Skip to main content
NetApp Console setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 VCenter 在本地安装控制台代理

贡献者 netapp-tonias
PDF

如果您是 VMWare 用户,您可以使用 OVA 在您的 VCenter 中安装控制台代理。可通过NetApp控制台下载 OVA 或获取 URL。

备注 当您使用 VCenter 工具安装控制台代理时,您可以使用 VM Web 控制台执行维护任务。"了解有关代理的 VM 控制台的更多信息。"

准备安装控制台代理

安装之前,请确保您的 VM 主机满足要求并且控制台代理可以访问互联网和目标网络。要使用NetApp数据服务或Cloud Volumes ONTAP,请为控制台代理创建云提供商凭据以代表您执行操作。

查看控制台代理主机要求

在安装控制台代理之前,请确保您的主机满足安装要求。

  • CPU:8 核或 8 个 vCPU

  • 内存:32 GB

  • 磁盘空间:165 GB(厚置备)

  • vSphere 7.0 或更高版本

  • ESXi 主机 7.03 或更高版本

备注 在 vCenter 环境中安装代理,而不是直接在 ESXi 主机上安装。

为控制台代理设置网络访问

与您的网络管理员合作,确保控制台代理具有对所需端点的出站访问权限以及与目标网络的连接。

连接到目标网络

控制台代理需要与您计划创建和管理系统的位置建立网络连接。例如,您计划在本地环境中创建Cloud Volumes ONTAP系统或存储系统的网络。

出站互联网访问

部署控制台代理的网络位置必须具有出站互联网连接才能联系特定端点。

使用基于 Web 的NetApp控制台时从计算机联系的端点

从 Web 浏览器访问控制台的计算机必须能够联系多个端点。您需要使用控制台来设置控制台代理并进行控制台的日常使用。

"为NetApp控制台准备网络"

从控制台代理联系的端点

控制台代理需要出站互联网访问来联系以下端点,以管理公共云环境中的资源和流程以进行日常操作。

下面列出的端点都是 CNAME 条目。

备注 您无法使用安装在本地的控制台代理来管理 Google Cloud 中的资源。要管理 Google Cloud 资源,请在 Google Cloud 中安装代理。
AWS

当控制台代理安装在本地时,它需要对以下 AWS 端点进行网络访问,以便管理部署在 AWS 中的NetApp系统(例如Cloud Volumes ONTAP)。

从控制台代理联系的端点

控制台代理需要出站互联网访问来联系以下端点,以管理公共云环境中的资源和流程以进行日常操作。

下面列出的端点都是 CNAME 条目。

端点 目的

AWS 服务(amazonaws.com):

  • 云形成

  • 弹性计算云(EC2)

  • 身份和访问管理 (IAM)

  • 密钥管理服务(KMS)

  • 安全令牌服务 (STS)

  • 简单存储服务(S3)

管理 AWS 资源。端点取决于您的 AWS 区域。 "有关详细信息,请参阅 AWS 文档"

\ https://mysupport.netapp.com

获取许可信息并向NetApp支持发送AutoSupport消息。

\ https://support.netapp.com

获取许可信息并向NetApp支持发送AutoSupport消息。

\ https://signin.b2c.netapp.com

更新NetApp支持站点 (NSS) 凭据或将新的 NSS 凭据添加到NetApp控制台。

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

在NetApp控制台中提供功能和服务。

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

获取控制台代理升级的图像。

  • 当您部署新代理时,验证检查会测试与当前端点的连接。如果你使用"先前的端点",验证检查失败。为了避免此失败,请跳过验证检查。

    尽管以前的端点仍然受支持,但NetApp建议尽快将防火墙规则更新到当前端点。"了解如何更新终端节点列表"

  • 当您更新到防火墙中的当前端点时,您现有的代理将继续工作。
Azure

当控制台代理安装在本地时,它需要对以下 Azure 端点进行网络访问,以便管理部署在 Azure 中的NetApp系统(例如Cloud Volumes ONTAP)。

