Skip to main content
NetApp Console setup and administration
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Criar um agente de console no Azure a partir do NetApp Console

Colaboradores netapp-tonias
PDFs

Para criar um agente do Console no Azure a partir do NetApp Console, você precisa configurar sua rede, preparar as permissões do Azure e, em seguida, criar o agente do Console.

Antes de começar

Etapa 1: configurar a rede

Certifique-se de que o local de rede onde você planeja instalar o agente do Console suporte os seguintes requisitos. Esses requisitos permitem que o agente do Console gerencie recursos de nuvem híbrida.

Região Azure

Se você usar o Cloud Volumes ONTAP, o agente do Console deverá ser implantado na mesma região do Azure que os sistemas Cloud Volumes ONTAP que ele gerencia ou no "Par de regiões do Azure" para os sistemas Cloud Volumes ONTAP . Esse requisito garante que uma conexão do Azure Private Link seja usada entre o Cloud Volumes ONTAP e suas contas de armazenamento associadas.

"Saiba como o Cloud Volumes ONTAP usa um Azure Private Link"

VNet e sub-rede

Ao criar o agente do Console, você precisa especificar a VNet e a sub-rede onde ele deve residir.

Conexões com redes de destino

O agente do Console requer uma conexão de rede com o local onde você planeja criar e gerenciar sistemas. Por exemplo, a rede onde você planeja criar sistemas Cloud Volumes ONTAP ou um sistema de armazenamento em seu ambiente local.

Acesso de saída à Internet

O local de rede onde você implanta o agente do Console deve ter uma conexão de saída com a Internet para entrar em contato com endpoints específicos.

Endpoints contatados pelo agente do Console

O agente do Console requer acesso de saída à Internet para entrar em contato com os seguintes endpoints para gerenciar recursos e processos dentro do seu ambiente de nuvem pública para operações diárias.

Os endpoints listados abaixo são todos entradas CNAME.

Pontos finais Propósito

\ https://management.azure.com \ https://login.microsoftonline.com \ https://blob.core.windows.net \ https://core.windows.net

Para gerenciar recursos em regiões públicas do Azure.

\ https://management.chinacloudapi.cn \ https://login.chinacloudapi.cn \ https://blob.core.chinacloudapi.cn \ https://core.chinacloudapi.cn

Para gerenciar recursos nas regiões do Azure China.

\ https://mysupport.netapp.com

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte da NetApp .

\ https://support.netapp.com

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte da NetApp .

\ https://signin.b2c.netapp.com

Para atualizar as credenciais do NetApp Support Site (NSS) ou adicionar novas credenciais do NSS ao NetApp Console.

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Para fornecer recursos e serviços no NetApp Console.

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Para obter imagens para atualizações do agente do Console.

  • Quando você implanta um novo agente, a verificação de validação testa a conectividade com os endpoints atuais. Se você usar"pontos finais anteriores" , a verificação de validação falha. Para evitar essa falha, pule a verificação de validação.

    Embora os endpoints anteriores ainda sejam suportados, a NetApp recomenda atualizar suas regras de firewall para os endpoints atuais o mais rápido possível. "Aprenda como atualizar sua lista de endpoints" .

  • Quando você atualiza os endpoints atuais no seu firewall, seus agentes existentes continuarão funcionando.
Endpoints contatados do console NetApp

À medida que você usa o NetApp Console baseado na Web fornecido pela camada SaaS, ele entra em contato com vários endpoints para concluir tarefas de gerenciamento de dados. Isso inclui endpoints que são contatados para implantar o agente do Console a partir do Console.

"Exibir a lista de endpoints contatados pelo console do NetApp" .

Servidor proxy

O NetApp oferece suporte a configurações de proxy explícitas e transparentes. Se você estiver usando um proxy transparente, você só precisa fornecer o certificado para o servidor proxy. Se estiver usando um proxy explícito, você também precisará do endereço IP e das credenciais.

  • Endereço IP

  • Credenciais

  • Certificado HTTPS

Portos

Não há tráfego de entrada para o agente do Console, a menos que você o inicie ou se ele for usado como um proxy para enviar mensagens do AutoSupport do Cloud Volumes ONTAP para o Suporte da NetApp .

