在受限模式下部署连接器
在受限模式下部署连接器、以便可以使用BlueXP 与BlueXP 软件即服务(SaaS)层建立有限的出站连接。要开始使用、请安装Connector、通过访问Connector上运行的用户界面来设置BlueXP、然后提供您先前设置的云权限。
步骤1:安装连接器
从云提供商的市场或通过在您自己的Linux主机上手动安装此软件来安装Connector。
您应具备以下条件:
-
满足网络连接要求的VPC和子网。
-
一个IAM角色、其附加策略包括Connector所需的权限。
-
为IAM用户订阅和取消订阅AWS Marketplace的权限。
-
了解实例的CPU和RAM要求。
-
EC2实例的密钥对。
-
在"商城"页面上、选择*继续订阅*。
-
要订阅软件,请选择*接受条款*。
订阅过程可能需要几分钟时间。
-
订阅过程完成后,选择*继续配置*。
-
在*配置此软件*页上,确保您选择了正确的区域,然后选择*继续启动*。
-
在*启动此软件*页的*选择操作*下,选择*通过EC2*启动,然后选择*启动*。
以下步骤介绍了如何从EC2控制台启动实例、因为控制台允许您将IAM角色附加到Connector实例。使用 * 从网站启动 * 操作无法实现这一点。
-
按照提示配置和部署实例:
-
名称和标记:输入实例的名称和标记。
-
应用程序和操作系统映像:跳过本节。已选择连接器AMI。
-
实例类型:根据地区可用性,选择符合RAM和CPU要求的实例类型(已预先选择并建议使用t3.2x大 容量)。
-
密钥对(login):选择要用于安全连接到实例的密钥对。
-
网络设置:根据需要编辑网络设置:
-
选择所需的VPC和子网。
-
指定实例是否应具有公有 IP地址。
-
指定用于为连接器实例启用所需连接方法的安全组设置:SSH、HTTP和HTTPS。
-
-
配置存储:保留根卷的默认大小和磁盘类型。
如果要在根卷上启用Amazon EBS加密、请选择*高级*、展开*卷1*、选择*加密*、然后选择KMS密钥。
-
高级详细信息:在* IAM实例配置文件*下、选择包含Connector所需权限的IAM角色。
-
摘要:查看摘要并选择*启动实例*。
-
AWS 使用指定的设置启动软件。Connector 实例和软件应在大约五分钟内运行。
设置BlueXP。
您应具备以下条件:
-
满足网络连接要求的VPC和子网。
-
一个IAM角色、其附加策略包括Connector所需的权限。
-
为IAM用户订阅和取消订阅AWS Marketplace的权限。
-
EC2实例的密钥对。
-
转到AWS Marketplace中的BlueXP产品。
-
打开EC2服务并选择*启动实例*。
-
选择* AWS Marketplace *。
-
搜索BlueXP并选择产品。
-
选择 * 继续 * 。
-
-
按照提示配置和部署实例:
-
选择实例类型:根据地区可用性,选择支持的实例类型之一(建议使用t3.2x大)。
-
配置实例详细信息:选择一个VPC和子网、选择您在第1步中创建的IAM角色、启用终止保护(建议)、然后选择符合您要求的任何其他配置选项。
-
* 添加存储 * :保留默认存储选项。
-
* 添加标记 * :根据需要输入实例的标记。
-
* 配置安全组 * :指定 Connector 实例所需的连接方法: SSH , HTTP 和 HTTPS 。
-
查看:查看您的选择并选择*启动*。
-
AWS 使用指定的设置启动软件。Connector 实例和软件应在大约五分钟内运行。
设置BlueXP。
您应具备以下条件:
-
满足网络连接要求的vNet和子网。
-
一个Azure自定义角色、其中包含Connector所需的权限。
-
转到Azure Marketplace中的NetApp Connector VM页面。
-
选择*立即获取*,然后选择*继续*。
-
在Azure门户中、选择*创建*并按照以下步骤配置虚拟机。
配置虚拟机时,请注意以下事项:
-
虚拟机大小:选择满足CPU和RAM要求的虚拟机大小。建议使用Standard"(标准)_D8s_v3。
-