端点 目的

\ https://management.azure.com \ https://login.microsoftonline.com \ https://blob.core.windows.net \ https://core.windows.net

管理 Azure 公共区域中的资源。

\ https://management.chinacloudapi.cn \ https://login.chinacloudapi.cn \ https://blob.core.chinacloudapi.cn \ https://core.chinacloudapi.cn

管理 Azure 中国区域的资源。

\ https://mysupport.netapp.com

获取许可信息并向NetApp支持发送AutoSupport消息。

\ https://support.netapp.com

获取许可信息并向NetApp支持发送AutoSupport消息。

\ https://signin.b2c.netapp.com

更新NetApp支持站点 (NSS) 凭据或将新的 NSS 凭据添加到NetApp控制台。

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

在NetApp控制台中提供功能和服务。

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

获取控制台代理升级的图像。

  • 当您部署新代理时,验证检查会测试与当前端点的连接。如果你使用"先前的端点",验证检查失败。为了避免此失败,请跳过验证检查。

    尽管以前的端点仍然受支持,但NetApp建议尽快将防火墙规则更新到当前端点。"了解如何更新终端节点列表"

  • 当您更新到防火墙中的当前端点时,您现有的代理将继续工作。
代理服务器

NetApp支持显式和透明代理配置。如果您使用透明代理,则只需要提供代理服务器的证书。如果您使用显式代理,您还需要 IP 地址和凭据。

  • IP 地址

  • 凭据

  • HTTPS 证书

端口

除非您启动它或将其用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持,否则控制台代理不会有传入流量。

  • HTTP(80)和 HTTPS(443)提供对本地 UI 的访问,您会在极少数情况下使用它们。

  • 仅当需要连接到主机进行故障排除时才需要 SSH(22)。

  • 如果您在没有出站互联网连接的子网中部署Cloud Volumes ONTAP系统,则需要通过端口 3128 建立入站连接。

    如果Cloud Volumes ONTAP系统没有出站互联网连接来发送AutoSupport消息,控制台会自动配置这些系统以使用控制台代理附带的代理服务器。唯一的要求是确保控制台代理的安全组允许通过端口 3128 进行入站连接。部署控制台代理后,您需要打开此端口。

启用 NTP

如果您计划使用NetApp数据分类来扫描公司数据源,则应在控制台代理和NetApp数据分类系统上启用网络时间协议 (NTP) 服务,以便系统之间的时间同步。 "了解有关NetApp数据分类的更多信息"

为 AWS 或 Azure 创建控制台代理云权限

如果您想将 AWS 或 Azure 中的NetApp数据服务与本地控制台代理一起使用,则需要在云提供商中设置权限,以便在安装控制台代理后将凭据添加到控制台代理。

备注 您无法使用安装在本地的控制台代理来管理 Google Cloud 中的资源。如果您想管理 Google Cloud 资源,则需要在 Google Cloud 中安装代理。
AWS

对于本地控制台代理,通过添加 IAM 用户访问密钥来提供 AWS 权限。

对本地控制台代理使用 IAM 用户访问密钥;本地控制台代理不支持 IAM 角色。

步骤

  1. 登录 AWS 控制台并导航到 IAM 服务。

  2. 创建策略:

    1. 选择“策略”>“创建策略”。

    2. 选择 JSON 并复制并粘贴内容"控制台代理的 IAM 策略"

    3. 完成剩余步骤以创建策略。

      根据您计划使用的NetApp数据服务,您可能需要创建第二个策略。

    对于标准区域,权限分布在两个策略中。由于 AWS 中托管策略的最大字符大小限制,因此需要两个策略。"了解有关控制台代理的 IAM 策略的更多信息"

