Skip to main content
NetApp Console setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用 vCenter 在本地安装 Console 代理

贡献者 netapp-tonias
PDF

如果您是 VMware 用户,您可以使用 OVA 在 vCenter 中部署 Console 代理。OVA 下载或 URL 可通过 NetApp Console 获得。

备注 使用 vCenter 工具部署 Console 代理时,您可以使用 VM Web 控制台执行维护任务。"了解有关代理的 VM 控制台的更多信息。"

准备安装控制台代理

安装之前,请确保您的 VM 主机满足要求并且控制台代理可以访问互联网和目标网络。要使用NetApp数据服务或Cloud Volumes ONTAP,请为控制台代理创建云提供商凭据以代表您执行操作。

查看控制台代理主机要求

在安装控制台代理之前,请确保您的主机满足安装要求。

  • CPU:8 核或 8 个 vCPU

  • 内存:32 GB

  • 磁盘空间:165 GB(厚置备)

  • vSphere 7.0 或更高版本

  • ESXi 主机 7.03 或更高版本

备注 在 vCenter 环境中安装代理,而不是直接在 ESXi 主机上安装。

为控制台代理设置网络访问

与您的网络管理员合作,确保控制台代理具有对所需端点的出站访问权限以及与目标网络的连接。

连接到目标网络

控制台代理需要与您计划创建和管理系统的位置建立网络连接。例如,您计划在本地环境中创建Cloud Volumes ONTAP系统或存储系统的网络。

出站互联网访问

部署控制台代理的网络位置必须具有出站互联网连接才能联系特定端点。

使用基于 Web 的NetApp Console时从计算机联系的端点

从 Web 浏览器访问 NetApp Console 的计算机必须能够联系多个端点。

"为 NetApp Console 准备网络"

从控制台代理联系的端点

控制台代理需要出站互联网访问来联系以下端点,以管理公共云环境中的资源和流程以进行日常操作。

下面列出的端点都是 CNAME 条目。

备注 您无法使用本地安装的 Console 代理在 Google Cloud 中管理资源。要管理 Google Cloud 资源,请在 Google Cloud 中安装代理。
最低必需端点

所有 Console 代理部署都需要这些端点。要管理 AWS 或 Azure 中的 NetApp 资源,需要额外的端点。

端点 目的

\ https://mysupport.netapp.com

获取许可信息并将 AutoSupport 消息发送到 NetApp 支持。

\ https://signin.b2c.netapp.com

更新NetApp支持站点 (NSS) 凭据或将新的 NSS 凭据添加到NetApp Console。

\ https://support.netapp.com

获取许可信息并向 NetApp 支持发送 AutoSupport 消息,以及接收 Cloud Volumes ONTAP 的软件更新。

https://api.bluexp.netapp.com https://netapp-cloud-account.auth0.com https://netapp-cloud-account.us.auth0.com https://console.netapp.com https://components.console.netapp.com https://cdn.auth0.com

在NetApp Console中提供功能和服务。

https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io https://occmclientinfragov.azurecr.us (部署受限模式时需要)

获取控制台代理升级的图像。
AWS 资源的其他端点

当 Console 代理在本地安装时,它需要对以下其他 AWS 端点的网络访问权限,以管理部署在 AWS 中的 NetApp 系统(例如 Cloud Volumes ONTAP)。

端点 目的

AWS 服务(amazonaws.com):

  • 云形成

  • 弹性计算云(EC2)

  • 身份和访问管理 (IAM)

  • 密钥管理服务(KMS)

  • 安全令牌服务 (STS)

  • 简单存储服务(S3)

管理 AWS 资源。端点取决于您的 AWS 区域。 "有关详细信息,请参阅 AWS 文档"

Amazon FSx for NetApp ONTAP:

  • api.workloads.netapp.com

基于 Web 的控制台通过与 Workload Factory API 交互来管理和操作基于ONTAP 的FSx 工作负载。
Azure 资源的其他端点

当 Console 代理在本地安装时,它需要对以下其他 Azure 终结点的网络访问,以管理 Azure 中部署的 NetApp 系统(如 Cloud Volumes ONTAP)。

端点 目的

\ https://management.azure.com \ https://login.microsoftonline.com \ https://blob.core.windows.net \ https://core.windows.net

管理 Azure 公共区域中的资源。

\ https://management.chinacloudapi.cn \ https://login.chinacloudapi.cn \ https://blob.core.chinacloudapi.cn \ https://core.chinacloudapi.cn

管理 Azure 中国区域的资源。
代理服务器

NetApp支持显式和透明代理配置。如果您使用透明代理,则只需要提供代理服务器的证书。如果您使用显式代理,您还需要 IP 地址和凭据。

  • IP 地址

  • 凭据

  • HTTPS 证书

端口

除非由您发起,或者用作代理将 AutoSupport 消息从 Cloud Volumes ONTAP 发送到 NetApp Support,否则不会有流向 Console agent 的入站流量。