磁盘:此连接器可以对HDD或SSD磁盘执行最佳性能。
-
公共IP:如果要对Connector VM使用公共IP地址、则该IP地址必须使用基本SKU以确保BlueXP使用此公共IP地址。
如果改用标准SKU IP地址、则BlueXP将使用Connector的_private_ IP地址、而不是公共IP。如果用于访问BlueXP控制台的计算机无法访问该专用IP地址、则BlueXP控制台的操作将失败。
-
网络安全组:Connector需要使用SSH、HTTP和HTTPS进行入站连接。
-
身份:在*管理*下、选择*启用系统分配的受管身份*。
此设置非常重要、因为托管标识允许Connector虚拟机通过Microsoft Entra ID标识自身、而无需提供任何凭据。 "详细了解 Azure 资源的托管身份"。
-
-
在*Review + cree*页面上,查看您的选择并选择*Cree*以开始部署。
Azure 使用指定的设置部署虚拟机。虚拟机和 Connector 软件应在大约五分钟内运行。
设置BlueXP。
您应具备以下条件:
-
安装Connector的root权限。
-
有关代理服务器的详细信息、如果从Connector访问Internet需要代理。
您可以选择在安装后配置代理服务器、但这样做需要重新启动Connector。
请注意、BlueXP不支持透明代理服务器。
-
CA签名证书、如果代理服务器使用HTTPS或代理是截获代理。
-
根据您的操作系统、在安装Connector之前需要使用Podman或Docker引擎。
NetApp 支持站点上提供的安装程序可能是早期版本。安装后,如果有新版本可用, Connector 会自动进行更新。
-
如果在主机上设置了_http_proxy_或_https_proxy_系统变量、请将其删除:
unset http_proxy unset https_proxy
如果不删除这些系统变量、安装将失败。
-
从下载Connector软件 "NetApp 支持站点",然后将其复制到 Linux 主机。
您应下载用于您的网络或云中的"联机"Connector安装程序。Connector可以使用单独的"脱机"安装程序、但只有专用模式部署才支持此安装程序。
-
分配运行脚本的权限。
chmod +x BlueXP-Connector-Cloud-<version>
其中、<version> 是您下载的连接器版本。
-
运行安装脚本。
./BlueXP-Connector-Cloud-<version> --proxy <HTTP or HTTPS proxy server> --cacert <path and file name of a CA-signed certificate>
-proxy和-cacert参数是可选的。如果您有代理服务器、则需要输入所示的参数。安装程序不会提示您提供有关代理的信息。
以下是使用这两个可选参数的命令示例:
./BlueXP-Connector-Cloud-v3.9.40--proxy https://user:password@10.0.0.30:8080/ --cacert /tmp/cacert/certificate.cer
-proxy会将Connector配置为使用以下格式之一的HTTP或HTTPS代理服务器:
-
http://address:port
-
http://user-name:password@address:port
-
http://domain-name%92user-name:password@address:port
-
https://address:port
-
https://user-name:password@address:port
-
https://domain-name%92user-name:password@address:port
请注意以下事项:
-
用户可以是本地用户或域用户。
-
对于域用户、必须对\使用ASCII代码、如上所示。
-
BlueXP不支持包含@字符的用户名或密码。
-
如果密码包含以下任一特殊字符,则必须在该特殊字符前面加上反斜杠:&或!
