在 AWS Secret Cloud 和 Top Secret Cloud 地區部署 Cloud Volumes ONTAP
建議變更
PDF
與標準 AWS 區域類似、您可以在中使用 BlueXP "AWS Secret Cloud" 和 "AWS Top Secret Cloud" 部署 Cloud Volumes ONTAP 、為您的雲端儲存設備提供企業級功能。AWS Secret Cloud 和 Top Secret Cloud 是美國特有的封閉區域智慧社群:本頁的指示僅適用於 AWS Secret Cloud 和 Top Secret Cloud 地區使用者。
開始之前、請先檢閱 AWS Secret Cloud 和 Top Secret Cloud 中支援的版本、並瞭解 BlueXP 中的私有模式。
-
檢閱 AWS Secret Cloud 和 Top Secret Cloud 中支援的下列版本:
-
Cloud Volumes ONTAP 9.12.1 P2
-
Connector 3.9.32 版
Connector是在Cloud Volumes ONTAP AWS中部署和管理功能所需的軟體。您將從安裝在Connector執行個體上的軟體登入BlueXP。AWS Secret Cloud 和 Top Secret Cloud 不支援 BlueXP 的 SaaS 網站。
-
-
瞭解私有模式
在 AWS Secret Cloud 和 Top Secret Cloud 中、 BlueXP 以 _private 模式運作。在私有模式中、無法連線至 BlueXP SaaS 層。使用者可從 Connector 提供的網路型主控台、而非從 SaaS 層、在本機存取 BlueXP 。
若要深入瞭解私有模式的運作方式、請參閱 "BlueXP 私有部署模式"。
步驟 1 :設定您的網路
設定AWS網路、Cloud Volumes ONTAP 使其能夠正常運作。
-
選擇要在其中啟動Connector執行個體和Cloud Volumes ONTAP 例項的VPC和子網路。
-
確保您的 VPC 和子網路支援連接器與 Cloud Volumes ONTAP 支援之間的連線。
-
設定 S3 服務的 VPC 端點。
如果您想要將冷資料從 Cloud Volumes ONTAP 不願儲存到低成本物件儲存設備、則需要 VPC 端點。
步驟 2 :設定權限
設定 IAM 原則和角色、為 Connector 和 Cloud Volumes ONTAP 提供在 AWS Secret Cloud 或 Top Secret Cloud 中執行動作所需的權限。
您需要IAM原則和IAM角色來執行下列各項:
-
Connector執行個體
-
執行個體Cloud Volumes ONTAP
-
對於 HA 配對、 Cloud Volumes ONTAP HA 中介執行個體(如果您想要部署 HA 配對)
-
移至AWS IAM主控台、然後按一下* Policies *。
-
建立Connector執行個體的原則。
您可以建立這些原則來支援 AWS 環境中的 S3 儲存區。稍後建立貯體時、請確定貯體名稱以開頭 fabric-pool-。這項要求同時適用於 AWS Secret Cloud 和 Top Secret Cloud 地區。秘密區域{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso-b:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso-b:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso-b:ec2:*:*:volume/*" ] } ] }最高機密區域{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso:ec2:*:*:volume/*" ] } ] } -
建立Cloud Volumes ONTAP 一套適用於此功能的原則。
秘密區域{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso-b:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso-b:s3:::fabric-pool-*", "Effect": "Allow" }] }最高機密區域{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }] }對於 HA 配對、如果您打算部署 Cloud Volumes ONTAP HA 配對、請為 HA 協調器建立原則。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses" ], "Resource": "*" } ] } -
使用角色類型Amazon EC2建立IAM角色、並附加您在先前步驟中建立的原則。
建立角色:與原則類似、您應該有一個用於連接器的 IAM 角色、另一個用於 Cloud Volumes ONTAP 節點。
對於 HA 配對:與原則類似、您應該有一個用於連接器的 IAM 角色、一個用於 Cloud Volumes ONTAP 節點、另一個用於 HA 協調器(如果您想要部署 HA 配對)。選取角色:啟動Connector執行個體時、您必須選取Connector IAM角色。從 BlueXP 建立 Cloud Volumes ONTAP 工作環境時、您可以為 Cloud Volumes ONTAP 選取 IAM 角色。
對於 HA 配對、您可以在從 BlueXP 建立 Cloud Volumes ONTAP 工作環境時、為 Cloud Volumes ONTAP 和 HA 協調器選取 IAM 角色。
