Skip to main content
NetApp Console setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

从 NetApp Console 在 AWS 中部署 Console 代理

贡献者 netapp-tonias netapp-mwallis
PDF

您可以直接从 NetApp Console 在 AWS 中部署 Console 代理。在从 Console 在 AWS 中部署 Console 代理之前,您需要设置网络并准备 AWS 权限。

在 AWS 中部署代理将在您选择的 VPC 中启动运行 Linux 和 Console 代理软件的 EC2 实例。

开始之前

步骤 1:设置网络以在 AWS 中部署控制台代理

确保您计划安装控制台代理的网络位置支持以下要求。这些要求使控制台代理能够管理混合云中的资源和流程。

VPC 和子网

创建控制台代理时,您需要指定它所在的 VPC 和子网。

连接到目标网络

控制台代理需要与您计划创建和管理系统的位置建立网络连接。例如,您计划在本地环境中创建Cloud Volumes ONTAP系统或存储系统的网络。

出站互联网访问

部署控制台代理的网络位置必须具有出站互联网连接才能联系特定端点。

从控制台代理联系的端点

控制台代理需要出站互联网访问来联系以下端点,以管理公共云环境中的资源和流程以进行日常操作。

下面列出的端点都是 CNAME 条目。

端点 目的

AWS 服务(amazonaws.com):

  • 云形成

  • 弹性计算云(EC2)

  • 身份和访问管理 (IAM)

  • 密钥管理服务(KMS)

  • 安全令牌服务 (STS)

  • 简单存储服务(S3)

管理 AWS 资源。端点取决于您的 AWS 区域。 "有关详细信息,请参阅 AWS 文档"

Amazon FSx for NetApp ONTAP:

  • api.workloads.netapp.com

基于 Web 的控制台通过与 Workload Factory API 交互来管理和操作基于ONTAP 的FSx 工作负载。

\ https://mysupport.netapp.com

获取许可信息并将 AutoSupport 消息发送到 NetApp 支持。

\ https://signin.b2c.netapp.com

更新NetApp支持站点 (NSS) 凭据或将新的 NSS 凭据添加到NetApp Console。

\ https://support.netapp.com

获取许可信息并向 NetApp 支持发送 AutoSupport 消息,以及接收 Cloud Volumes ONTAP 的软件更新。

https://api.bluexp.netapp.com https://netapp-cloud-account.auth0.com https://netapp-cloud-account.us.auth0.com https://console.netapp.com https://components.console.netapp.com https://cdn.auth0.com

在NetApp Console中提供功能和服务。

https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io https://occmclientinfragov.azurecr.us (部署受限模式时需要)

获取控制台代理升级的图像。
从NetApp控制台联系的端点

当您使用基于 Web 的 NetApp Console SaaS 应用程序时,它会联系多个端点以完成数据管理任务。这包括从 Console 部署 Console 代理时联系的端点。

"查看从 NetApp Console 联系的端点列表"

代理服务器

NetApp支持显式和透明代理配置。如果您使用透明代理,则只需要提供代理服务器的证书。如果您使用显式代理,您还需要 IP 地址和凭据。

  • IP 地址

  • 凭据

  • HTTPS 证书

端口

除非由您发起,或者用作代理将 AutoSupport 消息从 Cloud Volumes ONTAP 发送到 NetApp Support,否则不会有流向 Console agent 的入站流量。

  • HTTP(80)和 HTTPS(443)提供对本地 UI 的访问,您会在极少数情况下使用它们。

  • 仅当需要连接到主机进行故障排除时才需要 SSH(22)。

  • 如果您在没有出站互联网连接的子网中部署Cloud Volumes ONTAP系统,则需要通过端口 3128 建立入站连接。

    如果Cloud Volumes ONTAP系统没有出站互联网连接来发送AutoSupport消息,控制台会自动配置这些系统以使用控制台代理附带的代理服务器。唯一的要求是确保控制台代理的安全组允许通过端口 3128 进行入站连接。部署控制台代理后,您需要打开此端口。

启用 NTP

如果您计划使用 NetApp Data Classification 扫描公司数据源,则应在 Console 代理和 NetApp Data Classification 系统上启用网络时间协议 (NTP) 服务,以便在系统之间同步时间 "详细了解 NetApp Data Classification"

创建控制台代理后,您需要实现此网络要求。

步骤 2:为控制台代理设置 AWS 权限

控制台需要通过 AWS 进行身份验证,然后才能在您的 VPC 中部署控制台代理。您可以选择以下身份验证方法之一:

  • 让控制台承担具有所需权限的 IAM 角色

  • 为具有所需权限的 IAM 用户提供 AWS 访问密钥和密钥

无论选择哪种方式,第一步都是创建 IAM 策略。此策略仅包含从控制台启动 AWS 中的控制台代理所需的权限。

如果需要,您可以使用 IAM 限制 IAM 策略 `Condition`元素。 "AWS 文档:条件元素"

步骤

  1. 转到 AWS IAM 控制台。

  2. 选择“策略”>“创建策略”。

  3. 选择 JSON

  4. 复制并粘贴以下策略:

    此策略仅包含从控制台启动 AWS 中的控制台代理所需的权限。当控制台创建控制台代理时,它会将一组新权限应用于控制台代理,使控制台代理能够管理 AWS 资源。"查看控制台代理本身所需的权限"

