Skip to main content
Setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

准备在受限模式下部署

贡献者

在受限模式下部署BlueXP之前、请准备好您的环境。例如、您需要查看主机要求、准备网络连接、设置权限等。

第1步:了解受限模式的工作原理

开始之前、您应了解BlueXP在受限模式下的工作原理。

例如、您应了解需要使用基于浏览器的界面、该界面可从需要安装的BlueXP Connector本地访问。您无法从通过SaaS层提供的基于Web的控制台访问BlueXP。

此外、并非所有BlueXP服务都可用。

第2步:查看安装选项

在受限模式下、您只能在云中安装Connector。可以使用以下安装选项:

  • 来自 AWS Marketplace

  • 从 Azure Marketplace 获取

  • 在AWS、Azure或Google Cloud中运行的Linux主机上手动安装Connector

第3步:查看主机要求

连接器软件必须在满足特定操作系统要求, RAM 要求,端口要求等要求的主机上运行。

从AWS或Azure Marketplace部署Connector时、此映像包含所需的操作系统和软件组件。您只需选择满足CPU和RAM要求的实例类型即可。

专用主机

与其他应用程序共享的主机不支持此连接器。主机必须是专用主机。

支持的操作系统
  • Ubuntu 22.04 LTS

  • Red Hat Enterprise Linux

    • 8.6至8.9

    • 9.1至9.3

      主机必须已注册到Red Hat订阅管理。如果未注册、则主机无法在安装Connector期间访问存储库以更新所需的第三方软件。

    这些操作系统的英语版本支持 Connector 。

虚拟机管理程序

需要一个经过认证可运行受支持操作系统的裸机或托管虚拟机管理程序。

CPU

4 个核心或 4 个 vCPU

RAM

14 GB

AWS EC2 实例类型

满足上述 CPU 和 RAM 要求的实例类型。我们建议使用 T3.xlarge 。

Azure 虚拟机大小

满足上述 CPU 和 RAM 要求的实例类型。我们建议使用 DS3 v2 。

Google Cloud计算机类型

满足上述 CPU 和 RAM 要求的实例类型。建议使用n2-standard-4。

在具有支持的操作系统的VM实例上、Google Cloud支持Connector "屏蔽VM功能"

/opt 中的磁盘空间

必须有 100 GiB 的可用空间

BlueXP使用 /opt 安装 /opt/application/netapp 目录及其内容。

/var 中的磁盘空间

必须有20 GiB的可用空间

BlueXP需要中的此空间 /var 因为Docker或Podman的架构设计是为了在此目录中创建容器。具体来说、他们将在中创建容器 /var/lib/containers/storage 目录。外部挂载或符号链接不适用于此空间。

容器流程编排工具

根据您的操作系统、在安装Connector之前需要使用Podman或Docker引擎。

  • Red Hat Enterprise Linux 8和9需要Podman 4.6.1版。

    Podman必须满足以下前提条件:

    • 必须启用并启动Podman.sSocket服务

    • 必须安装python3

    • 必须安装Podman-compose软件包1.0.6版

    • 必须将Podman-compose添加到PATH环境变量中

  • Ubuntu需要Docker引擎。

    • 支持的最低版本为23.0.6。

    • 支持的最大版本为25.0.5。

第4步:安装Podman或Docker引擎

如果您计划手动安装Connector软件、则需要通过安装Podman或Docker引擎来准备主机。

根据您的操作系统、在安装Connector之前需要使用Podman或Docker引擎。

  • Red Hat Enterprise Linux 8和9需要Podman。

  • Ubuntu需要Docker引擎。

示例 1. 步骤
Podman

安装Podman 4.6.1。

步骤
  1. 如果在主机上安装了Podman-Docker软件包、请将其删除。

    dnf remove podman-docker
    rm /var/run/docker.sock
  2. 安装Podman。

    Podman可从Red Hat Enterprise Linux官方存储库获得。

    对于Red Hat Enterprise Linux 9:

    sudo dnf install podman-2:4.6.1

    对于Red Hat Enterprise Linux 8:

    sudo dnf install podman-3:4.6.1
  3. 启用并启动Podman.sSocket服务。

    sudo systemctl enable --now podman.socket
  4. 安装python3.

