從Azure Marketplace建立連接器
步驟 1 :設定網路
請確定您計畫安裝 Connector 的網路位置支援下列需求。滿足這些需求後、 Connector 便能在混合雲環境中管理資源和程序。
- Azure地區
-
如果您使用 Cloud Volumes ONTAP 、 Connector 應部署在與其管理的 Cloud Volumes ONTAP 系統所在的同一個 Azure 區域、或部署在中 "Azure區域配對" 適用於整個系統。Cloud Volumes ONTAP這項需求可確保Cloud Volumes ONTAP Azure Private Link連線可用於連接至相關的儲存帳戶。
- vnet 和子網路
-
建立 Connector 時、您需要指定 Connector 應位於的 vnet 和子網路。
- 連線至目標網路
-
Connector 需要網路連線、才能連線到您計畫建立和管理工作環境的位置。例如、您計畫在內部部署環境中建立 Cloud Volumes ONTAP 系統或儲存系統的網路。
- 傳出網際網路存取
-
您部署 Connector 的網路位置必須具有傳出網際網路連線、才能連絡特定端點。
- 已從 Connector 聯絡的端點
-
Connector 需要外傳網際網路存取才能連絡下列端點、以便管理公有雲環境中的資源和程序、以進行日常營運。
請注意、下列端點均為所有的 CNAME 項目。
端點 目的 https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net管理Azure公共區域的資源。
https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn管理Azure中國地區的資源。
https://support.netapp.com
https://mysupport.netapp.com以取得授權資訊、並將AutoSupport 資訊傳送給NetApp支援部門。
https://*.api 。 BlueXP NetApp 。 NetApp 。 com https://api 。 BlueXP 。 com https://*.cloudmanager.cloud 。 NetApp 。 com https://cloudmanager.cloud 。 NetApp 。 com 。 https : NetApp-cloud-account.auth0.com
在BlueXP中提供SaaS功能與服務。
請注意、 Connector 目前正在聯絡「 cloudmanager.cloud.netapp.com" 」、但在即將推出的版本中、會開始聯絡「 api.bluexp.netapp.com" 」。
在兩組端點之間選擇:
-
選項 1 (建議) 1
https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io
-
選項2
https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io
取得 Connector 升級的映像。
1 建議使用選項 1 中列出的端點,因為它們更安全。建議您設定防火牆,以允許選項 1 中列出的端點,同時禁止選項 2 中列出的端點。請注意下列關於這些端點的資訊:
-
從 3.9.47 版本的 Connector 開始,支援選項 1 中列出的端點。與先前版本的 Connector 沒有回溯相容性。
-
Connector 會先聯絡選項 2 中列出的端點。如果無法存取這些端點, Connector 會自動連絡選項 1 中列出的端點。
-
如果您使用 Connector 搭配 BlueXP 備份與還原或 BlueXP 勒索軟體保護,則不支援選項 1 中的端點。在這種情況下,您可以不允許選項 1 中列出的端點,同時允許選項 2 中列出的端點。
-
- Proxy伺服器
-
如果您的企業需要為所有傳出的網際網路流量部署 Proxy 伺服器、請取得下列關於 HTTP 或 HTTPS Proxy 的資訊。您必須在安裝期間提供此資訊。請注意、 BlueXP 不支援透明 Proxy 伺服器。
-
IP 位址
-
認證資料
-
HTTPS憑證
-
- 連接埠
-
除非您啟動連接器、或使用連接器做為 Proxy 、將 AutoSupport 訊息從 Cloud Volumes ONTAP 傳送至 NetApp 支援、否則不會有傳入的流量傳入連接器。
-
HTTP(80)和HTTPS(443)可存取本機UI、在極少數情況下使用。
-
只有在需要連線至主機進行疑難排解時、才需要SSH(22)。
-
如果您在無法使用輸出網際網路連線的子網路中部署 Cloud Volumes ONTAP 系統、則需要透過連接埠 3128 進行輸入連線。
如果 Cloud Volumes ONTAP 系統沒有輸出網際網路連線來傳送 AutoSupport 訊息、 BlueXP 會自動將這些系統設定為使用 Connector 隨附的 Proxy 伺服器。唯一的需求是確保連接器的安全群組允許透過連接埠3128進行傳入連線。部署Connector之後、您需要開啟此連接埠。
-
- 啟用 NTP
-
如果您打算使用 BlueXP 分類來掃描公司資料來源、則應該在 BlueXP Connector 系統和 BlueXP 分類系統上啟用網路時間傳輸協定( NTP )服務、以便在系統之間同步時間。 "深入瞭解 BlueXP 分類"
建立 Connector 之後、您必須實作此網路需求。
步驟 2 :檢閱 VM 需求
建立 Connector 時、您需要選擇符合下列需求的虛擬機器類型。
- CPU
-
8 個核心或 8 個 vCPU
- RAM
-
32GB
- Azure VM 大小
-
符合上述 CPU 和 RAM 需求的執行個體類型。我們建議您使用 Standard_D8s_v3 。
步驟 3 :設定權限
