准备在专用模式下部署
在私有模式下部署BlueXP之前、请准备好您的环境。例如、您需要查看主机要求、准备网络连接、设置权限等。
如果要在中使用BlueXP "AWS机密云" 或 "AWS云的绝密"然后,您应按照单独的说明开始使用这些环境。 "了解如何在AWS机密云或Top SecretCloud中开始使用Cloud Volumes ONTAP" |
第1步:了解私有模式的工作原理
开始之前、您应了解BlueXP在专用模式下的工作原理。
例如、您应了解需要使用基于浏览器的界面、该界面可从需要安装的BlueXP Connector本地访问。您无法从通过SaaS层提供的基于Web的控制台访问BlueXP。
此外、并非所有BlueXP服务都可用。
第2步:查看安装选项
在私有模式下、您可以通过在自己的Linux主机上手动安装Connector在内部或云中安装Connector。
如果要在Google Cloud中创建Cloud Volumes ONTAP 系统、则Connector必须在Google Cloud中运行、它不能在内部运行。
第3步:查看主机要求
连接器软件必须在满足特定操作系统要求, RAM 要求,端口要求等要求的主机上运行。
- 专用主机
-
与其他应用程序共享的主机不支持此连接器。主机必须是专用主机。
- 支持的操作系统
-
-
Ubuntu 22.04 LTS
-
CentOS 7.6、7.7、7.8和7.9
-
Red Hat Enterprise Linux 7.6、7.7、7.8和7.9
主机必须已注册到Red Hat订阅管理。如果未注册、则主机无法在安装Connector期间访问存储库以更新所需的第三方软件。
这些操作系统的英语版本支持 Connector 。
-
- 虚拟机管理程序
-
需要一个经过认证可运行Ubuntu、CentOS或Red Hat Enterprise Linux的裸机或托管虚拟机管理程序。
- CPU
-
4 个核心或 4 个 vCPU
- RAM
-
14 GB
- AWS EC2 实例类型
-
满足上述 CPU 和 RAM 要求的实例类型。我们建议使用 T3.xlarge 。
- Azure 虚拟机大小
-
满足上述 CPU 和 RAM 要求的实例类型。我们建议使用 DS3 v2 。
- Google Cloud计算机类型
-
满足上述 CPU 和 RAM 要求的实例类型。建议使用n2-standard-4。
在具有支持的操作系统的VM实例上、Google Cloud支持Connector "屏蔽VM功能"
- /opt 中的磁盘空间
-
必须有 100 GiB 的可用空间
- /var 中的磁盘空间
-
必须有20 GiB的可用空间
- Docker 引擎
-
在安装Connector之前、主机上需要Docker引擎。
-
支持的最低版本为9.3.1。
-
支持的最大版本为25.0.5。
-
第4步:为连接器准备网络连接
设置您的网络,以便 Connector 可以管理公有云环境中的资源和流程。除了为Connector提供虚拟网络和子网之外、您还需要确保满足以下要求。
- 连接到目标网络
-
Connector必须与您计划管理存储的位置建立网络连接。例如、您计划部署Cloud Volumes ONTAP 的VPC或vNet、或者您的内部ONTAP 集群所在的数据中心。
- 用于日常操作的端点
-
Connector会与以下端点联系、以管理公有云环境中的资源和流程。
端点 目的 AWS 服务( AmazonAWS.com ):
-
云形成
-
弹性计算云( EC2 )
-
身份和访问管理(IAM)
-
密钥管理服务( KMS )
-
安全令牌服务( STS )
-
简单存储服务 (S3)
管理AWS中的资源。确切的端点取决于您使用的AWS区域。 "有关详细信息、请参见AWS文档"
https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net管理Azure公共区域中的资源。
https://management.azure.microsoft.scloud
https://login.microsoftonline.microsoft.scloud
https://blob.core.microsoft.scloud
https://core.microsoft.scloud管理Azure IL6区域中的资源。
https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn管理Azure中国地区的资源。
https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects在Google Cloud中管理资源。
-
- Azure中的公共IP地址
-
如果要对Azure中的Connector VM使用公共IP地址、则此IP地址必须使用基本SKU以确保BlueXP使用此公共IP地址。
如果改用标准SKU IP地址、则BlueXP将使用Connector的_private_ IP地址、而不是公共IP。如果用于访问BlueXP控制台的计算机无法访问该专用IP地址、则BlueXP控制台的操作将失败。
