Skip to main content
BlueXP setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

从BlueXP或gCloud在Google Cloud中创建Connector

贡献者

连接器是在云网络或内部网络中运行的NetApp软件、使您能够使用所有BlueXP  功能和服务。可用的安装选项包括直接从BlueXP  或使用gCloud在AWS中创建连接器。要从BlueXP或使用gCloud在Google Cloud中创建Connector、您需要设置网络连接、准备Google Cloud权限、启用Google Cloud API、然后创建Connector。

开始之前

第1步:设置网络

设置您的网络、以便Connector可以管理混合云环境中的资源和流程。例如、您需要确保目标网络可以连接、并且可以访问出站Internet。

VPC和子网

创建Connector时、需要指定此Connector应驻留的VPC和子网。

连接到目标网络

Connector需要与您计划创建和管理工作环境的位置建立网络连接。例如、您计划在内部环境中创建Cloud Volumes ONTAP系统或存储系统的网络。

出站 Internet 访问

部署连接器的网络位置必须具有出站Internet连接才能联系特定端点。

从连接器连接的端点

Connector需要通过出站Internet访问与以下端点联系、以便管理公共云环境中的资源和流程、以实现日常运营。

请注意、下面列出的端点均为CNAME条目。

端点 目的

https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects

在Google Cloud中管理资源。

获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。

https://*.api BlueXP .NetApp.com https://api.BlueXP .NetApp.com https://*.cloudmanager.cloud.NetApp.com https://cloudmanager.cloud.NetApp.com \https:NetApp-cloud-account.auth0.com

在BlueXP中提供SaaS功能和服务。

请注意、Connector目前正在联系cloudmanager.cloud.netapp.com"、但在即将发布的版本中、它将开始联系api.bluexp.netapp.com"。

在两组端点之间进行选择:

  • 选项1 (推荐)1

    https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

  • 备选案文2.

    https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io

获取用于Connector升级的映像。

1建议使用选项1中列出的端点、因为它们更安全。建议您设置防火墙、允许选项1中列出的端点、而禁止选项2中列出的端点。请注意以下有关这些端点的信息:

  • 从3.9.47版本的连接器开始、支持选项1中列出的端点。与先前版本的Connector没有向后兼容性。

  • 连接器首先连接选项2中列出的端点。如果这些端点不可访问、连接器会自动联系选项1中列出的端点。

  • 如果将连接器与BlueXP  备份和恢复或BlueXP  勒索软件保护结合使用、则不支持选项1中的端点。在这种情况下、您可以禁止选项1中列出的端点、同时允许选项2中列出的端点。

从BlueXP控制台访问的端点

当您使用通过SaaS层提供的基于Web的BlueXP控制台时、它会与多个端点联系以完成数据管理任务。这包括从BlueXP控制台部署Connector所需访问的端点。

代理服务器

如果您的企业需要为所有传出Internet流量部署代理服务器、请获取有关HTTP或HTTPS代理的以下信息。您需要在安装期间提供此信息。请注意、BlueXP不支持透明代理服务器。

  • IP 地址

  • 凭据

  • HTTPS证书

端口

除非您启动连接器或将连接器用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持、否则不会有传入连接器的流量。

  • 通过 HTTP ( 80 )和 HTTPS ( 443 ),您可以访问本地 UI ,在极少数情况下,您可以使用此界面。

  • 只有在需要连接到主机进行故障排除时,才需要使用 SSH ( 22 )。

  • 如果您在出站Internet连接不可用的子网中部署Cloud Volumes ONTAP 系统、则需要通过端口3128进行入站连接。

    如果Cloud Volumes ONTAP系统没有用于发送AutoSupport消息的出站Internet连接、BlueXP会自动将这些系统配置为使用连接器附带的代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行入站连接。部署Connector后、您需要打开此端口。

启用NTP

如果您计划使用BlueXP分类来扫描公司数据源、则应在BlueXP Connector系统和BlueXP分类系统上启用网络时间协议(Network Time Protocol、NTP)服务、以便在系统之间同步时间。 "了解有关BlueXP分类的更多信息"

创建连接器后、您需要实施此网络连接要求。

第2步:设置创建连接器的权限

在从BlueXP或使用gCloud部署Connector之前、您需要为要部署Connector VM的Google Cloud用户设置权限。

步骤
  1. 在Google Cloud中创建自定义角色:

    1. 创建包含以下权限的YAML文件:

      title: Connector deployment policy
      description: Permissions for the user who deploys the Connector from BlueXP
      stage: GA
      includedPermissions:
      - compute.disks.create
      - compute.disks.get
      - compute.disks.list
      - compute.disks.setLabels
      - compute.disks.use
      - compute.firewalls.create
      - compute.firewalls.delete
      - compute.firewalls.get
      - compute.firewalls.list
      - compute.globalOperations.get
      - compute.images.get
      - compute.images.getFromFamily
      - compute.images.list
      - compute.images.useReadOnly
      - compute.instances.attachDisk
      - compute.instances.create
      - compute.instances.get
      - compute.instances.list
      - compute.instances.setDeletionProtection
      - compute.instances.setLabels
      - compute.instances.setMachineType
      - compute.instances.setMetadata
      - compute.instances.setTags
      - compute.instances.start
      - compute.instances.updateDisplayDevice
      - compute.machineTypes.get
      - compute.networks.get
      - compute.networks.list
      - compute.networks.updatePolicy
      - compute.projects.get
      - compute.regions.get
      - compute.regions.list
      - compute.subnetworks.get
      - compute.subnetworks.list
      - compute.zoneOperations.get
      - compute.zones.get
      - compute.zones.list
      - deploymentmanager.compositeTypes.get
      - deploymentmanager.compositeTypes.list
      - deploymentmanager.deployments.create
      - deploymentmanager.deployments.delete
      - deploymentmanager.deployments.get
      - deploymentmanager.deployments.list
      - deploymentmanager.manifests.get
      - deploymentmanager.manifests.list
      - deploymentmanager.operations.get
      - deploymentmanager.operations.list
      - deploymentmanager.resources.get
      - deploymentmanager.resources.list
      - deploymentmanager.typeProviders.get
      - deploymentmanager.typeProviders.list
      - deploymentmanager.types.get
      - deploymentmanager.types.list
      - resourcemanager.projects.get
      - compute.instances.setServiceAccount
      - iam.serviceAccounts.list
    2. 从Google Cloud激活Cloud Shell。

    3. 上传包含所需权限的YAML文件。

    4. 使用创建自定义角色 gcloud iam roles create 命令:

      以下示例将在项目级别创建一个名为"connectorDeployment"的角色:

      gcloud iam角色用于创建connectorDeployment -project=MyProject -file=connector-deployment.yaml

  2. 将此自定义角色分配给要从BlueXP或使用gcloud部署Connector的用户。

结果

Google Cloud用户现在具有创建Connector所需的权限。

第3步:设置连接器的权限

要为Connector提供BlueXP在Google Cloud中管理资源所需的权限、需要Google Cloud服务帐户。创建Connector时、您需要将此服务帐户与Connector VM关联起来。

在后续版本中添加新权限时、您有责任更新自定义角色。如果需要新的权限、这些权限将在发行说明中列出。

步骤
  1. 在Google Cloud中创建自定义角色:

    1. 创建包含内容的YAML文件 "Connector的服务帐户权限"

    2. 从Google Cloud激活Cloud Shell。

    3. 上传包含所需权限的YAML文件。

    4. 使用创建自定义角色 gcloud iam roles create 命令:

      以下示例将在项目级别创建一个名为"connector"的角色:

      gcloud iam roles create connector --project=myproject --file=connector.yaml

  2. 在Google Cloud中创建一个服务帐户、并将此角色分配给此服务帐户:

    1. 从IAM和Admin服务中,选择*服务帐户>创建服务帐户*。

    2. 输入服务帐户详细信息,然后选择*创建并继续*。

    3. 选择刚刚创建的角色。

    4. 完成其余步骤以创建角色。

  3. 如果您计划将Cloud Volumes ONTAP 系统部署在与Connector所在项目不同的项目中、则需要为Connector的服务帐户提供对这些项目的访问权限。