您可以使用下列方式提供權限:
-
選項 1 :使用系統指派的託管身分識別、將自訂角色指派給 Azure VM 。
-
選項 2 :為 BlueXP 提供具有必要權限的 Azure 服務主體認證。
請依照下列步驟設定 BlueXP 的權限。
請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"
-
如果您打算在自己的主機上手動安裝軟體、請在 VM 上啟用系統指派的託管身分識別、以便透過自訂角色提供必要的 Azure 權限。
-
複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。
-
將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。
您應該為每個想要搭配 BlueXP 使用的 Azure 訂閱新增 ID 。
-
範例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
-
使用 Json 檔案在 Azure 中建立自訂角色。
下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。
-
開始 "Azure Cloud Shell" 並選擇Bash環境。
-
上傳Json檔案。
-
使用Azure CLI建立自訂角色:
az role definition create --role-definition Connector_Policy.json
-
現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。
在 Microsoft Entra ID 中建立並設定服務主體、並取得 BlueXP 所需的 Azure 認證。
-
確保您在 Azure 中擁有建立 Active Directory 應用程式及將應用程式指派給角色的權限。
如需詳細資訊、請參閱 "Microsoft Azure 說明文件:必要權限"
-
從 Azure 入口網站開啟 * Microsoft Entra ID* 服務。
-
在功能表中、選取 * 應用程式註冊 * 。
-
選取 * 新登錄 * 。
-
指定應用程式的詳細資料:
-
* 名稱 * :輸入應用程式的名稱。
-
帳戶類型:選取帳戶類型(任何帳戶類型均可用於BlueXP)。
-
重新導向URI:您可以將此欄位保留空白。
-
-
選擇*註冊*。
您已建立 AD 應用程式和服務主體。
-
建立自訂角色:
請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"
-
複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。
-
將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。
您應該為使用者建立 Cloud Volumes ONTAP 的各個 Azure 訂閱新增 ID 。
-
範例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
-
使用 Json 檔案在 Azure 中建立自訂角色。
下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。
-
開始 "Azure Cloud Shell" 並選擇Bash環境。
-
上傳Json檔案。
-
使用Azure CLI建立自訂角色:
az role definition create --role-definition Connector_Policy.json
現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。
-
-
-
將應用程式指派給角色:
-
從 Azure 入口網站開啟 * 訂閱 * 服務。
-
選取訂閱。
-
選取 * 存取控制( IAM ) > 新增 > 新增角色指派 * 。
-
在 * 角色 * 索引標籤中、選取 * BlueXP 操作員 * 角色、然後選取 * 下一步 * 。
-
在「成員」索引標籤中、完成下列步驟:
-
保留*選取「使用者」、「群組」或「服務主體」*。
-
選取 * 選取成員 * 。
-
搜尋應用程式名稱。
範例如下:
-
選取應用程式、然後選取 * 選取 * 。
-
選擇*下一步*。
-
-
選取 * 檢閱 + 指派 * 。
服務主體現在擁有部署Connector所需的Azure權限。
如果您想要從 Cloud Volumes ONTAP 多個 Azure 訂閱中部署支援功能、則必須將服務授權對象繫結至每個訂閱項目。BlueXP可讓您選擇部署Cloud Volumes ONTAP 時要使用的訂閱內容。
-
-
在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
-
選取 * API 權限 > 新增權限 * 。
-
在「 * Microsoft API* 」下、選取「 * Azure 服務管理 * 」。
-
選取 * 以組織使用者身分存取 Azure 服務管理 * 、然後選取 * 新增權限 * 。
-
在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
-
複製 * 應用程式(用戶端) ID* 和 * 目錄(租戶) ID* 。
將Azure帳戶新增至BlueXP時、您必須提供應用程式的應用程式(用戶端)ID和目錄(租戶)ID。BlueXP使用ID以程式設計方式登入。
-
開啟 * Microsoft Entra ID* 服務。
-
選取 * 應用程式註冊 * 、然後選取您的應用程式。
-
選取 * 「憑證與機密」 > 「新用戶端機密」 * 。
-
提供機密與持續時間的說明。
-
選取*「Add*」。
-
複製用戶端機密的值。
