da NetApp .

\ https://signin.b2c.netapp.com

Para atualizar as credenciais do NetApp Support Site (NSS) ou adicionar novas credenciais do NSS ao NetApp Console.

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Para fornecer recursos e serviços no NetApp Console.

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Para obter imagens para atualizações do agente do Console.

  • Quando você implanta um novo agente, a verificação de validação testa a conectividade com os endpoints atuais. Se você usar"pontos finais anteriores" , a verificação de validação falha. Para evitar essa falha, pule a verificação de validação.

    Embora os endpoints anteriores ainda sejam suportados, a NetApp recomenda atualizar suas regras de firewall para os endpoints atuais o mais rápido possível. "Aprenda como atualizar sua lista de endpoints" .

  • Quando você atualiza os endpoints atuais no seu firewall, seus agentes existentes continuarão funcionando.
Endpoints contatados do console NetApp

À medida que você usa o NetApp Console baseado na Web fornecido pela camada SaaS, ele entra em contato com vários endpoints para concluir tarefas de gerenciamento de dados. Isso inclui endpoints que são contatados para implantar o agente do Console a partir do Console.

"Exibir a lista de endpoints contatados pelo console do NetApp" .

Servidor proxy

O NetApp oferece suporte a configurações de proxy explícitas e transparentes. Se você estiver usando um proxy transparente, você só precisa fornecer o certificado para o servidor proxy. Se estiver usando um proxy explícito, você também precisará do endereço IP e das credenciais.

  • Endereço IP

  • Credenciais

  • Certificado HTTPS

Portos

Não há tráfego de entrada para o agente do Console, a menos que você o inicie ou se ele for usado como um proxy para enviar mensagens do AutoSupport do Cloud Volumes ONTAP para o Suporte da NetApp .

  • HTTP (80) e HTTPS (443) fornecem acesso à interface de usuário local, que você usará em raras circunstâncias.

  • SSH (22) só é necessário se você precisar se conectar ao host para solução de problemas.

  • Conexões de entrada pela porta 3128 serão necessárias se você implantar sistemas Cloud Volumes ONTAP em uma sub-rede onde uma conexão de saída com a Internet não esteja disponível.

    Se os sistemas Cloud Volumes ONTAP não tiverem uma conexão de saída com a Internet para enviar mensagens do AutoSupport , o Console configurará automaticamente esses sistemas para usar um servidor proxy incluído no agente do Console. O único requisito é garantir que o grupo de segurança do agente do Console permita conexões de entrada pela porta 3128. Você precisará abrir esta porta depois de implantar o agente do Console.

Habilitar NTP

Se você estiver planejando usar o NetApp Data Classification para verificar suas fontes de dados corporativos, deverá habilitar um serviço Network Time Protocol (NTP) no agente do Console e no sistema NetApp Data Classification para que o horário seja sincronizado entre os sistemas. "Saiba mais sobre a classificação de dados da NetApp"

Implemente este requisito de rede após criar o agente do Console.

Etapa 2: configurar permissões para criar o agente do Console

Configure permissões para o usuário do Google Cloud implantar a VM do agente do Console do Google Cloud.

Passos

  1. Crie uma função personalizada na plataforma Google:

    1. Crie um arquivo YAML que inclua as seguintes permissões:

      title: Console agent deployment policy
description: Permissions for the user who deploys the NetApp Console agent
stage: GA
includedPermissions:
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.list

    2. No Google Cloud, ative o Cloud Shell.

    3. Faça upload do arquivo YAML que inclui as permissões necessárias.

    4. Crie uma função personalizada usando o gcloud iam roles create comando.

      O exemplo a seguir cria uma função chamada "connectorDeployment" no nível do projeto:

      gcloud iam roles criar connectorDeployment --project=myproject --file=connector-deployment.yaml

    "Documentação do Google Cloud: Criação e gerenciamento de funções personalizadas"

  2. Atribua esta função personalizada ao usuário que implanta o agente do Console do Google Cloud.

    "Documentação do Google Cloud: Conceder uma única função"

Etapa 3: Configurar permissões para as operações do agente do Console

Uma conta de serviço do Google Cloud é necessária para fornecer ao agente do Console as permissões necessárias para que o Console gerencie recursos no Google Cloud. Ao criar o agente do Console, você precisará associar essa conta de serviço à VM do agente do Console.

É sua responsabilidade atualizar a função personalizada à medida que novas permissões são adicionadas em versões subsequentes. Se novas permissões forem necessárias, elas serão listadas nas notas de versão.