    例如、假设Connector位于项目1中、而您希望在项目2中创建Cloud Volumes ONTAP 系统。您需要授予对项目2中服务帐户的访问权限。

    1. 从IAM和管理服务中、选择要创建Cloud Volumes ONTAP系统的Google Cloud项目。

    2. 在* IAM *页面上、选择*授予访问权限*并提供所需的详细信息。

      • 输入Connector服务帐户的电子邮件。

      • 选择Connector的自定义角色。

      • 选择 * 保存 * 。

    有关详细信息,请参见 "Google Cloud文档"

结果

已设置Connector VM的服务帐户。

第4步:设置共享VPC权限

如果您使用共享VPC将资源部署到服务项目中、则需要准备您的权限。

此表仅供参考,您的环境应在 IAM 配置完成后反映权限表。

查看共享VPC权限
身份 创建者 托管在中 服务项目权限 托管项目权限 目的

用于部署Connector的Google帐户

自定义

服务项目

compute.networkUser

在服务项目中部署Connector

连接器服务帐户

自定义

服务项目

compute.networkUser

deploymentmanager.editor

在服务项目中部署和维护 Cloud Volumes ONTAP 和服务

Cloud Volumes ONTAP 服务帐户

自定义

服务项目

storage.admin

成员:BlueXP服务帐户serviceAccount.user

不适用

(可选)用于数据分层和BlueXP备份和恢复

Google API 服务代理

Google Cloud

服务项目

(默认)编辑器

compute.networkUser

代表部署与Google Cloud API进行交互。允许BlueXP使用共享网络。

Google Compute Engine 默认服务帐户

Google Cloud

服务项目

(默认)编辑器

compute.networkUser

代表部署部署部署部署Google Cloud实例和计算基础架构。允许BlueXP使用共享网络。

注释:

  1. 只有在未向部署传递防火墙规则并选择让BlueXP为您创建这些规则的情况下、主机项目才需要使用deploymentmanager.editor.如果未指定任何规则、BlueXP将在包含VPC0防火墙规则的主机项目中创建部署。

  2. 只有当您不向部署传递防火墙规则并选择让BlueXP为您创建这些规则时、才需要firewall.create和firewall.delete。这些权限位于BlueXP帐户.YAML文件中。如果要使用共享 VPC 部署 HA 对,则会使用这些权限为 VC1 , 2 和 3 创建防火墙规则。对于所有其他部署,这些权限还将用于为 VPC0 创建规则。

  3. 对于数据分层,分层服务帐户必须在服务帐户上具有 serviceAccount.user 角色,而不仅仅是在项目级别。目前,如果您在项目级别分配 serviceAccount.user ,则在使用 getIAMPolicy 查询服务帐户时不会显示权限。

第5步:启用Google Cloud API

必须先启用多个Google Cloud API、然后才能在Google Cloud中部署Connector和Cloud Volumes ONTAP。

步骤
  1. 在项目中启用以下Google Cloud API:

    • Cloud Deployment Manager V2 API

    • 云日志记录 API

    • Cloud Resource Manager API

    • 计算引擎 API

    • 身份和访问管理( IAM ) API

    • 云密钥管理服务(KMS) API

      (仅当您计划将BlueXP备份和恢复与客户管理的加密密钥(CMDK)结合使用时才需要)

第6步:创建连接器

直接从BlueXP基于Web的控制台或使用gCloud创建Connector。

关于此任务

创建Connector会使用默认配置在Google Cloud中部署虚拟机实例。创建连接器后、不应更改为CPU或RAM更少的较小VM实例。 "了解Connector的默认配置"

BlueXP
开始之前

您应具备以下条件:

  • 为Connector VM创建Connector和服务帐户所需的Google Cloud权限。

  • 满足网络连接要求的VPC和子网。

  • 有关代理服务器的详细信息、如果从Connector访问Internet需要代理。

步骤
  1. 选择*Connecter*下拉列表,然后选择*Add Connecter*。

    标题中显示 Connector 图标和 Add Connector 操作的屏幕截图。

  2. 选择 * Google Cloud Platform* 作为云提供商。

  3. 在*部署Connector*页面上、查看有关所需内容的详细信息。您有两种选择:

    1. 使用产品内置指南选择*继续*以准备部署。产品指南中的每个步骤都包含文档本页中包含的信息。

    2. 如果您已经按照本页上的步骤进行准备,请选择*跳至部署*。

  4. 按照向导中的步骤创建 Connector :