  3. 将策略附加到 IAM 用户。

  4. 确保用户拥有访问密钥,您可以在安装控制台代理后将其添加到NetApp控制台。

结果

您现在应该拥有具有所需权限的 IAM 用户访问密钥。安装控制台代理后,从控制台将这些凭证与控制台代理关联。

Azure

当控制台代理安装在本地时,您需要通过在 Microsoft Entra ID 中设置服务主体并获取控制台代理所需的 Azure 凭据来授予控制台代理 Azure 权限。

创建用于基于角色的访问控制的 Microsoft Entra 应用程序

  1. 确保您在 Azure 中拥有创建 Active Directory 应用程序并将该应用程序分配给角色的权限。

    有关详细信息,请参阅 "Microsoft Azure 文档:所需权限"

  2. 从 Azure 门户打开 Microsoft Entra ID 服务。

    显示 Microsoft Azure 中的 Active Directory 服务。

  3. 在菜单中,选择*应用程序注册*。

  4. 选择*新注册*。

  5. 指定有关应用程序的详细信息:

    • 名称:输入应用程序的名称。

    • 帐户类型:选择帐户类型(任何类型都可以与NetApp控制台一起使用)。

    • 重定向 URI:您可以将此字段留空。

  6. 选择*注册*。

    您已创建 AD 应用程序和服务主体。

将应用程序分配给角色

  1. 创建自定义角色:

    请注意,您可以使用 Azure 门户、Azure PowerShell、Azure CLI 或 REST API 创建 Azure 自定义角色。以下步骤展示如何使用 Azure CLI 创建角色。如果您希望使用其他方法,请参阅 "Azure 文档"

    1. 复制"控制台代理的自定义角色权限"并将它们保存在 JSON 文件中。

    2. 通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。

      您应该为用户将从中创建Cloud Volumes ONTAP系统的每个 Azure 订阅添加 ID。

      例子

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. 使用 JSON 文件在 Azure 中创建自定义角色。

      以下步骤介绍如何使用 Azure Cloud Shell 中的 Bash 创建角色。

      • 开始 "Azure 云外壳"并选择 Bash 环境。

      • 上传 JSON 文件。

        Azure Cloud Shell 的屏幕截图,您可以在其中选择上传文件的选项。

      • 使用 Azure CLI 创建自定义角色:

        az role definition create --role-definition Connector_Policy.json

        现在您应该有一个名为“控制台操作员”的自定义角色,可以将其分配给控制台代理虚拟机。

  2. 将应用程序分配给角色:

    1. 从 Azure 门户打开 Subscriptions 服务。

    2. 选择订阅。

    3. 选择“访问控制 (IAM)”>“添加”>“添加角色分配”。

    4. 在*角色*选项卡中,选择*控制台操作员*角色并选择*下一步*。

    5. 在“成员”选项卡中,完成以下步骤:

      • 保持选中“用户、组或服务主体”。

      • 选择*选择成员*。

        向应用程序添加角色时显示“成员”页面的 Azure 门户屏幕截图。

      • 搜索应用程序的名称。

        以下是一个例子:

      Azure 门户的屏幕截图,显示了 Azure 门户中的“添加角色分配”表单。

      • 选择应用程序并选择*选择*。

      • 选择“下一步”。

    6. 选择*审阅+分配*。

      服务主体现在具有部署控制台代理所需的 Azure 权限。

    如果您想从多个 Azure 订阅部署Cloud Volumes ONTAP ,则必须将服务主体绑定到每个订阅。在NetApp控制台中,您可以选择部署Cloud Volumes ONTAP时要使用的订阅。