  • HTTP (80) e HTTPS (443) fornecem acesso à interface de usuário local, que você usará em raras circunstâncias.

  • SSH (22) só é necessário se você precisar se conectar ao host para solução de problemas.

  • Conexões de entrada pela porta 3128 serão necessárias se você implantar sistemas Cloud Volumes ONTAP em uma sub-rede onde uma conexão de saída com a Internet não esteja disponível.

    Se os sistemas Cloud Volumes ONTAP não tiverem uma conexão de saída com a Internet para enviar mensagens do AutoSupport , o Console configurará automaticamente esses sistemas para usar um servidor proxy incluído no agente do Console. O único requisito é garantir que o grupo de segurança do agente do Console permita conexões de entrada pela porta 3128. Você precisará abrir esta porta depois de implantar o agente do Console.

Habilitar NTP

Se você estiver planejando usar o NetApp Data Classification para verificar suas fontes de dados corporativos, deverá habilitar um serviço Network Time Protocol (NTP) no agente do Console e no sistema NetApp Data Classification para que o horário seja sincronizado entre os sistemas. "Saiba mais sobre a classificação de dados da NetApp"

Você precisa implementar esse requisito de rede depois de criar o agente do Console.

Etapa 2: criar uma política de implantação do agente do console (função personalizada)

Você precisa criar uma função personalizada que tenha permissões para implantar o agente do Console no Azure.

Crie uma função personalizada do Azure que você pode atribuir à sua conta do Azure ou a uma entidade de serviço do Microsoft Entra. O Console é autenticado com o Azure e usa essas permissões para criar a instância do agente do Console em seu nome.

O Console implanta a VM do agente do Console no Azure, habilita um "identidade gerenciada atribuída pelo sistema" , cria a função necessária e a atribui à VM. "Revise como o Console usa as permissões" .

Observe que você pode criar uma função personalizada do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. As etapas a seguir mostram como criar a função usando a CLI do Azure. Se preferir usar um método diferente, consulte "Documentação do Azure"

Passos

  1. Copie as permissões necessárias para uma nova função personalizada no Azure e salve-as em um arquivo JSON.

    Observação Esta função personalizada contém apenas as permissões necessárias para iniciar a VM do agente do Console no Azure a partir do Console. Não use esta política para outras situações. Quando o Console cria o agente do Console, ele aplica um novo conjunto de permissões à VM do agente do Console que permite que o agente do Console gerencie recursos do Azure. 
    {
    "Name": "Azure SetupAsService",
    "Actions": [
        "Microsoft.Compute/disks/delete",
        "Microsoft.Compute/disks/read",
        "Microsoft.Compute/disks/write",
        "Microsoft.Compute/locations/operations/read",
        "Microsoft.Compute/operations/read",
        "Microsoft.Compute/virtualMachines/instanceView/read",
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Compute/virtualMachines/write",
        "Microsoft.Compute/virtualMachines/delete",
        "Microsoft.Compute/virtualMachines/extensions/write",
        "Microsoft.Compute/virtualMachines/extensions/read",
        "Microsoft.Compute/availabilitySets/read",
        "Microsoft.Network/locations/operationResults/read",
        "Microsoft.Network/locations/operations/read",
        "Microsoft.Network/networkInterfaces/join/action",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkInterfaces/write",
        "Microsoft.Network/networkInterfaces/delete",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/networkSecurityGroups/write",
        "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read",
        "Microsoft.Network/virtualNetworks/virtualMachines/read",
        "Microsoft.Network/publicIPAddresses/write",
        "Microsoft.Network/publicIPAddresses/read",
        "Microsoft.Network/publicIPAddresses/delete",
        "Microsoft.Network/networkSecurityGroups/securityRules/read",
        "Microsoft.Network/networkSecurityGroups/securityRules/write",
        "Microsoft.Network/networkSecurityGroups/securityRules/delete",
        "Microsoft.Network/publicIPAddresses/join/action",
        "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read",
        "Microsoft.Network/networkInterfaces/ipConfigurations/read",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/deployments/delete",
        "Microsoft.Resources/deployments/cancel/action",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourcegroups/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Authorization/roleDefinitions/write",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read",
        "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write",
        "Microsoft.Network/networkSecurityGroups/delete",
        "Microsoft.Storage/storageAccounts/delete",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/deployments/operationStatuses/read",
        "Microsoft.Authorization/roleAssignments/read"
    ],
    "NotActions": [],
    "AssignableScopes": [],
    "Description": "Azure SetupAsService",
    "IsCustom": "true"
}

