Skip to main content
NetApp Console setup and administration
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Crie um agente de console no Azure Marketplace

Colaboradores netapp-tonias
PDFs

Você pode criar um agente de console no Azure diretamente do Azure Marketplace. Para criar um agente do Console no Azure Marketplace, você precisa configurar sua rede, preparar as permissões do Azure, revisar os requisitos da instância e, em seguida, criar o agente do Console.

Antes de começar

Etapa 1: configurar a rede

Certifique-se de que o local de rede onde você planeja instalar o agente do Console atenda aos seguintes requisitos. Esses requisitos permitem que o agente do Console gerencie recursos na sua nuvem híbrida.

Região Azure

Se você usar o Cloud Volumes ONTAP, o agente do Console deverá ser implantado na mesma região do Azure que os sistemas Cloud Volumes ONTAP que ele gerencia ou no "Par de regiões do Azure" para os sistemas Cloud Volumes ONTAP . Esse requisito garante que uma conexão do Azure Private Link seja usada entre o Cloud Volumes ONTAP e suas contas de armazenamento associadas.

"Saiba como o Cloud Volumes ONTAP usa um Azure Private Link"

VNet e sub-rede

Ao criar o agente do Console, você precisa especificar a VNet e a sub-rede onde ele deve residir.

Conexões com redes de destino

O agente do Console requer uma conexão de rede com o local onde você planeja criar e gerenciar sistemas. Por exemplo, a rede onde você planeja criar sistemas Cloud Volumes ONTAP ou um sistema de armazenamento em seu ambiente local.

Acesso de saída à Internet

O local de rede onde você implanta o agente do Console deve ter uma conexão de saída com a Internet para entrar em contato com endpoints específicos.

Endpoints contatados pelo agente do Console

O agente do Console requer acesso de saída à Internet para entrar em contato com os seguintes endpoints para gerenciar recursos e processos dentro do seu ambiente de nuvem pública para operações diárias.

Os endpoints listados abaixo são todos entradas CNAME.

Pontos finais Propósito

\ https://management.azure.com \ https://login.microsoftonline.com \ https://blob.core.windows.net \ https://core.windows.net

Para gerenciar recursos em regiões públicas do Azure.

\ https://management.chinacloudapi.cn \ https://login.chinacloudapi.cn \ https://blob.core.chinacloudapi.cn \ https://core.chinacloudapi.cn

Para gerenciar recursos nas regiões do Azure China.

\ https://mysupport.netapp.com

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte da NetApp .

\ https://support.netapp.com

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte da NetApp .

\ https://signin.b2c.netapp.com

Para atualizar as credenciais do NetApp Support Site (NSS) ou adicionar novas credenciais do NSS ao NetApp Console.

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Para fornecer recursos e serviços no NetApp Console.

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Para obter imagens para atualizações do agente do Console.

  • Quando você implanta um novo agente, a verificação de validação testa a conectividade com os endpoints atuais. Se você usar"pontos finais anteriores" , a verificação de validação falha. Para evitar essa falha, pule a verificação de validação.

    Embora os endpoints anteriores ainda sejam suportados, a NetApp recomenda atualizar suas regras de firewall para os endpoints atuais o mais rápido possível. "Aprenda como atualizar sua lista de endpoints" .

  • Quando você atualiza os endpoints atuais no seu firewall, seus agentes existentes continuarão funcionando.
Servidor proxy

O NetApp oferece suporte a configurações de proxy explícitas e transparentes. Se você estiver usando um proxy transparente, você só precisa fornecer o certificado para o servidor proxy. Se estiver usando um proxy explícito, você também precisará do endereço IP e das credenciais.

  • Endereço IP

  • Credenciais

  • Certificado HTTPS

Portos

Não há tráfego de entrada para o agente do Console, a menos que você o inicie ou se ele for usado como um proxy para enviar mensagens do AutoSupport do Cloud Volumes ONTAP para o Suporte da NetApp .