- 代理服务器
-
如果您的组织需要为所有传出Internet流量部署代理服务器、请获取有关HTTP或HTTPS代理的以下信息。您需要在安装期间提供此信息。
-
IP 地址
-
凭据
-
HTTPS证书
请注意、BlueXP不支持透明代理服务器。
+
在私有模式下、BlueXP只会向云提供商发送出站流量、以便创建Cloud Volumes ONTAP 系统。 -
- 端口
-
除非您启动 Connector ,否则不会向其传入流量。
通过HTTP (80)和HTTPS (443)可以访问BlueXP控制台。只有在需要连接到主机进行故障排除时,才需要使用 SSH ( 22 )。
- 启用NTP
-
如果您计划使用BlueXP分类来扫描公司数据源、则应在BlueXP Connector系统和BlueXP分类系统上启用网络时间协议(Network Time Protocol、NTP)服务、以便在系统之间同步时间。 "了解有关BlueXP分类的更多信息"
第5步:准备云权限
如果您计划创建Cloud Volumes ONTAP 系统、则BlueXP需要云提供商的权限。您需要在云提供商中设置权限、然后在安装Connector实例后将这些权限与之关联。
要查看所需步骤、请选择要用于云提供商的身份验证选项。
如果您要在内部安装Connector、则必须使用AWS访问密钥或Azure服务主体提供权限。不支持其他选项。
使用IAM角色为Connector提供权限。您需要手动将角色附加到Connector的EC2实例。
-
登录到AWS控制台并导航到IAM服务。
-
创建策略:
-
选择*策略>创建策略*。
-
选择*。JSON*、然后复制并粘贴的内容 "Connector的IAM策略"。
-
完成其余步骤以创建策略。
-
-
创建IAM角色:
-
选择*角色>创建角色*。
-
选择* AWS服务> EC2*。
-
通过附加刚刚创建的策略来添加权限。
-
完成其余步骤以创建角色。
-
现在、Connector EC2实例具有IAM角色。
为IAM用户设置权限和访问密钥。安装Connector并设置BlueXP后、您需要为BlueXP提供AWS访问密钥。
-
登录到AWS控制台并导航到IAM服务。
-
创建策略:
-
选择*策略>创建策略*。
-
选择*。JSON*、然后复制并粘贴的内容 "Connector的IAM策略"。
-
完成其余步骤以创建策略。
根据您计划使用的BlueXP服务、您可能需要创建第二个策略。
对于标准区域、权限会分布在两个策略中。由于AWS中受管策略的字符大小上限、因此需要使用两个策略。 "详细了解Connector的IAM策略"。
-
-
将策略附加到IAM用户。
-
确保用户具有可在安装Connector后添加到BlueXP的访问密钥。
现在,此帐户具有所需权限。
使用所需权限创建Azure自定义角色。您将为Connector VM分配此角色。
请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"
-
在计划安装Connector的虚拟机上启用系统分配的托管身份、以便您可以通过自定义角色提供所需的Azure权限。
-
复制的内容 "Connector的自定义角色权限" 并将其保存在JSON文件中。
-
通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。
您应添加要用于BlueXP的每个Azure订阅的ID。
-
示例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
-
使用 JSON 文件在 Azure 中创建自定义角色。
以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。
-
start "Azure Cloud Shell" 并选择 Bash 环境。
-
上传 JSON 文件。
-
使用Azure命令行界面创建自定义角色:
az role definition create --role-definition Connector_Policy.json
-
现在、您应该拥有一个名为BlueXP操作员的自定义角色、可以将该角色分配给Connector虚拟机。
在Microsoft Entra ID中创建和设置服务主体、并获取BlueXP所需的Azure凭据。安装Connector并设置BlueXP后、您需要为BlueXP提供这些凭据。
-
确保您在Azure中拥有创建Active Directory应用程序和将应用程序分配给角色的权限。
有关详细信息,请参见 "Microsoft Azure 文档:所需权限"
-
从Azure门户中,打开*Microsoft Entra ID*服务。
-
在菜单中、选择*应用程序注册*。
-
选择*新建注册*。
-
指定有关应用程序的详细信息:
-
* 名称 * :输入应用程序的名称。
-
帐户类型:选择帐户类型(任何将适用于BlueXP)。
-
* 重定向 URI* :可以将此字段留空。
-
-
选择 * 注册 * 。
您已创建 AD 应用程序和服务主体。
-