  2. Modifique o JSON adicionando sua ID de assinatura do Azure ao escopo atribuível.

    Exemplo

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz"
],

  3. Use o arquivo JSON para criar uma função personalizada no Azure.

    As etapas a seguir descrevem como criar a função usando o Bash no Azure Cloud Shell.

    1. Começar "Azure Cloud Shell" e escolha o ambiente Bash.

    2. Carregue o arquivo JSON.

      Uma captura de tela do Azure Cloud Shell onde você pode escolher a opção de carregar um arquivo.

    3. Digite o seguinte comando da CLI do Azure:

      az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json

    Agora você tem uma função personalizada chamada Azure SetupAsService. Você pode aplicar essa função personalizada à sua conta de usuário ou a uma entidade de serviço.

Etapa 3: Configurar autenticação

Ao criar o agente do Console a partir do Console, você precisa fornecer um login que permita que o Console se autentique com o Azure e implante a VM. Você tem duas opções:

  1. Sign in com sua conta do Azure quando solicitado. Esta conta deve ter permissões específicas do Azure. Esta é a opção padrão.

  2. Forneça detalhes sobre uma entidade de serviço do Microsoft Entra. Este principal de serviço também requer permissões específicas.

Siga as etapas para preparar um desses métodos de autenticação para uso com o Console.

Conta do Azure

Atribua a função personalizada ao usuário que implantará o agente do Console a partir do Console.

Passos

  1. No portal do Azure, abra o serviço Assinaturas e selecione a assinatura do usuário.

  2. Clique em Controle de acesso (IAM).

  3. Clique em Adicionar > Adicionar atribuição de função e adicione as permissões:

    1. Selecione a função Azure SetupAsService e clique em Avançar.

      Observação Azure SetupAsService é o nome padrão fornecido na política de implantação do agente do Console para o Azure. Se você escolheu um nome diferente para a função, selecione esse nome.

    2. Mantenha Usuário, grupo ou entidade de serviço selecionado.

    3. Clique em Selecionar membros, escolha sua conta de usuário e clique em Selecionar.

    4. Clique em Avançar.

    5. Clique em Revisar + atribuir.

Diretor de serviço

Em vez de fazer login com sua conta do Azure, você pode fornecer ao Console as credenciais de uma entidade de serviço do Azure que tenha as permissões necessárias.

Crie e configure uma entidade de serviço no Microsoft Entra ID e obtenha as credenciais do Azure necessárias para o Console.

Crie um aplicativo Microsoft Entra para controle de acesso baseado em função

  1. Verifique se você tem permissões no Azure para criar um aplicativo do Active Directory e atribuir o aplicativo a uma função.

    Para mais detalhes, consulte "Documentação do Microsoft Azure: Permissões necessárias"

  2. No portal do Azure, abra o serviço Microsoft Entra ID.

    Mostra o serviço do Active Directory no Microsoft Azure.

  3. No menu, selecione Registros de aplicativos.

  4. Selecione Novo registro.

  5. Especifique detalhes sobre o aplicativo:

    • Nome: Digite um nome para o aplicativo.

    • Tipo de conta: Selecione um tipo de conta (qualquer um funcionará com o NetApp Console).

    • URI de redirecionamento: Você pode deixar este campo em branco.

  6. Selecione Registrar.

    Você criou o aplicativo AD e a entidade de serviço.