  • HTTP (80) e HTTPS (443) fornecem acesso à interface de usuário local, que você usará em raras circunstâncias.

  • SSH (22) só é necessário se você precisar se conectar ao host para solução de problemas.

  • Conexões de entrada pela porta 3128 serão necessárias se você implantar sistemas Cloud Volumes ONTAP em uma sub-rede onde uma conexão de saída com a Internet não esteja disponível.

    Se os sistemas Cloud Volumes ONTAP não tiverem uma conexão de saída com a Internet para enviar mensagens do AutoSupport , o Console configurará automaticamente esses sistemas para usar um servidor proxy incluído no agente do Console. O único requisito é garantir que o grupo de segurança do agente do Console permita conexões de entrada pela porta 3128. Você precisará abrir esta porta depois de implantar o agente do Console.

Habilitar NTP

Se você estiver planejando usar o NetApp Data Classification para verificar suas fontes de dados corporativos, deverá habilitar um serviço Network Time Protocol (NTP) no agente do Console e no sistema NetApp Data Classification para que o horário seja sincronizado entre os sistemas. "Saiba mais sobre a classificação de dados da NetApp"

Implemente os requisitos de rede após criar o agente do Console.

Etapa 2: Revisar os requisitos da VM

Ao criar o agente do Console, escolha um tipo de máquina virtual que atenda aos seguintes requisitos.

CPU

8 núcleos ou 8 vCPUs

BATER

32 GB

Tamanho da VM do Azure

Um tipo de instância que atende aos requisitos de CPU e RAM acima. Recomendamos Standard_D8s_v3.

Etapa 3: Configurar permissões

Você pode fornecer permissões das seguintes maneiras:

  • Opção 1: atribuir uma função personalizada à VM do Azure usando uma identidade gerenciada atribuída pelo sistema.

  • Opção 2: forneça ao Console as credenciais para uma entidade de serviço do Azure que tenha as permissões necessárias.

Siga estas etapas para configurar permissões para o Console.

Função personalizada

Observe que você pode criar uma função personalizada do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. As etapas a seguir mostram como criar a função usando a CLI do Azure. Se preferir usar um método diferente, consulte "Documentação do Azure"

Passos

  1. Se você estiver planejando instalar manualmente o software em seu próprio host, habilite uma identidade gerenciada atribuída pelo sistema na VM para que você possa fornecer as permissões necessárias do Azure por meio de uma função personalizada.

    "Documentação do Microsoft Azure: Configurar identidades gerenciadas para recursos do Azure em uma VM usando o portal do Azure"

  2. Copie o conteúdo do"permissões de função personalizadas para o Conector" e salvá-los em um arquivo JSON.

  3. Modifique o arquivo JSON adicionando IDs de assinatura do Azure ao escopo atribuível.

    Você deve adicionar o ID de cada assinatura do Azure que deseja usar com o NetApp Console.

    Exemplo

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

  4. Use o arquivo JSON para criar uma função personalizada no Azure.

    As etapas a seguir descrevem como criar a função usando o Bash no Azure Cloud Shell.

    1. Começar "Azure Cloud Shell" e escolha o ambiente Bash.

    2. Carregue o arquivo JSON.

      Uma captura de tela do Azure Cloud Shell onde você pode escolher a opção de carregar um arquivo.

    3. Use a CLI do Azure para criar a função personalizada:

      az role definition create --role-definition Connector_Policy.json
Diretor de serviço

Crie e configure uma entidade de serviço no Microsoft Entra ID e obtenha as credenciais do Azure necessárias para o Console.

Crie um aplicativo Microsoft Entra para controle de acesso baseado em função

  1. Verifique se você tem permissões no Azure para criar um aplicativo do Active Directory e atribuir o aplicativo a uma função.