例如:
http://bxpproxyuser:netapp1\!@address:3128
-
-cacert指定用于在Connector和代理服务器之间进行HTTPS访问的CA签名证书。只有在指定HTTPS代理服务器或代理为截获代理时、才需要此参数。
-
此时将安装Connector。在安装结束时、如果您指定了代理服务器、则Connector服务(occa)将重新启动两次。
设置BlueXP。
第2步:设置BlueXP
首次访问BlueXP控制台时、系统将提示您选择要与Connector关联的帐户、您需要启用受限模式。
设置BlueXP 连接器的人员必须使用不属于BlueXP 帐户或组织的登录名登录到BlueXP 。
如果您的BlueXP 登录名与其他帐户或组织关联、则需要使用新的BlueXP 登录名进行注册。否则、您将无法在设置屏幕上看到用于启用受限模式的选项。
-
从已连接到 Connector 实例的主机打开 Web 浏览器,然后输入以下 URL :
-
注册或登录到BlueXP。
-
登录后、设置BlueXP:
-
输入Connector的名称。
-
输入新BlueXP 帐户的名称。
-
选择*是否在安全环境中运行?*
-
选择*对此帐户启用受限模式*。
请注意、在BlueXP创建帐户后、您无法更改此设置。您不能稍后启用受限模式、也不能稍后禁用它。
如果您在政府区域部署了Connector、则此复选框已启用、无法更改。这是因为受限模式是政府区域唯一支持的模式。
-
选择*开始*。
-
现在、您可以使用BlueXP帐户安装并设置Connector。所有用户都需要使用Connector实例的IP地址访问BlueXP。
为BlueXP提供您先前设置的权限。
第3步:为BlueXP提供权限
如果您从Azure Marketplace部署了Connector、或者手动安装了Connector软件、则需要提供先前设置的权限、以便可以使用BlueXP服务。
如果您从AWS Marketplace部署了Connector、则这些步骤不适用、因为您在部署期间选择了所需的IAM角色。
将先前创建的IAM角色附加到安装了Connector的EC2实例。
只有在AWS中手动安装Connector时、这些步骤才适用。对于AWS Marketplace部署、您已将Connector实例与包含所需权限的IAM角色关联。
-
转到Amazon EC2控制台。
-
选择*实例*。
-
选择Connector实例。
-
选择*操作>安全性>修改IAM角色*。
-
选择IAM角色并选择*更新IAM角色*。
现在、BlueXP拥有代表您在AWS中执行操作所需的权限。
为BlueXP提供具有所需权限的IAM用户的AWS访问密钥。
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
选择*添加凭据*并按照向导中的步骤进行操作。
-
* 凭据位置 * :选择 * Amazon Web Services > Connector* 。
-
定义凭据:输入AWS访问密钥和机密密钥。
-
* 市场订阅 * :通过立即订阅或选择现有订阅,将市场订阅与这些凭据相关联。
-
查看:确认有关新凭据的详细信息、然后选择*添加*。
-
现在、BlueXP拥有代表您在AWS中执行操作所需的权限。
转到Azure门户、为一个或多个订阅向Connector虚拟机分配Azure自定义角色。
-
从Azure门户中、打开*订阅*服务并选择您的订阅。
请务必从*订阅*服务中分配角色,因为这会指定订阅级别的角色分配范围。范围定义了适用场景访问的一组资源。如果在其他级别(例如、在虚拟机级别)指定范围、则从BlueXP中完成操作的能力将受到影响。
-
选择*访问控制(IA)>*添加>*添加角色指派*。
-
在*角色*选项卡中、选择* BlueXP操作员*角色、然后选择*下一步*。
BlueXP操作员是BlueXP策略中提供的默认名称。如果您为角色选择了其他名称,请选择该名称。 -
在 * 成员 * 选项卡中,完成以下步骤:
-
为 * 受管身份 * 分配访问权限。
-
选择*选择成员*,选择创建连接器虚拟机时使用的订阅,在*受管身份*下选择*虚拟机*,然后选择连接器虚拟机。
-
选择*选择*。
-
选择 * 下一步 * 。
-
选择*审核+分配*。
-
如果要管理其他Azure订阅中的资源、请切换到该订阅、然后重复这些步骤。
-
现在、BlueXP拥有代表您在Azure中执行操作所需的权限。
为BlueXP提供您先前设置的Azure服务主体的凭据。
-
在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。
-
选择*添加凭据*并按照向导中的步骤进行操作。
-
* 凭据位置 * :选择 * Microsoft Azure > Connector* 。
-
定义凭据:输入有关授予所需权限的Microsoft Entra服务主体的信息:
-
应用程序(客户端) ID
-
目录(租户) ID
-
客户端密钥
-
-
* 市场订阅 * :通过立即订阅或选择现有订阅,将市场订阅与这些凭据相关联。
-
查看:确认有关新凭据的详细信息、然后选择*添加*。
-
现在、BlueXP拥有代表您在Azure中执行操作所需的权限。
将服务帐户与Connector VM关联。
-
转到Google Cloud门户、并将服务帐户分配给Connector VM实例。
-
如果要管理其他项目中的资源、请通过向该项目添加具有BlueXP角色的服务帐户来授予访问权限。您需要对每个项目重复此步骤。
现在、BlueXP拥有代表您在Google Cloud中执行操作所需的权限。