从BlueXP或gCloud在Google Cloud中创建Connector
第1步:设置网络
设置您的网络、以便Connector可以管理混合云环境中的资源和流程。例如、您需要确保目标网络可以连接、并且可以访问出站Internet。
- VPC和子网
-
创建Connector时、需要指定此Connector应驻留的VPC和子网。
- 连接到目标网络
-
Connector需要与您计划创建和管理工作环境的位置建立网络连接。例如、您计划在内部环境中创建Cloud Volumes ONTAP系统或存储系统的网络。
- 出站 Internet 访问
-
部署连接器的网络位置必须具有出站Internet连接才能联系特定端点。
- 从连接器连接的端点
-
Connector需要通过出站Internet访问与以下端点联系、以便管理公共云环境中的资源和流程、以实现日常运营。
请注意、下面列出的端点均为CNAME条目。
端点 目的 https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects在Google Cloud中管理资源。
获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。
https://*.api BlueXP .NetApp.com https://api.BlueXP .NetApp.com https://*.cloudmanager.cloud.NetApp.com https://cloudmanager.cloud.NetApp.com \https:NetApp-cloud-account.auth0.com
在BlueXP中提供SaaS功能和服务。
请注意、Connector目前正在联系cloudmanager.cloud.netapp.com"、但在即将发布的版本中、它将开始联系api.bluexp.netapp.com"。
在两组端点之间进行选择:
-
选项1 (推荐)1
https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io
-
备选案文2.
https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io
获取用于Connector升级的映像。
1建议使用选项1中列出的端点、因为它们更安全。建议您设置防火墙、允许选项1中列出的端点、而禁止选项2中列出的端点。请注意以下有关这些端点的信息:
-
从3.9.47版本的连接器开始、支持选项1中列出的端点。与先前版本的Connector没有向后兼容性。
-
连接器首先连接选项2中列出的端点。如果这些端点不可访问、连接器会自动联系选项1中列出的端点。
-
如果将连接器与BlueXP 备份和恢复或BlueXP 勒索软件保护结合使用、则不支持选项1中的端点。在这种情况下、您可以禁止选项1中列出的端点、同时允许选项2中列出的端点。
-
- 从BlueXP控制台访问的端点
-
当您使用通过SaaS层提供的基于Web的BlueXP控制台时、它会与多个端点联系以完成数据管理任务。这包括从BlueXP控制台部署Connector所需访问的端点。
- 代理服务器
-
如果您的企业需要为所有传出Internet流量部署代理服务器、请获取有关HTTP或HTTPS代理的以下信息。您需要在安装期间提供此信息。请注意、BlueXP不支持透明代理服务器。
-
IP 地址
-
凭据
-
HTTPS证书
-
- 端口
-
除非您启动连接器或将连接器用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持、否则不会有传入连接器的流量。
-
通过 HTTP ( 80 )和 HTTPS ( 443 ),您可以访问本地 UI ,在极少数情况下,您可以使用此界面。
-
只有在需要连接到主机进行故障排除时,才需要使用 SSH ( 22 )。
-
如果您在出站Internet连接不可用的子网中部署Cloud Volumes ONTAP 系统、则需要通过端口3128进行入站连接。
如果Cloud Volumes ONTAP系统没有用于发送AutoSupport消息的出站Internet连接、BlueXP会自动将这些系统配置为使用连接器附带的代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行入站连接。部署Connector后、您需要打开此端口。
-
- 启用NTP
-
如果您计划使用BlueXP分类来扫描公司数据源、则应在BlueXP Connector系统和BlueXP分类系统上启用网络时间协议(Network Time Protocol、NTP)服务、以便在系统之间同步时间。 "了解有关BlueXP分类的更多信息"
创建连接器后、您需要实施此网络连接要求。
第2步:设置创建连接器的权限
在从BlueXP或使用gCloud部署Connector之前、您需要为要部署Connector VM的Google Cloud用户设置权限。
-
在Google Cloud中创建自定义角色:
-
创建包含以下权限的YAML文件:
title: Connector deployment policy description: Permissions for the user who deploys the Connector from BlueXP stage: GA includedPermissions: - compute.disks.create - compute.disks.get - compute.disks.list - compute.disks.setLabels - compute.disks.use - compute.firewalls.create - compute.firewalls.delete - compute.firewalls.get - compute.firewalls.list - compute.globalOperations.get - compute.images.get - compute.images.getFromFamily - compute.images.list - compute.images.useReadOnly - compute.instances.attachDisk - compute.instances.create - compute.instances.get - compute.instances.list - compute.instances.setDeletionProtection - compute.instances.setLabels - compute.instances.setMachineType - compute.instances.setMetadata - compute.instances.setTags - compute.instances.start - compute.instances.updateDisplayDevice - compute.machineTypes.get - compute.networks.get - compute.networks.list - compute.networks.updatePolicy - compute.projects.get - compute.regions.get - compute.regions.list - compute.subnetworks.get - compute.subnetworks.list - compute.zoneOperations.get - compute.zones.get - compute.zones.list - deploymentmanager.compositeTypes.get - deploymentmanager.compositeTypes.list - deploymentmanager.deployments.create - deploymentmanager.deployments.delete - deploymentmanager.deployments.get - deploymentmanager.deployments.list - deploymentmanager.manifests.get - deploymentmanager.manifests.list - deploymentmanager.operations.get - deploymentmanager.operations.list - deploymentmanager.resources.get - deploymentmanager.resources.list - deploymentmanager.typeProviders.get - deploymentmanager.typeProviders.list - deploymentmanager.types.get - deploymentmanager.types.list - resourcemanager.projects.get - compute.instances.setServiceAccount - iam.serviceAccounts.list
-
从Google Cloud激活Cloud Shell。
-
上传包含所需权限的YAML文件。
-
使用创建自定义角色
gcloud iam roles create
命令:以下示例将在项目级别创建一个名为"connectorDeployment"的角色:
gcloud iam角色用于创建connectorDeployment -project=MyProject -file=connector-deployment.yaml
-
-
将此自定义角色分配给要从BlueXP或使用gcloud部署Connector的用户。
Google Cloud用户现在具有创建Connector所需的权限。
第3步:设置连接器的权限
要为Connector提供BlueXP在Google Cloud中管理资源所需的权限、需要Google Cloud服务帐户。创建Connector时、您需要将此服务帐户与Connector VM关联起来。
在后续版本中添加新权限时、您有责任更新自定义角色。如果需要新的权限、这些权限将在发行说明中列出。
-
在Google Cloud中创建自定义角色:
-
创建包含内容的YAML文件 "Connector的服务帐户权限"。
-
从Google Cloud激活Cloud Shell。
-
上传包含所需权限的YAML文件。
-
使用创建自定义角色
gcloud iam roles create
命令:以下示例将在项目级别创建一个名为"connector"的角色:
gcloud iam roles create connector --project=myproject --file=connector.yaml
-
-
在Google Cloud中创建一个服务帐户、并将此角色分配给此服务帐户:
-
从IAM和Admin服务中,选择*服务帐户>创建服务帐户*。
-
输入服务帐户详细信息,然后选择*创建并继续*。
-
选择刚刚创建的角色。
-
完成其余步骤以创建角色。
-
-
如果您计划将Cloud Volumes ONTAP 系统部署在与Connector所在项目不同的项目中、则需要为Connector的服务帐户提供对这些项目的访问权限。
例如、假设Connector位于项目1中、而您希望在项目2中创建Cloud Volumes ONTAP 系统。您需要授予对项目2中服务帐户的访问权限。
-
从IAM和管理服务中、选择要创建Cloud Volumes ONTAP系统的Google Cloud项目。
-
在* IAM *页面上、选择*授予访问权限*并提供所需的详细信息。
-
输入Connector服务帐户的电子邮件。
-
选择Connector的自定义角色。
-
选择 * 保存 * 。
-
有关详细信息,请参见 "Google Cloud文档"
-
已设置Connector VM的服务帐户。
第4步:设置共享VPC权限
如果您使用共享VPC将资源部署到服务项目中、则需要准备您的权限。
此表仅供参考,您的环境应在 IAM 配置完成后反映权限表。
查看共享VPC权限
身份 | 创建者 | 托管在中 | 服务项目权限 | 托管项目权限 | 目的 |
---|---|---|---|---|---|
用于部署Connector的Google帐户 |
自定义 |
服务项目 |
compute.networkUser |
在服务项目中部署Connector |
|
连接器服务帐户 |
自定义 |
服务项目 |
compute.networkUser |
在服务项目中部署和维护 Cloud Volumes ONTAP 和服务 |
|
Cloud Volumes ONTAP 服务帐户 |
自定义 |
服务项目 |
storage.admin |
不适用 |
(可选)用于数据分层和BlueXP备份和恢复 |
Google API 服务代理 |
Google Cloud |
服务项目 |
(默认)编辑器 |
compute.networkUser |
代表部署与Google Cloud API进行交互。允许BlueXP使用共享网络。 |
Google Compute Engine 默认服务帐户 |
Google Cloud |
服务项目 |
(默认)编辑器 |
compute.networkUser |
代表部署部署部署部署Google Cloud实例和计算基础架构。允许BlueXP使用共享网络。 |
注释:
-
只有在未向部署传递防火墙规则并选择让BlueXP为您创建这些规则的情况下、主机项目才需要使用deploymentmanager.editor.如果未指定任何规则、BlueXP将在包含VPC0防火墙规则的主机项目中创建部署。
-
只有当您不向部署传递防火墙规则并选择让BlueXP为您创建这些规则时、才需要firewall.create和firewall.delete。这些权限位于BlueXP帐户.YAML文件中。如果要使用共享 VPC 部署 HA 对,则会使用这些权限为 VC1 , 2 和 3 创建防火墙规则。对于所有其他部署,这些权限还将用于为 VPC0 创建规则。
-
对于数据分层,分层服务帐户必须在服务帐户上具有 serviceAccount.user 角色,而不仅仅是在项目级别。目前,如果您在项目级别分配 serviceAccount.user ,则在使用 getIAMPolicy 查询服务帐户时不会显示权限。
第5步:启用Google Cloud API
必须先启用多个Google Cloud API、然后才能在Google Cloud中部署Connector和Cloud Volumes ONTAP。
-
在项目中启用以下Google Cloud API:
-
Cloud Deployment Manager V2 API
-
云日志记录 API
-
Cloud Resource Manager API
-
计算引擎 API
-
身份和访问管理( IAM ) API
-
云密钥管理服务(KMS) API
(仅当您计划将BlueXP备份和恢复与客户管理的加密密钥(CMDK)结合使用时才需要)
-
第6步:创建连接器
直接从BlueXP基于Web的控制台或使用gCloud创建Connector。
创建Connector会使用默认配置在Google Cloud中部署虚拟机实例。创建连接器后、不应更改为CPU或RAM更少的较小VM实例。 "了解Connector的默认配置"。
您应具备以下条件:
-
为Connector VM创建Connector和服务帐户所需的Google Cloud权限。
-
满足网络连接要求的VPC和子网。
-
有关代理服务器的详细信息、如果从Connector访问Internet需要代理。
-
选择*Connecter*下拉列表,然后选择*Add Connecter*。
-
选择 * Google Cloud Platform* 作为云提供商。
-
在*部署Connector*页面上、查看有关所需内容的详细信息。您有两种选择:
-