    sudo dnf install python3
  5. 如果您的系统上尚未提供EPEL存储库包、请安装该软件包。

    之所以需要执行此步骤、是因为可以从Enterprise Linux的额外软件包(EPEL)存储库中进行podman-compose。

    对于Red Hat Enterprise Linux 9:

    sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm

    对于Red Hat Enterprise Linux 8:

    sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
  6. 安装podman-compose软件包1.0.6。

    sudo dnf install podman-compose-1.0.6
    备注 使用 dnf install 命令可满足向PATH环境变量添加Podman-compose的要求。安装命令会将podman-compose添加到/usr/bin中、该文件已包含在中 secure_path 选项。
Docker 引擎

安装介于23.0.6和21.0.5之间的Docker引擎版本。

步骤
  1. 安装Docker引擎。

    请务必按照以下步骤安装特定版本的Docker引擎。安装最新版本将安装BlueXP不支持的Docker版本。

  2. 确认Docker已启用且正在运行。

    sudo systemctl enable docker && sudo systemctl start docker

第5步:准备网络连接

设置您的网络,以便 Connector 可以管理公有云环境中的资源和流程。除了为Connector提供虚拟网络和子网之外、您还需要确保满足以下要求。

连接到目标网络

Connector必须与您计划管理存储的位置建立网络连接。例如、您计划部署Cloud Volumes ONTAP 的VPC或vNet、或者您的内部ONTAP 集群所在的数据中心。

准备网络以供用户访问BlueXP控制台

在受限模式下、可从Connector访问BlueXP用户界面。在使用BlueXP用户界面时、它会与几个端点联系以完成数据管理任务。在BlueXP控制台中完成特定操作时、系统会从用户的计算机访问这些端点。

端点 目的

https://signin.b2c.netapp.com

需要更新NetApp 支持站点 (NSS)凭据或向BlueXP添加新的NSS凭据。

https://netapp-cloud-account.auth0.com

https://cdn.auth0.com

https://services.cloud.netapp.com

您的Web浏览器连接到这些端点、以便通过BlueXP集中进行用户身份验证。

https://widget.intercom.io

用于与 NetApp 云专家交流的产品内聊天。

在手动安装期间访问的端点

在您自己的Linux主机上手动安装Connector时、Connector安装程序需要在安装过程中访问以下URL:

  • https://support.netapp.com

  • https://mysupport.netapp.com

  • https://cloudmanager.cloud.netapp.com/tenancy

  • https://stream.cloudmanager.cloud.netapp.com

  • https://production-artifacts.cloudmanager.cloud.netapp.com

  • https://*.blob.core.windows.net

  • https://cloudmanagerinfraprod.azurecr.io

    在Azure政府地区不需要此端点。

  • https://occmclientinfragov.azurecr.us

    只有Azure政府区域才需要此端点。

主机可能会在安装期间尝试更新操作系统软件包。主机可以联系这些操作系统软件包的不同镜像站点。

用于日常操作的出站Internet访问

部署 Connector 的网络位置必须具有出站 Internet 连接。连接器需要通过出站 Internet 访问来联系以下端点,以便管理公有云环境中的资源和流程。

端点 目的

AWS 服务( AmazonAWS.com ):

  • 云形成

  • 弹性计算云( EC2 )

  • 身份和访问管理(IAM)

  • 密钥管理服务( KMS )

  • 安全令牌服务( STS )

  • 简单存储服务 (S3)

管理AWS中的资源。确切的端点取决于您使用的AWS区域。 "有关详细信息、请参见AWS文档"

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

管理Azure公共区域中的资源。

https://management.usgovcloudapi.net
https://login.microsoftonline.us
https://blob.core.usgovcloudapi.net
https://core.usgovcloudapi.net