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:DeleteRole",
        "iam:PutRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:DeleteRolePolicy",
        "iam:AddRoleToInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeleteInstanceProfile",
        "iam:PassRole",
        "iam:ListRoles",
        "ec2:DescribeInstanceStatus",
        "ec2:RunInstances",
        "ec2:ModifyInstanceAttribute",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeInstances",
        "ec2:CreateTags",
        "ec2:DescribeImages",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeLaunchTemplates",
        "ec2:CreateLaunchTemplate",
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:ValidateTemplate",
        "ec2:AssociateIamInstanceProfile",
        "ec2:DescribeIamInstanceProfileAssociations",
        "ec2:DisassociateIamInstanceProfile",
        "iam:GetRole",
        "iam:TagRole",
        "kms:ListAliases",
        "cloudformation:ListStacks"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/OCCMInstance": "*"
        }
      },
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

  5. 选择*下一步*并添加标签(如果需要)。

  6. 选择*下一步*并输入名称和描述。

  7. 选择*创建策略*。

  8. 将策略附加到控制台可以承担的 IAM 角色或 IAM 用户,以便您可以为控制台提供访问密钥:

    • (选项 1)设置控制台可以承担的 IAM 角色:

      1. 转到目标账户中的 AWS IAM 控制台。

      2. 在访问管理下,选择*角色>创建角色*并按照步骤创建角色。

      3. 受信任实体类型 下,选择 AWS 账户

      4. 选择*另一个 AWS 账户*并输入控制台 SaaS 账户的 ID:952013314444

      5. 选择您在上一节中创建的策略。

      6. 创建角色后,复制角色 ARN,以便在创建控制台代理时将其粘贴到控制台中。

    • (选项 2)为 IAM 用户设置权限,以便您可以向控制台提供访问密钥:

      1. 从 AWS IAM 控制台中,选择 用户,然后选择用户名。

      2. 选择*添加权限>直接附加现有策略*。

      3. 选择您创建的策略。

      4. 选择*下一步*,然后选择*添加权限*。

      5. 确保您拥有 IAM 用户的访问密钥和密钥。

结果

您现在应该拥有一个具有所需权限的 IAM 角色或一个具有所需权限的 IAM 用户。从控制台创建控制台代理时,您可以提供有关角色或访问密钥的信息。

步骤 3:创建控制台代理

直接从基于 Web 的 Console 控制台创建 Console 代理。

关于此任务

  • 从控制台创建控制台代理使用默认配置在 AWS 中部署 EC2 实例。创建控制台代理后,请勿切换到具有较少 CPU 或较少 RAM 的较小 EC2 实例。"了解控制台代理的默认配置"

  • 当控制台创建控制台代理时,它会为代理创建一个 IAM 角色和一个配置文件。此角色包括使控制台代理能够管理 AWS 资源的权限。确保在未来版本中添加新权限时更新角色。"了解有关控制台代理的 IAM 策略的更多信息"

开始之前

您应该具有以下内容:

  • AWS 身份验证方法:具有所需权限的 IAM 角色或 IAM 用户的访问密钥。

  • 满足组网需求的VPC及子网。

  • EC2 实例的密钥对。

  • 如果控制台代理需要代理才能访问互联网,则提供有关代理服务器的详细信息。

  • 设置"网络要求"

  • 设置"AWS 权限"

步骤

  1. 选择“管理 > 代理”。

  2. 概述 页面上,选择 部署代理 > AWS

  3. 按照向导中的步骤创建控制台代理:

  4. Introduction 页面上,查看流程概述。

  5. AWS Credentials 页面上,指定您的 AWS 区域,然后选择身份验证方法,即 Console 可以承担的 IAM 角色或 AWS 访问密钥和密钥。

    提示 如果您选择*承担角色*,您可以从控制台代理部署向导创建第一组凭据。任何附加凭证集都必须从凭证页面创建。然后,它们将从向导的下拉列表中提供。"了解如何添加其他凭证"

  6. 在“详细信息”页面上,提供有关控制台代理的详细信息。

    • 输入名称。

    • 添加自定义标签(元数据)。

    • 选择是否希望控制台创建具有所需权限的新角色,或者是否要选择您设置的现有角色"所需的权限"

    • 选择是否要加密控制台代理的 EBS 磁盘。您可以选择使用默认加密密钥或使用自定义密钥。

  7. Network 页面上,指定代理的 VPC、子网和密钥对,选择是否启用公有 IP 地址,并可选择指定代理配置。

    确保您拥有正确的密钥对来访问控制台代理虚拟机。如果没有密钥对,您就无法访问它。

  8. 在“安全组”页面上,选择是否创建新的安全组或是否选择允许所需入站和出站规则的现有安全组。

    "查看 AWS 的安全组规则"

  9. 查看您的选择,确认您的设置正确无误。

    1. 默认情况下会选中*验证代理配置*复选框,以便在部署时让 Console 验证网络连接要求。如果 Console 无法部署代理,它会提供一个报告来帮助您排除故障。如果部署成功,则不提供报告。

    备注

    • 如果您仍在使用用于代理升级的 "先前的端点",验证将失败并显示错误。要避免这种情况,请清除复选框以跳过验证检查。

    • 在安装过程中,NetApp 检查代理主机是否具有至少 80% 的总可用磁盘空间,其中包括 48 GB 在 /opt`和 32 GB 在 `/var(总共 80 GB)。安装后,它需要至少 20% 的总磁盘保持可用,其中包括 12 GB 在 /opt`和 8 GB 在 `/var(总共 20 GB)。

  10. 选择“添加”。

    控制台大约需要 10 分钟即可部署代理。停留在该页面上直到该过程完成。

结果

该过程完成后,即可从控制台使用控制台代理。

备注 如果部署失败,您可以从控制台下载报告和日志来帮助您解决问题。"了解如何解决安装问题。"

如果您在创建控制台代理的同一 AWS 账户中拥有 Amazon S3 存储桶,您将看到 Amazon S3 工作环境自动出现在 系统 页面上。 "了解如何从NetApp Console管理 S3 存储桶"