Passos

  1. Crie uma função personalizada no Google Cloud:

    1. Crie um arquivo YAML que inclua o conteúdo do"permissões de conta de serviço para o agente do Console" .

    2. No Google Cloud, ative o Cloud Shell.

    3. Faça upload do arquivo YAML que inclui as permissões necessárias.

    4. Crie uma função personalizada usando o gcloud iam roles create comando.

      O exemplo a seguir cria uma função chamada "conector" no nível do projeto:

      gcloud iam roles create connector --project=myproject --file=connector.yaml

    "Documentação do Google Cloud: Criação e gerenciamento de funções personalizadas"

  2. Crie uma conta de serviço no Google Cloud e atribua a função à conta de serviço:

    1. No serviço IAM e Admin, selecione Contas de serviço > Criar conta de serviço.

    2. Insira os detalhes da conta de serviço e selecione Criar e continuar.

    3. Selecione a função que você acabou de criar.

    4. Conclua as etapas restantes para criar a função.

      "Documentação do Google Cloud: Criação de uma conta de serviço"

  3. Se você planeja implantar sistemas Cloud Volumes ONTAP em projetos diferentes daquele em que o agente do Console reside, será necessário fornecer à conta de serviço do agente do Console acesso a esses projetos.

    Por exemplo, digamos que o agente do Console esteja no projeto 1 e você queira criar sistemas Cloud Volumes ONTAP no projeto 2. Você precisará conceder acesso à conta de serviço no projeto 2.

    1. No serviço IAM e Admin, selecione o projeto do Google Cloud onde você deseja criar sistemas Cloud Volumes ONTAP .

    2. Na página IAM, selecione Conceder acesso e forneça os detalhes necessários.

      • Digite o e-mail da conta de serviço do agente do Console.

      • Selecione a função personalizada do agente do Console.

      • Selecione Salvar.

    Para mais detalhes, consulte "Documentação do Google Cloud"

Etapa 4: configurar permissões de VPC compartilhadas

Se você estiver usando uma VPC compartilhada para implantar recursos em um projeto de serviço, precisará preparar suas permissões.

Esta tabela é para referência e seu ambiente deve refletir a tabela de permissões quando a configuração do IAM estiver concluída.

Exibir permissões de VPC compartilhadas
Identidade Criador Hospedado em Permissões do projeto de serviço Permissões do projeto host Propósito

Conta do Google para implantar o agente

Personalizado

Projeto de Serviço

"Política de implantação do agente"

compute.networkUser

Implantando o agente no projeto de serviço

conta de serviço do agente

Personalizado

Projeto de serviço

"Política de conta de serviço do agente"

compute.networkUser gerenciador de implantação.editor

Implantando e mantendo o Cloud Volumes ONTAP e serviços no projeto de serviço

Conta de serviço Cloud Volumes ONTAP

Personalizado

Projeto de serviço

membro storage.admin: conta de serviço do NetApp Console como serviceAccount.user

N / D

(Opcional) Para NetApp Cloud Tiering e NetApp Backup and Recovery

Agente de serviço de APIs do Google

Google Cloud

Projeto de serviço

(Padrão) Editor

compute.networkUser

Interage com as APIs do Google Cloud em nome da implantação. Permite que o Console use a rede compartilhada.

Conta de serviço padrão do Google Compute Engine

Google Cloud

Projeto de serviço

(Padrão) Editor

compute.networkUser

Implanta instâncias do Google Cloud e infraestrutura de computação em nome da implantação. Permite que o Console use a rede compartilhada.

Observações:

  1. deploymentmanager.editor só é necessário no projeto host se você não estiver passando regras de firewall para a implantação e optar por deixar que o Console as crie para você. O NetApp Console cria uma implantação no projeto host que contém a regra de firewall VPC0 se nenhuma regra for especificada.

  2. firewall.create e firewall.delete só são necessários se você não estiver passando regras de firewall para a implantação e optar por deixar que o Console as crie para você. Essas permissões residem no arquivo .yaml da conta do Console. Se você estiver implantando um par de HA usando uma VPC compartilhada, essas permissões serão usadas para criar as regras de firewall para VPC1, 2 e 3. Para todas as outras implantações, essas permissões também serão usadas para criar regras para VPC0.

  3. Para Cloud Tiering, a conta de serviço de hierarquização deve ter a função serviceAccount.user na conta de serviço, não apenas no nível do projeto. Atualmente, se você atribuir serviceAccount.user no nível do projeto, as permissões não serão exibidas quando você consultar a conta de serviço com getIAMPolicy.

Etapa 5: habilitar as APIs do Google Cloud

Habilite várias APIs do Google Cloud antes de implantar o agente do Console e o Cloud Volumes ONTAP.