创建自定义角色:
请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"
-
复制的内容 "Connector的自定义角色权限" 并将其保存在JSON文件中。
-
通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。
您应该为每个 Azure 订阅添加 ID 、用户将从中创建 Cloud Volumes ONTAP 系统。
-
示例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
-
使用 JSON 文件在 Azure 中创建自定义角色。
以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。
-
start "Azure Cloud Shell" 并选择 Bash 环境。
-
上传 JSON 文件。
-
使用Azure命令行界面创建自定义角色:
az role definition create --role-definition Connector_Policy.json
现在、您应该拥有一个名为BlueXP操作员的自定义角色、可以将该角色分配给Connector虚拟机。
-
-
-
将应用程序分配给角色:
-
从 Azure 门户中,打开 * 订阅 * 服务。
-
选择订阅。
-
选择*访问控制(IAM)>添加>添加角色分配*。
-
在*角色*选项卡中、选择* BlueXP操作员*角色、然后选择*下一步*。
-
在 * 成员 * 选项卡中,完成以下步骤:
-
保持选中 * 用户,组或服务主体 * 。
-
选择*选择成员*。
-
搜索应用程序的名称。
以下是一个示例:
-
选择应用程序并选择*选择*。
-
选择 * 下一步 * 。
-
-
选择*审核+分配*。
现在,服务主体具有部署 Connector 所需的 Azure 权限。
如果要从多个 Azure 订阅部署 Cloud Volumes ONTAP ,则必须将服务主体绑定到每个订阅。通过BlueXP、您可以选择要在部署Cloud Volumes ONTAP 时使用的订阅。
-
-
在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。
-
选择* API权限>添加权限*。
-
在 * Microsoft APIs* 下,选择 * Azure Service Management* 。
-
选择*以组织用户身份访问Azure服务管理*、然后选择*添加权限*。
-
在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。
-
复制 * 应用程序(客户端) ID* 和 * 目录(租户) ID* 。
将Azure帐户添加到BlueXP时、您需要提供应用程序(客户端) ID和目录(租户) ID。BlueXP使用ID以编程方式登录。
-
打开*Microsoft Entra ID*服务。
-
选择*应用程序注册*并选择您的应用程序。
-
选择*证书和机密>新客户端机密*。
-
提供密钥和持续时间的问题描述。
-
选择 * 添加 * 。
-
复制客户端密钥的值。
现在、您有了一个客户端密钥、BlueXP可以使用它通过Microsoft Entra ID进行身份验证。
此时,您的服务主体已设置完毕,您应已复制应用程序(客户端) ID ,目录(租户) ID 和客户端密钥值。添加Azure帐户时、您需要在BlueXP中输入此信息。
创建一个角色并将其应用于要用于Connector VM实例的服务帐户。
-
在Google Cloud中创建自定义角色:
-
创建包含中定义的权限的YAML文件 "适用于Google Cloud的连接器策略"。
-
从Google Cloud激活Cloud Shell。
-
上传包含Connector所需权限的YAML文件。
-
使用创建自定义角色
gcloud iam roles create
命令:以下示例将在项目级别创建一个名为"connector"的角色:
gcloud iam roles create connector --project=myproject --file=connector.yaml
-
-
在Google Cloud中创建服务帐户:
-
从IAM和Admin服务中,选择*服务帐户>创建服务帐户*。
-
输入服务帐户详细信息,然后选择*创建并继续*。
-
选择刚刚创建的角色。
-
完成其余步骤以创建角色。
-
现在、您可以为Connector VM实例分配一个服务帐户。
第6步:启用Google Cloud API
要在Google Cloud中部署Cloud Volumes ONTAP 、需要使用多个API。
-
-
Cloud Deployment Manager V2 API
-
云日志记录 API
-
Cloud Resource Manager API
-
计算引擎 API
-
身份和访问管理( IAM ) API
-
云密钥管理服务(KMS) API
(仅当您计划将BlueXP备份和恢复与客户管理的加密密钥(CMDK)结合使用时才需要)
-