Skip to main content
BlueXP setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

從Azure Marketplace建立連接器

貢獻者

Connector 是在雲端網路或內部部署網路中執行的 NetApp 軟體、可讓您使用所有 BlueXP  功能和服務。其中一個可用的安裝選項是直接從 Azure Marketplace 在 Azure 中建立 Connector 。若要從 Azure Marketplace 建立 Connector 、您必須設定網路、準備 Azure 權限、檢閱執行個體需求、然後建立 Connector 。

開始之前

步驟 1 :設定網路

請確定您計畫安裝 Connector 的網路位置支援下列需求。滿足這些需求後、 Connector 便能在混合雲環境中管理資源和程序。

Azure地區

如果您使用 Cloud Volumes ONTAP 、 Connector 應部署在與其管理的 Cloud Volumes ONTAP 系統所在的同一個 Azure 區域、或部署在中 "Azure區域配對" 適用於整個系統。Cloud Volumes ONTAP這項需求可確保Cloud Volumes ONTAP Azure Private Link連線可用於連接至相關的儲存帳戶。

vnet 和子網路

建立 Connector 時、您需要指定 Connector 應位於的 vnet 和子網路。

連線至目標網路

Connector 需要網路連線、才能連線到您計畫建立和管理工作環境的位置。例如、您計畫在內部部署環境中建立 Cloud Volumes ONTAP 系統或儲存系統的網路。

傳出網際網路存取

您部署 Connector 的網路位置必須具有傳出網際網路連線、才能連絡特定端點。

已從 Connector 聯絡的端點

Connector 需要外傳網際網路存取才能連絡下列端點、以便管理公有雲環境中的資源和程序、以進行日常營運。

請注意、下列端點均為所有的 CNAME 項目。

端點 目的

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

管理Azure公共區域的資源。

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

管理Azure中國地區的資源。

https://support.netapp.com
https://mysupport.netapp.com

以取得授權資訊、並將AutoSupport 資訊傳送給NetApp支援部門。

https://*.api 。 BlueXP  NetApp 。 NetApp 。 com https://api 。 BlueXP  。 com https://*.cloudmanager.cloud 。 NetApp 。 com https://cloudmanager.cloud 。 NetApp 。 com 。 https : NetApp-cloud-account.auth0.com

在BlueXP中提供SaaS功能與服務。

請注意、 Connector 目前正在聯絡「 cloudmanager.cloud.netapp.com" 」、但在即將推出的版本中、會開始聯絡「 api.bluexp.netapp.com" 」。

在兩組端點之間選擇:

  • 選項 1 (建議) 1

    https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io

  • 選項2

    https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io

取得 Connector 升級的映像。

1 建議使用選項 1 中列出的端點,因為它們更安全。建議您設定防火牆,以允許選項 1 中列出的端點,同時禁止選項 2 中列出的端點。請注意下列關於這些端點的資訊:

  • 從 3.9.47 版本的 Connector 開始,支援選項 1 中列出的端點。與先前版本的 Connector 沒有回溯相容性。

  • Connector 會先聯絡選項 2 中列出的端點。如果無法存取這些端點, Connector 會自動連絡選項 1 中列出的端點。

  • 如果您使用 Connector 搭配 BlueXP  備份與還原或 BlueXP  勒索軟體保護,則不支援選項 1 中的端點。在這種情況下,您可以不允許選項 1 中列出的端點,同時允許選項 2 中列出的端點。

Proxy伺服器

如果您的企業需要為所有傳出的網際網路流量部署 Proxy 伺服器、請取得下列關於 HTTP 或 HTTPS Proxy 的資訊。您必須在安裝期間提供此資訊。請注意、 BlueXP 不支援透明 Proxy 伺服器。

  • IP 位址

  • 認證資料

  • HTTPS憑證

連接埠

除非您啟動連接器、或使用連接器做為 Proxy 、將 AutoSupport 訊息從 Cloud Volumes ONTAP 傳送至 NetApp 支援、否則不會有傳入的流量傳入連接器。

  • HTTP(80)和HTTPS(443)可存取本機UI、在極少數情況下使用。

  • 只有在需要連線至主機進行疑難排解時、才需要SSH(22)。

  • 如果您在無法使用輸出網際網路連線的子網路中部署 Cloud Volumes ONTAP 系統、則需要透過連接埠 3128 進行輸入連線。

    如果 Cloud Volumes ONTAP 系統沒有輸出網際網路連線來傳送 AutoSupport 訊息、 BlueXP 會自動將這些系統設定為使用 Connector 隨附的 Proxy 伺服器。唯一的需求是確保連接器的安全群組允許透過連接埠3128進行傳入連線。部署Connector之後、您需要開啟此連接埠。

