在Google Cloud中手动安装Connector
第1步:查看主机要求
连接器软件必须在满足特定操作系统要求, RAM 要求,端口要求等要求的主机上运行。
|
连接器保留 19000 到 19200 的 UID 和 GID 范围。此范围是固定的,无法修改。如果主机上的任何第三方软件使用此范围内的 UID 或 GID,连接器安装将失败。NetApp建议使用未安装第三方软件的主机,以避免冲突。 |
- 专用主机
-
与其他应用程序共享的主机不支持此连接器。主机必须是专用主机。
主机可以是满足以下大小要求的任何架构:
-
CPU:8个核心或8个vCPU
-
RAM : 32 GB
-
- 虚拟机管理程序
-
需要一个经过认证可运行受支持操作系统的裸机或托管虚拟机管理程序。
- 操作系统和容器要求
-
在标准模式或受限模式下使用BlueXP 时、BlueXP 支持将连接器与以下操作系统结合使用。在安装Connector之前、需要使用容器流程编排工具。
操作系统 支持的OS版本 支持的连接器版本 所需的容器工具 SELinux Red Hat Enterprise Linux
9.1 到 9.4
8.6 到 8.10
3.9.40或更高版本、BlueXP 处于标准模式或受限模式
4.6.1播客4.9.4
查看Podman配置要求(英文)
在模式或许可模式下支持 1 μ m
Ubuntu
24.04 LTS
3.8.5.4.5.8.5.3.8.5.8.5.8.5.3.8.5.8.5.8.5.3.8.5.8.5.8. BlueXP
Docker Engine 23.06 至 28.0.0。
不支持
注释:
-
在操作系统上启用了SELinux的连接器不支持管理Cloud Volumes ONTAP系统。
-
这些操作系统的英语版本支持 Connector 。
-
对于RHEL、主机必须注册到Red Hat订阅管理中。如果未注册、则主机无法在安装Connector期间访问存储库以更新所需的第三方软件。
-
- Google Cloud计算机类型
-
满足上述 CPU 和 RAM 要求的实例类型。我们建议使用n2-standard-8。
在具有支持的操作系统的VM实例上、Google Cloud支持Connector "屏蔽VM功能"
- /opt 中的磁盘空间
-
必须有 100 GiB 的可用空间
BlueXP 使用 `/opt`安装 `/opt/application/netapp`目录及其内容。
- /var 中的磁盘空间
-
必须有20 GiB的可用空间
BlueXP需要中的此空间
/var
因为Docker或Podman的架构设计是为了在此目录中创建容器。具体来说、他们将在中创建容器/var/lib/containers/storage
目录。外部挂载或符号链接不适用于此空间。
第2步:安装Podman或Docker引擎
根据您的操作系统、在安装Connector之前需要使用Podman或Docker引擎。
-
Red Hat Enterprise Linux 8和9需要Podman。
-
Ubuntu需要Docker引擎。
按照以下步骤安装Podman并对其进行配置,使其符合以下要求:
-
启用并启动 podman.socket 服务
-
安装python3
-
安装 podman-compose 软件包版本 1.0.6
-
将 podman-compose 添加到 PATH 环境变量
|
使用 Podman 时,请在安装 Connector 后调整 aardvark-dns 服务端口(默认值:53),以避免与主机上的 DNS 端口冲突。请按照说明配置端口。 |
-
如果在主机上安装了Podman-Docker软件包、请将其删除。
dnf remove podman-docker rm /var/run/docker.sock
-
安装Podman。
Podman可从Red Hat Enterprise Linux官方存储库获得。
对于Red Hat Enterprise Linux 9:
sudo dnf install podman-2:<version>
其中<version>是您正在安装的Podman的受支持版本。查看BlueXP 支持的Podman版本(英文)
对于Red Hat Enterprise Linux 8:
sudo dnf install podman-3:<version>
其中<version>是您正在安装的Podman的受支持版本。查看BlueXP 支持的Podman版本(英文)
-
启用并启动Podman.sSocket服务。
sudo systemctl enable --now podman.socket
-
安装python3.
