Skip to main content
NetApp Console setup and administration
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Crie um agente de console no Google Cloud a partir do NetApp Console

Colaboradores netapp-tonias
PDFs

Você pode criar um agente do Console no Google Cloud a partir do Console. Você precisa configurar sua rede, preparar as permissões do Google Cloud, habilitar as APIs do Google Cloud e, em seguida, criar o agente do Console.

Antes de começar

Etapa 1: configurar a rede

Configure a rede para garantir que o agente do Console possa gerenciar recursos, com conexões a redes de destino e acesso de saída à Internet.

VPC e sub-rede

Ao criar o agente do Console, você precisa especificar a VPC e a sub-rede onde ele deve residir.

Conexões com redes de destino

O agente do Console requer uma conexão de rede com o local onde você planeja criar e gerenciar sistemas. Por exemplo, a rede onde você planeja criar sistemas Cloud Volumes ONTAP ou um sistema de armazenamento em seu ambiente local.

Acesso de saída à Internet

O local de rede onde você implanta o agente do Console deve ter uma conexão de saída com a Internet para entrar em contato com endpoints específicos.

Endpoints contatados pelo agente do Console

O agente do Console requer acesso de saída à Internet para entrar em contato com os seguintes endpoints para gerenciar recursos e processos dentro do seu ambiente de nuvem pública para operações diárias.

Os endpoints listados abaixo são todos entradas CNAME.

Pontos finais Propósito

\ https://www.googleapis.com/compute/v1/ \ https://compute.googleapis.com/compute/v1 \ https://cloudresourcemanager.googleapis.com/v1/projects \ https://www.googleapis.com/compute/beta \ https://storage.googleapis.com/storage/v1 \ https://www.googleapis.com/storage/v1 \ https://iam.googleapis.com/v1 \ https://cloudkms.googleapis.com/v1 \ https://www.googleapis.com/deploymentmanager/v2/projects

Para gerenciar recursos no Google Cloud.

\ https://mysupport.netapp.com

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte da NetApp .

\ https://support.netapp.com

Para obter informações de licenciamento e enviar mensagens do AutoSupport para o suporte da NetApp .

\ https://signin.b2c.netapp.com

Para atualizar as credenciais do NetApp Support Site (NSS) ou adicionar novas credenciais do NSS ao NetApp Console.

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

Para fornecer recursos e serviços no NetApp Console.

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

Para obter imagens para atualizações do agente do Console.

  • Quando você implanta um novo agente, a verificação de validação testa a conectividade com os endpoints atuais. Se você usar"pontos finais anteriores" , a verificação de validação falha. Para evitar essa falha, pule a verificação de validação.

    Embora os endpoints anteriores ainda sejam suportados, a NetApp recomenda atualizar suas regras de firewall para os endpoints atuais o mais rápido possível. "Aprenda como atualizar sua lista de endpoints" .

  • Quando você atualiza os endpoints atuais no seu firewall, seus agentes existentes continuarão funcionando.
Endpoints contatados do console NetApp

À medida que você usa o NetApp Console baseado na Web fornecido pela camada SaaS, ele entra em contato com vários endpoints para concluir tarefas de gerenciamento de dados. Isso inclui endpoints que são contatados para implantar o agente do Console a partir do Console.

"Exibir a lista de endpoints contatados pelo console do NetApp" .

Servidor proxy

O NetApp oferece suporte a configurações de proxy explícitas e transparentes. Se você estiver usando um proxy transparente, você só precisa fornecer o certificado para o servidor proxy. Se estiver usando um proxy explícito, você também precisará do endereço IP e das credenciais.

  • Endereço IP

  • Credenciais

  • Certificado HTTPS

Portos

Não há tráfego de entrada para o agente do Console, a menos que você o inicie ou se ele for usado como um proxy para enviar mensagens do AutoSupport do Cloud Volumes ONTAP para o Suporte da NetApp .

  • HTTP (80) e HTTPS (443) fornecem acesso à interface de usuário local, que você usará em raras circunstâncias.

  • SSH (22) só é necessário se você precisar se conectar ao host para solução de problemas.

  • Conexões de entrada pela porta 3128 serão necessárias se você implantar sistemas Cloud Volumes ONTAP em uma sub-rede onde uma conexão de saída com a Internet não esteja disponível.

