简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

从 Cloud Manager 在 Azure 中创建连接器

提供者 netapp-bcammett

客户管理员需要先部署 Connector ,然后才能使用大多数 Cloud Manager 功能。借助此连接器, Cloud Manager 可以管理公有云环境中的资源和流程。 "了解何时需要连接器"

此页面介绍如何直接从 Cloud Manager 在 Azure 中创建 Connector 。 "了解部署 Connector 的其他方法"

这些步骤必须由具有帐户管理员角色的用户完成。Workspace 管理员无法创建 Connector 。

提示 在创建首个 Cloud Volumes ONTAP 工作环境时,如果您还没有连接器, Cloud Manager 将提示您创建一个连接器。

概述

要部署 Connector ,您需要为 Cloud Manager 提供一个登录名,该登录名必须具有在 Azure 中创建 Connector VM 所需的权限。

您有两种选择:

  1. 出现提示时,使用 Microsoft 帐户登录。此帐户必须具有特定的 Azure 权限。这是默认选项。

  2. 提供有关 Azure AD 服务主体的详细信息。此服务主体还需要特定权限。

使用 Azure 帐户创建 Connector

在 Azure 中创建 Connector 的默认方法是,在出现提示时使用 Azure 帐户登录。此登录表由 Microsoft 拥有和托管。您的凭据不会提供给 NetApp 。

为 Azure 帐户设置权限

在从 Cloud Manager 部署 Connector 之前,您需要确保 Azure 帐户具有正确的权限。

步骤
  1. 下载 "Connector 的 Azure 策略"

    提示 右键单击链接并单击 * 将链接另存为 …​* 以下载此文件。
  2. 通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。

    • 示例 *

    "AssignableScopes": [
    "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz"
    ],
  3. 使用 JSON 文件在 Azure 中创建自定义角色。

    以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。

    1. start "Azure Cloud Shell" 并选择 Bash 环境。

    2. 上传 JSON 文件。

      Azure Cloud Shell 的屏幕截图,您可以在其中选择上传文件的选项。

    3. 输入以下 Azure 命令行界面命令:

      az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json

    现在,您应具有一个名为 Azure SetupAsService 的自定义角色。

  4. 将角色分配给要从 Cloud Manager 部署 Connector 的用户:

    1. 打开 * 订阅 * 服务并选择用户的订阅。

    2. 单击 * 访问控制( IAM ) * 。

    3. 单击 * 添加 * > * 添加角色分配 * ,然后添加权限:

      • 选择 * Azure SetupAsService* 角色。

        注 Azure SetupAsService 是中提供的默认名称 "适用于 Azure 的连接器部署策略"。如果您为角色选择了其他名称,请选择该名称。
      • 为 * Azure AD 用户,组或应用程序 * 分配访问权限。

      • 选择用户帐户。

      • 单击 * 保存 * 。

Azure 用户现在具有从 Cloud Manager 部署 Connector 所需的权限。

使用 Azure 帐户登录以创建 Connector

您可以通过 Cloud Manager 直接从其用户界面在 Azure 中创建 Connector 。

您需要什么? #8217 ;将需要什么
  • Azure 订阅。

  • 您选择的 Azure 区域中的 vNet 和子网。

  • 如果您不希望 Cloud Manager 自动为 Connector 创建 Azure 角色,则需要创建您自己的角色 "使用此策略"

    这些权限适用于 Connector 实例本身。它是一组与您先前设置的权限不同的权限,只需部署 Connector 即可。

步骤
  1. 如果要创建首个工作环境,请单击 * 添加工作环境 * 并按照提示进行操作。否则,请单击 * 连接器 * 下拉列表并选择 * 添加连接器 * 。

    标题中显示 Connector 图标和 Add Connector 操作的屏幕截图。

  2. 选择 * Microsoft Azure* 作为云提供商。

    请记住, Connector 必须与您要创建的工作环境类型以及您计划启用的服务建立网络连接。

  3. 按照向导中的步骤创建 Connector :

    • * 准备就绪 * :查看您需要的内容,然后单击 * 下一步 * 。

    • 如果出现提示,请登录到您的 Microsoft 帐户,该帐户应具有创建虚拟机所需的权限。

      此表由 Microsoft 拥有和托管。您的凭据不会提供给 NetApp 。

    提示 如果您已登录到 Azure 帐户,则 Cloud Manager 将自动使用该帐户。如果您有多个帐户,则可能需要先注销,以确保您使用的是正确的帐户。
    • * 虚拟机身份验证 * :选择 Azure 订阅,位置,新资源组或现有资源组,然后选择身份验证方法。

    • * 详细信息 * :输入实例的名称,指定标记,然后选择是希望 Cloud Manager 创建具有所需权限的新角色,还是要选择使用设置的现有角色 "所需权限"