管理Azure政府区域中的资源。

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

管理Azure中国地区的资源。

https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects

在Google Cloud中管理资源。

获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。

https://*.api.bluexp.netapp.com

https://api.bluexp.netapp.com

https://*.cloudmanager.cloud.netapp.com

https://cloudmanager.cloud.netapp.com

https://netapp-cloud-account.auth0.com

在BlueXP中提供SaaS功能和服务。

请注意、Connector目前正在联系cloudmanager.cloud.netapp.com"、但在即将发布的版本中、它将开始联系api.bluexp.netapp.com"。

https://*.blob.core.windows.net

https://cloudmanagerinfraprod.azurecr.io
在Azure政府地区不需要此端点。

https://occmclientinfragov.azurecr.us
只有Azure政府区域才需要此端点。

升级 Connector 及其 Docker 组件。

Azure中的公共IP地址

如果要对Azure中的Connector VM使用公共IP地址、则此IP地址必须使用基本SKU以确保BlueXP使用此公共IP地址。

在Azure中创建新IP地址的屏幕截图、可用于在SKU字段的下选择基本。

如果改用标准SKU IP地址、则BlueXP将使用Connector的_private_ IP地址、而不是公共IP。如果用于访问BlueXP控制台的计算机无法访问该专用IP地址、则BlueXP控制台的操作将失败。

代理服务器

如果您的组织需要为所有传出Internet流量部署代理服务器、请获取有关HTTP或HTTPS代理的以下信息。您需要在安装期间提供此信息。请注意、BlueXP不支持透明代理服务器。

  • IP 地址

  • 凭据

  • HTTPS证书

端口

除非您启动连接器或将连接器用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持、否则不会有传入连接器的流量。

  • 通过 HTTP ( 80 )和 HTTPS ( 443 ),您可以访问本地 UI ,在极少数情况下,您可以使用此界面。

  • 只有在需要连接到主机进行故障排除时,才需要使用 SSH ( 22 )。

  • 如果您在出站Internet连接不可用的子网中部署Cloud Volumes ONTAP 系统、则需要通过端口3128进行入站连接。

    如果Cloud Volumes ONTAP系统没有用于发送AutoSupport消息的出站Internet连接、BlueXP会自动将这些系统配置为使用连接器附带的代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行入站连接。部署Connector后、您需要打开此端口。

启用NTP

如果您计划使用BlueXP分类来扫描公司数据源、则应在BlueXP Connector系统和BlueXP分类系统上启用网络时间协议(Network Time Protocol、NTP)服务、以便在系统之间同步时间。 "了解有关BlueXP分类的更多信息"

如果您计划从云提供商的市场创建Connector、则需要在创建Connector后实施此网络连接要求。

第6步:准备云权限

要在虚拟网络中部署Cloud Volumes ONTAP 并使用BlueXP数据服务、BlueXP需要云提供商的权限。您需要在云提供商中设置权限、然后将这些权限与Connector关联。

要查看所需步骤、请选择要用于云提供商的身份验证选项。

AWS IAM角色

使用IAM角色为Connector提供权限。

如果您要从AWS Marketplace创建Connector、则在启动EC2实例时、系统将提示您选择此IAM角色。

如果您要在自己的Linux主机上手动安装Connector、则需要将角色附加到EC2实例。

步骤
  1. 登录到AWS控制台并导航到IAM服务。

  2. 创建策略:

    1. 选择*策略>创建策略*。

    2. 选择*。JSON*、然后复制并粘贴的内容 "Connector的IAM策略"

    3. 完成其余步骤以创建策略。

  3. 创建IAM角色:

    1. 选择*角色>创建角色*。

    2. 选择* AWS服务> EC2*。

    3. 通过附加刚刚创建的策略来添加权限。

    4. 完成其余步骤以创建角色。

结果

现在、Connector EC2实例具有IAM角色。

AWS访问密钥

为IAM用户设置权限和访问密钥。安装Connector并设置BlueXP后、您需要为BlueXP提供AWS访问密钥。

步骤
  1. 登录到AWS控制台并导航到IAM服务。

  2. 创建策略:

    1. 选择*策略>创建策略*。

    2. 选择*。JSON*、然后复制并粘贴的内容 "Connector的IAM策略"