sudo dnf install python3
-
如果您的系统上尚未提供EPEL存储库包、请安装该软件包。
之所以需要执行此步骤、是因为可以从Enterprise Linux的额外软件包(EPEL)存储库中进行podman-compose。
对于Red Hat Enterprise Linux 9:
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
对于Red Hat Enterprise Linux 8:
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
-
安装podman-compose软件包1.0.6。
sudo dnf install podman-compose-1.0.6
使用 dnf install
命令可满足向PATH环境变量添加Podman-compose的要求。安装命令会将podman-compose添加到/usr/bin中、该文件已包含在中secure_path
选项。
按照Docker中的文档安装Docker引擎。
-
请务必按照以下步骤安装特定版本的Docker引擎。安装最新版本将安装BlueXP不支持的Docker版本。
-
确认Docker已启用且正在运行。
sudo systemctl enable docker && sudo systemctl start docker
第3步:设置网络
设置您的网络、以便Connector可以管理混合云环境中的资源和流程。例如、您需要确保目标网络可以连接、并且可以访问出站Internet。
- 连接到目标网络
-
Connector需要与您计划创建和管理工作环境的位置建立网络连接。例如、您计划在内部环境中创建Cloud Volumes ONTAP系统或存储系统的网络。
- 出站 Internet 访问
-
部署连接器的网络位置必须具有出站Internet连接才能联系特定端点。
- 使用BlueXP 基于Web的控制台时从计算机联系的端点
-
从Web浏览器访问BlueXP 控制台的计算机必须能够访问多个端点。您需要使用BlueXP 控制台设置连接器、并使用BlueXP 进行日常使用。
- 在手动安装期间访问的端点
-
在您自己的Linux主机上手动安装Connector时、Connector安装程序需要在安装过程中访问以下URL:
-
https://mysupport.netapp.com
-
\Cname.com https://signin.b2c (此端点是https://mysupport NetApp的NetApp)
-
https://cloudmanager.cloud.netapp.com/tenancy
-
https://stream.cloudmanager.cloud.netapp.com
-
https://production-artifacts.cloudmanager.cloud.netapp.com
-
要获取映像、安装程序需要访问以下两组端点之一:
-
选项1 (建议):
-
https://bluexpinfraprod.eastus2.data.azurecr.io
-
https://bluexpinfraprod.azurecr.io
-
-
选项2:
-
https://*.blob.core.windows.net
-
https://cloudmanagerinfraprod.azurecr.io
建议使用选项1中列出的端点、因为它们更安全。建议您设置防火墙、允许选项1中列出的端点、而禁止选项2中列出的端点。请注意以下有关这些端点的信息:
-
-
从3.9.47版本的连接器开始、支持选项1中列出的端点。与先前版本的Connector没有向后兼容性。
-
连接器首先连接选项2中列出的端点。如果这些端点不可访问、连接器会自动联系选项1中列出的端点。
-
如果将连接器与BlueXP 备份和恢复或BlueXP 勒索软件保护结合使用、则不支持选项1中的端点。在这种情况下、您可以禁止选项1中列出的端点、同时允许选项2中列出的端点。
-
主机可能会在安装期间尝试更新操作系统软件包。主机可以联系这些操作系统软件包的不同镜像站点。
-
- 从连接器连接的端点
-
Connector需要通过出站Internet访问与以下端点联系、以便管理公共云环境中的资源和流程、以实现日常运营。
请注意、下面列出的端点均为CNAME条目。
端点 目的 https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects在Google Cloud中管理资源。
获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。
https://*.api BlueXP .NetApp.com https://api.BlueXP .NetApp.com https://*.cloudmanager.cloud.NetApp.com https://cloudmanager.cloud.NetApp.com \https:NetApp-cloud-account.auth0.com
在BlueXP中提供SaaS功能和服务。
在两组端点之间进行选择:
-
选项1 (推荐)1
https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io
-
备选案文2.
