Skip to main content
BlueXP setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

从 Azure Marketplace 创建 Connector

贡献者

连接器是在云网络或内部网络中运行的NetApp软件、使您能够使用所有BlueXP  功能和服务。可用的安装选项之一是直接从Azure Marketplace在Azure中创建Connector。要从Azure Marketplace创建Connector、您需要设置网络连接、准备Azure权限、查看实例要求、然后创建Connector。

开始之前

第1步:设置网络

确保您计划安装Connector的网络位置符合以下要求。满足这些要求后、Connector便可管理混合云环境中的资源和流程。

Azure 区域

如果您使用Cloud Volumes ONTAP、则连接器应部署在与所管理的Cloud Volumes ONTAP系统相同的Azure区域或中 "Azure 区域对" 对于 Cloud Volumes ONTAP 系统。此要求可确保在 Cloud Volumes ONTAP 与其关联存储帐户之间使用 Azure 专用链路连接。

vNet和子网

创建Connector时、需要指定此Connector应驻留的vNet和子网。

连接到目标网络

Connector需要与您计划创建和管理工作环境的位置建立网络连接。例如、您计划在内部环境中创建Cloud Volumes ONTAP系统或存储系统的网络。

出站 Internet 访问

部署连接器的网络位置必须具有出站Internet连接才能联系特定端点。

从连接器连接的端点

Connector需要通过出站Internet访问与以下端点联系、以便管理公共云环境中的资源和流程、以实现日常运营。

请注意、下面列出的端点均为CNAME条目。

端点 目的

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

管理Azure公共区域中的资源。

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

管理Azure中国地区的资源。

获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。

https://*.api BlueXP .NetApp.com https://api.BlueXP .NetApp.com https://*.cloudmanager.cloud.NetApp.com https://cloudmanager.cloud.NetApp.com \https:NetApp-cloud-account.auth0.com

在BlueXP中提供SaaS功能和服务。

请注意、Connector目前正在联系cloudmanager.cloud.netapp.com"、但在即将发布的版本中、它将开始联系api.bluexp.netapp.com"。

在两组端点之间进行选择:

  • 选项1 (推荐)1

    https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

  • 备选案文2.

    https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io

获取用于Connector升级的映像。

1建议使用选项1中列出的端点、因为它们更安全。建议您设置防火墙、允许选项1中列出的端点、而禁止选项2中列出的端点。请注意以下有关这些端点的信息:

  • 从3.9.47版本的连接器开始、支持选项1中列出的端点。与先前版本的Connector没有向后兼容性。

  • 连接器首先连接选项2中列出的端点。如果这些端点不可访问、连接器会自动联系选项1中列出的端点。

  • 如果将连接器与BlueXP  备份和恢复或BlueXP  勒索软件保护结合使用、则不支持选项1中的端点。在这种情况下、您可以禁止选项1中列出的端点、同时允许选项2中列出的端点。

代理服务器

如果您的企业需要为所有传出Internet流量部署代理服务器、请获取有关HTTP或HTTPS代理的以下信息。您需要在安装期间提供此信息。请注意、BlueXP不支持透明代理服务器。

  • IP 地址

  • 凭据

  • HTTPS证书

端口

除非您启动连接器或将连接器用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持、否则不会有传入连接器的流量。

  • 通过 HTTP ( 80 )和 HTTPS ( 443 ),您可以访问本地 UI ,在极少数情况下,您可以使用此界面。

  • 只有在需要连接到主机进行故障排除时,才需要使用 SSH ( 22 )。

  • 如果您在出站Internet连接不可用的子网中部署Cloud Volumes ONTAP 系统、则需要通过端口3128进行入站连接。

    如果Cloud Volumes ONTAP系统没有用于发送AutoSupport消息的出站Internet连接、BlueXP会自动将这些系统配置为使用连接器附带的代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行入站连接。部署Connector后、您需要打开此端口。

