Skip to main content
NetApp Console setup and administration
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

通过NetApp控制台在 AWS 中创建控制台代理

贡献者 netapp-tonias
PDF

您可以直接从NetApp控制台在 AWS 中创建控制台代理。在从控制台创建 AWS 中的控制台代理之前,您需要设置网络并准备 AWS 权限。

开始之前

步骤 1:设置网络以在 AWS 中部署控制台代理

确保您计划安装控制台代理的网络位置支持以下要求。这些要求使控制台代理能够管理混合云中的资源和流程。

VPC 和子网

创建控制台代理时,您需要指定它所在的 VPC 和子网。

连接到目标网络

控制台代理需要与您计划创建和管理系统的位置建立网络连接。例如,您计划在本地环境中创建Cloud Volumes ONTAP系统或存储系统的网络。

出站互联网访问

部署控制台代理的网络位置必须具有出站互联网连接才能联系特定端点。

从控制台代理联系的端点

控制台代理需要出站互联网访问来联系以下端点,以管理公共云环境中的资源和流程以进行日常操作。

下面列出的端点都是 CNAME 条目。

端点 目的

AWS 服务(amazonaws.com):

  • 云形成

  • 弹性计算云(EC2)

  • 身份和访问管理 (IAM)

  • 密钥管理服务(KMS)

  • 安全令牌服务 (STS)

  • 简单存储服务(S3)

管理 AWS 资源。端点取决于您的 AWS 区域。 "有关详细信息,请参阅 AWS 文档"

\ https://mysupport.netapp.com

获取许可信息并向NetApp支持发送AutoSupport消息。

\ https://support.netapp.com

获取许可信息并向NetApp支持发送AutoSupport消息。

\ https://signin.b2c.netapp.com

更新NetApp支持站点 (NSS) 凭据或将新的 NSS 凭据添加到NetApp控制台。

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

在NetApp控制台中提供功能和服务。

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

获取控制台代理升级的图像。

  • 当您部署新代理时,验证检查会测试与当前端点的连接。如果你使用"先前的端点",验证检查失败。为了避免此失败,请跳过验证检查。

    尽管以前的端点仍然受支持,但NetApp建议尽快将防火墙规则更新到当前端点。"了解如何更新终端节点列表"

  • 当您更新到防火墙中的当前端点时,您现有的代理将继续工作。
从NetApp控制台联系的端点

当您使用通过 SaaS 层提供的基于 Web 的NetApp控制台时,它会联系多个端点来完成数据管理任务。这包括从控制台联系以部署控制台代理的端点。

"查看从NetApp控制台联系的端点列表"

代理服务器

NetApp支持显式和透明代理配置。如果您使用透明代理,则只需要提供代理服务器的证书。如果您使用显式代理,您还需要 IP 地址和凭据。

  • IP 地址

  • 凭据

  • HTTPS 证书

端口

除非您启动它或将其用作代理将AutoSupport消息从Cloud Volumes ONTAP发送到NetApp支持,否则控制台代理不会有传入流量。

  • HTTP(80)和 HTTPS(443)提供对本地 UI 的访问,您会在极少数情况下使用它们。

  • 仅当需要连接到主机进行故障排除时才需要 SSH(22)。

  • 如果您在没有出站互联网连接的子网中部署Cloud Volumes ONTAP系统,则需要通过端口 3128 建立入站连接。

    如果Cloud Volumes ONTAP系统没有出站互联网连接来发送AutoSupport消息,控制台会自动配置这些系统以使用控制台代理附带的代理服务器。唯一的要求是确保控制台代理的安全组允许通过端口 3128 进行入站连接。部署控制台代理后,您需要打开此端口。

启用 NTP

如果您计划使用NetApp数据分类来扫描公司数据源,则应在控制台代理和NetApp数据分类系统上启用网络时间协议 (NTP) 服务,以便系统之间的时间同步。 "了解有关NetApp数据分类的更多信息"

创建控制台代理后,您需要实现此网络要求。

步骤 2:为控制台代理设置 AWS 权限

控制台需要通过 AWS 进行身份验证,然后才能在您的 VPC 中部署控制台代理实例。您可以选择以下身份验证方法之一:

  • 让控制台承担具有所需权限的 IAM 角色

  • 为具有所需权限的 IAM 用户提供 AWS 访问密钥和密钥

无论选择哪种方式,第一步都是创建 IAM 策略。此策略仅包含从控制台启动 AWS 中的控制台代理实例所需的权限。

如果需要,您可以使用 IAM 限制 IAM 策略 `Condition`元素。 "AWS 文档:条件元素"

步骤

  1. 转到 AWS IAM 控制台。

  2. 选择“策略”>“创建策略”。

  3. 选择 JSON

  4. 复制并粘贴以下策略:

    此策略仅包含从控制台启动 AWS 中的控制台代理实例所需的权限。当控制台创建控制台代理时,它会将一组新权限应用于控制台代理实例,使控制台代理能够管理 AWS 资源。"查看控制台代理实例本身所需的权限"