https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io
获取用于Connector升级的映像。
1建议使用选项1中列出的端点、因为它们更安全。建议您设置防火墙、允许选项1中列出的端点、而禁止选项2中列出的端点。请注意以下有关这些端点的信息:
-
从3.9.47版本的连接器开始、支持选项1中列出的端点。与先前版本的Connector没有向后兼容性。
-
连接器首先连接选项2中列出的端点。如果这些端点不可访问、连接器会自动联系选项1中列出的端点。
-
如果将连接器与BlueXP 备份和恢复或BlueXP 勒索软件保护结合使用、则不支持选项1中的端点。在这种情况下、您可以禁止选项1中列出的端点、同时允许选项2中列出的端点。
-
- 代理服务器
-
NetApp支持显式和透明代理配置。如果您使用透明代理,则只需提供代理服务器的证书。如果您使用显式代理,则还需要 IP 地址和凭据。
-
IP 地址
-
凭据
-
HTTPS证书
-
- 端口
-
除非您启动连接器或将连接器用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持、否则不会有传入连接器的流量。
-
通过 HTTP ( 80 )和 HTTPS ( 443 ),您可以访问本地 UI ,在极少数情况下,您可以使用此界面。
-
只有在需要连接到主机进行故障排除时,才需要使用 SSH ( 22 )。
-
如果您在出站Internet连接不可用的子网中部署Cloud Volumes ONTAP 系统、则需要通过端口3128进行入站连接。
如果Cloud Volumes ONTAP系统没有用于发送AutoSupport消息的出站Internet连接、BlueXP会自动将这些系统配置为使用连接器附带的代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行入站连接。部署Connector后、您需要打开此端口。
-
- 启用NTP
-
如果您计划使用BlueXP分类来扫描公司数据源、则应在BlueXP Connector系统和BlueXP分类系统上启用网络时间协议(Network Time Protocol、NTP)服务、以便在系统之间同步时间。 "了解有关BlueXP分类的更多信息"
第4步:设置连接器的权限
要为Connector提供BlueXP在Google Cloud中管理资源所需的权限、需要Google Cloud服务帐户。创建Connector时、您需要将此服务帐户与Connector VM关联起来。
在后续版本中添加新权限时、您有责任更新自定义角色。如果需要新的权限、这些权限将在发行说明中列出。
-
在Google Cloud中创建自定义角色:
-
创建包含内容的YAML文件 "Connector的服务帐户权限"。
-
从Google Cloud激活Cloud Shell。
-
上传包含所需权限的YAML文件。
-
使用创建自定义角色
gcloud iam roles create
命令:以下示例将在项目级别创建一个名为"connector"的角色:
gcloud iam roles create connector --project=myproject --file=connector.yaml
-
-
在Google Cloud中创建一个服务帐户、并将此角色分配给此服务帐户:
-
从IAM和Admin服务中,选择*服务帐户>创建服务帐户*。
-
输入服务帐户详细信息,然后选择*创建并继续*。
-
选择刚刚创建的角色。
-
完成其余步骤以创建角色。
-
-
如果您计划将Cloud Volumes ONTAP 系统部署在与Connector所在项目不同的项目中、则需要为Connector的服务帐户提供对这些项目的访问权限。
例如、假设Connector位于项目1中、而您希望在项目2中创建Cloud Volumes ONTAP 系统。您需要授予对项目2中服务帐户的访问权限。
-
从IAM和管理服务中、选择要创建Cloud Volumes ONTAP系统的Google Cloud项目。
-
在* IAM *页面上、选择*授予访问权限*并提供所需的详细信息。
-
输入Connector服务帐户的电子邮件。
-
选择Connector的自定义角色。
-
选择 * 保存 * 。
-
有关详细信息,请参见 "Google Cloud文档"
-
已设置Connector VM的服务帐户。
第5步:设置共享VPC权限
如果您使用共享VPC将资源部署到服务项目中、则需要准备您的权限。
此表仅供参考,您的环境应在 IAM 配置完成后反映权限表。
查看共享VPC权限
身份 | 创建者 | 托管在中 | 服务项目权限 | 托管项目权限 | 目的 |