    Para mais detalhes, consulte "Documentação do Microsoft Azure: Permissões necessárias"

  2. No portal do Azure, abra o serviço Microsoft Entra ID.

    Mostra o serviço do Active Directory no Microsoft Azure.

  3. No menu, selecione Registros de aplicativos.

  4. Selecione Novo registro.

  5. Especifique detalhes sobre o aplicativo:

    • Nome: Digite um nome para o aplicativo.

    • Tipo de conta: Selecione um tipo de conta (qualquer um funcionará com o NetApp Console).

    • URI de redirecionamento: Você pode deixar este campo em branco.

  6. Selecione Registrar.

    Você criou o aplicativo AD e a entidade de serviço.

Atribuir o aplicativo a uma função

  1. Crie uma função personalizada:

    Observe que você pode criar uma função personalizada do Azure usando o portal do Azure, o Azure PowerShell, a CLI do Azure ou a API REST. As etapas a seguir mostram como criar a função usando a CLI do Azure. Se preferir usar um método diferente, consulte "Documentação do Azure"

    1. Copie o conteúdo do"permissões de função personalizadas para o agente do Console" e salvá-los em um arquivo JSON.

    2. Modifique o arquivo JSON adicionando IDs de assinatura do Azure ao escopo atribuível.

      Você deve adicionar o ID de cada assinatura do Azure a partir da qual os usuários criarão sistemas Cloud Volumes ONTAP .

      Exemplo

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. Use o arquivo JSON para criar uma função personalizada no Azure.

      As etapas a seguir descrevem como criar a função usando o Bash no Azure Cloud Shell.

      • Começar "Azure Cloud Shell" e escolha o ambiente Bash.

      • Carregue o arquivo JSON.

        Uma captura de tela do Azure Cloud Shell onde você pode escolher a opção de carregar um arquivo.

      • Use a CLI do Azure para criar a função personalizada:

        az role definition create --role-definition Connector_Policy.json

        Agora você deve ter uma função personalizada chamada Operador do Console que pode ser atribuída à máquina virtual do agente do Console.

  2. Atribuir o aplicativo à função:

    1. No portal do Azure, abra o serviço Assinaturas.

    2. Selecione a assinatura.

    3. Selecione Controle de acesso (IAM) > Adicionar > Adicionar atribuição de função.

    4. Na guia Função, selecione a função Operador de console e selecione Avançar.

    5. Na aba Membros, complete os seguintes passos:

      • Mantenha Usuário, grupo ou entidade de serviço selecionado.

      • Selecione Selecionar membros.

        Uma captura de tela do portal do Azure que mostra a página Membros ao adicionar uma função a um aplicativo.

      • Pesquise o nome do aplicativo.

        Aqui está um exemplo:

      Uma captura de tela do portal do Azure que mostra o formulário Adicionar atribuição de função no portal do Azure.

      • Selecione o aplicativo e selecione Selecionar.

      • Selecione Avançar.

    6. Selecione Revisar + atribuir.

      O principal de serviço agora tem as permissões necessárias do Azure para implantar o agente do Console.

    Se você quiser implantar o Cloud Volumes ONTAP de várias assinaturas do Azure, será necessário vincular a entidade de serviço a cada uma dessas assinaturas. No NetApp Console, você pode selecionar a assinatura que deseja usar ao implantar o Cloud Volumes ONTAP.

Adicionar permissões da API de Gerenciamento de Serviços do Windows Azure

  1. No serviço Microsoft Entra ID, selecione Registros de aplicativos e selecione o aplicativo.

  2. Selecione Permissões de API > Adicionar uma permissão.

  3. Em APIs da Microsoft, selecione Azure Service Management.

    Uma captura de tela do portal do Azure que mostra as permissões da API de Gerenciamento de Serviços do Azure.

  4. Selecione Acessar o Gerenciamento de Serviços do Azure como usuários da organização e, em seguida, selecione Adicionar permissões.