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:DeleteRole",
        "iam:PutRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:DeleteRolePolicy",
        "iam:AddRoleToInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeleteInstanceProfile",
        "iam:PassRole",
        "iam:ListRoles",
        "ec2:DescribeInstanceStatus",
        "ec2:RunInstances",
        "ec2:ModifyInstanceAttribute",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeInstances",
        "ec2:CreateTags",
        "ec2:DescribeImages",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeLaunchTemplates",
        "ec2:CreateLaunchTemplate",
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:ValidateTemplate",
        "ec2:AssociateIamInstanceProfile",
        "ec2:DescribeIamInstanceProfileAssociations",
        "ec2:DisassociateIamInstanceProfile",
        "iam:GetRole",
        "iam:TagRole",
        "kms:ListAliases",
        "cloudformation:ListStacks"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/OCCMInstance": "*"
        }
      },
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

  5. 选择*下一步*并添加标签(如果需要)。

  6. 选择*下一步*并输入名称和描述。

  7. 选择*创建策略*。

  8. 将策略附加到控制台可以承担的 IAM 角色或 IAM 用户,以便您可以为控制台提供访问密钥:

    • (选项 1)设置控制台可以承担的 IAM 角色:

      1. 转到目标账户中的 AWS IAM 控制台。

      2. 在访问管理下,选择*角色>创建角色*并按照步骤创建角色。

      3. 受信任实体类型 下,选择 AWS 账户

      4. 选择*另一个 AWS 账户*并输入控制台 SaaS 账户的 ID:952013314444

      5. 选择您在上一节中创建的策略。

      6. 创建角色后,复制角色 ARN,以便在创建控制台代理时将其粘贴到控制台中。

    • (选项 2)为 IAM 用户设置权限,以便您可以向控制台提供访问密钥:

      1. 从 AWS IAM 控制台中,选择 用户,然后选择用户名。

      2. 选择*添加权限>直接附加现有策略*。

      3. 选择您创建的策略。

      4. 选择*下一步*,然后选择*添加权限*。

      5. 确保您拥有 IAM 用户的访问密钥和密钥。

结果

您现在应该拥有一个具有所需权限的 IAM 角色或一个具有所需权限的 IAM 用户。从控制台创建控制台代理时,您可以提供有关角色或访问密钥的信息。

步骤 3:创建控制台代理

直接从基于 Web 的控制台创建控制台代理。

关于此任务

  • 从控制台创建控制台代理使用默认配置在 AWS 中部署 EC2 实例。创建控制台代理后,请勿切换到具有较少 CPU 或较少 RAM 的较小 EC2 实例。"了解控制台代理的默认配置"

  • 当控制台创建控制台代理时,它会为实例创建一个 IAM 角色和一个实例配置文件。此角色包括使控制台代理能够管理 AWS 资源的权限。确保在未来版本中添加新权限时更新角色。"了解有关控制台代理的 IAM 策略的更多信息"

开始之前

您应该具有以下内容:

  • AWS 身份验证方法:具有所需权限的 IAM 角色或 IAM 用户的访问密钥。

  • 满足组网需求的VPC及子网。

  • EC2 实例的密钥对。

  • 如果控制台代理需要代理才能访问互联网,则提供有关代理服务器的详细信息。

  • 设置"网络要求"

  • 设置"AWS 权限"

步骤

  1. 选择“管理 > 代理”。

  2. 在“概览”页面上,选择“部署代理”>“AWS”

  3. 按照向导中的步骤创建控制台代理:

  4. 在“简介”页面上提供了该过程的概述

  5. AWS Credentials 页面上,指定您的 AWS 区域,然后选择一种身份验证方法,该方法可以是控制台可以承担的 IAM 角色,也可以是 AWS 访问密钥和密钥。

    提示 如果您选择*承担角色*,您可以从控制台代理部署向导创建第一组凭据。任何附加凭证集都必须从凭证页面创建。然后,它们将从向导的下拉列表中提供。"了解如何添加其他凭证"

  6. 在“详细信息”页面上,提供有关控制台代理的详细信息。

    • 输入实例的名称。

    • 向实例添加自定义标签(元数据)。

    • 选择是否希望控制台创建具有所需权限的新角色,或者是否要选择您设置的现有角色"所需的权限"

    • 选择是否要加密控制台代理的 EBS 磁盘。您可以选择使用默认加密密钥或使用自定义密钥。

  7. 在*网络*页面上,为实例指定 VPC、子网和密钥对,选择是否启用公共 IP 地址,并选择性地指定代理配置。

    确保您拥有正确的密钥对来访问控制台代理虚拟机。如果没有密钥对,您就无法访问它。

  8. 在“安全组”页面上,选择是否创建新的安全组或是否选择允许所需入站和出站规则的现有安全组。

    "查看 AWS 的安全组规则"

  9. 检查您的选择以验证您的设置是否正确。

    1. 默认情况下,*验证代理配置*复选框处于选中状态,以便控制台在您部署时验证网络连接要求。如果控制台无法部署代理,它会提供一份报告来帮助您排除故障。如果部署成功,则不会提供报告。

    如果您仍在使用"先前的端点"用于代理升级,验证失败并出现错误。为了避免这种情况,请取消选中复选框以跳过验证检查。

  10. 选择“添加”。

    控制台大约需要 10 分钟才能准备好实例。停留在该页面上直到该过程完成。

结果

该过程完成后,即可从控制台使用控制台代理。

备注 如果部署失败,您可以从控制台下载报告和日志来帮助您解决问题。"了解如何解决安装问题。"

如果您在创建控制台代理的同一 AWS 账户中拥有 Amazon S3 存储桶,您将看到 Amazon S3 工作环境自动出现在 系统 页面上。 "了解如何从NetApp控制台管理 S3 存储桶"