---|---|---|---|---|---|
用于部署Connector的Google帐户 |
自定义 |
服务项目 |
compute.networkUser |
在服务项目中部署Connector |
|
连接器服务帐户 |
自定义 |
服务项目 |
compute.networkUser |
在服务项目中部署和维护 Cloud Volumes ONTAP 和服务 |
|
Cloud Volumes ONTAP 服务帐户 |
自定义 |
服务项目 |
storage.admin |
不适用 |
(可选)用于数据分层和BlueXP备份和恢复 |
Google API 服务代理 |
Google Cloud |
服务项目 |
(默认)编辑器 |
compute.networkUser |
代表部署与Google Cloud API进行交互。允许BlueXP使用共享网络。 |
Google Compute Engine 默认服务帐户 |
Google Cloud |
服务项目 |
(默认)编辑器 |
compute.networkUser |
代表部署部署部署部署Google Cloud实例和计算基础架构。允许BlueXP使用共享网络。 |
注释:
-
只有在未向部署传递防火墙规则并选择让BlueXP为您创建这些规则的情况下、主机项目才需要使用deploymentmanager.editor.如果未指定任何规则、BlueXP将在包含VPC0防火墙规则的主机项目中创建部署。
-
只有当您不向部署传递防火墙规则并选择让BlueXP为您创建这些规则时、才需要firewall.create和firewall.delete。这些权限位于BlueXP帐户.YAML文件中。如果要使用共享 VPC 部署 HA 对,则会使用这些权限为 VC1 , 2 和 3 创建防火墙规则。对于所有其他部署,这些权限还将用于为 VPC0 创建规则。
-
对于数据分层,分层服务帐户必须在服务帐户上具有 serviceAccount.user 角色,而不仅仅是在项目级别。目前,如果您在项目级别分配 serviceAccount.user ,则在使用 getIAMPolicy 查询服务帐户时不会显示权限。
第6步:启用Google Cloud API
在Google Cloud中部署Cloud Volumes ONTAP系统之前、必须启用多个Google Cloud API。
-
在项目中启用以下Google Cloud API:
-
Cloud Deployment Manager V2 API
-
云日志记录 API
-
Cloud Resource Manager API
-
计算引擎 API
-
身份和访问管理( IAM ) API
-
云密钥管理服务(KMS) API
(仅当您计划将BlueXP备份和恢复与客户管理的加密密钥(CMDK)结合使用时才需要)
-
第7步:安装连接器
完成前提条件后、您可以在自己的Linux主机上手动安装软件。
您应具备以下条件:
-
安装Connector的root权限。
-
有关代理服务器的详细信息、如果从Connector访问Internet需要代理。
您可以选择在安装后配置代理服务器、但这样做需要重新启动Connector。
-
CA签名证书、如果代理服务器使用HTTPS或代理是截获代理。
|
手动安装连接器时,无法为透明代理服务器设置证书。如果需要为透明代理服务器设置证书,则必须在安装后使用维护控制台。了解有关的更多信息"连接器维护控制台"。 |
NetApp 支持站点上提供的安装程序可能是早期版本。安装后,如果有新版本可用, Connector 会自动进行更新。
-
如果在主机上设置了_http_proxy_或_https_proxy_系统变量、请将其删除:
unset http_proxy unset https_proxy
如果不删除这些系统变量、安装将失败。
-
从下载Connector软件 "NetApp 支持站点",然后将其复制到 Linux 主机。
您应下载用于您的网络或云中的"联机"Connector安装程序。Connector可以使用单独的"脱机"安装程序、但只有专用模式部署才支持此安装程序。
-
分配运行脚本的权限。
chmod +x BlueXP-Connector-Cloud-<version>
其中、<version> 是您下载的连接器版本。
-
运行安装脚本。
./BlueXP-Connector-Cloud-<version> --proxy <HTTP or HTTPS proxy server> --cacert <path and file name of a CA-signed certificate>