启用NTP

如果您计划使用BlueXP分类来扫描公司数据源、则应在BlueXP Connector系统和BlueXP分类系统上启用网络时间协议(Network Time Protocol、NTP)服务、以便在系统之间同步时间。 "了解有关BlueXP分类的更多信息"

创建连接器后、您需要实施此网络连接要求。

第2步:查看虚拟机要求

创建Connector时、您需要选择符合以下要求的虚拟机类型。

CPU

8 个核心或 8 个 vCPU

RAM

32 GB

Azure 虚拟机大小

满足上述 CPU 和 RAM 要求的实例类型。建议使用Standard"(标准)_D8s_v3。

第3步:设置权限

您可以通过以下方式提供权限:

  • 选项1:使用系统分配的托管身份为Azure虚拟机分配自定义角色。

  • 选项2:为BlueXP提供具有所需权限的Azure服务主体的凭据。

按照以下步骤设置BlueXP的权限。

自定义角色

请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"

步骤
  1. 如果您计划在自己的主机上手动安装软件、请在虚拟机上启用系统分配的托管身份、以便您可以通过自定义角色提供所需的Azure权限。

  2. 复制的内容 "Connector的自定义角色权限" 并将其保存在JSON文件中。

  3. 通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。

    您应添加要用于BlueXP的每个Azure订阅的ID。

    • 示例 *

    "AssignableScopes": [
    "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
    "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
    "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
  4. 使用 JSON 文件在 Azure 中创建自定义角色。

    以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。

    1. start "Azure Cloud Shell" 并选择 Bash 环境。

    2. 上传 JSON 文件。

      Azure Cloud Shell 的屏幕截图,您可以在其中选择上传文件的选项。

    3. 使用Azure命令行界面创建自定义角色:

      az role definition create --role-definition Connector_Policy.json
结果

现在、您应该拥有一个名为BlueXP操作员的自定义角色、可以将该角色分配给Connector虚拟机。

服务主体

在Microsoft Entra ID中创建和设置服务主体、并获取BlueXP所需的Azure凭据。

创建Microsoft Entra应用程序以实现基于角色的访问控制
  1. 确保您在Azure中拥有创建Active Directory应用程序和将应用程序分配给角色的权限。

    有关详细信息,请参见 "Microsoft Azure 文档:所需权限"

  2. 从Azure门户中,打开*Microsoft Entra ID*服务。

    显示了 Microsoft Azure 中的 Active Directory 服务。

  3. 在菜单中、选择*应用程序注册*。

  4. 选择*新建注册*。

  5. 指定有关应用程序的详细信息:

    • * 名称 * :输入应用程序的名称。

    • 帐户类型:选择帐户类型(任何将适用于BlueXP)。

    • * 重定向 URI* :可以将此字段留空。

  6. 选择 * 注册 * 。

    您已创建 AD 应用程序和服务主体。

将应用程序分配给角色
  1. 创建自定义角色:

    请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"

    1. 复制的内容 "Connector的自定义角色权限" 并将其保存在JSON文件中。

    2. 通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。

      您应该为每个 Azure 订阅添加 ID 、用户将从中创建 Cloud Volumes ONTAP 系统。

      • 示例 *

      "AssignableScopes": [
      "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
      "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
      "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
    3. 使用 JSON 文件在 Azure 中创建自定义角色。

      以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。

      • start "Azure Cloud Shell" 并选择 Bash 环境。

      • 上传 JSON 文件。

        Azure Cloud Shell 的屏幕截图,您可以在其中选择上传文件的选项。

      • 使用Azure命令行界面创建自定义角色:

        az role definition create --role-definition Connector_Policy.json

        现在、您应该拥有一个名为BlueXP操作员的自定义角色、可以将该角色分配给Connector虚拟机。

  2. 将应用程序分配给角色:

    1. 从 Azure 门户中,打开 * 订阅 * 服务。

    2. 选择订阅。

    3. 选择*访问控制(IAM)>添加>添加角色分配*。

    4. 在*角色*选项卡中、选择* BlueXP操作员*角色、然后选择*下一步*。

    5. 在 * 成员 * 选项卡中,完成以下步骤:

      • 保持选中 * 用户,组或服务主体 * 。

      • 选择*选择成员*。

        Azure 门户的屏幕截图,显示向应用程序添加角色时的成员选项卡。

      • 搜索应用程序的名称。

        以下是一个示例:

      Azure 门户的屏幕截图,其中显示了 Azure 门户中的添加角色分配表。

      • 选择应用程序并选择*选择*。

      • 选择 * 下一步 * 。

    6. 选择*审核+分配*。

      现在,服务主体具有部署 Connector 所需的 Azure 权限。

    如果要从多个 Azure 订阅部署 Cloud Volumes ONTAP ,则必须将服务主体绑定到每个订阅。通过BlueXP、您可以选择要在部署Cloud Volumes ONTAP 时使用的订阅。

添加 Windows Azure 服务管理 API 权限
  1. 在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。

  2. 选择* API权限>添加权限*。

  3. 在 * Microsoft APIs* 下,选择 * Azure Service Management* 。

    Azure 门户的屏幕截图,其中显示了 Azure 服务管理 API 权限。

  4. 选择*以组织用户身份访问Azure服务管理*、然后选择*添加权限*。

    Azure 门户的屏幕截图,显示如何添加 Azure 服务管理 API 。

获取应用程序的应用程序ID和目录ID
  1. 在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。

  2. 复制 * 应用程序(客户端) ID* 和 * 目录(租户) ID* 。

    显示Microsoft Entra Idy中应用程序的应用程序(客户端) ID和目录(租户) ID的屏幕截图。

    将Azure帐户添加到BlueXP时、您需要提供应用程序(客户端) ID和目录(租户) ID。BlueXP使用ID以编程方式登录。

创建客户端密钥
  1. 打开*Microsoft Entra ID*服务。

  2. 选择*应用程序注册*并选择您的应用程序。

  3. 选择*证书和机密>新客户端机密*。

  4. 提供密钥和持续时间的问题描述。

  5. 选择 * 添加 * 。

  6. 复制客户端密钥的值。

    Azure门户的屏幕截图、其中显示了Microsoft Entra服务主体的客户端密钥。

    现在、您有了一个客户端密钥、BlueXP可以使用它通过Microsoft Entra ID进行身份验证。

结果

此时,您的服务主体已设置完毕,您应已复制应用程序(客户端) ID ,目录(租户) ID 和客户端密钥值。添加Azure帐户时、您需要在BlueXP中输入此信息。

第4步:创建连接器

直接从Azure Marketplace启动Connector。

关于此任务

从Azure Marketplace创建Connector会使用默认配置在Azure中部署虚拟机。 "了解Connector的默认配置"

开始之前

您应具备以下条件:

  • Azure 订阅。

  • 您选择的 Azure 区域中的 vNet 和子网。

  • 有关代理服务器的详细信息、如果您的组织需要代理来处理所有传出Internet流量:

    • IP 地址

    • 凭据

    • HTTPS证书

  • SSH公共密钥(如果要对Connector虚拟机使用该身份验证方法)。身份验证方法的另一个选项是使用密码。

  • 如果您不希望BlueXP自动为Connector创建Azure角色、则需要创建您自己的角色 "使用此页面上的策略"

    这些权限适用于 Connector 实例本身。它是一组与您先前为部署Connector VM而设置的权限不同的权限。

步骤
  1. 转到Azure Marketplace中的NetApp Connector VM页面。

  2. 选择*立即获取*,然后选择*继续*。

  3. 在Azure门户中、选择*创建*并按照以下步骤配置虚拟机。

    配置虚拟机时,请注意以下事项:

    • 虚拟机大小:选择满足CPU和RAM要求的虚拟机大小。建议使用Standard"(标准)_D8s_v3。

    • 磁盘:此连接器可以对HDD或SSD磁盘执行最佳性能。

    • 网络安全组:Connector需要使用SSH、HTTP和HTTPS进行入站连接。

    • 身份:在*管理*下、选择*启用系统分配的受管身份*。

      此设置非常重要、因为托管标识允许Connector虚拟机通过Microsoft Entra ID标识自身、而无需提供任何凭据。 "详细了解 Azure 资源的托管身份"

  4. 在*Review + cree*页面上,查看您的选择并选择*Cree*以开始部署。

    Azure 使用指定的设置部署虚拟机。虚拟机和 Connector 软件应在大约五分钟内运行。

  5. 从已连接到 Connector 虚拟机的主机打开 Web 浏览器,然后输入以下 URL :

  6. 登录后,设置 Connector :

    1. 指定要与连接器关联的BlueXP  组织。

    2. 输入系统名称。

    3. 在*是否在安全环境中运行?*下、保持禁用受限模式。

      您应始终禁用受限模式、因为这些步骤说明了如何在标准模式下使用BlueXP。只有在您拥有安全环境并希望将此帐户与BlueXP后端服务断开连接时、才应启用受限模式。如果是这种情况、 "按照步骤在受限模式下开始使用BlueXP"

    4. 选择*开始*。

结果

现在、您的BlueXP  组织已安装并设置了连接器。

如果您在创建Connector的同一Azure订阅中拥有Azure Blb存储、您将看到Azure Blb存储工作环境自动显示在BlueXP画布上。 "了解如何从BlueXP管理Azure Blb存储"

第5步:为BlueXP提供权限

创建连接器后、您需要为BlueXP提供先前设置的权限。通过提供权限、BlueXP可以在Azure中管理数据和存储基础架构。

自定义角色

转到Azure门户、为一个或多个订阅向Connector虚拟机分配Azure自定义角色。

步骤
  1. 从Azure门户中、打开*订阅*服务并选择您的订阅。

    请务必从*订阅*服务中分配角色,因为这会指定订阅级别的角色分配范围。范围定义了适用场景访问的一组资源。如果在其他级别(例如、在虚拟机级别)指定范围、则从BlueXP中完成操作的能力将受到影响。

  2. 选择*访问控制(IA)>*添加>*添加角色指派*。

  3. 在*角色*选项卡中、选择* BlueXP操作员*角色、然后选择*下一步*。

    备注 BlueXP操作员是BlueXP策略中提供的默认名称。如果您为角色选择了其他名称,请选择该名称。
  4. 在 * 成员 * 选项卡中,完成以下步骤:

    1. 为 * 受管身份 * 分配访问权限。

    2. 选择*选择成员*,选择创建连接器虚拟机时使用的订阅,在*受管身份*下选择*虚拟机*,然后选择连接器虚拟机。

    3. 选择*选择*。

    4. 选择 * 下一步 * 。

    5. 选择*审核+分配*。

    6. 如果要管理其他Azure订阅中的资源、请切换到该订阅、然后重复这些步骤。

结果

现在、BlueXP拥有代表您在Azure中执行操作所需的权限。

下一步是什么?

转至 "BlueXP控制台" 开始将Connector与BlueXP结合使用。

服务主体
步骤
  1. 在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。

    一个屏幕截图、显示了BlueXP控制台右上角的设置图标。

  2. 选择*添加凭据*并按照向导中的步骤进行操作。

    1. * 凭据位置 * :选择 * Microsoft Azure > Connector* 。

    2. 定义凭据:输入有关授予所需权限的Microsoft Entra服务主体的信息:

      • 应用程序(客户端) ID

      • 目录(租户) ID

      • 客户端密钥

    3. * 市场订阅 * :通过立即订阅或选择现有订阅,将市场订阅与这些凭据相关联。

    4. 查看:确认有关新凭据的详细信息、然后选择*添加*。

结果

现在、BlueXP拥有代表您在Azure中执行操作所需的权限。