    3. 完成其余步骤以创建策略。

      根据您计划使用的BlueXP服务、您可能需要创建第二个策略。

    对于标准区域、权限会分布在两个策略中。由于AWS中受管策略的字符大小上限、因此需要使用两个策略。 "详细了解Connector的IAM策略"

  3. 将策略附加到IAM用户。

  4. 确保用户具有可在安装Connector后添加到BlueXP的访问密钥。

结果

现在,此帐户具有所需权限。

Azure角色

使用所需权限创建Azure自定义角色。您将为Connector VM分配此角色。

请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"

步骤
  1. 如果您计划在自己的主机上手动安装软件、请在虚拟机上启用系统分配的托管身份、以便您可以通过自定义角色提供所需的Azure权限。

  2. 复制的内容 "Connector的自定义角色权限" 并将其保存在JSON文件中。

  3. 通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。

    您应添加要用于BlueXP的每个Azure订阅的ID。

    • 示例 *

    "AssignableScopes": [
    "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
    "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
    "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
  4. 使用 JSON 文件在 Azure 中创建自定义角色。

    以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。

    1. start "Azure Cloud Shell" 并选择 Bash 环境。

    2. 上传 JSON 文件。

      Azure Cloud Shell 的屏幕截图,您可以在其中选择上传文件的选项。

    3. 使用Azure命令行界面创建自定义角色:

      az role definition create --role-definition Connector_Policy.json
结果

现在、您应该拥有一个名为BlueXP操作员的自定义角色、可以将该角色分配给Connector虚拟机。

Azure服务主体

在Microsoft Entra ID中创建和设置服务主体、并获取BlueXP所需的Azure凭据。安装Connector并设置BlueXP后、您需要为BlueXP提供这些凭据。

创建Microsoft Entra应用程序以实现基于角色的访问控制
  1. 确保您在Azure中拥有创建Active Directory应用程序和将应用程序分配给角色的权限。

    有关详细信息,请参见 "Microsoft Azure 文档:所需权限"

  2. 从Azure门户中,打开*Microsoft Entra ID*服务。

    显示了 Microsoft Azure 中的 Active Directory 服务。

  3. 在菜单中、选择*应用程序注册*。

  4. 选择*新建注册*。

  5. 指定有关应用程序的详细信息:

    • * 名称 * :输入应用程序的名称。

    • 帐户类型:选择帐户类型(任何将适用于BlueXP)。

    • * 重定向 URI* :可以将此字段留空。

  6. 选择 * 注册 * 。

    您已创建 AD 应用程序和服务主体。

将应用程序分配给角色
  1. 创建自定义角色:

    请注意、您可以使用Azure门户、Azure PowerShell、Azure命令行界面或REST API创建Azure自定义角色。以下步骤显示了如何使用Azure命令行界面创建角色。如果您希望使用其他方法、请参见 "Azure 文档"

    1. 复制的内容 "Connector的自定义角色权限" 并将其保存在JSON文件中。

    2. 通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。

      您应该为每个 Azure 订阅添加 ID 、用户将从中创建 Cloud Volumes ONTAP 系统。

      • 示例 *

      "AssignableScopes": [
      "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
      "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
      "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
    3. 使用 JSON 文件在 Azure 中创建自定义角色。

      以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。

      • start "Azure Cloud Shell" 并选择 Bash 环境。

      • 上传 JSON 文件。

        Azure Cloud Shell 的屏幕截图,您可以在其中选择上传文件的选项。

      • 使用Azure命令行界面创建自定义角色:

        az role definition create --role-definition Connector_Policy.json

        现在、您应该拥有一个名为BlueXP操作员的自定义角色、可以将该角色分配给Connector虚拟机。

  2. 将应用程序分配给角色:

    1. 从 Azure 门户中,打开 * 订阅 * 服务。

    2. 选择订阅。

    3. 选择*访问控制(IAM)>添加>添加角色分配*。

    4. 在*角色*选项卡中、选择* BlueXP操作员*角色、然后选择*下一步*。

    5. 在 * 成员 * 选项卡中,完成以下步骤:

      • 保持选中 * 用户,组或服务主体 * 。

      • 选择*选择成员*。

        Azure 门户的屏幕截图,显示向应用程序添加角色时的成员选项卡。

      • 搜索应用程序的名称。

        以下是一个示例:

      Azure 门户的屏幕截图,其中显示了 Azure 门户中的添加角色分配表。

      • 选择应用程序并选择*选择*。

      • 选择 * 下一步 * 。

    6. 选择*审核+分配*。

      现在,服务主体具有部署 Connector 所需的 Azure 权限。

    如果要从多个 Azure 订阅部署 Cloud Volumes ONTAP ,则必须将服务主体绑定到每个订阅。通过BlueXP、您可以选择要在部署Cloud Volumes ONTAP 时使用的订阅。

添加 Windows Azure 服务管理 API 权限
  1. 在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。

  2. 选择* API权限>添加权限*。

  3. 在 * Microsoft APIs* 下,选择 * Azure Service Management* 。

    Azure 门户的屏幕截图,其中显示了 Azure 服务管理 API 权限。

  4. 选择*以组织用户身份访问Azure服务管理*、然后选择*添加权限*。

    Azure 门户的屏幕截图,显示如何添加 Azure 服务管理 API 。

获取应用程序的应用程序ID和目录ID
  1. 在*Microsoft Entra ID*服务中,选择*App Registrations *并选择应用程序。

  2. 复制 * 应用程序(客户端) ID* 和 * 目录(租户) ID* 。

    显示Microsoft Entra Idy中应用程序的应用程序(客户端) ID和目录(租户) ID的屏幕截图。

    将Azure帐户添加到BlueXP时、您需要提供应用程序(客户端) ID和目录(租户) ID。BlueXP使用ID以编程方式登录。

创建客户端密钥
  1. 打开*Microsoft Entra ID*服务。

  2. 选择*应用程序注册*并选择您的应用程序。

  3. 选择*证书和机密>新客户端机密*。

  4. 提供密钥和持续时间的问题描述。

  5. 选择 * 添加 * 。

  6. 复制客户端密钥的值。

    Azure门户的屏幕截图、其中显示了Microsoft Entra服务主体的客户端密钥。

    现在、您有了一个客户端密钥、BlueXP可以使用它通过Microsoft Entra ID进行身份验证。

结果

此时,您的服务主体已设置完毕,您应已复制应用程序(客户端) ID ,目录(租户) ID 和客户端密钥值。添加Azure帐户时、您需要在BlueXP中输入此信息。

Google Cloud服务帐户

创建一个角色并将其应用于要用于Connector VM实例的服务帐户。

步骤
  1. 在Google Cloud中创建自定义角色:

    1. 创建包含中定义的权限的YAML文件 "适用于Google Cloud的连接器策略"

    2. 从Google Cloud激活Cloud Shell。

    3. 上传包含Connector所需权限的YAML文件。

    4. 使用创建自定义角色 gcloud iam roles create 命令:

      以下示例将在项目级别创建一个名为"connector"的角色:

    gcloud iam roles create connector --project=myproject --file=connector.yaml
  2. 在Google Cloud中创建服务帐户:

    1. 从IAM和Admin服务中,选择*服务帐户>创建服务帐户*。

    2. 输入服务帐户详细信息,然后选择*创建并继续*。

    3. 选择刚刚创建的角色。

    4. 完成其余步骤以创建角色。

结果

现在、您可以为Connector VM实例分配一个服务帐户。

第7步:启用Google Cloud API

要在Google Cloud中部署Cloud Volumes ONTAP 、需要使用多个API。

步骤
  1. "在项目中启用以下 Google Cloud API"

    • Cloud Deployment Manager V2 API

    • 云日志记录 API

    • Cloud Resource Manager API

    • 计算引擎 API

    • 身份和访问管理( IAM ) API

    • 云密钥管理服务(KMS) API

      (仅当您计划将BlueXP备份和恢复与客户管理的加密密钥(CMDK)结合使用时才需要)