    Se os sistemas Cloud Volumes ONTAP não tiverem uma conexão de saída com a Internet para enviar mensagens do AutoSupport , o Console configurará automaticamente esses sistemas para usar um servidor proxy incluído no agente do Console. O único requisito é garantir que o grupo de segurança do agente do Console permita conexões de entrada pela porta 3128. Você precisará abrir esta porta depois de implantar o agente do Console.

Habilitar NTP

Se você estiver planejando usar o NetApp Data Classification para verificar suas fontes de dados corporativos, deverá habilitar um serviço Network Time Protocol (NTP) no agente do Console e no sistema NetApp Data Classification para que o horário seja sincronizado entre os sistemas. "Saiba mais sobre a classificação de dados da NetApp"

Implemente este requisito de rede após criar o agente do Console.

Etapa 2: configurar permissões para criar o agente do Console

Antes de poder implantar um agente do Console a partir do Console, você precisa configurar permissões para o usuário da Plataforma Google que implanta a VM do agente do Console.

Passos

  1. Crie uma função personalizada na plataforma Google:

    1. Crie um arquivo YAML que inclua as seguintes permissões:

      title: Console agent deployment policy
description: Permissions for the user who deploys the Console agent
stage: GA
includedPermissions:
- compute.disks.create
- compute.disks.get
- compute.disks.list
- compute.disks.setLabels
- compute.disks.use
- compute.firewalls.create
- compute.firewalls.delete
- compute.firewalls.get
- compute.firewalls.list
- compute.globalOperations.get
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instances.attachDisk
- compute.instances.create
- compute.instances.get
- compute.instances.list
- compute.instances.setDeletionProtection
- compute.instances.setLabels
- compute.instances.setMachineType
- compute.instances.setMetadata
- compute.instances.setTags
- compute.instances.start
- compute.instances.updateDisplayDevice
- compute.machineTypes.get
- compute.networks.get
- compute.networks.list
- compute.networks.updatePolicy
- compute.projects.get
- compute.regions.get
- compute.regions.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.zoneOperations.get
- compute.zones.get
- compute.zones.list
- deploymentmanager.compositeTypes.get
- deploymentmanager.compositeTypes.list
- deploymentmanager.deployments.create
- deploymentmanager.deployments.delete
- deploymentmanager.deployments.get
- deploymentmanager.deployments.list
- deploymentmanager.manifests.get
- deploymentmanager.manifests.list
- deploymentmanager.operations.get
- deploymentmanager.operations.list
- deploymentmanager.resources.get
- deploymentmanager.resources.list
- deploymentmanager.typeProviders.get
- deploymentmanager.typeProviders.list
- deploymentmanager.types.get
- deploymentmanager.types.list
- resourcemanager.projects.get
- compute.instances.setServiceAccount
- iam.serviceAccounts.list

    2. No Google Cloud, ative o Cloud Shell.

    3. Faça upload do arquivo YAML que inclui as permissões necessárias.

    4. Crie uma função personalizada usando o gcloud iam roles create comando.

      O exemplo a seguir cria uma função chamada "connectorDeployment" no nível do projeto:

      gcloud iam roles criar connectorDeployment --project=myproject --file=connector-deployment.yaml

    "Documentação do Google Cloud: Criação e gerenciamento de funções personalizadas"

  2. Atribua esta função personalizada ao usuário que implantará o agente do Console a partir do Console ou usando o gcloud.

    "Documentação do Google Cloud: Conceder uma única função"

Etapa 3: Configurar permissões para as operações do agente do Console

Uma conta de serviço do Google Cloud é necessária para fornecer ao agente do Console as permissões necessárias para que o Console gerencie recursos no Google Cloud. Ao criar o agente do Console, você precisará associar essa conta de serviço à VM do agente do Console.

É sua responsabilidade atualizar a função personalizada à medida que novas permissões são adicionadas em versões subsequentes. Se novas permissões forem necessárias, elas serão listadas nas notas de versão.