步驟 3 :設定 AWS KMS
如果您想搭配 Cloud Volumes ONTAP 使用 Amazon 加密、請確保 AWS 金鑰管理服務( KMS )符合要求。
-
請確定您的帳戶或其他AWS帳戶中存在使用中的客戶主金鑰(CMK)。
CMK 可以是 AWS 託管的 CMK 、也可以是客戶託管的 CMK 。
-
如果CMK位於AWS帳戶中、而該帳戶與您打算部署Cloud Volumes ONTAP 的帳戶不同、則您需要取得該金鑰的ARN。
建立Cloud Volumes ONTAP 一套系統時、您必須提供ARN給BlueXP。
-
將Connector執行個體的IAM角色新增至CMK的主要使用者清單。
如此一來、BlueXP就有權將CMK搭配Cloud Volumes ONTAP 使用。
步驟 4 :安裝 Connector 並設定 BlueXP
在開始使用 BlueXP 在 AWS 中部署 Cloud Volumes ONTAP 之前、您必須先安裝並設定 BlueXP Connector 。Connector讓BlueXP能夠管理公有雲環境中的資源和程序(包括Cloud Volumes ONTAP 整個過程)。
-
取得由憑證授權單位(CA)簽署的根憑證(採用隱私權增強型郵件(PEF)Base - 64編碼的X.509格式)。請參閱貴組織的原則與程序、以取得該憑證。
對於 AWS Secret Cloud 地區、您應該上傳 NSS Root CA 2憑證、以及 Top Secret Cloud 的Amazon Root CA 4憑證:請務必僅上傳這些憑證、而非整個鏈結。憑證鏈結的檔案很大、上傳可能會失敗。如果您有其他憑證、您可以在稍後上傳、如下一步所述。您必須在設定程序期間上傳憑證。透過HTTPS傳送要求至AWS時、BlueXP會使用信任的憑證。
-
啟動Connector執行個體:
-
前往適用於BlueXP的AWS Intelligence Community Marketplace頁面。
-
在「自訂啟動」索引標籤上、選擇從EC2主控台啟動執行個體的選項。
-
依照提示設定執行個體。
設定執行個體時請注意下列事項:
-
建議使用T3.xLarge。
-
您必須選擇設定權限時所建立的 IAM 角色。
-
您應該保留預設的儲存選項。
-
Connector所需的連線方法如下:SSH、HTTP和HTTPS。
-
-
-
從連線至Connector執行個體的主機設定BlueXP:
-
開啟網頁瀏覽器並輸入 https://ipaddress 其中 ipaddress 是您安裝 Connector 的 Linux 主機的 IP 位址。
-
指定用於連線至AWS服務的Proxy伺服器。
-
上傳您在步驟1中取得的憑證。
-
選取 * 設定新的 BlueXP* 、然後依照提示設定系統。
-
系統詳細資料:輸入Connector的名稱及您的公司名稱。
-
建立管理使用者:建立系統的管理使用者。
此使用者帳戶在本機系統上執行。無法透過BlueXP連線至驗證0服務。
-
* 審查 * :檢閱詳細資料、接受授權合約、然後選取 * 設定 * 。
-
-
若要完成CA簽署憑證的安裝、請從EC2主控台重新啟動Connector執行個體。
-
-
重新啟動Connector之後、請使用您在設定精靈中建立的系統管理員使用者帳戶登入。
步驟 5 :(選用)安裝私有模式憑證
此步驟對於 AWS Secret Cloud 和 Top Secret Cloud 地區為選用步驟、只有在您有其他憑證(除了您在前一步驟中安裝的根憑證)時才需要。
-
列出現有的已安裝憑證。
-
若要收集 occm Container 泊塢視窗 ID (識別名稱為「 DS-occm-1 」)、請執行下列命令:
docker ps -
若要進入 occm 容器、請執行下列命令:
docker exec -it <docker-id> /bin/sh -
若要從 "trust 儲存區密碼 " 環境變數收集密碼、請執行下列命令:
env -
若要列出信任存放區中所有已安裝的憑證、請執行下列命令、並使用上一步收集的密碼:
keytool -list -v -keystore occm.truststore
-
-
新增憑證。
-
若要收集 occm Container 泊塢視窗 id (識別名稱為「 DS-occm-1 」)、請執行下列命令:
docker ps -
若要進入 occm 容器、請執行下列命令:
docker exec -it <docker-id> /bin/sh將新的憑證檔案儲存在內。
-
若要從 "trust 儲存區密碼 " 環境變數收集密碼、請執行下列命令:
env -
若要將憑證新增至信任存放區、請執行下列命令、並使用上一步的密碼:
keytool -import -alias <alias-name> -file <certificate-file-name> -keystore occm.truststore -
若要檢查是否已安裝憑證、請執行下列命令:
keytool -list -v -keystore occm.truststore -alias <alias-name> -
若要結束 occm 容器、請執行下列命令:
exit -
若要重設 occm 容器、請執行下列命令:
docker restart <docker-id>
-
步驟 6 :新增授權至 BlueXP 數位錢包
如果您向 NetApp 購買授權、則需要將其新增至 BlueXP 數位錢包、以便在建立新的 Cloud Volumes ONTAP 系統時選取授權。數位錢包會將這些授權識別為未指派。
-
從BlueXP導覽功能表中、選取*管理>數位錢包*。
-
在* Cloud Volumes ONTAP 《》*索引標籤上、從下拉式清單中選取「*節點型授權」。
-
按一下*未指派*。
-
按一下「新增未指派的授權」。
-