添加 Windows Azure 服务管理 API 权限

  1. 在*Microsoft Entra ID*服务中,选择*App Registrations*并选择应用程序。

  2. 选择*API 权限 > 添加权限*。

  3. 在“Microsoft API”下,选择“Azure 服务管理”。

    Azure 门户的屏幕截图,显示了 Azure 服务管理 API 权限。

  4. 选择*以组织用户身份访问 Azure 服务管理*,然后选择*添加权限*。

    Azure 门户的屏幕截图,显示添加 Azure 服务管理 API。

获取应用程序的应用程序ID和目录ID

  1. 在*Microsoft Entra ID*服务中,选择*App Registrations*并选择应用程序。

  2. 复制*应用程序(客户端)ID*和*目录(租户)ID*。

    屏幕截图显示了 Microsoft Entra IDy 中应用程序的应用程序(客户端)ID 和目录(租户)ID。

    将 Azure 帐户添加到控制台时,您需要提供应用程序(客户端)ID 和应用程序的目录(租户)ID。控制台使用 ID 以编程方式登录。

创建客户端机密

  1. 开启*Microsoft Entra ID*服务。

  2. 选择*应用程序注册*并选择您的应用程序。

  3. 选择*证书和机密>新客户端机密*。

  4. 提供秘密的描述和持续时间。

  5. 选择“添加”。

  6. 复制客户端机密的值。

    Azure 门户的屏幕截图,显示了 Microsoft Entra 服务主体的客户端机密。

在 VCenter 环境中安装控制台代理

NetApp支持在您的 VCenter 环境中安装控制台代理。 OVA 文件包含一个预配置的 VM 映像,您可以在 VMware 环境中部署该映像。可直接从NetApp控制台下载文件或部署 URL。它包括控制台代理软件和自签名证书。

下载 OVA 或复制 URL

直接从NetApp控制台下载 OVA 或复制 OVA URL。

  1. 选择“管理 > 代理”。

  2. 在“概览”页面上,选择“部署代理>本地”。

  3. 选择*使用 OVA*。

  4. 选择下载 OVA 或复制 URL 以在 VCenter 中使用。

在您的 VCenter 中部署代理

登录您的 VCenter 环境以部署代理。

步骤

  1. 如果您的环境需要,请将自签名证书上传到您的受信任证书。安装后,您可以替换此证书。"了解如何替换自签名证书。"

  2. 从内容库或本地系统部署 OVA。

    从本地系统

    来自内容库

    a. 右键单击并选择 部署 OVF 模板…​。b. 从 URL 中选择 OVA 文件或浏览到其位置,然后选择 下一步

    a. 转到您的内容库并选择控制台代理 OVA。b. 选择“操作”>“从此模板新建虚拟机”

  3. 完成部署 OVF 模板向导以部署控制台代理。

  4. 为虚拟机选择名称和文件夹,然后选择“下一步”。

  5. 选择一个计算资源,然后选择*下一步*。

  6. 查看模板的详细信息,然后选择*下一步*。

  7. 接受许可协议,然后选择*下一步*。

  8. 选择要使用的代理配置类型:显式代理、透明代理或无代理。

  9. 选择要部署虚拟机的数据存储,然后选择*下一步*。确保它满足主机要求。

  10. 选择您想要连接虚拟机的网络,然后选择*下一步*。确保网络为 IPv4 并且具有对所需端点的出站互联网访问权限。

  11. 在*自定义模板*窗口中,填写以下字段:

    • 代理信息

      • 如果选择了显式代理,请输入代理服务器主机名或 IP 地址和端口号,以及用户名和密码。

      • 如果您选择了透明代理,请上传相应的证书。

    • 虚拟机配置

      • 跳过配置检查:默认情况下未选中此复选框,这意味着代理运行配置检查以验证网络访问。

        • NetApp建议不要选中此框,以便安装包含代理的配置检查。配置检查验证代理是否具有对所需端点的网络访问权限。如果由于连接问题导致部署失败,您可以从代理主机访问验证报告和日志。在某些情况下,如果您确信代理具有网络访问权限,则可以选择跳过检查。例如,如果您仍在使用"先前的端点"用于代理升级,验证失败并出现错误。为了避免这种情况,请勾选复选框以在不进行验证检查的情况下进行安装。"了解如何更新终端节点列表"

