Skip to main content
BlueXP setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

在受限模式下部署连接器

贡献者
PDF

在受限模式下部署连接器、以便可以使用BlueXP  与BlueXP  软件即服务(SaaS)层建立有限的出站连接。要开始使用、请安装Connector、通过访问Connector上运行的用户界面来设置BlueXP、然后提供您先前设置的云权限。

步骤1:安装连接器

从云提供商的市场或通过在您自己的Linux主机上手动安装此软件来安装Connector。

AWS商业市场
开始之前

您应具备以下条件:

步骤

  1. 转到 "在AWS Marketplace上列出BlueXP Connector"

  2. 在"商城"页面上、选择*继续订阅*。

    屏幕截图显示了 AWS Marketplace 上的 Continue to Subscribe and Continue to Configuration 按钮。

  3. 要订阅软件,请选择*接受条款*。

    订阅过程可能需要几分钟时间。

  4. 订阅过程完成后,选择*继续配置*。

    屏幕截图显示了 AWS Marketplace 上的 Continue to Subscribe and Continue to Configuration 按钮。

  5. 在*配置此软件*页上,确保您选择了正确的区域,然后选择*继续启动*。

  6. 在*启动此软件*页的*选择操作*下,选择*通过EC2*启动,然后选择*启动*。

    以下步骤介绍了如何从EC2控制台启动实例、因为控制台允许您将IAM角色附加到Connector实例。使用 * 从网站启动 * 操作无法实现这一点。

  7. 按照提示配置和部署实例:

    • 名称和标记:输入实例的名称和标记。

    • 应用程序和操作系统映像:跳过本节。已选择连接器AMI。

    • 实例类型:根据地区可用性,选择符合RAM和CPU要求的实例类型(已预先选择并建议使用t3.2x大 容量)。

    • 密钥对(login):选择要用于安全连接到实例的密钥对。

    • 网络设置:根据需要编辑网络设置:

      • 选择所需的VPC和子网。

      • 指定实例是否应具有公有 IP地址。

      • 指定用于为连接器实例启用所需连接方法的安全组设置:SSH、HTTP和HTTPS。

        "查看AWS的安全组规则"

    • 配置存储:保留根卷的默认大小和磁盘类型。

      如果要在根卷上启用Amazon EBS加密、请选择*高级*、展开*卷1*、选择*加密*、然后选择KMS密钥。

    • 高级详细信息:在* IAM实例配置文件*下、选择包含Connector所需权限的IAM角色。

    • 摘要:查看摘要并选择*启动实例*。

结果

AWS 使用指定的设置启动软件。Connector 实例和软件应在大约五分钟内运行。

下一步是什么?

设置BlueXP。

AWS Gov Marketplace
开始之前

您应具备以下条件:

步骤

  1. 转到AWS Marketplace中的BlueXP产品。

    1. 打开EC2服务并选择*启动实例*。

    2. 选择* AWS Marketplace *。

    3. 搜索BlueXP并选择产品。

      在AWS Marketplace中搜索BlueXP产品后显示该产品的屏幕截图

    4. 选择 * 继续 * 。

  2. 按照提示配置和部署实例:

    • 选择实例类型:根据地区可用性,选择支持的实例类型之一(建议使用t3.2x大)。

      "查看实例要求"

    • 配置实例详细信息:选择一个VPC和子网、选择您在第1步中创建的IAM角色、启用终止保护(建议)、然后选择符合您要求的任何其他配置选项。

      显示 AWS 中配置实例页面上的字段的屏幕截图。此时将选择您应在步骤 1 中创建的 IAM 角色。

    • * 添加存储 * :保留默认存储选项。

    • * 添加标记 * :根据需要输入实例的标记。

    • * 配置安全组 * :指定 Connector 实例所需的连接方法: SSH , HTTP 和 HTTPS 。

    • 查看:查看您的选择并选择*启动*。

结果

AWS 使用指定的设置启动软件。Connector 实例和软件应在大约五分钟内运行。

下一步是什么?

设置BlueXP。

Azure Marketplace
开始之前

您应具备以下条件:

步骤

  1. 转到Azure Marketplace中的NetApp Connector VM页面。

  2. 选择*立即获取*,然后选择*继续*。

  3. 在Azure门户中、选择*创建*并按照以下步骤配置虚拟机。

    配置虚拟机时,请注意以下事项:

    • 虚拟机大小:选择满足CPU和RAM要求的虚拟机大小。建议使用Standard"(标准)_D8s_v3。

    • 磁盘:此连接器可以对HDD或SSD磁盘执行最佳性能。

    • 公共IP:如果要对Connector VM使用公共IP地址、则该IP地址必须使用基本SKU以确保BlueXP使用此公共IP地址。

      在Azure中创建新IP地址的屏幕截图、可用于在SKU字段的下选择基本。

      如果改用标准SKU IP地址、则BlueXP将使用Connector的_private_ IP地址、而不是公共IP。如果用于访问BlueXP控制台的计算机无法访问该专用IP地址、则BlueXP控制台的操作将失败。