Atribuir a função personalizada ao aplicativo

  1. No portal do Azure, abra o serviço Assinaturas.

  2. Selecione a assinatura.

  3. Clique em Controle de acesso (IAM) > Adicionar > Adicionar atribuição de função.

  4. Na guia Função, selecione a função Operador de console e clique em Avançar.

  5. Na aba Membros, complete os seguintes passos:

    1. Mantenha Usuário, grupo ou entidade de serviço selecionado.

    2. Clique em Selecionar membros.

      Uma captura de tela do portal do Azure que mostra a página Membros ao adicionar uma função a um aplicativo.

    3. Pesquise o nome do aplicativo.

      Aqui está um exemplo:

    Uma captura de tela do portal do Azure que mostra o formulário Adicionar atribuição de função no portal do Azure.

    1. Selecione o aplicativo e clique em Selecionar.

    2. Clique em Avançar.

  6. Clique em Revisar + atribuir.

    O principal de serviço agora tem as permissões necessárias do Azure para implantar o agente do Console.

    Se você quiser gerenciar recursos em várias assinaturas do Azure, deverá vincular a entidade de serviço a cada uma dessas assinaturas. Por exemplo, o Console permite que você selecione a assinatura que deseja usar ao implantar o Cloud Volumes ONTAP.

Adicionar permissões da API de Gerenciamento de Serviços do Windows Azure

  1. No serviço Microsoft Entra ID, selecione Registros de aplicativos e selecione o aplicativo.

  2. Selecione Permissões de API > Adicionar uma permissão.

  3. Em APIs da Microsoft, selecione Azure Service Management.

    Uma captura de tela do portal do Azure que mostra as permissões da API de Gerenciamento de Serviços do Azure.

  4. Selecione Acessar o Gerenciamento de Serviços do Azure como usuários da organização e, em seguida, selecione Adicionar permissões.

    Uma captura de tela do portal do Azure que mostra a adição das APIs de Gerenciamento de Serviços do Azure.

Obtenha o ID do aplicativo e o ID do diretório para o aplicativo

  1. No serviço Microsoft Entra ID, selecione Registros de aplicativos e selecione o aplicativo.

  2. Copie o ID do aplicativo (cliente) e o ID do diretório (locatário).

    Uma captura de tela que mostra o ID do aplicativo (cliente) e o ID do diretório (locatário) para um aplicativo no Microsoft Entra IDy.

    Ao adicionar a conta do Azure ao Console, você precisa fornecer o ID do aplicativo (cliente) e o ID do diretório (locatário) para o aplicativo. O Console usa os IDs para fazer login programaticamente.

Criar um segredo do cliente

  1. Abra o serviço Microsoft Entra ID.

  2. Selecione Registros de aplicativos e selecione seu aplicativo.

  3. Selecione Certificados e segredos > Novo segredo do cliente.

  4. Forneça uma descrição do segredo e uma duração.

  5. Selecione Adicionar.

  6. Copie o valor do segredo do cliente.

    Uma captura de tela do portal do Azure que mostra um segredo do cliente para a entidade de serviço do Microsoft Entra.

Resultado

Seu principal serviço agora está configurado e você deve ter copiado o ID do aplicativo (cliente), o ID do diretório (locatário) e o valor do segredo do cliente. Você precisa inserir essas informações no Console ao criar o agente do Console.

Etapa 4: criar o agente do console

Crie o agente do Console diretamente do NetApp Console.

Sobre esta tarefa

  • A criação do agente do Console a partir do Console implanta uma máquina virtual no Azure usando uma configuração padrão. Não mude para uma instância de VM menor com menos CPUs ou menos RAM depois de criar o agente do Console. "Saiba mais sobre a configuração padrão do agente do Console" .

  • Quando o Console implanta o agente do Console, ele cria uma função personalizada e a atribui à VM do agente do Console. Esta função inclui permissões que permitem ao agente do Console gerenciar recursos do Azure. Você precisa garantir que a função seja mantida atualizada à medida que novas permissões forem adicionadas em versões subsequentes. "Saiba mais sobre a função personalizada do agente do Console" .

Antes de começar

Você deve ter o seguinte:

  • Uma assinatura do Azure.

  • Uma VNet e uma sub-rede na região do Azure de sua escolha.