如果您的网络需要代理才能访问互联网,则需要添加代理信息。您可以添加透明代理或显式代理。--proxy 和 --cacert 参数是可选的,系统不会提示您添加它们。如果您有代理服务器、则需要输入所示的参数。
以下是使用 CA 签名证书配置显式代理服务器的示例:
./BlueXP-Connector-Cloud-v3.9.40--proxy https://user:password@10.0.0.30:8080/ --cacert /tmp/cacert/certificate.cer
-proxy会将Connector配置为使用以下格式之一的HTTP或HTTPS代理服务器:
-
http://address:port
-
http://user-name:password@address:port
-
http://domain-name%92user-name:password@address:port
-
https://address:port
-
https://user-name:password@address:port
-
https://domain-name%92user-name:password@address:port
请注意以下事项:
-
用户可以是本地用户或域用户。
-
对于域用户、必须对\使用ASCII代码、如上所示。
-
BlueXP不支持包含@字符的用户名或密码。
-
如果密码包含以下任一特殊字符,则必须在该特殊字符前面加上反斜杠:&或!
例如:
http://bxpproxyuser:netapp1\!@address:3128
-cacert指定用于在Connector和代理服务器之间进行HTTPS访问的CA签名证书。HTTPS代理服务器、拦截代理服务器、透明代理服务器都需要此参数。
以下是配置透明代理服务器的示例。配置透明代理时,无需定义代理服务器。只需向连接器主机添加 CA 签名的证书即可:
-
./BlueXP-Connector-Cloud-v3.9.40 --cacert /tmp/cacert/certificate.cer
-
-
如果您使用 Podman,则需要调整 aardvark-dns 端口。
-
通过 SSH 连接到 BlueXP Connector 虚拟机。
-
打开 podman_/usr/share/containers/containers.conf_ 文件并修改 Aardvark DNS 服务的所选端口。例如,将其更改为 54。
vi /usr/share/containers/containers.conf ... # Port to use for dns forwarding daemon with netavark in rootful bridge # mode and dns enabled. # Using an alternate port might be useful if other DNS services should # run on the machine. # dns_bind_port = 54 ... Esc:wq
-
重新启动 Connector 虚拟机。
-
-
等待安装完成。
在安装结束时、如果您指定了代理服务器、则Connector服务(occa)将重新启动两次。
-
从已连接到 Connector 虚拟机的主机打开 Web 浏览器,然后输入以下 URL :
-
登录后,设置 Connector :
-
指定要与连接器关联的BlueXP 组织。
-
输入系统名称。
-
在*是否在安全环境中运行?*下、保持禁用受限模式。
您应始终禁用受限模式、因为这些步骤说明了如何在标准模式下使用BlueXP。只有在您拥有安全环境并希望将此帐户与BlueXP后端服务断开连接时、才应启用受限模式。如果是这种情况、 "按照步骤在受限模式下开始使用BlueXP"。
-
选择*开始*。
-
如果您在创建Connector的同一个Google Cloud帐户中具有Google Cloud Storage分段、则会在BlueXP画布上自动显示Google Cloud Storage工作环境。 "了解如何从BlueXP管理Google Cloud Storage"
第8步:为BlueXP提供权限
您需要为BlueXP提供先前设置的Google Cloud权限。通过提供权限、BlueXP可以在Google Cloud中管理数据和存储基础架构。
-
转到Google Cloud门户、并将服务帐户分配给Connector VM实例。
-
如果要管理其他Google Cloud项目中的资源、请通过向该项目添加具有BlueXP角色的服务帐户来授予访问权限。您需要对每个项目重复此步骤。
现在、BlueXP拥有代表您在Google Cloud中执行操作所需的权限。