啟用 NTP

如果您打算使用 BlueXP 分類來掃描公司資料來源、則應該在 BlueXP Connector 系統和 BlueXP 分類系統上啟用網路時間傳輸協定( NTP )服務、以便在系統之間同步時間。 "深入瞭解 BlueXP 分類"

建立 Connector 之後、您必須實作此網路需求。

步驟 2 :檢閱 VM 需求

建立 Connector 時、您需要選擇符合下列需求的虛擬機器類型。

CPU

8 個核心或 8 個 vCPU

RAM

32GB

Azure VM 大小

符合上述 CPU 和 RAM 需求的執行個體類型。我們建議您使用 Standard_D8s_v3 。

步驟 3 :設定權限

您可以使用下列方式提供權限:

  • 選項 1 :使用系統指派的託管身分識別、將自訂角色指派給 Azure VM 。

  • 選項 2 :為 BlueXP 提供具有必要權限的 Azure 服務主體認證。

請依照下列步驟設定 BlueXP 的權限。

自訂角色

請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"

步驟
  1. 如果您打算在自己的主機上手動安裝軟體、請在 VM 上啟用系統指派的託管身分識別、以便透過自訂角色提供必要的 Azure 權限。

  2. 複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。

  3. 將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。

    您應該為每個想要搭配 BlueXP 使用的 Azure 訂閱新增 ID 。

    • 範例 *

    "AssignableScopes": [
    "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
    "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
    "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
  4. 使用 Json 檔案在 Azure 中建立自訂角色。

    下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。

    1. 開始 "Azure Cloud Shell" 並選擇Bash環境。

    2. 上傳Json檔案。

      Azure Cloud Shell的快照、您可在其中選擇上傳檔案的選項。

    3. 使用Azure CLI建立自訂角色:

      az role definition create --role-definition Connector_Policy.json
結果

現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。

服務主體

在 Microsoft Entra ID 中建立並設定服務主體、並取得 BlueXP 所需的 Azure 認證。

建立 Microsoft Entra 應用程式以進行角色型存取控制
  1. 確保您在 Azure 中擁有建立 Active Directory 應用程式及將應用程式指派給角色的權限。

    如需詳細資訊、請參閱 "Microsoft Azure 說明文件:必要權限"

  2. 從 Azure 入口網站開啟 * Microsoft Entra ID* 服務。

    顯示 Microsoft Azure 中的 Active Directory 服務。

  3. 在功能表中、選取 * 應用程式註冊 * 。

  4. 選取 * 新登錄 * 。

  5. 指定應用程式的詳細資料:

    • * 名稱 * :輸入應用程式的名稱。

    • 帳戶類型:選取帳戶類型(任何帳戶類型均可用於BlueXP)。

    • 重新導向URI:您可以將此欄位保留空白。

  6. 選擇*註冊*。

    您已建立 AD 應用程式和服務主體。

將應用程式指派給角色
  1. 建立自訂角色:

    請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"

    1. 複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。

    2. 將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。

      您應該為使用者建立 Cloud Volumes ONTAP 的各個 Azure 訂閱新增 ID 。

      • 範例 *

      "AssignableScopes": [
      "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
      "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
      "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
    3. 使用 Json 檔案在 Azure 中建立自訂角色。

      下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。

      • 開始 "Azure Cloud Shell" 並選擇Bash環境。

      • 上傳Json檔案。

        Azure Cloud Shell的快照、您可在其中選擇上傳檔案的選項。

      • 使用Azure CLI建立自訂角色:

        az role definition create --role-definition Connector_Policy.json

        現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。

  2. 將應用程式指派給角色:

    1. 從 Azure 入口網站開啟 * 訂閱 * 服務。

    2. 選取訂閱。

    3. 選取 * 存取控制( IAM ) > 新增 > 新增角色指派 * 。

    4. 在 * 角色 * 索引標籤中、選取 * BlueXP 操作員 * 角色、然後選取 * 下一步 * 。

    5. 在「成員」索引標籤中、完成下列步驟:

      • 保留*選取「使用者」、「群組」或「服務主體」*。

      • 選取 * 選取成員 * 。

        Azure入口網站的快照、會在新增角色至應用程式時顯示「成員」索引標籤。

      • 搜尋應用程式名稱。

        範例如下:

      Azure入口網站的快照、顯示Azure入口網站中的「新增角色指派」表單。

      • 選取應用程式、然後選取 * 選取 * 。

      • 選擇*下一步*。

    6. 選取 * 檢閱 + 指派 * 。

      服務主體現在擁有部署Connector所需的Azure權限。

    如果您想要從 Cloud Volumes ONTAP 多個 Azure 訂閱中部署支援功能、則必須將服務授權對象繫結至每個訂閱項目。BlueXP可讓您選擇部署Cloud Volumes ONTAP 時要使用的訂閱內容。

新增 Windows Azure Service Management API 權限
  1. 在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。

  2. 選取 * API 權限 > 新增權限 * 。

  3. 在「 * Microsoft API* 」下、選取「 * Azure 服務管理 * 」。

    Azure 入口網站的快照、顯示 Azure 服務管理 API 權限。

  4. 選取 * 以組織使用者身分存取 Azure 服務管理 * 、然後選取 * 新增權限 * 。

    Azure 入口網站的快照、顯示新增 Azure 服務管理 API 。

取得應用程式的應用程式 ID 和目錄 ID
  1. 在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。

  2. 複製 * 應用程式(用戶端) ID* 和 * 目錄(租戶) ID* 。

    螢幕擷取畫面、顯示 Microsoft Entra Idy 中應用程式的應用程式(用戶端) ID 和目錄(租戶) ID 。

    將Azure帳戶新增至BlueXP時、您必須提供應用程式的應用程式(用戶端)ID和目錄(租戶)ID。BlueXP使用ID以程式設計方式登入。

建立用戶端機密
  1. 開啟 * Microsoft Entra ID* 服務。

  2. 選取 * 應用程式註冊 * 、然後選取您的應用程式。

  3. 選取 * 「憑證與機密」 > 「新用戶端機密」 * 。

  4. 提供機密與持續時間的說明。

  5. 選取*「Add*」。

  6. 複製用戶端機密的值。

    Azure 入口網站的螢幕擷取畫面、顯示 Microsoft Entra 服務主體的用戶端機密。

    您現在擁有一個客戶機密、 BlueXP 可以使用它來驗證 Microsoft Entra ID 。

結果

您的服務主體現在已設定完成、您應該已經複製應用程式(用戶端) ID 、目錄(租戶) ID 、以及用戶端機密的值。新增Azure帳戶時、您必須在BlueXP中輸入此資訊。

步驟 4 :建立 Connector

直接從 Azure Marketplace 啟動 Connector 。

關於這項工作

從 Azure Marketplace 建立 Connector 會使用預設組態、在 Azure 中部署虛擬機器。 "瞭解連接器的預設組態"

開始之前

您應該擁有下列項目:

  • Azure 訂閱。

  • 您所選擇的 Azure 區域中的 Vnet 和子網路。

  • 若貴組織需要代理處理所有傳出的網際網路流量、請參閱Proxy伺服器的詳細資料:

    • IP 位址

    • 認證資料

    • HTTPS憑證

  • SSH 公開金鑰、如果您想要將該驗證方法用於 Connector 虛擬機器。驗證方法的另一個選項是使用密碼。

  • 如果您不想讓BlueXP自動為Connector建立Azure角色、則需要自行建立 "使用此頁面上的原則"

    這些權限適用於Connector執行個體本身。這是一組不同於您先前設定的權限、可用來部署 Connector VM 。

步驟
  1. 前往Azure Marketplace的NetApp Connector VM頁面。

  2. 選擇 * 立即取得 * 、然後選擇 * 繼續 * 。

  3. 從 Azure 入口網站選取 * Create * 、然後依照步驟設定虛擬機器。

    設定 VM 時請注意下列事項:

    • * VM 大小 * :選擇符合 CPU 和 RAM 需求的 VM 大小。我們建議您使用 Standard_D8s_v3 。

    • * 磁碟 * :連接器可在 HDD 或 SSD 磁碟上以最佳方式執行。

    • * 網路安全群組 * : Connector 需要使用 SSH 、 HTTP 和 HTTPS 的傳入連線。

    • * 識別 * :在 * 管理 * 下、選取 * 啟用系統指派的託管識別 * 。

      此設定很重要、因為託管身分識別可讓 Connector 虛擬機器在 Microsoft Entra ID 中識別自己、而無需提供任何認證。 "深入瞭解 Azure 資源的託管身分識別"