  • Detalhes sobre um servidor proxy, caso sua organização exija um proxy para todo o tráfego de saída da Internet:

    • Endereço IP

    • Credenciais

    • Certificado HTTPS

  • Uma chave pública SSH, se você quiser usar esse método de autenticação para a máquina virtual do agente do Console. A outra opção para o método de autenticação é usar uma senha.

    "Saiba mais sobre como se conectar a uma VM Linux no Azure"

  • Se você não quiser que o Console crie automaticamente uma função do Azure para o agente do Console, será necessário criar sua própria"usando a política nesta página" .

    Essas permissões são para a própria instância do agente do Console. É um conjunto diferente de permissões do que você configurou anteriormente para implantar a VM do agente do Console.

Passos

  1. Selecione Administração > Agentes.

  2. Na página Visão geral, selecione Implantar agente > Azure

  3. Na página Revisão, revise os requisitos para implantar um agente. Esses requisitos também estão detalhados acima nesta página.

  4. Na página Autenticação de Máquina Virtual, selecione a opção de autenticação que corresponde à forma como você configura as permissões do Azure:

    • Selecione Fazer login para fazer login na sua conta da Microsoft, que deve ter as permissões necessárias.

      O formulário é de propriedade e hospedado pela Microsoft. Suas credenciais não são fornecidas à NetApp.

      Dica Se você já estiver conectado a uma conta do Azure, o Console usará essa conta automaticamente. Se você tiver várias contas, talvez seja necessário sair primeiro para garantir que está usando a conta correta.

    • Selecione Principal do serviço do Active Directory para inserir informações sobre o principal do serviço do Microsoft Entra que concede as permissões necessárias:

      • ID do aplicativo (cliente)

      • ID do diretório (inquilino)

      • Segredo do cliente

    Aprenda como obter esses valores para um principal de serviço .

  5. Na página Autenticação de Máquina Virtual, escolha uma assinatura do Azure, um local, um novo grupo de recursos ou um grupo de recursos existente e, em seguida, escolha um método de autenticação para a máquina virtual do agente do Console que você está criando.

    O método de autenticação para a máquina virtual pode ser uma senha ou uma chave pública SSH.

    "Saiba mais sobre como se conectar a uma VM Linux no Azure"

  6. Na página Detalhes, insira um nome para a instância, especifique as tags e escolha se deseja que o Console crie uma nova função que tenha as permissões necessárias ou se deseja selecionar uma função existente que você configurou com"as permissões necessárias" .

    Observe que você pode escolher as assinaturas do Azure associadas a essa função. Cada assinatura escolhida fornece ao agente do Console permissões para gerenciar recursos nessa assinatura (por exemplo, Cloud Volumes ONTAP).

  7. Na página Rede, escolha uma VNet e uma sub-rede, se deseja habilitar um endereço IP público e, opcionalmente, especifique uma configuração de proxy.

  8. Revise suas seleções para verificar se sua configuração está correta.

    1. A caixa de seleção Validar configuração do agente é marcada por padrão para que o Console valide os requisitos de conectividade de rede quando você implantar. Se o Console não conseguir implantar o agente, ele fornecerá um relatório para ajudar você a solucionar o problema. Se a implantação for bem-sucedida, nenhum relatório será fornecido.

    Se você ainda estiver usando o"pontos finais anteriores" usado para atualizações de agentes, a validação falha com um erro. Para evitar isso, desmarque a caixa de seleção para pular a verificação de validação.

  9. Selecione Adicionar.

    O Console prepara a instância em cerca de 10 minutos. Permaneça na página até que o processo seja concluído.

Resultado

Após a conclusão do processo, o agente do Console estará disponível para uso no Console.

Observação Se a implantação falhar, você poderá baixar um relatório e logs do Console para ajudar a corrigir os problemas."Aprenda a solucionar problemas de instalação."

Se você tiver armazenamento de Blobs do Azure na mesma assinatura do Azure em que criou o agente do Console, verá um sistema de armazenamento de Blobs do Azure aparecer na página Sistemas automaticamente. "Aprenda a gerenciar o armazenamento de Blobs do Azure no NetApp Console"