Passos

  1. Crie uma função personalizada no Google Cloud:

    1. Crie um arquivo YAML que inclua o conteúdo do"permissões de conta de serviço para o agente do Console" .

    2. No Google Cloud, ative o Cloud Shell.

    3. Faça upload do arquivo YAML que inclui as permissões necessárias.

    4. Crie uma função personalizada usando o gcloud iam roles create comando.

      O exemplo a seguir cria uma função chamada "conector" no nível do projeto:

      gcloud iam roles create connector --project=myproject --file=connector.yaml

    "Documentação do Google Cloud: Criação e gerenciamento de funções personalizadas"

  2. Crie uma conta de serviço no Google Cloud e atribua a função à conta de serviço:

    1. No serviço IAM e Admin, selecione Contas de serviço > Criar conta de serviço.

    2. Insira os detalhes da conta de serviço e selecione Criar e continuar.

    3. Selecione a função que você acabou de criar.

    4. Conclua as etapas restantes para criar a função.

      "Documentação do Google Cloud: Criação de uma conta de serviço"

  3. Se você planeja implantar sistemas Cloud Volumes ONTAP em projetos diferentes daquele em que o agente do Console reside, será necessário fornecer à conta de serviço do agente do Console acesso a esses projetos.

    Por exemplo, digamos que o agente do Console esteja no projeto 1 e você queira criar sistemas Cloud Volumes ONTAP no projeto 2. Você precisará conceder acesso à conta de serviço no projeto 2.

    1. No serviço IAM e Admin, selecione o projeto do Google Cloud onde você deseja criar sistemas Cloud Volumes ONTAP .

    2. Na página IAM, selecione Conceder acesso e forneça os detalhes necessários.

      • Digite o e-mail da conta de serviço do agente do Console.

      • Selecione a função personalizada do agente do Console.

      • Selecione Salvar.

    Para mais detalhes, consulte "Documentação do Google Cloud"

Etapa 4: configurar permissões de VPC compartilhadas

Se você estiver usando uma VPC compartilhada para implantar recursos em um projeto de serviço, precisará preparar suas permissões.

Esta tabela é para referência e seu ambiente deve refletir a tabela de permissões quando a configuração do IAM estiver concluída.

Exibir permissões de VPC compartilhadas
Identidade Criador Hospedado em Permissões do projeto de serviço Permissões do projeto host Propósito

Conta do Google para implantar o agente

Personalizado

Projeto de Serviço

"Política de implantação do agente"

compute.networkUser

Implantando o agente no projeto de serviço

conta de serviço do agente

Personalizado

Projeto de serviço

"Política de conta de serviço do agente"

compute.networkUser gerenciador de implantação.editor

Implantando e mantendo o Cloud Volumes ONTAP e serviços no projeto de serviço

Conta de serviço Cloud Volumes ONTAP

Personalizado

Projeto de serviço

membro storage.admin: conta de serviço do NetApp Console como serviceAccount.user

N / D

(Opcional) Para NetApp Cloud Tiering e NetApp Backup and Recovery

Agente de serviço de APIs do Google

Google Cloud

Projeto de serviço

(Padrão) Editor

compute.networkUser

Interage com as APIs do Google Cloud em nome da implantação. Permite que o Console use a rede compartilhada.

Conta de serviço padrão do Google Compute Engine

Google Cloud

Projeto de serviço

(Padrão) Editor

compute.networkUser

Implanta instâncias do Google Cloud e infraestrutura de computação em nome da implantação. Permite que o Console use a rede compartilhada.

Observações:

  1. deploymentmanager.editor só é necessário no projeto host se você não estiver passando regras de firewall para a implantação e optar por deixar que o Console as crie para você. O NetApp Console cria uma implantação no projeto host que contém a regra de firewall VPC0 se nenhuma regra for especificada.

  2. firewall.create e firewall.delete só são necessários se você não estiver passando regras de firewall para a implantação e optar por deixar que o Console as crie para você. Essas permissões residem no arquivo .yaml da conta do Console. Se você estiver implantando um par de HA usando uma VPC compartilhada, essas permissões serão usadas para criar as regras de firewall para VPC1, 2 e 3. Para todas as outras implantações, essas permissões também serão usadas para criar regras para VPC0.

  3. Para Cloud Tiering, a conta de serviço de hierarquização deve ter a função serviceAccount.user na conta de serviço, não apenas no nível do projeto. Atualmente, se você atribuir serviceAccount.user no nível do projeto, as permissões não serão exibidas quando você consultar a conta de serviço com getIAMPolicy.

Etapa 5: habilitar as APIs do Google Cloud

Você deve habilitar várias APIs do Google Cloud antes de implantar o agente do Console e o Cloud Volumes ONTAP.