  4. Review + create 頁面上、檢閱您的選擇、然後選取 * Create* 開始部署。

    Azure 以指定的設定部署虛擬機器。虛擬機器和 Connector 軟體應在大約五分鐘內執行。

  5. 從連線至 Connector 虛擬機器的主機開啟網頁瀏覽器、然後輸入下列 URL :

  6. 登入後、設定 Connector :

    1. 指定要與連接器關聯的 BlueXP  組織。

    2. 輸入系統名稱。

    3. 在 * 您是在安全的環境中執行? * 保持停用限制模式。

      您應該保持停用受限模式、因為這些步驟說明如何在標準模式中使用 BlueXP 。只有當您擁有安全的環境、而且想要中斷此帳戶與 BlueXP 後端服務的連線時、才應啟用受限模式。如果是這樣、 "請依照步驟、以受限模式開始使用 BlueXP"

    4. 選取 * 開始 * 。

結果

現在已安裝 Connector 、並已與您的 BlueXP  組織一起設定。

如果您在建立 Connector 的同一個 Azure 訂閱中擁有 Azure Blob 儲存設備、則會在 BlueXP 畫布上自動顯示 Azure Blob 儲存設備工作環境。 "瞭解如何從 BlueXP 管理 Azure Blob 儲存設備"

步驟 5 :提供 BlueXP 的權限

建立 Connector 之後、您必須提供 BlueXP 先前設定的權限。提供權限可讓 BlueXP 管理 Azure 中的資料和儲存基礎架構。

自訂角色

前往 Azure 入口網站、將 Azure 自訂角色指派給 Connector 虛擬機器、以進行一或多個訂閱。

步驟
  1. 從 Azure Portal 開啟 * Subscriptions * 服務、然後選取您的訂閱。

    請務必從 * 訂閱 * 服務指派角色、因為這會指定訂閱層級的角色指派範圍。scacity 定義存取所套用的資源集。如果您在不同層級(例如虛擬機器層級)指定範圍、則從 BlueXP 中完成動作的能力將受到影響。

  2. 選取 * 存取控制( IAM ) * > * 新增 * > * 新增角色指派 * 。

  3. 在 * 角色 * 索引標籤中、選取 * BlueXP 操作員 * 角色、然後選取 * 下一步 * 。

    註 BlueXP運算子是在BlueXP原則中提供的預設名稱。如果您為角色選擇不同的名稱、請改為選取該名稱。
  4. 在「成員」索引標籤中、完成下列步驟:

    1. 指派*託管身分識別*的存取權。

    2. 選取 * 選取成員 * 、選取建立 Connector 虛擬機器的訂閱、然後在 * 管理身分識別 * 下選擇 * 虛擬機器 * 、然後選取 Connector 虛擬機器。

    3. 選取 * 選取 * 。

    4. 選擇*下一步*。

    5. 選取 * 檢閱 + 指派 * 。

    6. 如果您想要在其他 Azure 訂閱中管理資源、請切換至該訂閱、然後重複這些步驟。

結果

BlueXP 現在擁有代表您在 Azure 中執行動作所需的權限。

接下來呢?

前往 "BlueXP主控台" 開始使用Connector with BlueXP。

服務主體
步驟
  1. 在 BlueXP 主控台的右上角、選取「設定」圖示、然後選取 * 認證 * 。

    顯示BlueXP主控台右上角「設定」圖示的快照。

  2. 選取 * 新增認證 * 、然後依照精靈中的步驟進行。

    1. 認證位置:選擇* Microsoft Azure > Connector*。

    2. * 定義認證 * :輸入 Microsoft Entra 服務授權者的相關資訊、以授予必要的權限:

      • 應用程式(用戶端)ID

      • 目錄(租戶)ID

      • 用戶端機密

    3. 市場訂閱:立即訂閱或選取現有的訂閱、以建立Marketplace訂閱與這些認證的關聯。

    4. * 審查 * :確認新認證的詳細資料、然後選取 * 新增 * 。

結果

BlueXP 現在擁有代表您在 Azure 中執行動作所需的權限。