从 Azure Marketplace 创建 Connector
第1步:设置网络
确保您计划安装Connector的网络位置符合以下要求。满足这些要求后、Connector便可管理混合云环境中的资源和流程。
- Azure 区域
-
如果您使用Cloud Volumes ONTAP、则连接器应部署在与所管理的Cloud Volumes ONTAP系统相同的Azure区域或中 "Azure 区域对" 对于 Cloud Volumes ONTAP 系统。此要求可确保在 Cloud Volumes ONTAP 与其关联存储帐户之间使用 Azure 专用链路连接。
- vNet和子网
-
创建Connector时、需要指定此Connector应驻留的vNet和子网。
- 连接到目标网络
-
Connector需要与您计划创建和管理工作环境的位置建立网络连接。例如、您计划在内部环境中创建Cloud Volumes ONTAP系统或存储系统的网络。
- 出站 Internet 访问
-
部署连接器的网络位置必须具有出站Internet连接才能联系特定端点。
- 从连接器连接的端点
-
Connector需要通过出站Internet访问与以下端点联系、以便管理公共云环境中的资源和流程、以实现日常运营。
请注意、下面列出的端点均为CNAME条目。
端点 目的 https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net管理Azure公共区域中的资源。
https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn管理Azure中国地区的资源。
获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。
https://*.api BlueXP .NetApp.com https://api.BlueXP .NetApp.com https://*.cloudmanager.cloud.NetApp.com https://cloudmanager.cloud.NetApp.com \https:NetApp-cloud-account.auth0.com
在BlueXP中提供SaaS功能和服务。
请注意、Connector目前正在联系cloudmanager.cloud.netapp.com"、但在即将发布的版本中、它将开始联系api.bluexp.netapp.com"。
在两组端点之间进行选择:
-
选项1 (推荐)1
https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io
-
备选案文2.
https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io
获取用于Connector升级的映像。
1建议使用选项1中列出的端点、因为它们更安全。建议您设置防火墙、允许选项1中列出的端点、而禁止选项2中列出的端点。请注意以下有关这些端点的信息:
-
从3.9.47版本的连接器开始、支持选项1中列出的端点。与先前版本的Connector没有向后兼容性。
-
连接器首先连接选项2中列出的端点。如果这些端点不可访问、连接器会自动联系选项1中列出的端点。
-
如果将连接器与BlueXP 备份和恢复或BlueXP 勒索软件保护结合使用、则不支持选项1中的端点。在这种情况下、您可以禁止选项1中列出的端点、同时允许选项2中列出的端点。
-
- 代理服务器
-
如果您的企业需要为所有传出Internet流量部署代理服务器、请获取有关HTTP或HTTPS代理的以下信息。您需要在安装期间提供此信息。请注意、BlueXP不支持透明代理服务器。
-
IP 地址
-
凭据
-
HTTPS证书
-
- 端口
-
除非您启动连接器或将连接器用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持、否则不会有传入连接器的流量。
-
通过 HTTP ( 80 )和 HTTPS ( 443 ),您可以访问本地 UI ,在极少数情况下,您可以使用此界面。
-
只有在需要连接到主机进行故障排除时,才需要使用 SSH ( 22 )。
-
如果您在出站Internet连接不可用的子网中部署Cloud Volumes ONTAP 系统、则需要通过端口3128进行入站连接。
如果Cloud Volumes ONTAP系统没有用于发送AutoSupport消息的出站Internet连接、BlueXP会自动将这些系统配置为使用连接器附带的代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行入站连接。部署Connector后、您需要打开此端口。
-
- 启用NTP
-
如果您计划使用BlueXP分类来扫描公司数据源、则应在BlueXP Connector系统和BlueXP分类系统上启用网络时间协议(Network Time Protocol、NTP)服务、以便在系统之间同步时间。 "了解有关BlueXP分类的更多信息"
创建连接器后、您需要实施此网络连接要求。
第2步:查看虚拟机要求
创建Connector时、您需要选择符合以下要求的虚拟机类型。
- CPU
-
8 个核心或 8 个 vCPU
- RAM
-
32 GB
- Azure 虚拟机大小
-
满足上述 CPU 和 RAM 要求的实例类型。建议使用Standard"(标准)_D8s_v3。