      • 维护密码:设置维护密码 `maint`允许访问代理维护控制台的用户。

      • NTP 服务器:指定一个或多个 NTP 服务器进行时间同步。

      • 主机名:设置此虚拟机的主机名。它不能包含搜索域。例如,FQDN console10.searchdomain.company.com 应输入为 console10。

      • 主 DNS:指定用于名称解析的主 DNS 服务器。

      • 辅助 DNS:指定用于名称解析的辅助 DNS 服务器。

      • 搜索域:指定解析主机名时使用的搜索域名。例如,如果 FQDN 是 console10.searchdomain.company.com,则输入 searchdomain.company.com。

      • IPv4 地址:映射到主机名的 IP 地址。

      • IPv4 子网掩码:IPv4 地址的子网掩码。

      • IPv4 网关地址:IPv4 地址的网关地址。

  12. 选择“下一步”。

  13. 查看“准备完成”窗口中的详细信息,选择“完成”。

    vSphere 任务栏显示控制台代理部署的进度。

  14. 启动此虚拟机。

备注 如果部署失败,您可以从代理主机访问验证报告和日志。"了解如何解决安装问题。"

使用NetApp控制台注册控制台代理

登录控制台并将控制台代理与您的组织关联。登录方式取决于您使用控制台的模式。如果您在标准模式下使用控制台,则可以通过 SaaS 网站登录。如果您在受限或私人模式下使用控制台,则可以从控制台代理主机本地登录。

步骤

  1. 打开 Web 浏览器并输入控制台代理主机 URL:

    控制台主机 URL 可以是本地主机、私有 IP 地址或公共 IP 地址,具体取决于主机的配置。例如,如果控制台代理位于没有公共 IP 地址的公共云中,则必须输入与控制台代理主机有连接的主机的私有 IP 地址。

  2. 注册或登录。

  3. 登录后,设置控制台:

    1. 指定与控制台代理关联的控制台组织。

    2. 输入系统的名称。

    3. 在*您是否在安全环境中运行?*下保持限制模式处于禁用状态。

      当控制台代理安装在本地时,不支持限制模式。

    4. 选择*让我们开始吧*。

将云提供商凭据添加到控制台

安装并设置控制台代理后,添加您的云凭据,以便控制台代理具有在 AWS 或 Azure 中执行操作所需的权限。

AWS
开始之前

如果您刚刚创建了这些 AWS 凭证,它们可能需要几分钟才能生效。等待几分钟,然后将凭据添加到控制台。

步骤

  1. 选择“管理 > 凭证”。

  2. 选择*组织凭证*。

  3. 选择“添加凭据”并按照向导中的步骤操作。

    1. 凭证位置:选择*Amazon Web Services > 代理。

    2. 定义凭证:输入 AWS 访问密钥和密钥。

    3. 市场订阅:通过立即订阅或选择现有订阅将市场订阅与这些凭证关联。

    4. 审核:确认有关新凭证的详细信息并选择*添加*。

您现在可以前往 "NetApp控制台"开始使用控制台代理。

Azure
开始之前

如果您刚刚创建了这些 Azure 凭据,它们可能需要几分钟才能使用。等待几分钟,然后再添加控制台代理的凭据。

步骤

  1. 选择“管理 > 凭证”。

  2. 选择“添加凭据”并按照向导中的步骤操作。

    1. 凭证位置:选择*Microsoft Azure > 代理*。

    2. 定义凭据:输入有关授予所需权限的 Microsoft Entra 服务主体的信息:

      • 应用程序(客户端)ID

      • 目录(租户)ID

      • 客户端机密

    3. 市场订阅:通过立即订阅或选择现有订阅将市场订阅与这些凭证关联。

    4. 审核:确认有关新凭证的详细信息并选择*添加*。

结果

控制台代理现在具有代表您在 Azure 中执行操作所需的权限。您现在可以前往 "NetApp控制台"开始使用控制台代理。