    • 如果出现提示,请登录到您的 Google 帐户,该帐户应具有创建虚拟机实例所需的权限。

      此表由 Google 拥有和托管。您的凭据不会提供给 NetApp 。

    • 详细信息:输入虚拟机实例的名称、指定标记、选择项目、然后选择具有所需权限的服务帐户(有关详细信息、请参见上述部分)。

    • * 位置 * :指定实例的区域,分区, VPC 和子网。

    • * 网络 * :选择是否启用公有 IP 地址,并可选择指定代理配置。

    • 防火墙策略:选择是创建新的防火墙策略,还是选择允许所需入站和出站规则的现有防火墙策略。

    • * 审核 * :查看您选择的内容,确认您的设置正确无误。

  5. 选择 * 添加 * 。

    此实例应在大约 7 分钟后准备就绪。您应停留在页面上,直到此过程完成。

结果

此过程完成后、即可从BlueXP使用Connector。

如果您在创建Connector的同一个Google Cloud帐户中具有Google Cloud Storage分段、则会在BlueXP画布上自动显示Google Cloud Storage工作环境。 "了解如何从BlueXP管理Google Cloud Storage"

开始之前

您应具备以下条件:

  • 为Connector VM创建Connector和服务帐户所需的Google Cloud权限。

  • 满足网络连接要求的VPC和子网。

  • 了解VM实例要求。

    • CPU:8核或8个vCPU

    • RAM:32 GB

    • 机器类型:建议使用n2-standard-8。

      在操作系统支持受保护的VM功能的VM实例上、Google Cloud支持使用Connector。

步骤
  1. 使用您首选的方法登录到 gcloud SDK 。

    在我们的示例中、我们将使用安装了gcloud SDK的本地Shell、但您可以在Google云控制台中使用原生 Google Cloud Shell。

    有关 Google Cloud SDK 的详细信息,请访问 "Google Cloud SDK 文档页面"

  2. 验证您是否以具有上一节中定义的所需权限的用户身份登录:

    gcloud auth list

    输出应显示以下内容,其中 * 用户帐户是要以身份登录的所需用户帐户:

    Credentialed Accounts
    ACTIVE  ACCOUNT
         some_user_account@domain.com
    *    desired_user_account@domain.com
    To set the active account, run:
     $ gcloud config set account `ACCOUNT`
    Updates are available for some Cloud SDK components. To install them,
    please run:
    $ gcloud components update
  3. 运行 gcloud compute instances create 命令:

    gcloud compute instances create <instance-name>
      --machine-type=n2-standard-8
      --image-project=netapp-cloudmanager
      --image-family=cloudmanager
      --scopes=cloud-platform
      --project=<project>
      --service-account=<service-account>
      --zone=<zone>
      --no-address
      --tags <network-tag>
      --network <network-path>
      --subnet <subnet-path>
      --boot-disk-kms-key <kms-key-path>
    实例名称

    VM 实例所需的实例名称。

    项目

    (可选)要部署 VM 的项目。

    服务帐户

    步骤 2 输出中指定的服务帐户。

    分区

    要部署 VM 的区域

    无地址

    (可选)不使用外部 IP 地址(您需要云 NAT 或代理将流量路由到公有 Internet )

    网络标记

    (可选)添加网络标记以使用标记将防火墙规则链接到 Connector 实例

    网络路径

    (可选)添加要将 Connector 部署到的网络的名称(对于共享 VPC ,您需要完整路径)

    子网路径

    (可选)添加要将 Connector 部署到的子网的名称(对于共享 VPC ,您需要完整路径)

    kms-key-path

    (可选)添加 KMS 密钥以加密连接器的磁盘(还需要应用 IAM 权限)

有关这些标志的详细信息,请访问 "Google Cloud 计算 SDK 文档"

+
运行命令可使用 NetApp 黄金映像部署 Connector 。Connector 实例和软件应在大约五分钟内运行。

  1. 从已连接到 Connector 实例的主机打开 Web 浏览器,然后输入以下 URL :

  2. 登录后,设置 Connector :

    1. 指定要与连接器关联的BlueXP  组织。

    2. 输入系统名称。

结果

现在、您的BlueXP  组织已安装并设置了连接器。

打开Web浏览器并转到 "BlueXP控制台" 开始将Connector与BlueXP结合使用。