第3步:设置权限
您可以通过以下方式提供权限:
-
选项1:使用系统分配的托管身份为Azure虚拟机分配自定义角色。
-
选项2:为BlueXP提供具有所需权限的Azure服务主体的凭据。
按照以下步骤设置BlueXP的权限。
请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"
-
如果您计划在自己的主机上手动安装软件、请在虚拟机上启用系统分配的托管身份、以便您可以通过自定义角色提供所需的Azure权限。
-
复制的内容 "Connector的自定义角色权限" 并将其保存在JSON文件中。
-
通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。
您应添加要用于BlueXP的每个Azure订阅的ID。
-
示例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
-
使用 JSON 文件在 Azure 中创建自定义角色。
以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。
-
start "Azure Cloud Shell" 并选择 Bash 环境。
-
上传 JSON 文件。
-
使用Azure命令行界面创建自定义角色:
az role definition create --role-definition Connector_Policy.json
-
现在、您应该拥有一个名为BlueXP操作员的自定义角色、可以将该角色分配给Connector虚拟机。
在Microsoft Entra ID中创建和设置服务主体、并获取BlueXP所需的Azure凭据。
-
确保您在Azure中拥有创建Active Directory应用程序和将应用程序分配给角色的权限。
有关详细信息,请参见 "Microsoft Azure 文档:所需权限"
-
从Azure门户中,打开*Microsoft Entra ID*服务。
-
在菜单中、选择*应用程序注册*。
-
选择*新建注册*。
-
指定有关应用程序的详细信息:
-
* 名称 * :输入应用程序的名称。
-
帐户类型:选择帐户类型(任何将适用于BlueXP)。
-
* 重定向 URI* :可以将此字段留空。
-
-
选择 * 注册 * 。
您已创建 AD 应用程序和服务主体。
-
创建自定义角色:
请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"
-
复制的内容 "Connector的自定义角色权限" 并将其保存在JSON文件中。
-
通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。
您应该为每个 Azure 订阅添加 ID 、用户将从中创建 Cloud Volumes ONTAP 系统。
-
示例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
-
使用 JSON 文件在 Azure 中创建自定义角色。
以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。
-
start "Azure Cloud Shell" 并选择 Bash 环境。
-
上传 JSON 文件。
-
使用Azure命令行界面创建自定义角色:
az role definition create --role-definition Connector_Policy.json
现在、您应该拥有一个名为BlueXP操作员的自定义角色、可以将该角色分配给Connector虚拟机。
-
-
-
将应用程序分配给角色:
-
从 Azure 门户中,打开 * 订阅 * 服务。
-
选择订阅。
-
选择*访问控制(IAM)>添加>添加角色分配*。
-
在*角色*选项卡中、选择* BlueXP操作员*角色、然后选择*下一步*。
-
在 * 成员 * 选项卡中,完成以下步骤:
-
保持选中 * 用户,组或服务主体 * 。
-
选择*选择成员*。
-
搜索应用程序的名称。
以下是一个示例:
-
选择应用程序并选择*选择*。
-
选择 * 下一步 * 。
-
-
选择*审核+分配*。
现在,服务主体具有部署 Connector 所需的 Azure 权限。
如果要从多个 Azure 订阅部署 Cloud Volumes ONTAP ,则必须将服务主体绑定到每个订阅。通过BlueXP、您可以选择要在部署Cloud Volumes ONTAP 时使用的订阅。
-
-
在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。
-
选择* API权限>添加权限*。
-
在 * Microsoft APIs* 下,选择 * Azure Service Management* 。
-
选择*以组织用户身份访问Azure服务管理*、然后选择*添加权限*。
-
在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。
-
复制 * 应用程序(客户端) ID* 和 * 目录(租户) ID* 。
将Azure帐户添加到BlueXP时、您需要提供应用程序(客户端) ID和目录(租户) ID。BlueXP使用ID以编程方式登录。
-
打开*Microsoft Entra ID*服务。
-
选择*应用程序注册*并选择您的应用程序。