      请注意,您可以选择与此角色关联的订阅。您选择的每个订阅都为 Connector 提供了在这些订阅中部署 Cloud Volumes ONTAP 的权限。

    • * 网络 * :选择 vNet 和子网,是否启用公有 IP 地址,并可选择指定代理配置。

    • * 安全组 * :选择是创建新的安全组,还是选择允许入站 HTTP , HTTPS 和 SSH 访问的现有安全组。

      注 除非您启动 Connector ,否则不会向其传入流量。HTTP 和 HTTPS 可用于访问 "本地 UI",在极少数情况下使用。只有在需要连接到主机进行故障排除时,才需要使用 SSH 。
    • * 审核 * :查看您选择的内容,确认您的设置正确无误。

  4. 单击 * 添加 * 。

    虚拟机应在大约 7 分钟内准备就绪。您应停留在页面上,直到此过程完成。

您需要将连接器与工作空间关联,以便 Workspace 管理员可以使用这些连接器创建 Cloud Volumes ONTAP 系统。如果您只有帐户管理员,则不需要将 Connector 与工作空间相关联。默认情况下,帐户管理员可以访问 Cloud Manager 中的所有工作空间。 "了解更多信息。"

使用服务主体创建连接器

您还可以选择为 Cloud Manager 提供具有所需权限的 Azure 服务主体的凭据,而不是使用 Azure 帐户登录。

使用服务主体授予 Azure 权限

通过在 Azure Active Directory 中创建和设置服务主体并获取 Cloud Manager 所需的 Azure 凭据,授予在 Azure 中部署 Connector 所需的权限。

创建 Azure Active Directory 应用程序

创建一个 Azure Active Directory ( AD )应用程序和服务主体, Cloud Manager 可使用此主体部署 Connector 。

要创建 Active Directory 应用程序并将此应用程序分配给角色,您必须在 Azure 中拥有适当的权限。有关详细信息,请参见 "Microsoft Azure 文档:所需权限"

步骤
  1. 从 Azure 门户中,打开 * Azure Active Directory* 服务。

    显示了 Microsoft Azure 中的 Active Directory 服务。

  2. 在菜单中,单击 * 应用程序注册 * 。

  3. 单击 * 新建注册 * 。

  4. 指定有关应用程序的详细信息:

    • * 名称 * :输入应用程序的名称。

    • * 帐户类型 * :选择帐户类型(任何将适用于 Cloud Manager )。

    • * 重定向 URI* :可以将此字段留空。

  5. 单击 * 注册 * 。

您已创建 AD 应用程序和服务主体。

将应用程序分配给角色

您必须将服务主体绑定到计划部署 Connector 的 Azure 订阅,并为其分配自定义 "Azure SetupAsService" 角色。

步骤
  1. 下载 "适用于 Azure 的连接器部署策略"

    提示 右键单击链接并单击 * 将链接另存为 …​* 以下载此文件。
  2. 通过将 Azure 订阅 ID 添加到可分配范围来修改 JSON 文件。

    • 示例 *

    "AssignableScopes": [
    "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
  3. 使用 JSON 文件在 Azure 中创建自定义角色。

    以下步骤介绍如何在 Azure Cloud Shell 中使用 Bash 创建角色。

    1. start "Azure Cloud Shell" 并选择 Bash 环境。

    2. 上传 JSON 文件。

      Azure Cloud Shell 的屏幕截图,您可以在其中选择上传文件的选项。

    3. 输入以下 Azure 命令行界面命令:

      az role definition create --role-definition Policy_for_Setup_As_Service_Azure.json

    现在,您应具有一个名为 Azure SetupAsService 的自定义角色。

  4. 将应用程序分配给角色:

    1. 从 Azure 门户中,打开 * 订阅 * 服务。

    2. 选择订阅。

    3. 单击 * 访问控制( IAM ) > 添加 > 添加角色分配 * 。

    4. 选择 * Cloud Manager Operator* 角色。

    5. 保持选择 * Azure AD 用户,组或服务主体 * 。

    6. 搜索应用程序的名称(滚动无法在列表中找到)。

      以下是一个示例:

    显示 Azure 门户中的添加角色分配表单的屏幕截图。

    1. 选择应用程序并单击 * 保存 * 。

      现在,服务主体具有部署 Connector 所需的 Azure 权限。

添加 Windows Azure 服务管理 API 权限

服务主体必须具有 "Windows Azure 服务管理 API" 权限。

步骤
  1. 在 * Azure Active Directory* 服务中,单击 * 应用程序注册 * 并选择应用程序。

  2. 单击 * API 权限 > 添加权限 * 。

  3. 在 * Microsoft APIs* 下,选择 * Azure Service Management* 。

    Azure 门户的屏幕截图,其中显示了 Azure 服务管理 API 权限。

  4. 单击 * 以组织用户身份访问 Azure 服务管理 * ,然后单击 * 添加权限 * 。

    Azure 门户的屏幕截图,显示如何添加 Azure 服务管理 API 。

获取应用程序 ID 和目录 ID

从 Cloud Manager 创建 Connector 时,您需要提供应用程序(客户端) ID 和目录(租户) ID 。Cloud Manager 使用 ID 以编程方式登录。

步骤
  1. 在 * Azure Active Directory* 服务中,单击 * 应用程序注册 * 并选择应用程序。

  2. 复制 * 应用程序(客户端) ID* 和 * 目录(租户) ID* 。

    显示 Azure Active Directory 中某个应用程序的应用程序(客户端) ID 和目录(租户) ID 的屏幕截图。

创建客户端密钥

您需要创建客户端密钥,然后向 Cloud Manager 提供该密钥的值,以便 Cloud Manager 可以使用它向 Azure AD 进行身份验证。

步骤
  1. 打开 * Azure Active Directory* 服务。

  2. 单击 * 应用程序注册 * 并选择您的应用程序。

  3. 单击 * 证书和密码 > 新客户端密钥 * 。

  4. 提供密钥和持续时间的问题描述。

  5. 单击 * 添加 * 。

  6. 复制客户端密钥的值。

    Azure 门户的屏幕截图,其中显示了 Azure AD 服务主体的客户端密钥。

此时,您的服务主体已设置完毕,您应已复制应用程序(客户端) ID ,目录(租户) ID 和客户端密钥值。创建 Connector 时,您需要在 Cloud Manager 中输入此信息。

使用服务主体登录以创建 Connector

您可以通过 Cloud Manager 直接从其用户界面在 Azure 中创建 Connector 。

您需要什么? #8217 ;将需要什么
  • Azure 订阅。

  • 您选择的 Azure 区域中的 vNet 和子网。

  • 如果您不希望 Cloud Manager 自动为 Connector 创建 Azure 角色,则需要创建您自己的角色 "使用此策略"

    这些权限适用于 Connector 实例本身。它是一组与您先前设置的权限不同的权限,只需部署 Connector 即可。

步骤
  1. 如果要创建首个工作环境,请单击 * 添加工作环境 * 并按照提示进行操作。否则,请单击 * 连接器 * 下拉列表并选择 * 添加连接器 * 。

    标题中显示 Connector 图标和 Add Connector 操作的屏幕截图。

  2. 选择 * Microsoft Azure* 作为云提供商。

    请记住, Connector 必须与您要创建的工作环境类型以及您计划启用的服务建立网络连接。

  3. 按照向导中的步骤创建 Connector :

    • * 准备就绪 * :单击 * Azure AD 服务主体 * 并输入有关 Azure Active Directory 服务主体的信息,该服务主体授予所需权限:

    • 应用程序(客户端) ID :请参见 [Get the application ID and directory ID]

    • 目录(租户) ID :请参见 [Get the application ID and directory ID]

    • 客户端密钥:请参见 [Create a client secret]

    • * 虚拟机身份验证 * :选择 Azure 订阅,位置,新资源组或现有资源组,然后选择身份验证方法。

    • * 详细信息 * :输入实例的名称,指定标记,然后选择是希望 Cloud Manager 创建具有所需权限的新角色,还是要选择使用设置的现有角色 "所需权限"

      请注意,您可以选择与此角色关联的订阅。您选择的每个订阅都为 Connector 提供了在这些订阅中部署 Cloud Volumes ONTAP 的权限。

    • * 网络 * :选择 vNet 和子网,是否启用公有 IP 地址,并可选择指定代理配置。

    • * 安全组 * :选择是创建新的安全组,还是选择允许入站 HTTP , HTTPS 和 SSH 访问的现有安全组。

      注 除非您启动 Connector ,否则不会向其传入流量。HTTP 和 HTTPS 可用于访问 "本地 UI",在极少数情况下使用。只有在需要连接到主机进行故障排除时,才需要使用 SSH 。
    • * 审核 * :查看您选择的内容,确认您的设置正确无误。

  4. 单击 * 添加 * 。

    虚拟机应在大约 7 分钟内准备就绪。您应停留在页面上,直到此过程完成。

您需要将连接器与工作空间关联,以便 Workspace 管理员可以使用这些连接器创建 Cloud Volumes ONTAP 系统。如果您只有帐户管理员,则不需要将 Connector 与工作空间相关联。默认情况下,帐户管理员可以访问 Cloud Manager 中的所有工作空间。 "了解更多信息。"