在內部環境中安裝並設定 Connector
步驟 1 :檢閱主機需求
Connector 軟體必須在符合特定作業系統需求、 RAM 需求、連接埠需求等的主機上執行。安裝 Connector 之前、請先確定您的主機符合這些要求。
- 專用主機
-
與其他應用程式共用的主機不支援 Connector 。主機必須是專屬主機。
- Hypervisor
-
需要經過認證可執行支援作業系統的裸機或託管 Hypervisor 。
- 作業系統與容器需求
-
在標準模式或受限模式下使用 BlueXP 時、 BlueXP 支援連接器搭配下列作業系統。安裝 Connector 之前、需要使用容器協調工具。
作業系統 支援 OS 的支援版本 支援的 Connector 版本 必要的容器工具 SELinux Red Hat Enterprise Linux
9.1 至 9.4
8.6 至 8.10
3.9.40 或更新版本、 BlueXP 為標準模式或受限模式
Podman 4.6.1 或 4.9.4 版
在強制模式或允許模式 1 中支援
Ubuntu
24.04 LTS
3.9.45 或更新版本、 BlueXP 為標準模式或受限模式
Docker Engine 26.0.0
不支援
附註:
-
在作業系統上啟用 SELinux 的 Connectors 不支援 Cloud Volumes ONTAP 系統的管理。
-
這些作業系統的英文版本支援 Connector 。
-
對於 RHEL 、主機必須向 Red Hat Subscription Management 登錄。如果主機尚未登錄、則無法在 Connector 安裝期間存取儲存庫來更新所需的協力廠商軟體。
-
- CPU
-
8 個核心或 8 個 vCPU
- RAM
-
32GB
- /opt 中的磁碟空間
-
必須有100 GiB的可用空間
BlueXP 使用 `/opt`安裝 `/opt/application/netapp`目錄及其內容。
- /var.中的磁碟空間
-
必須提供20 GiB的空間
BlueXP 需要此空間
/var
因為 Docker 或 Podman 是專為在此目錄中建立容器而設計。具體而言、他們會在中建立容器/var/lib/containers/storage
目錄。外部掛載或 symlinks 無法用於此空間。
步驟 2 :安裝 Podman 或 Docker Engine
根據您的作業系統而定、安裝 Connector 之前需要使用 Podman 或 Docker Engine 。
-
Red Hat Enterprise Linux 8 和 9 需要 Podman 。
-
Ubuntu 需要 Docker Engine 。
請依照下列步驟安裝 Podman 、並將其設定為符合下列需求:
-
必須啟用並啟動 podman.socket 服務
-
必須安裝 python3
-
必須安裝 podman-compose 套件 1.0.6 版
-
必須將 podman-compose 新增至 PATH 環境變數
-
如果主機上已安裝 podman-泊 塢視窗套件、請將其移除。
dnf remove podman-docker rm /var/run/docker.sock
-
安裝 Podman 。
Podman 可從官方 Red Hat Enterprise Linux 儲存庫取得。
對於 Red Hat Enterprise Linux 9 :
sudo dnf install podman-2:<version>
其中 <version> 是您正在安裝的 Podman 支援版本。檢視 BlueXP 支援的 Podman 版本。
對於 Red Hat Enterprise Linux 8 :
sudo dnf install podman-3:<version>
其中 <version> 是您正在安裝的 Podman 支援版本。檢視 BlueXP 支援的 Podman 版本。
-
啟用並啟動 podman.socket 服務。
sudo systemctl enable --now podman.socket
-
安裝 python3 。
sudo dnf install python3
-
如果您的系統上尚未提供 EPEL 儲存庫套件、請加以安裝。
這是必要步驟、因為 podman-compose 可從 Enterprise Linux ( EPEL )儲存庫取得。
對於 Red Hat Enterprise Linux 9 :
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
對於 Red Hat Enterprise Linux 8 :
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
-
安裝 podman-compose 套件 1.0.6 。
sudo dnf install podman-compose-1.0.6
使用 dnf install
命令符合將 podman-compose 新增至 PATH 環境變數的需求。安裝命令會將 podman-compose 新增至已包含在中的 /usr/binsecure_path
主機上的選項。
請遵循 Docker 的文件來安裝 Docker Engine 。
-
請務必依照步驟安裝 Docker Engine 的特定版本。安裝最新版本將會安裝 BlueXP 不支援的 Docker 版本。
-
確認 Docker 已啟用且正在執行。
sudo systemctl enable docker && sudo systemctl start docker
步驟 3 :設定網路
設定您的網路、讓 Connector 能夠管理混合雲環境中的資源和程序。例如、您需要確保目標網路可以使用連線、而且可以使用輸出網際網路存取。
- 連線至目標網路
-
Connector 需要網路連線、才能連線到您計畫建立和管理工作環境的位置。例如、您計畫在內部部署環境中建立 Cloud Volumes ONTAP 系統或儲存系統的網路。
- 傳出網際網路存取
-
您部署 Connector 的網路位置必須具有傳出網際網路連線、才能連絡特定端點。
- 使用 BlueXP 網路型主控台時、從電腦連絡的端點
-
從網頁瀏覽器存取 BlueXP 主控台的電腦必須能夠連絡多個端點。您需要使用 BlueXP 主控台來設定連接器、並用於 BlueXP 的日常使用。
- 手動安裝期間聯絡的端點
-