  • HTTP(80)和 HTTPS(443)提供对本地 UI 的访问,您会在极少数情况下使用它们。

  • 仅当需要连接到主机进行故障排除时才需要 SSH(22)。

  • 如果您在没有出站互联网连接的子网中部署Cloud Volumes ONTAP系统,则需要通过端口 3128 建立入站连接。

    如果Cloud Volumes ONTAP系统没有出站互联网连接来发送AutoSupport消息,控制台会自动配置这些系统以使用控制台代理附带的代理服务器。唯一的要求是确保控制台代理的安全组允许通过端口 3128 进行入站连接。部署控制台代理后,您需要打开此端口。

启用 NTP

如果您计划使用 NetApp Data Classification 扫描公司数据源,则应在 Console 代理和 NetApp Data Classification 系统上启用网络时间协议 (NTP) 服务,以便在系统之间同步时间 "详细了解 NetApp Data Classification"

为 AWS 或 Azure 创建控制台代理云权限

如果您想将 AWS 或 Azure 中的NetApp数据服务与本地控制台代理一起使用,则需要在云提供商中设置权限,以便在安装控制台代理后将凭据添加到控制台代理。

备注 您无法使用安装在本地的控制台代理来管理 Google Cloud 中的资源。如果您想管理 Google Cloud 资源,则需要在 Google Cloud 中安装代理。
AWS

对于本地控制台代理,通过添加 IAM 用户访问密钥提供 AWS 权限。

对本地控制台代理使用 IAM 用户访问密钥;本地控制台代理不支持 IAM 角色。

步骤

  1. 登录 AWS 控制台并导航到 IAM 服务。

  2. 创建策略:

    1. 选择“策略”>“创建策略”。

    2. 选择 JSON 并复制并粘贴内容"控制台代理的 IAM 策略"

    3. 完成剩余步骤以创建策略。

      根据您计划使用的NetApp数据服务,您可能需要创建第二个策略。

    对于标准区域,权限分布在两个策略中。由于 AWS 中托管策略的最大字符大小限制,因此需要两个策略。"了解有关控制台代理的 IAM 策略的更多信息"

  3. 将策略附加到 IAM 用户。

  4. 确保用户拥有访问密钥,您可以在安装控制台代理后将其添加到NetApp Console。

结果

您现在应该拥有具有所需权限的 IAM 用户访问密钥。安装 Console 代理后,从 Console 将这些凭据与 Console 代理关联。

Azure

当控制台代理安装在本地时,您需要通过在 Microsoft Entra ID 中设置服务主体并获取控制台代理所需的 Azure 凭据来授予控制台代理 Azure 权限。

创建用于基于角色的访问控制的 Microsoft Entra 应用程序

  1. 确保您在 Azure 中拥有创建 Active Directory 应用程序并将该应用程序分配给角色的权限。

    有关详细信息,请参阅 "Microsoft Azure 文档:所需权限"

  2. 从 Azure 门户打开 Microsoft Entra ID 服务。

    显示 Microsoft Azure 中的 Active Directory 服务。

  3. 在菜单中,选择*应用程序注册*。

  4. 选择*新注册*。

  5. 指定有关应用程序的详细信息:

    • 名称:输入应用程序的名称。

    • 帐户类型:选择帐户类型(任何类型都可以与NetApp Console一起使用)。

    • 重定向 URI:您可以将此字段留空。

  6. 选择*注册*。

    您已创建 AD 应用程序和服务主体。

将应用程序分配给角色

  1. 创建自定义角色:

    请注意,您可以使用 Azure 门户、Azure PowerShell、Azure CLI 或 REST API 创建 Azure 自定义角色。以下步骤展示如何使用 Azure CLI 创建角色。如果您希望使用其他方法,请参阅 "Azure 文档"

    1. 复制"控制台代理的自定义角色权限"并将它们保存在 JSON 文件中。

    2. 通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。

      您应该为用户将从中创建Cloud Volumes ONTAP系统的每个 Azure 订阅添加 ID。

      例子

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
]

    3. 使用 JSON 文件在 Azure 中创建自定义角色。

      以下步骤介绍如何使用 Azure Cloud Shell 中的 Bash 创建角色。

      • 开始 "Azure 云外壳"并选择 Bash 环境。

      • 上传 JSON 文件。

        Azure Cloud Shell 的屏幕截图,您可以在其中选择上传文件的选项。

      • 使用 Azure CLI 创建自定义角色:

        az role definition create --role-definition agent_Policy.json

        现在您应该有一个名为“控制台操作员”的自定义角色,可以将其分配给控制台代理虚拟机。

  2. 将应用程序分配给角色:

    1. 从 Azure 门户打开 Subscriptions 服务。

    2. 选择订阅。

    3. 选择“访问控制 (IAM)”>“添加”>“添加角色分配”。

    4. 在*角色*选项卡中,选择*控制台操作员*角色并选择*下一步*。

    5. 在“成员”选项卡中,完成以下步骤:

      • 保持选中“用户、组或服务主体”。

      • 选择*选择成员*。

        向应用程序添加角色时显示“成员”页面的 Azure 门户屏幕截图。

      • 搜索应用程序的名称。

        以下是一个例子:

      Azure 门户的屏幕截图,显示了 Azure 门户中的“添加角色分配”表单。

      • 选择应用程序并选择*选择*。

      • 选择“下一步”。

    6. 选择*审阅+分配*。

      服务主体现在具有部署控制台代理所需的 Azure 权限。

    如果您想从多个 Azure 订阅部署Cloud Volumes ONTAP ,则必须将服务主体绑定到每个订阅。在NetApp Console中,您可以选择部署Cloud Volumes ONTAP时要使用的订阅。

添加 Windows Azure 服务管理 API 权限

  1. 在*Microsoft Entra ID*服务中,选择*App Registrations*并选择应用程序。

  2. 选择*API 权限 > 添加权限*。

  3. 在“Microsoft API”下,选择“Azure 服务管理”。

    Azure 门户的屏幕截图,显示了 Azure 服务管理 API 权限。

  4. 选择*以组织用户身份访问 Azure 服务管理*,然后选择*添加权限*。

    Azure 门户的屏幕截图,显示添加 Azure 服务管理 API。

获取应用程序的应用程序ID和目录ID

  1. 在*Microsoft Entra ID*服务中,选择*App Registrations*并选择应用程序。

  2. 复制*应用程序(客户端)ID*和*目录(租户)ID*。

    显示 Microsoft Entra ID 中应用程序的应用程序(客户端)ID 和目录(租户)ID 的屏幕截图。

    将 Azure 帐户添加到控制台时,您需要提供应用程序(客户端)ID 和应用程序的目录(租户)ID。控制台使用 ID 以编程方式登录。

创建客户端机密

  1. 开启*Microsoft Entra ID*服务。

  2. 选择*应用程序注册*并选择您的应用程序。

  3. 选择*证书和机密>新客户端机密*。

  4. 提供秘密的描述和持续时间。

  5. 选择“添加”。

  6. 复制客户端机密的值。

    Azure 门户的屏幕截图,显示了 Microsoft Entra 服务主体的客户端机密。

在您的 vCenter 环境中安装 Console 代理

NetApp 支持在您的 vCenter 环境中安装 Console 代理。OVA 文件包含一个预配置的 VM 映像,您可以在 VMware 环境中部署该映像。文件下载或 URL 部署可直接从 NetApp Console 获得。它包括 Console 代理软件和自签名证书。

下载 OVA 或复制 URL

直接从NetApp Console下载 OVA 或复制 OVA URL。

  1. 选择“管理 > 代理”。

  2. 在“概览”页面上,选择“部署代理>本地”。

  3. 选择*使用 OVA*。

  4. 选择下载 OVA 或复制要在 vCenter 中使用的 URL。

在您的 vCenter 环境中部署代理

登录到您的 vCenter 环境以部署代理。

步骤

  1. 如果您的环境需要,请将自签名证书上传到受信任的证书。安装后更换此证书。

  2. 从内容库或本地系统部署 OVA。

    从本地系统

    来自内容库

    a. 右键单击并选择 部署 OVF 模板…​。b. 从 URL 中选择 OVA 文件或浏览到其位置,然后选择 下一步

    a. 转到您的内容库并选择控制台代理 OVA。b. 选择“操作”>“从此模板新建虚拟机”

  3. 完成部署 OVF 模板向导以部署控制台代理。

  4. 为虚拟机选择名称和文件夹,然后选择“下一步”。

  5. 选择一个计算资源,然后选择*下一步*。

  6. 查看模板的详细信息,然后选择*下一步*。

  7. 接受许可协议,然后选择*下一步*。

  8. 选择要使用的代理配置类型:显式代理、透明代理或无代理。

  9. 选择要部署虚拟机的数据存储,然后选择*下一步*。确保它满足主机要求。

  10. 选择您想要连接虚拟机的网络,然后选择*下一步*。确保网络为 IPv4 并且具有对所需端点的出站互联网访问权限。

  11. 自定义模板 窗口中,填写以下字段:

    • 代理信息

      • 如果选择了显式代理,请输入代理服务器主机名或 IP 地址和端口号,以及用户名和密码。

      • 如果您选择了透明代理,请上传相应的证书。

    • 虚拟机配置

      • 跳过配置检查:默认情况下未选中此复选框,这意味着代理运行配置检查以验证网络访问。

        • NetApp 建议不选中此框,以便安装包括代理的配置检查。配置检查验证代理是否具有所需端点的网络访问权限。如果部署因连接问题而失败,则可以从代理主机访问验证报告和日志。在某些情况下,如果您确信代理具有网络访问权限,则可以选择跳过检查。例如,如果您仍在使用"先前的端点"用于代理升级,则验证会失败并显示错误。要避免这种情况,请选中复选框以在不进行验证检查的情况下安装。"了解如何更新终端节点列表"

      • 维护密码:设置维护密码 `maint`允许访问代理维护控制台的用户。

      • NTP 服务器:指定一个或多个 NTP 服务器进行时间同步。

      • 主机名:设置此虚拟机的主机名。它不能包含搜索域。例如,FQDN console10.searchdomain.company.com 应输入为 console10。

      • 主 DNS:指定用于名称解析的主 DNS 服务器。

      • 辅助 DNS:指定用于名称解析的辅助 DNS 服务器。

      • 搜索域:指定解析主机名时要使用的搜索域名。例如,如果 FQDN 是 console10.searchdomain.company.com,则输入 searchdomain.company.com。

      • IPv4 地址:映射到主机名的 IP 地址。

      • IPv4 子网掩码:IPv4 地址的子网掩码。

      • IPv4 网关地址:IPv4 地址的网关地址。

  12. 选择“下一步”。

  13. 准备完成 窗口中查看详细信息,然后选择 完成

    vSphere 任务栏显示控制台代理部署的进度。

  14. 启动此虚拟机。

备注 如果部署失败,您可以从代理主机访问验证报告和日志。"了解如何解决安装问题。"

使用NetApp Console注册控制台代理

登录到 Console 并将 Console 代理与您的组织关联。登录方式取决于使用 Console 的模式。如果在标准模式下使用 Console,请通过 SaaS 网站登录。如果以受限或专用模式使用 Console,则可以从 Console 代理主机本地登录。

步骤

  1. 打开 Web 浏览器并输入控制台代理主机 URL:

    控制台主机 URL 可以是本地主机、私有 IP 地址或公共 IP 地址,具体取决于主机的配置。例如,如果控制台代理位于没有公共 IP 地址的公共云中,则必须输入与控制台代理主机有连接的主机的私有 IP 地址。

  2. 注册或登录。

  3. 登录后,设置控制台:

    1. 指定与控制台代理关联的控制台组织。

    2. 输入系统的名称。

    3. 在*您是否在安全环境中运行?*下保持限制模式处于禁用状态。

      当控制台代理安装在本地时,不支持限制模式。

    4. 选择*让我们开始吧*。

将云提供商凭据添加到控制台

安装并设置控制台代理后,添加您的云凭据,以便控制台代理具有在 AWS 或 Azure 中执行操作所需的权限。

AWS
开始之前

如果您刚刚创建了这些 AWS 凭证,它们可能需要几分钟才能生效。等待几分钟,然后将凭据添加到控制台。

步骤

  1. 选择“管理 > 凭证”。

  2. 选择*组织凭证*。

  3. 选择“添加凭据”并按照向导中的步骤操作。

    1. 凭证位置:选择*Amazon Web Services > 代理*。

    2. 定义凭证:输入 AWS 访问密钥和密钥。

    3. 市场订阅:通过立即订阅或选择现有订阅将市场订阅与这些凭证关联。

    4. 审核:确认有关新凭证的详细信息并选择*添加*。

您现在可以前往 "NetApp Console"开始使用控制台代理。

Azure
开始之前

如果您刚刚创建了这些 Azure 凭据,它们可能需要几分钟时间才能可用。请稍等几分钟,然后将凭据添加到 Console 代理。

步骤

  1. 选择“管理 > 凭证”。

  2. 选择“添加凭据”并按照向导中的步骤操作。

    1. 凭证位置:选择*Microsoft Azure > 代理*。

    2. 定义凭据:输入有关授予所需权限的 Microsoft Entra 服务主体的信息:

      • 应用程序(客户端)ID

      • 目录(租户)ID

      • 客户端密钥

    3. 市场订阅:通过立即订阅或选择现有订阅将市场订阅与这些凭证关联。

    4. 审核:确认有关新凭证的详细信息并选择*添加*。

结果

控制台代理现在具有代表您在 Azure 中执行操作所需的权限。您现在可以前往 "NetApp Console"开始使用控制台代理。