Etapa

  1. Ative as seguintes APIs do Google Cloud no seu projeto:

    • API do Gerenciador de Implantação em Nuvem V2

    • API de registro em nuvem

    • API do Gerenciador de Recursos de Nuvem

    • API do mecanismo de computação

    • API de gerenciamento de identidade e acesso (IAM)

    • API do Serviço de Gerenciamento de Chaves em Nuvem (KMS)

      (Obrigatório somente se você estiver planejando usar o NetApp Backup and Recovery com chaves de criptografia gerenciadas pelo cliente (CMEK))

"Documentação do Google Cloud: Habilitando APIs"

Etapa 6: Criar o agente do Console

Crie um agente do Console usando o Google Cloud.

A criação do agente do Console implanta uma instância de VM no Google Cloud com a configuração padrão. Não mude para uma instância de VM menor com menos CPUs ou menos RAM depois de criar o agente do Console. "Saiba mais sobre a configuração padrão do agente do Console" .

Antes de começar

Você deve ter o seguinte:

  • As permissões necessárias do Google Cloud para criar o agente do Console e uma conta de serviço para a VM do agente do Console.

  • Uma VPC e uma sub-rede que atendem aos requisitos de rede.

  • Uma compreensão dos requisitos da instância de VM.

    • CPU: 8 núcleos ou 8 vCPUs

    • RAM: 32 GB

    • Tipo de máquina: Recomendamos n2-standard-8.

      O agente do Console é compatível com o Google Cloud em uma instância de VM com um sistema operacional compatível com recursos de VM protegida.

Passos

  1. Faça login no Google Cloud SDK usando seu método preferido.

    Este exemplo usa um shell local com o gcloud SDK instalado, mas você também pode usar o Google Cloud Shell.

    Para obter mais informações sobre o Google Cloud SDK, visite o"Página de documentação do Google Cloud SDK" .

  2. Verifique se você está conectado como um usuário que possui as permissões necessárias definidas na seção acima:

    gcloud auth list

    A saída deve mostrar o seguinte, onde * a conta de usuário é a conta de usuário desejada para efetuar login:

    Credentialed Accounts
ACTIVE  ACCOUNT
     some_user_account@domain.com
*    desired_user_account@domain.com
To set the active account, run:
 $ gcloud config set account `ACCOUNT`
Updates are available for some Cloud SDK components. To install them,
please run:
$ gcloud components update

  3. Execute o gcloud compute instances create comando:

    gcloud compute instances create <instance-name>
  --machine-type=n2-standard-8
  --image-project=netapp-cloudmanager
  --image-family=cloudmanager
  --scopes=cloud-platform
  --project=<project>
  --service-account=<service-account>
  --zone=<zone>
  --no-address
  --tags <network-tag>
  --network <network-path>
  --subnet <subnet-path>
  --boot-disk-kms-key <kms-key-path>
    nome da instância

    O nome da instância desejada para a instância da VM.

    projeto

    (Opcional) O projeto onde você deseja implantar a VM.

    conta de serviço

    A conta de serviço especificada na saída da etapa 2.

    zona

    A zona onde você deseja implantar a VM

    sem endereço

    (Opcional) Nenhum endereço IP externo é usado (você precisa de um NAT ou proxy na nuvem para rotear o tráfego para a Internet pública)

    tag de rede

    (Opcional) Adicione marcação de rede para vincular uma regra de firewall usando tags à instância do agente do Console

    caminho de rede

    (Opcional) Adicione o nome da rede na qual implantar o agente do Console (para uma VPC compartilhada, você precisa do caminho completo)

    caminho de sub-rede

    (Opcional) Adicione o nome da sub-rede para implantar o agente do Console (para uma VPC compartilhada, você precisa do caminho completo)

    kms-chave-caminho

    (Opcional) Adicione uma chave KMS para criptografar os discos do agente do Console (as permissões do IAM também precisam ser aplicadas)

    Para mais informações sobre essas bandeiras, visite o"Documentação do SDK de computação do Google Cloud" .

    Executar o comando implanta o agente do Console. A instância do agente do Console e o software devem estar em execução em aproximadamente cinco minutos.

  4. Abra um navegador da Web e insira o URL do host do agente do Console:

    O URL do host do console pode ser um host local, um endereço IP privado ou um endereço IP público, dependendo da configuração do host. Por exemplo, se o agente do Console estiver na nuvem pública sem um endereço IP público, você deverá inserir um endereço IP privado de um host que tenha uma conexão com o host do agente do Console.

  5. Após efetuar login, configure o agente do Console:

    1. Especifique a organização do Console a ser associada ao agente do Console.

      "Aprenda sobre gerenciamento de identidade e acesso" .

    2. Digite um nome para o sistema.

Resultado

O agente do Console agora está instalado e configurado com sua organização do Console.

Abra um navegador da web e vá para o "Console NetApp" para começar a usar o agente do Console.