Etapa

  1. Ative as seguintes APIs do Google Cloud no seu projeto:

    • API do Gerenciador de Implantação em Nuvem V2

    • API de registro em nuvem

    • API do Gerenciador de Recursos de Nuvem

    • API do mecanismo de computação

    • API de gerenciamento de identidade e acesso (IAM)

    • API do Serviço de Gerenciamento de Chaves em Nuvem (KMS)

      (Obrigatório somente se você estiver planejando usar o NetApp Backup and Recovery com chaves de criptografia gerenciadas pelo cliente (CMEK))

"Documentação do Google Cloud: Habilitando APIs"

Etapa 6: Criar o agente do Console

Crie um agente do Console diretamente do Console.

Sobre esta tarefa

A criação do agente do Console implanta uma instância de máquina virtual no Google Cloud usando uma configuração padrão. Não mude para uma instância de VM menor com menos CPUs ou menos RAM depois de criar o agente do Console. "Saiba mais sobre a configuração padrão do agente do Console" .

Antes de começar

Você deve ter o seguinte:

  • As permissões necessárias do Google Cloud para criar o agente do Console e uma conta de serviço para a VM do agente do Console.

  • Uma VPC e uma sub-rede que atendem aos requisitos de rede.

  • Detalhes sobre um servidor proxy, caso um proxy seja necessário para acesso à Internet a partir do agente do Console.

Passos

  1. Selecione Administração > Agentes.

  2. Na página Visão geral, selecione Implantar agente > Google Cloud

  3. Na página Implantando um agente, revise os detalhes sobre o que você precisará. Você tem duas opções:

    1. Selecione Continuar para se preparar para a implantação usando o guia do produto. Cada etapa do guia do produto inclui as informações contidas nesta página da documentação.

    2. Selecione Ir para a implantação se você já se preparou seguindo as etapas desta página.

  4. Siga as etapas do assistente para criar o agente do Console:

    • Se solicitado, faça login na sua conta do Google, que deve ter as permissões necessárias para criar a instância da máquina virtual.

      O formulário é de propriedade e hospedado pelo Google. Suas credenciais não são fornecidas à NetApp.

    • Detalhes: Insira um nome para a instância da máquina virtual, especifique tags, selecione um projeto e, em seguida, selecione a conta de serviço que tem as permissões necessárias (consulte a seção acima para obter detalhes).

    • Localização: especifique uma região, zona, VPC e sub-rede para a instância.

    • Rede: Escolha se deseja habilitar um endereço IP público e, opcionalmente, especifique uma configuração de proxy.

    • Tags de rede: adicione uma tag de rede à instância do agente do Console se estiver usando um proxy transparente. As tags de rede devem começar com uma letra minúscula e podem conter letras minúsculas, números e hifens. As tags devem terminar com uma letra minúscula ou um número. Por exemplo, você pode usar a tag "console-agent-proxy".

    • Política de firewall: escolha se deseja criar uma nova política de firewall ou selecionar uma política de firewall existente que permita as regras de entrada e saída necessárias.

      "Regras de firewall no Google Cloud"

  5. Revise suas seleções para verificar se sua configuração está correta.

    1. A caixa de seleção Validar configuração do agente é marcada por padrão para que o Console valide os requisitos de conectividade de rede quando você implantar. Se o Console não conseguir implantar o agente, ele fornecerá um relatório para ajudar você a solucionar o problema. Se a implantação for bem-sucedida, nenhum relatório será fornecido.

    Se você ainda estiver usando o"pontos finais anteriores" usado para atualizações de agentes, a validação falha com um erro. Para evitar isso, desmarque a caixa de seleção para pular a verificação de validação.

  6. Selecione Adicionar.

    A instância estará pronta em aproximadamente 10 minutos; permaneça na página até que o processo seja concluído.

Resultado

Após a conclusão do processo, o agente do Console estará disponível para uso.

Observação Se a implantação falhar, você poderá baixar um relatório e logs do Console para ajudar a corrigir os problemas."Aprenda a solucionar problemas de instalação."

Se você tiver buckets do Google Cloud Storage na mesma conta do Google Cloud onde criou o agente do Console, verá um sistema do Google Cloud Storage aparecer na página Sistemas automaticamente. "Aprenda a gerenciar o Google Cloud Storage pelo Console"