    Uma captura de tela do portal do Azure que mostra a adição das APIs de Gerenciamento de Serviços do Azure.

Obtenha o ID do aplicativo e o ID do diretório para o aplicativo

  1. No serviço Microsoft Entra ID, selecione Registros de aplicativos e selecione o aplicativo.

  2. Copie o ID do aplicativo (cliente) e o ID do diretório (locatário).

    Uma captura de tela que mostra o ID do aplicativo (cliente) e o ID do diretório (locatário) para um aplicativo no Microsoft Entra IDy.

    Ao adicionar a conta do Azure ao Console, você precisa fornecer o ID do aplicativo (cliente) e o ID do diretório (locatário) para o aplicativo. O Console usa os IDs para fazer login programaticamente.

Criar um segredo do cliente

  1. Abra o serviço Microsoft Entra ID.

  2. Selecione Registros de aplicativos e selecione seu aplicativo.

  3. Selecione Certificados e segredos > Novo segredo do cliente.

  4. Forneça uma descrição do segredo e uma duração.

  5. Selecione Adicionar.

  6. Copie o valor do segredo do cliente.

    Uma captura de tela do portal do Azure que mostra um segredo do cliente para a entidade de serviço do Microsoft Entra.

Etapa 4: criar o agente do console

Inicie o agente do Console diretamente do Azure Marketplace.

Sobre esta tarefa

A criação do agente do Console no Azure Marketplace configura uma máquina virtual com uma configuração padrão. "Saiba mais sobre a configuração padrão do agente do Console" .

Antes de começar

Você deve ter o seguinte:

  • Uma assinatura do Azure.

  • Uma VNet e uma sub-rede na região do Azure de sua escolha.

  • Detalhes sobre um servidor proxy, caso sua organização exija um proxy para todo o tráfego de saída da Internet:

    • Endereço IP

    • Credenciais

    • Certificado HTTPS

  • Uma chave pública SSH, se você quiser usar esse método de autenticação para a máquina virtual do agente do Console. A outra opção para o método de autenticação é usar uma senha.

    "Saiba mais sobre como se conectar a uma VM Linux no Azure"

  • Se você não quiser que o Console crie automaticamente uma função do Azure para o agente do Console, será necessário criar sua própria"usando a política nesta página" .

    Essas permissões são para a própria instância do agente do Console. É um conjunto diferente de permissões do que você configurou anteriormente para implantar a VM do agente do Console.

Passos

  1. Acesse a página da VM do agente do NetApp Console no Azure Marketplace.

    "Página do Azure Marketplace para regiões comerciais"

  2. Selecione Obter agora e depois selecione Continuar.

  3. No portal do Azure, selecione Criar e siga as etapas para configurar a máquina virtual.

    Observe o seguinte ao configurar a VM:

    • Tamanho da VM: escolha um tamanho de VM que atenda aos requisitos de CPU e RAM. Recomendamos Standard_D8s_v3.

    • Discos: O agente do Console pode ter desempenho ideal com discos HDD ou SSD.

    • Grupo de segurança de rede: O agente do Console requer conexões de entrada usando SSH, HTTP e HTTPS.

      "Exibir regras de grupo de segurança para o Azure" .

    • Identidade*: Em Gerenciamento, selecione Ativar identidade gerenciada atribuída pelo sistema.

      Essa configuração é importante porque uma identidade gerenciada permite que a máquina virtual do agente do Console se identifique no Microsoft Entra ID sem fornecer nenhuma credencial. "Saiba mais sobre identidades gerenciadas para recursos do Azure" .

  4. Na página Revisar + criar, revise suas seleções e selecione Criar para iniciar a implantação.

    O Azure implanta a máquina virtual com as configurações especificadas. Você deverá ver a máquina virtual e o software do agente do console em execução em cerca de dez minutos.