    "Azure文档:公共IP SKU"

    • 网络安全组:Connector需要使用SSH、HTTP和HTTPS进行入站连接。

      "查看Azure的安全组规则"

    • 身份:在*管理*下、选择*启用系统分配的受管身份*。

      此设置非常重要、因为托管标识允许Connector虚拟机通过Microsoft Entra ID标识自身、而无需提供任何凭据。 "详细了解 Azure 资源的托管身份"

  4. 在*Review + cree*页面上,查看您的选择并选择*Cree*以开始部署。

结果

Azure 使用指定的设置部署虚拟机。虚拟机和 Connector 软件应在大约五分钟内运行。

下一步是什么?

设置BlueXP。

手动安装
开始之前

您应具备以下条件:

  • 安装Connector的root权限。

  • 有关代理服务器的详细信息、如果从Connector访问Internet需要代理。

    您可以选择在安装后配置代理服务器、但这样做需要重新启动Connector。

    请注意、BlueXP不支持透明代理服务器。

  • CA签名证书、如果代理服务器使用HTTPS或代理是截获代理。

  • 根据您的操作系统、在安装Connector之前需要使用Podman或Docker引擎。

关于此任务

NetApp 支持站点上提供的安装程序可能是早期版本。安装后,如果有新版本可用, Connector 会自动进行更新。

步骤

  1. 如果在主机上设置了_http_proxy_或_https_proxy_系统变量、请将其删除:

    unset http_proxy
unset https_proxy

    如果不删除这些系统变量、安装将失败。

  2. 从下载Connector软件 "NetApp 支持站点",然后将其复制到 Linux 主机。

    您应下载用于您的网络或云中的"联机"Connector安装程序。Connector可以使用单独的"脱机"安装程序、但只有专用模式部署才支持此安装程序。

  3. 分配运行脚本的权限。

    chmod +x BlueXP-Connector-Cloud-<version>

    其中、<version> 是您下载的连接器版本。

  4. 运行安装脚本。

     ./BlueXP-Connector-Cloud-<version> --proxy <HTTP or HTTPS proxy server> --cacert <path and file name of a CA-signed certificate>

    -proxy和-cacert参数是可选的。如果您有代理服务器、则需要输入所示的参数。安装程序不会提示您提供有关代理的信息。

    以下是使用这两个可选参数的命令示例:

     ./BlueXP-Connector-Cloud-v3.9.40--proxy https://user:password@10.0.0.30:8080/ --cacert /tmp/cacert/certificate.cer

    -proxy会将Connector配置为使用以下格式之一的HTTP或HTTPS代理服务器:

    • http://address:port

    • http://user-name:password@address:port

    • http://domain-name%92user-name:password@address:port

    • https://address:port

    • https://user-name:password@address:port

    • https://domain-name%92user-name:password@address:port

      请注意以下事项:

      • 用户可以是本地用户或域用户。

      • 对于域用户、必须对\使用ASCII代码、如上所示。

      • BlueXP不支持包含@字符的用户名或密码。

      • 如果密码包含以下任一特殊字符,则必须在该特殊字符前面加上反斜杠:&或!

        例如:

      http://bxpproxyuser:netapp1\!@address:3128

    -cacert指定用于在Connector和代理服务器之间进行HTTPS访问的CA签名证书。只有在指定HTTPS代理服务器或代理为截获代理时、才需要此参数。

结果

此时将安装Connector。在安装结束时、如果您指定了代理服务器、则Connector服务(occa)将重新启动两次。

下一步是什么?

设置BlueXP。

第2步:设置BlueXP

首次访问BlueXP控制台时、系统将提示您选择要与Connector关联的帐户、您需要启用受限模式。

备注 如果您已有帐户、但要创建另一个帐户、则需要使用租户API。 "了解如何创建其他BlueXP帐户"
步骤

  1. 从已连接到 Connector 实例的主机打开 Web 浏览器,然后输入以下 URL :

    https://ipaddress

  2. 注册或登录到BlueXP。

  3. 登录后、设置BlueXP:

    1. 输入Connector的名称。

    2. 输入新BlueXP帐户的名称或选择现有帐户。

      如果您的登录已与BlueXP帐户关联、则可以选择一个现有帐户。

    3. 选择*是否在安全环境中运行?*

    4. 选择*对此帐户启用受限模式*。

      请注意、在BlueXP创建帐户后、您无法更改此设置。您不能稍后启用受限模式、也不能稍后禁用它。

      如果您在政府区域部署了Connector、则此复选框已启用、无法更改。这是因为受限模式是政府区域唯一支持的模式。

    显示欢迎页面的屏幕截图、您需要在此页面中输入Connector名称和帐户名称、并可为此帐户启用受限模式。

    1. 选择*开始*。

结果

现在、您可以使用BlueXP帐户安装并设置Connector。所有用户都需要使用Connector实例的IP地址访问BlueXP。

下一步是什么?