輸入授權的序號或上傳授權檔案。
-
如果您還沒有使用許可檔案、則需要從 netapp.com 手動上傳使用許可檔案。
-
前往 "NetApp 授權檔案產生器" 並使用您的 NetApp 支援網站認證資料登入。
-
輸入您的密碼、選擇產品、輸入序號、確認您已閱讀並接受隱私權政策、然後按一下 * 提交 * 。
-
選擇您要透過電子郵件或直接下載來接收 serialNumber.NLF Json 檔案。
-
-
按一下「 * 新增授權 * 」。
BlueXP 將授權新增至數位錢包。授權將被識別為未指派、直到您將其與新Cloud Volumes ONTAP 的一套系統關聯為止。之後、授權便會移至數位錢包中的 BYOL 標籤。
步驟 7 :從 BlueXP 啟動 Cloud Volumes ONTAP
您可以在 BlueXP 中建立新的工作環境、在 AWS Secret Cloud 和 Top Secret Cloud 中啟動 Cloud Volumes ONTAP 執行個體。
對於 HA 配對、必須有金鑰配對、才能啟用金鑰型 SSH 驗證給 HA 中介者。
-
在「工作環境」頁面上、按一下「新增工作環境」。
-
在 * 建立 * 下、選取 Cloud Volumes ONTAP 。
對於 HA :在 * 建立 * 下、選取 Cloud Volumes ONTAP 或 Cloud Volumes ONTAP HA 。
-
完成精靈中的步驟以啟動Cloud Volumes ONTAP 整套系統。
在精靈中進行選擇時、請勿在 * 服務 * 下選取 * 資料感知與法規遵循 * 和 * 備份至雲端 * 。在 * 預先設定的封裝 * 下、選取 * 僅變更組態 * 、並確定您尚未選取任何其他選項。AWS Secret Cloud 和 Top Secret Cloud 地區不支援預先設定的套件、如果選取、您的部署將會失敗。
當您完成 HA 配對精靈時、請注意下列事項。
-
當您在多個可用性區域( AZs )中部署 Cloud Volumes ONTAP HA 時、應該設定傳輸閘道。有關說明,請參閱"設定 AWS 傳輸閘道"。
-
部署組態如下、因為在發佈時、 AWS Top Secret Cloud 只有兩個 AZs 可用:
-
節點1:可用度區域A
-
節點2:可用度區域B
-
中介:可用度區域A或B
-
完成精靈時請注意下列事項:
-
您應該保留預設選項、以使用產生的安全性群組。
預先定義的安全性群組包含Cloud Volumes ONTAP 一些規則、這些規則是讓整個公司順利運作所需的。如果您需要使用自己的安全性、請參閱下方的安全性群組一節。
-
您必須選擇在準備AWS環境時所建立的IAM角色。
-
基礎AWS磁碟類型適用於初始Cloud Volumes ONTAP 的流通量。
您可以為後續磁碟區選擇不同的磁碟類型。
-
AWS磁碟的效能與磁碟大小有關。
您應該選擇能提供所需持續效能的磁碟大小。如需EBS效能的詳細資訊、請參閱AWS文件。
-
磁碟大小是系統上所有磁碟的預設大小。
如果您稍後需要不同的大小、可以使用「進階配置」選項來建立使用特定大小磁碟的集合體。
BlueXP會啟動Cloud Volumes ONTAP 這個執行個體。您可以追蹤時間表的進度。
步驟 8 :安裝資料分層的安全性憑證
您必須手動安裝安全性憑證、才能在 AWS Secret Cloud 和 Top Secret Cloud 區域中進行資料分層。
-
建立 S3 儲存區。
請確定貯體名稱以開頭 fabric-pool-.例如fabric-pool-testbucket。 -
保留您安裝的根憑證
step 4方便。
-
從您安裝的根憑證複製文字
step 4。 -
使用 CLI 安全連線至 Cloud Volumes ONTAP 系統。
-
安裝根憑證。您可能需要按下
ENTER金鑰多次:security certificate install -type server-ca -cert-name <certificate-name>
-
出現提示時、輸入完整複製的文字、包括和寄件者
----- BEGIN CERTIFICATE -----至----- END CERTIFICATE -----。 -
保留 CA 簽署數位憑證的複本、以供日後參考。
-
保留 CA 名稱和憑證序號。
-
為 AWS Secret Cloud 和 Top Secret Cloud 區域設定物件存放區:
set -privilege advanced -confirmations off -
執行此命令以設定物件存放區。
所有 Amazon 資源名稱( ARN )都應以後綴為後綴 -iso-b、例如arn:aws-iso-b。例如、如果某個資源需要區域的 ARN 、對於 Top Secret Cloud 、請使用命名慣例 ASus-iso-b適用於-server旗標。若為 AWS Secret Cloud 、請使用us-iso-b-1。storage aggregate object-store config create -object-store-name <S3Bucket> -provider-type AWS_S3 -auth-type EC2-IAM -server <s3.us-iso-b-1.server_name> -container-name <fabric-pool-testbucket> -is-ssl-enabled true -port 443
-
確認物件存放區已成功建立:
storage aggregate object-store show -instance -
將物件存放區附加至 Aggregate 。每個新的集合體都應該重複此步驟:
storage aggregate object-store attach -aggregate <aggr1> -object-store-name <S3Bucket>