    Observação Se a instalação falhar, você poderá visualizar logs e um relatório para ajudar a solucionar problemas."Aprenda a solucionar problemas de instalação."

  5. Abra um navegador da Web em um host que tenha uma conexão com a máquina virtual do agente do Console e insira o seguinte URL:

    https://ipaddress

  6. Após efetuar login, configure o agente do Console:

    1. Especifique a organização do Console a ser associada ao agente do Console.

    2. Digite um nome para o sistema.

    3. Em Você está executando em um ambiente seguro? mantenha o modo restrito desabilitado.

      Mantenha o modo restrito desabilitado para usar o Console no modo padrão. Você deve habilitar o modo restrito somente se tiver um ambiente seguro e quiser desconectar esta conta dos serviços de backend do Console. Se for esse o caso,"siga os passos para começar a usar o Console no modo restrito" .

    4. Selecione Vamos começar.

Resultado

Agora você instalou o agente do Console e o configurou com sua organização do Console.

Se você tiver armazenamento de Blobs do Azure na mesma assinatura do Azure em que criou o agente do Console, verá um sistema de armazenamento de Blobs do Azure aparecer na página Sistemas automaticamente. "Aprenda a gerenciar o armazenamento de Blobs do Azure no Console"

Etapa 5: fornecer permissões ao agente do Console

Agora que você criou o agente do Console, precisa fornecer a ele as permissões que configurou anteriormente. Fornecer as permissões permite que o agente do Console gerencie seus dados e infraestrutura de armazenamento no Azure.

Função personalizada

Acesse o portal do Azure e atribua a função personalizada do Azure à máquina virtual do agente do Console para uma ou mais assinaturas.

Passos

  1. No Portal do Azure, abra o serviço Assinaturas e selecione sua assinatura.

    É importante atribuir a função do serviço Assinaturas porque isso especifica o escopo da atribuição de função no nível da assinatura. O escopo define o conjunto de recursos aos quais o acesso se aplica. Se você especificar um escopo em um nível diferente (por exemplo, no nível da máquina virtual), sua capacidade de concluir ações no NetApp Console será afetada.

    "Documentação do Microsoft Azure: Entenda o escopo do RBAC do Azure"

  2. Selecione Controle de acesso (IAM) > Adicionar > Adicionar atribuição de função.

  3. Na guia Função, selecione a função Operador de console e selecione Avançar.

    Observação Operador do console é o nome padrão fornecido na política. Se você escolheu um nome diferente para a função, selecione esse nome.

  4. Na aba Membros, complete os seguintes passos:

    1. Atribuir acesso a uma Identidade gerenciada.

    2. Selecione Selecionar membros, selecione a assinatura na qual a máquina virtual do agente do Console foi criada, em Identidade gerenciada, escolha Máquina virtual e selecione a máquina virtual do agente do Console.

    3. Selecione Selecionar.

    4. Selecione Avançar.

    5. Selecione Revisar + atribuir.

    6. Se você quiser gerenciar recursos em assinaturas adicionais do Azure, alterne para essa assinatura e repita essas etapas.

O que vem a seguir?

Vá para o "Console NetApp" para começar a usar o agente do Console.

Diretor de serviço
Passos

  1. Selecione Administração > Credenciais.

  2. Selecione Adicionar credenciais e siga as etapas do assistente.

    1. Localização das credenciais: Selecione Microsoft Azure > Agente.

    2. Definir credenciais: insira informações sobre a entidade de serviço do Microsoft Entra que concede as permissões necessárias:

      • ID do aplicativo (cliente)

      • ID do diretório (inquilino)

      • Segredo do cliente

    3. Assinatura do Marketplace: Associe uma assinatura do Marketplace a essas credenciais assinando agora ou selecionando uma assinatura existente.

    4. Revisar: Confirme os detalhes sobre as novas credenciais e selecione Adicionar.

Resultado

O Console agora tem as permissões necessárias para executar ações no Azure em seu nome.