为BlueXP提供您先前设置的权限。

第3步:为BlueXP提供权限

如果您从Azure Marketplace部署了Connector、或者手动安装了Connector软件、则需要提供先前设置的权限、以便可以使用BlueXP服务。

如果您从AWS Marketplace部署了Connector、则这些步骤不适用、因为您在部署期间选择了所需的IAM角色。

"了解如何准备云权限"

AWS IAM角色

将先前创建的IAM角色附加到安装了Connector的EC2实例。

只有在AWS中手动安装Connector时、这些步骤才适用。对于AWS Marketplace部署、您已将Connector实例与包含所需权限的IAM角色关联。

步骤

  1. 转到Amazon EC2控制台。

  2. 选择*实例*。

  3. 选择Connector实例。

  4. 选择*操作>安全性>修改IAM角色*。

  5. 选择IAM角色并选择*更新IAM角色*。

结果

现在、BlueXP拥有代表您在AWS中执行操作所需的权限。

AWS访问密钥

为BlueXP提供具有所需权限的IAM用户的AWS访问密钥。

步骤

  1. 在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。

    一个屏幕截图、显示了BlueXP控制台右上角的设置图标。

  2. 选择*添加凭据*并按照向导中的步骤进行操作。

    1. * 凭据位置 * :选择 * Amazon Web Services > Connector* 。

    2. 定义凭据:输入AWS访问密钥和机密密钥。

    3. * 市场订阅 * :通过立即订阅或选择现有订阅,将市场订阅与这些凭据相关联。

    4. 查看:确认有关新凭据的详细信息、然后选择*添加*。

结果

现在、BlueXP拥有代表您在AWS中执行操作所需的权限。

Azure角色

转到Azure门户、为一个或多个订阅向Connector虚拟机分配Azure自定义角色。

步骤

  1. 从Azure门户中、打开*订阅*服务并选择您的订阅。

    请务必从*订阅*服务中分配角色,因为这会指定订阅级别的角色分配范围。范围定义了适用场景访问的一组资源。如果在其他级别(例如、在虚拟机级别)指定范围、则从BlueXP中完成操作的能力将受到影响。

    "Microsoft Azure文档:了解Azure RBAC的范围"

  2. 选择*访问控制(IA)>*添加>*添加角色指派*。

  3. 在*角色*选项卡中、选择* BlueXP操作员*角色、然后选择*下一步*。

    备注 BlueXP操作员是BlueXP策略中提供的默认名称。如果您为角色选择了其他名称,请选择该名称。

  4. 在 * 成员 * 选项卡中,完成以下步骤:

    1. 为 * 受管身份 * 分配访问权限。

    2. 选择*选择成员*,选择创建连接器虚拟机时使用的订阅,在*受管身份*下选择*虚拟机*,然后选择连接器虚拟机。

    3. 选择*选择*。

    4. 选择 * 下一步 * 。

    5. 选择*审核+分配*。

    6. 如果要管理其他Azure订阅中的资源、请切换到该订阅、然后重复这些步骤。

结果

现在、BlueXP拥有代表您在Azure中执行操作所需的权限。

Azure服务主体

为BlueXP提供您先前设置的Azure服务主体的凭据。

步骤

  1. 在BlueXP控制台的右上角、选择设置图标、然后选择*凭据*。

    一个屏幕截图、显示了BlueXP控制台右上角的设置图标。

  2. 选择*添加凭据*并按照向导中的步骤进行操作。

    1. * 凭据位置 * :选择 * Microsoft Azure > Connector* 。

    2. 定义凭据:输入有关授予所需权限的Microsoft Entra服务主体的信息:

      • 应用程序(客户端) ID

      • 目录(租户) ID

      • 客户端密钥

    3. * 市场订阅 * :通过立即订阅或选择现有订阅,将市场订阅与这些凭据相关联。

    4. 查看:确认有关新凭据的详细信息、然后选择*添加*。

结果

现在、BlueXP拥有代表您在Azure中执行操作所需的权限。

Google Cloud服务帐户

将服务帐户与Connector VM关联。

步骤

  1. 转到Google Cloud门户、并将服务帐户分配给Connector VM实例。

    "Google Cloud文档:更改实例的服务帐户和访问范围"

  2. 如果要管理其他项目中的资源、请通过向该项目添加具有BlueXP角色的服务帐户来授予访问权限。您需要对每个项目重复此步骤。

结果

现在、BlueXP拥有代表您在Google Cloud中执行操作所需的权限。