从BlueXP在Azure中创建连接器
第1步:设置网络
确保您计划安装Connector的网络位置符合以下要求。满足这些要求后、Connector便可管理混合云环境中的资源和流程。
- Azure 区域
-
如果您使用Cloud Volumes ONTAP、则连接器应部署在与所管理的Cloud Volumes ONTAP系统相同的Azure区域或中 "Azure 区域对" 对于 Cloud Volumes ONTAP 系统。此要求可确保在 Cloud Volumes ONTAP 与其关联存储帐户之间使用 Azure 专用链路连接。
- vNet和子网
-
创建Connector时、需要指定此Connector应驻留的vNet和子网。
- 连接到目标网络
-
Connector需要与您计划创建和管理工作环境的位置建立网络连接。例如、您计划在内部环境中创建Cloud Volumes ONTAP系统或存储系统的网络。
- 出站 Internet 访问
-
部署连接器的网络位置必须具有出站Internet连接才能联系特定端点。
- 从连接器连接的端点
-
Connector需要通过出站Internet访问与以下端点联系、以便管理公共云环境中的资源和流程、以实现日常运营。
请注意、下面列出的端点均为CNAME条目。
端点 目的 https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net管理Azure公共区域中的资源。
https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn管理Azure中国地区的资源。
获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。
https://*.api BlueXP .NetApp.com https://api.BlueXP .NetApp.com https://*.cloudmanager.cloud.NetApp.com https://cloudmanager.cloud.NetApp.com \https:NetApp-cloud-account.auth0.com
在BlueXP中提供SaaS功能和服务。
请注意、Connector目前正在联系cloudmanager.cloud.netapp.com"、但在即将发布的版本中、它将开始联系api.bluexp.netapp.com"。
在两组端点之间进行选择:
-
选项1 (推荐)1
https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io
-
备选案文2.
https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io
获取用于Connector升级的映像。
1建议使用选项1中列出的端点、因为它们更安全。建议您设置防火墙、允许选项1中列出的端点、而禁止选项2中列出的端点。请注意以下有关这些端点的信息:
-
从3.9.47版本的连接器开始、支持选项1中列出的端点。与先前版本的Connector没有向后兼容性。
-
连接器首先连接选项2中列出的端点。如果这些端点不可访问、连接器会自动联系选项1中列出的端点。
-
如果将连接器与BlueXP 备份和恢复或BlueXP 勒索软件保护结合使用、则不支持选项1中的端点。在这种情况下、您可以禁止选项1中列出的端点、同时允许选项2中列出的端点。
-
- 从BlueXP控制台访问的端点
-
当您使用通过SaaS层提供的基于Web的BlueXP控制台时、它会与多个端点联系以完成数据管理任务。这包括从BlueXP控制台部署Connector所需访问的端点。
- 代理服务器
-
如果您的企业需要为所有传出Internet流量部署代理服务器、请获取有关HTTP或HTTPS代理的以下信息。您需要在安装期间提供此信息。请注意、BlueXP不支持透明代理服务器。
-
IP 地址
-
凭据
-
HTTPS证书
-
- 端口
-
除非您启动连接器或将连接器用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持、否则不会有传入连接器的流量。
-
通过 HTTP ( 80 )和 HTTPS ( 443 ),您可以访问本地 UI ,在极少数情况下,您可以使用此界面。
-
只有在需要连接到主机进行故障排除时,才需要使用 SSH ( 22 )。
-
如果您在出站Internet连接不可用的子网中部署Cloud Volumes ONTAP 系统、则需要通过端口3128进行入站连接。
如果Cloud Volumes ONTAP系统没有用于发送AutoSupport消息的出站Internet连接、BlueXP会自动将这些系统配置为使用连接器附带的代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行入站连接。部署Connector后、您需要打开此端口。
-
- 启用NTP
-
如果您计划使用BlueXP分类来扫描公司数据源、则应在BlueXP Connector系统和BlueXP分类系统上启用网络时间协议(Network Time Protocol、NTP)服务、以便在系统之间同步时间。 "了解有关BlueXP分类的更多信息"
创建连接器后、您需要实施此网络连接要求。
第2步:创建自定义角色
创建Azure自定义角色、您可以将其分配给Azure帐户或Microsoft Entra服务主体。BlueXP使用Azure进行身份验证、并使用这些权限代表您创建Connector实例。
请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"
-
在Azure中复制新自定义角色所需的权限、并将其保存在JSON文件中。
此自定义角色仅包含从BlueXP在Azure中启动Connector VM所需的权限。请勿在其他情况下使用此策略。在BlueXP创建Connector时、它会将一组新权限应用于Connector VM、以使Connector能够管理Azure资源。 { "Name": "Azure SetupAsService", "Actions": [ "Microsoft.Compute/disks/delete", "Microsoft.Compute/disks/read", "Microsoft.Compute/disks/write", "Microsoft.Compute/locations/operations/read", "Microsoft.Compute/operations/read", "Microsoft.Compute/virtualMachines/instanceView/read", "Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/virtualMachines/write", "Microsoft.Compute/virtualMachines/delete", "Microsoft.Compute/virtualMachines/extensions/write", "Microsoft.Compute/virtualMachines/extensions/read", "Microsoft.Compute/availabilitySets/read", "Microsoft.Network/locations/operationResults/read", "Microsoft.Network/locations/operations/read", "Microsoft.Network/networkInterfaces/join/action", "Microsoft.Network/networkInterfaces/read", "Microsoft.Network/networkInterfaces/write", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkSecurityGroups/join/action", "Microsoft.Network/networkSecurityGroups/read", "Microsoft.Network/networkSecurityGroups/write", "Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/join/action", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Network/virtualNetworks/subnets/virtualMachines/read", "Microsoft.Network/virtualNetworks/virtualMachines/read", "Microsoft.Network/publicIPAddresses/write", "Microsoft.Network/publicIPAddresses/read", "Microsoft.Network/publicIPAddresses/delete", "Microsoft.Network/networkSecurityGroups/securityRules/read", "Microsoft.Network/networkSecurityGroups/securityRules/write", "Microsoft.Network/networkSecurityGroups/securityRules/delete", "Microsoft.Network/publicIPAddresses/join/action", "Microsoft.Network/locations/virtualNetworkAvailableEndpointServices/read", "Microsoft.Network/networkInterfaces/ipConfigurations/read", "Microsoft.Resources/deployments/operations/read", "Microsoft.Resources/deployments/read", "Microsoft.Resources/deployments/delete", "Microsoft.Resources/deployments/cancel/action", "Microsoft.Resources/deployments/validate/action", "Microsoft.Resources/resources/read", "Microsoft.Resources/subscriptions/operationresults/read", "Microsoft.Resources/subscriptions/resourceGroups/delete", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Resources/subscriptions/resourcegroups/resources/read", "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Authorization/roleDefinitions/write", "Microsoft.Authorization/roleAssignments/write", "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read", "Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Storage/storageAccounts/delete", "Microsoft.Storage/storageAccounts/write", "Microsoft.Resources/deployments/write", "Microsoft.Resources/deployments/operationStatuses/read", "Microsoft.Authorization/roleAssignments/read" ], "NotActions": [], "AssignableScopes": [], "Description": "Azure SetupAsService", "IsCustom": "true" }
-
通过将Azure订阅ID添加到可分配范围来修改JSON。
-
示例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz" ],
-
-
使用 JSON 文件在 Azure 中创建自定义角色。
以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。
-
start "Azure Cloud Shell" 并选择 Bash 环境。
-
上传 JSON 文件。
-
输入以下 Azure 命令行界面命令:
az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json
现在,您应具有一个名为 Azure SetupAsService 的自定义角色。现在、您可以将此自定义角色应用于您的用户帐户或服务主体。
-
第3步:设置身份验证
从BlueXP创建Connector时、您需要提供一个登录名、以便BlueXP能够向Azure进行身份验证并部署虚拟机。您有两种选择:
-
出现提示时、使用您的Azure帐户登录。此帐户必须具有特定的 Azure 权限。这是默认选项。
-
提供有关Microsoft Entra服务主体的详细信息。此服务主体还需要特定权限。
按照以下步骤准备这些身份验证方法之一、以便用于BlueXP。
将自定义角色分配给要从BlueXP部署Connector的用户。
-
在Azure门户中、打开*订阅*服务并选择用户的订阅。
-
单击 * 访问控制( IAM ) * 。
-
单击 * 添加 * > * 添加角色分配 * ,然后添加权限:
-
选择 * Azure SetupAsService* 角色,然后单击 * 下一步 * 。
Azure SetupAsService是Azure的Connector部署策略中提供的默认名称。如果您为角色选择了其他名称,请选择该名称。 -
保持选中 * 用户,组或服务主体 * 。
-
单击 * 选择成员 * ,选择您的用户帐户,然后单击 * 选择 * 。
-
单击 * 下一步 * 。
-
单击 * 审核 + 分配 * 。
-
Azure用户现在具有从BlueXP部署Connector所需的权限。
您可以为BlueXP提供具有所需权限的Azure服务主体的凭据、而不是使用Azure帐户登录。
在Microsoft Entra ID中创建和设置服务主体、并获取BlueXP所需的Azure凭据。
-
确保您在Azure中拥有创建Active Directory应用程序和将应用程序分配给角色的权限。
有关详细信息,请参见 "Microsoft Azure 文档:所需权限"
-
从Azure门户中,打开*Microsoft Entra ID*服务。
-
在菜单中、选择*应用程序注册*。
-
选择*新建注册*。
-
指定有关应用程序的详细信息:
-
* 名称 * :输入应用程序的名称。
-
帐户类型:选择帐户类型(任何将适用于BlueXP)。
-
* 重定向 URI* :可以将此字段留空。
-
-
选择 * 注册 * 。
您已创建 AD 应用程序和服务主体。
-
从 Azure 门户中,打开 * 订阅 * 服务。
-
选择订阅。
-
单击 * 访问控制( IAM ) > 添加 > 添加角色分配 * 。
-
在*角色*选项卡中、选择* BlueXP操作员*角色、然后单击*下一步*。
-
在 * 成员 * 选项卡中,完成以下步骤:
-
保持选中 * 用户,组或服务主体 * 。
-
单击 * 选择成员 * 。
-
搜索应用程序的名称。
以下是一个示例:
-
选择应用程序并单击 * 选择 * 。
-
单击 * 下一步 * 。
-
-
单击 * 审核 + 分配 * 。
现在,服务主体具有部署 Connector 所需的 Azure 权限。
如果要管理多个Azure订阅中的资源、则必须将服务主体绑定到其中每个订阅。例如、通过BlueXP、您可以选择要在部署Cloud Volumes ONTAP时使用的订阅。
-
在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。
-
选择* API权限>添加权限*。
-
在 * Microsoft APIs* 下,选择 * Azure Service Management* 。
-
选择*以组织用户身份访问Azure服务管理*、然后选择*添加权限*。
-
在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。
-
复制 * 应用程序(客户端) ID* 和 * 目录(租户) ID* 。
将Azure帐户添加到BlueXP时、您需要提供应用程序(客户端) ID和目录(租户) ID。BlueXP使用ID以编程方式登录。
-
打开*Microsoft Entra ID*服务。
-
选择*应用程序注册*并选择您的应用程序。
-
选择*证书和机密>新客户端机密*。
-
提供密钥和持续时间的问题描述。
-
选择 * 添加 * 。
-
复制客户端密钥的值。
现在、您有了一个客户端密钥、BlueXP可以使用它通过Microsoft Entra ID进行身份验证。
此时,您的服务主体已设置完毕,您应已复制应用程序(客户端) ID ,目录(租户) ID 和客户端密钥值。创建Connector时、您需要在BlueXP中输入此信息。
第4步:创建连接器
直接从BlueXP基于Web的控制台创建Connector。
-
从BlueXP创建连接器会使用默认配置在Azure中部署虚拟机。创建连接器后、不应更改为CPU或RAM更少的较小虚拟机类型。 "了解Connector的默认配置"。
-
在BlueXP部署Connector时、它会创建一个自定义角色并将其分配给Connector VM。此角色包含允许Connector管理Azure资源的权限。在后续版本中添加新权限时、您需要确保此角色保持最新。 "详细了解连接器的自定义角色"。
您应具备以下条件:
-
Azure 订阅。
-
您选择的 Azure 区域中的 vNet 和子网。
-
有关代理服务器的详细信息、如果您的组织需要代理来处理所有传出Internet流量:
-
IP 地址
-
凭据
-
HTTPS证书
-
-
SSH公共密钥(如果要对Connector虚拟机使用该身份验证方法)。身份验证方法的另一个选项是使用密码。
-
如果您不希望BlueXP自动为Connector创建Azure角色、则需要创建您自己的角色 "使用此页面上的策略"。
这些权限适用于 Connector 实例本身。它是一组与您先前为部署Connector VM而设置的权限不同的权限。
-
选择*Connecter*下拉列表,然后选择*Add Connecter*。
-
选择 * Microsoft Azure* 作为云提供商。
-
在*部署连接器*页面上:
-
在*身份验证*下、选择与您设置Azure权限的方式匹配的身份验证选项:
-
选择* Azure用户帐户*以登录到您的Microsoft帐户、该帐户应具有所需的权限。
此表由 Microsoft 拥有和托管。您的凭据不会提供给 NetApp 。
如果您已登录到Azure帐户、则BlueXP将自动使用该帐户。如果您有多个帐户,则可能需要先注销,以确保您使用的是正确的帐户。 -
选择*Active Directory服务主体*以输入有关授予所需权限的Microsoft Entra服务主体的信息:
-
应用程序(客户端) ID
-
目录(租户) ID
-
客户端密钥
-
-
-
-
按照向导中的步骤创建 Connector :
-
VM身份验证:选择Azure订阅、位置、新资源组或现有资源组,然后为要创建的Connector虚拟机选择身份验证方法。
虚拟机的身份验证方法可以是密码或SSH公共密钥。
-
详细信息:输入实例的名称、指定标记、然后选择是希望BlueXP创建具有所需权限的新角色、还是要选择使用设置的现有角色 "所需权限"。
请注意、您可以选择与此角色关联的Azure订阅。您选择的每个订阅都提供连接器权限、用于管理该订阅中的资源(例如Cloud Volumes ONTAP)。
-
* 网络 * :选择 vNet 和子网,是否启用公有 IP 地址,并可选择指定代理配置。
-
安全组:选择是创建新安全组还是选择允许所需入站和出站规则的现有安全组。
-
* 审核 * :查看您选择的内容,确认您的设置正确无误。
-
-
单击 * 添加 * 。
虚拟机应在大约 7 分钟内准备就绪。您应停留在页面上,直到此过程完成。
此过程完成后、即可从BlueXP使用Connector。
如果您在创建Connector的同一Azure订阅中拥有Azure Blb存储、您将看到Azure Blb存储工作环境自动显示在BlueXP画布上。 "了解如何从BlueXP管理Azure Blb存储"