-
选择*证书和机密>新客户端机密*。
-
提供密钥和持续时间的问题描述。
-
选择 * 添加 * 。
-
复制客户端密钥的值。
现在、您有了一个客户端密钥、BlueXP可以使用它通过Microsoft Entra ID进行身份验证。
此时,您的服务主体已设置完毕,您应已复制应用程序(客户端) ID ,目录(租户) ID 和客户端密钥值。添加Azure帐户时、您需要在BlueXP中输入此信息。
第4步:创建连接器
直接从Azure Marketplace启动Connector。
从Azure Marketplace创建Connector会使用默认配置在Azure中部署虚拟机。 "了解Connector的默认配置"。
您应具备以下条件:
-
Azure 订阅。
-
您选择的 Azure 区域中的 vNet 和子网。
-
有关代理服务器的详细信息、如果您的组织需要代理来处理所有传出Internet流量:
-
IP 地址
-
凭据
-
HTTPS证书
-
-
SSH公共密钥(如果要对Connector虚拟机使用该身份验证方法)。身份验证方法的另一个选项是使用密码。
-
如果您不希望BlueXP自动为Connector创建Azure角色、则需要创建您自己的角色 "使用此页面上的策略"。
这些权限适用于 Connector 实例本身。它是一组与您先前为部署Connector VM而设置的权限不同的权限。
-
转到Azure Marketplace中的NetApp Connector VM页面。
-
选择*立即获取*,然后选择*继续*。
-
在Azure门户中、选择*创建*并按照以下步骤配置虚拟机。
配置虚拟机时,请注意以下事项:
-
虚拟机大小:选择满足CPU和RAM要求的虚拟机大小。建议使用Standard"(标准)_D8s_v3。
-
磁盘:此连接器可以对HDD或SSD磁盘执行最佳性能。
-
网络安全组:Connector需要使用SSH、HTTP和HTTPS进行入站连接。
-
身份:在*管理*下、选择*启用系统分配的受管身份*。
此设置非常重要、因为托管标识允许Connector虚拟机通过Microsoft Entra ID标识自身、而无需提供任何凭据。 "详细了解 Azure 资源的托管身份"。
-
-
在*Review + cree*页面上,查看您的选择并选择*Cree*以开始部署。
Azure 使用指定的设置部署虚拟机。虚拟机和 Connector 软件应在大约五分钟内运行。
-
从已连接到 Connector 虚拟机的主机打开 Web 浏览器,然后输入以下 URL :
-
登录后,设置 Connector :
-
指定要与连接器关联的BlueXP 组织。
-
输入系统名称。
-
在*是否在安全环境中运行?*下、保持禁用受限模式。
您应始终禁用受限模式、因为这些步骤说明了如何在标准模式下使用BlueXP。只有在您拥有安全环境并希望将此帐户与BlueXP后端服务断开连接时、才应启用受限模式。如果是这种情况、 "按照步骤在受限模式下开始使用BlueXP"。
-
选择*开始*。
-
现在、您的BlueXP 组织已安装并设置了连接器。
如果您在创建Connector的同一Azure订阅中拥有Azure Blb存储、您将看到Azure Blb存储工作环境自动显示在BlueXP画布上。 "了解如何从BlueXP管理Azure Blb存储"
第5步:为BlueXP提供权限
创建连接器后、您需要为BlueXP提供先前设置的权限。通过提供权限、BlueXP可以在Azure中管理数据和存储基础架构。
转到Azure门户、为一个或多个订阅向Connector虚拟机分配Azure自定义角色。
-
从Azure门户中、打开*订阅*服务并选择您的订阅。
请务必从*订阅*服务中分配角色,因为这会指定订阅级别的角色分配范围。范围定义了适用场景访问的一组资源。如果在其他级别(例如、在虚拟机级别)指定范围、则从BlueXP中完成操作的能力将受到影响。
-
选择*访问控制(IA)>*添加>*添加角色指派*。
-
在*角色*选项卡中、选择* BlueXP操作员*角色、然后选择*下一步*。
BlueXP操作员是BlueXP策略中提供的默认名称。如果您为角色选择了其他名称,请选择该名称。 -
在 * 成员 * 选项卡中,完成以下步骤:
-
为 * 受管身份 * 分配访问权限。
-
选择*选择成员*,选择创建连接器虚拟机时使用的订阅,在*受管身份*下选择*虚拟机*,然后选择连接器虚拟机。
-
选择*选择*。
-
选择 * 下一步 * 。
-
选择*审核+分配*。
-
如果要管理其他Azure订阅中的资源、请切换到该订阅、然后重复这些步骤。
-
现在、BlueXP拥有代表您在Azure中执行操作所需的权限。
转至 "BlueXP控制台" 开始将Connector与BlueXP结合使用。
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
选择*添加凭据*并按照向导中的步骤进行操作。
-
* 凭据位置 * :选择 * Microsoft Azure > Connector* 。
-
定义凭据:输入有关授予所需权限的Microsoft Entra服务主体的信息:
-
应用程序(客户端) ID
-
目录(租户) ID
-
客户端密钥
-
-
* 市场订阅 * :通过立即订阅或选择现有订阅,将市场订阅与这些凭据相关联。
-
查看:确认有关新凭据的详细信息、然后选择*添加*。
-
现在、BlueXP拥有代表您在Azure中执行操作所需的权限。