您現在擁有一個客戶機密、 BlueXP 可以使用它來驗證 Microsoft Entra ID 。
您的服務主體現在已設定完成、您應該已經複製應用程式(用戶端) ID 、目錄(租戶) ID 、以及用戶端機密的值。新增Azure帳戶時、您必須在BlueXP中輸入此資訊。
步驟 4 :建立 Connector
直接從 Azure Marketplace 啟動 Connector 。
從 Azure Marketplace 建立 Connector 會使用預設組態、在 Azure 中部署虛擬機器。 "瞭解連接器的預設組態"。
您應該擁有下列項目:
-
Azure 訂閱。
-
您所選擇的 Azure 區域中的 Vnet 和子網路。
-
若貴組織需要代理處理所有傳出的網際網路流量、請參閱Proxy伺服器的詳細資料:
-
IP 位址
-
認證資料
-
HTTPS憑證
-
-
SSH 公開金鑰、如果您想要將該驗證方法用於 Connector 虛擬機器。驗證方法的另一個選項是使用密碼。
-
如果您不想讓BlueXP自動為Connector建立Azure角色、則需要自行建立 "使用此頁面上的原則"。
這些權限適用於Connector執行個體本身。這是一組不同於您先前設定的權限、可用來部署 Connector VM 。
-
前往Azure Marketplace的NetApp Connector VM頁面。
-
選擇 * 立即取得 * 、然後選擇 * 繼續 * 。
-
從 Azure 入口網站選取 * Create * 、然後依照步驟設定虛擬機器。
設定 VM 時請注意下列事項:
-
* VM 大小 * :選擇符合 CPU 和 RAM 需求的 VM 大小。我們建議您使用 Standard_D8s_v3 。
-
* 磁碟 * :連接器可在 HDD 或 SSD 磁碟上以最佳方式執行。
-
* 網路安全群組 * : Connector 需要使用 SSH 、 HTTP 和 HTTPS 的傳入連線。
-
* 識別 * :在 * 管理 * 下、選取 * 啟用系統指派的託管識別 * 。
此設定很重要、因為託管身分識別可讓 Connector 虛擬機器在 Microsoft Entra ID 中識別自己、而無需提供任何認證。 "深入瞭解 Azure 資源的託管身分識別"。
-
-
在 Review + create 頁面上、檢閱您的選擇、然後選取 * Create* 開始部署。
Azure 以指定的設定部署虛擬機器。虛擬機器和 Connector 軟體應在大約五分鐘內執行。
-
從連線至 Connector 虛擬機器的主機開啟網頁瀏覽器、然後輸入下列 URL :
-
登入後、設定 Connector :
-
指定要與連接器關聯的 BlueXP 組織。
-
輸入系統名稱。
-
在 * 您是在安全的環境中執行? * 保持停用限制模式。
您應該保持停用受限模式、因為這些步驟說明如何在標準模式中使用 BlueXP 。只有當您擁有安全的環境、而且想要中斷此帳戶與 BlueXP 後端服務的連線時、才應啟用受限模式。如果是這樣、 "請依照步驟、以受限模式開始使用 BlueXP"。
-
選取 * 開始 * 。
-
現在已安裝 Connector 、並已與您的 BlueXP 組織一起設定。
如果您在建立 Connector 的同一個 Azure 訂閱中擁有 Azure Blob 儲存設備、則會在 BlueXP 畫布上自動顯示 Azure Blob 儲存設備工作環境。 "瞭解如何從 BlueXP 管理 Azure Blob 儲存設備"
步驟 5 :提供 BlueXP 的權限
建立 Connector 之後、您必須提供 BlueXP 先前設定的權限。提供權限可讓 BlueXP 管理 Azure 中的資料和儲存基礎架構。
前往 Azure 入口網站、將 Azure 自訂角色指派給 Connector 虛擬機器、以進行一或多個訂閱。
-
從 Azure Portal 開啟 * Subscriptions * 服務、然後選取您的訂閱。
請務必從 * 訂閱 * 服務指派角色、因為這會指定訂閱層級的角色指派範圍。scacity 定義存取所套用的資源集。如果您在不同層級(例如虛擬機器層級)指定範圍、則從 BlueXP 中完成動作的能力將受到影響。
-
選取 * 存取控制( IAM ) * > * 新增 * > * 新增角色指派 * 。
-
在 * 角色 * 索引標籤中、選取 * BlueXP 操作員 * 角色、然後選取 * 下一步 * 。
BlueXP運算子是在BlueXP原則中提供的預設名稱。如果您為角色選擇不同的名稱、請改為選取該名稱。 -
在「成員」索引標籤中、完成下列步驟:
-
指派*託管身分識別*的存取權。
-
選取 * 選取成員 * 、選取建立 Connector 虛擬機器的訂閱、然後在 * 管理身分識別 * 下選擇 * 虛擬機器 * 、然後選取 Connector 虛擬機器。
-
選取 * 選取 * 。
-
選擇*下一步*。
-
選取 * 檢閱 + 指派 * 。
-
如果您想要在其他 Azure 訂閱中管理資源、請切換至該訂閱、然後重複這些步驟。
-
BlueXP 現在擁有代表您在 Azure 中執行動作所需的權限。
前往 "BlueXP主控台" 開始使用Connector with BlueXP。
-
在 BlueXP 主控台的右上角、選取「設定」圖示、然後選取 * 認證 * 。
-
選取 * 新增認證 * 、然後依照精靈中的步驟進行。
-
認證位置:選擇* Microsoft Azure > Connector*。
-
* 定義認證 * :輸入 Microsoft Entra 服務授權者的相關資訊、以授予必要的權限:
-
應用程式(用戶端)ID
-
目錄(租戶)ID
-
用戶端機密
-
-
市場訂閱:立即訂閱或選取現有的訂閱、以建立Marketplace訂閱與這些認證的關聯。
-
* 審查 * :確認新認證的詳細資料、然後選取 * 新增 * 。
-
BlueXP 現在擁有代表您在 Azure 中執行動作所需的權限。