使用产品内置指南选择*继续*以准备部署。产品指南中的每个步骤都包含文档本页中包含的信息。
-
如果您已经按照本页上的步骤进行准备,请选择*跳至部署*。
-
-
按照向导中的步骤创建 Connector :
-
如果出现提示,请登录到您的 Google 帐户,该帐户应具有创建虚拟机实例所需的权限。
此表由 Google 拥有和托管。您的凭据不会提供给 NetApp 。
-
详细信息:输入虚拟机实例的名称、指定标记、选择项目、然后选择具有所需权限的服务帐户(有关详细信息、请参见上述部分)。
-
* 位置 * :指定实例的区域,分区, VPC 和子网。
-
* 网络 * :选择是否启用公有 IP 地址,并可选择指定代理配置。
-
防火墙策略:选择是创建新的防火墙策略,还是选择允许所需入站和出站规则的现有防火墙策略。
-
* 审核 * :查看您选择的内容,确认您的设置正确无误。
-
-
选择 * 添加 * 。
此实例应在大约 7 分钟后准备就绪。您应停留在页面上,直到此过程完成。
此过程完成后、即可从BlueXP使用Connector。
如果您在创建Connector的同一个Google Cloud帐户中具有Google Cloud Storage分段、则会在BlueXP画布上自动显示Google Cloud Storage工作环境。 "了解如何从BlueXP管理Google Cloud Storage"
您应具备以下条件:
-
为Connector VM创建Connector和服务帐户所需的Google Cloud权限。
-
满足网络连接要求的VPC和子网。
-
了解VM实例要求。
-
CPU:8核或8个vCPU
-
RAM:32 GB
-
机器类型:建议使用n2-standard-8。
在操作系统支持受保护的VM功能的VM实例上、Google Cloud支持使用Connector。
-
-
使用您首选的方法登录到 gcloud SDK 。
在我们的示例中、我们将使用安装了gcloud SDK的本地Shell、但您可以在Google云控制台中使用原生 Google Cloud Shell。
有关 Google Cloud SDK 的详细信息,请访问 "Google Cloud SDK 文档页面"。
-
验证您是否以具有上一节中定义的所需权限的用户身份登录:
gcloud auth list
输出应显示以下内容,其中 * 用户帐户是要以身份登录的所需用户帐户:
Credentialed Accounts ACTIVE ACCOUNT some_user_account@domain.com * desired_user_account@domain.com To set the active account, run: $ gcloud config set account `ACCOUNT` Updates are available for some Cloud SDK components. To install them, please run: $ gcloud components update
-
运行
gcloud compute instances create
命令:gcloud compute instances create <instance-name> --machine-type=n2-standard-8 --image-project=netapp-cloudmanager --image-family=cloudmanager --scopes=cloud-platform --project=<project> --service-account=<service-account> --zone=<zone> --no-address --tags <network-tag> --network <network-path> --subnet <subnet-path> --boot-disk-kms-key <kms-key-path>
- 实例名称
-
VM 实例所需的实例名称。
- 项目
-
(可选)要部署 VM 的项目。
- 服务帐户
-
步骤 2 输出中指定的服务帐户。
- 分区
-
要部署 VM 的区域
- 无地址
-
(可选)不使用外部 IP 地址(您需要云 NAT 或代理将流量路由到公有 Internet )
- 网络标记
-
(可选)添加网络标记以使用标记将防火墙规则链接到 Connector 实例
- 网络路径
-
(可选)添加要将 Connector 部署到的网络的名称(对于共享 VPC ,您需要完整路径)
- 子网路径
-
(可选)添加要将 Connector 部署到的子网的名称(对于共享 VPC ,您需要完整路径)
- kms-key-path
-
(可选)添加 KMS 密钥以加密连接器的磁盘(还需要应用 IAM 权限)
有关这些标志的详细信息,请访问 "Google Cloud 计算 SDK 文档"。
+
运行命令可使用 NetApp 黄金映像部署 Connector 。Connector 实例和软件应在大约五分钟内运行。
-
从已连接到 Connector 实例的主机打开 Web 浏览器,然后输入以下 URL :
-
登录后,设置 Connector :
-
指定要与连接器关联的BlueXP 组织。
-
输入系统名称。
-
现在、您的BlueXP 组织已安装并设置了连接器。
打开Web浏览器并转到 "BlueXP控制台" 开始将Connector与BlueXP结合使用。