當您在自己的 Linux 主機上手動安裝 Connector 時、 Connector 的安裝程式需要在安裝過程中存取下列 URL :
-
https://mysupport.netapp.com
-
https://signin.b2c 。 NetApp . com (此端點為 https://mysupport . NetApp . com 的 CNAME URL )
-
https://cloudmanager.cloud.netapp.com/tenancy
-
https://stream.cloudmanager.cloud.netapp.com
-
https://production-artifacts.cloudmanager.cloud.netapp.com
-
若要取得映像,安裝程式需要存取這兩組端點之一:
-
選項 1 (建議):
-
https://bluexpinfraprod.eastus2.data.azurecr.io
-
https://bluexpinfraprod.azurecr.io
-
-
選項 2 :
-
https://*.blob.core.windows.net
-
https://cloudmanagerinfraprod.azurecr.io
建議使用選項 1 中列出的端點,因為它們更安全。建議您設定防火牆,以允許選項 1 中列出的端點,同時禁止選項 2 中列出的端點。請注意下列關於這些端點的資訊:
-
-
從 3.9.47 版本的 Connector 開始,支援選項 1 中列出的端點。與先前版本的 Connector 沒有回溯相容性。
-
Connector 會先聯絡選項 2 中列出的端點。如果無法存取這些端點, Connector 會自動連絡選項 1 中列出的端點。
-
如果您使用 Connector 搭配 BlueXP 備份與還原或 BlueXP 勒索軟體保護,則不支援選項 1 中的端點。在這種情況下,您可以不允許選項 1 中列出的端點,同時允許選項 2 中列出的端點。
-
主機可能會在安裝期間嘗試更新作業系統套件。主機可聯絡不同的鏡射站台、以取得這些 OS 套件。
-
- 已從 Connector 聯絡的端點
-
Connector 需要外傳網際網路存取才能連絡下列端點、以便管理公有雲環境中的資源和程序、以進行日常營運。
請注意、下列端點均為所有的 CNAME 項目。
端點 目的 AWS 服務( amazonaws.com):
-
CloudForation
-
彈性運算雲端( EC2 )
-
身分識別與存取管理( IAM )
-
金鑰管理服務( KMS )
-
安全性權杖服務( STOS )
-
簡易儲存服務( S3 )
管理AWS中的資源。確切的端點取決於您使用的 AWS 區域。 "如需詳細資料、請參閱AWS文件"
https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net管理Azure公共區域的資源。
https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn管理Azure中國地區的資源。
https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects管理Google Cloud中的資源。
https://support.netapp.com
https://mysupport.netapp.com以取得授權資訊、並將AutoSupport 資訊傳送給NetApp支援部門。
https://*.api 。 BlueXP NetApp 。 NetApp 。 com https://api 。 BlueXP 。 com https://*.cloudmanager.cloud 。 NetApp 。 com https://cloudmanager.cloud 。 NetApp 。 com 。 https : NetApp-cloud-account.auth0.com
在BlueXP中提供SaaS功能與服務。
請注意、 Connector 目前正在聯絡「 cloudmanager.cloud.netapp.com" 」、但在即將推出的版本中、會開始聯絡「 api.bluexp.netapp.com" 」。
在兩組端點之間選擇:
-
選項 1 (建議) 1
https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io
-
選項2
https://*.blob.core.windows.net https://cloudmanagerinfraprod.azurecr.io
取得 Connector 升級的映像。
1 建議使用選項 1 中列出的端點,因為它們更安全。建議您設定防火牆,以允許選項 1 中列出的端點,同時禁止選項 2 中列出的端點。請注意下列關於這些端點的資訊:
-
從 3.9.47 版本的 Connector 開始,支援選項 1 中列出的端點。與先前版本的 Connector 沒有回溯相容性。
-
Connector 會先聯絡選項 2 中列出的端點。如果無法存取這些端點, Connector 會自動連絡選項 1 中列出的端點。
-
如果您使用 Connector 搭配 BlueXP 備份與還原或 BlueXP 勒索軟體保護,則不支援選項 1 中的端點。在這種情況下,您可以不允許選項 1 中列出的端點,同時允許選項 2 中列出的端點。
-
- Proxy伺服器
-
如果您的企業需要為所有傳出的網際網路流量部署 Proxy 伺服器、請取得下列關於 HTTP 或 HTTPS Proxy 的資訊。您必須在安裝期間提供此資訊。請注意、 BlueXP 不支援透明 Proxy 伺服器。
-
IP 位址
-
認證資料
-
HTTPS憑證
-
- 連接埠
-
除非您啟動連接器、或使用連接器做為 Proxy 、將 AutoSupport 訊息從 Cloud Volumes ONTAP 傳送至 NetApp 支援、否則不會有傳入的流量傳入連接器。
-
HTTP(80)和HTTPS(443)可存取本機UI、在極少數情況下使用。
-
只有在需要連線至主機進行疑難排解時、才需要SSH(22)。
-
如果您在無法使用輸出網際網路連線的子網路中部署 Cloud Volumes ONTAP 系統、則需要透過連接埠 3128 進行輸入連線。
如果 Cloud Volumes ONTAP 系統沒有輸出網際網路連線來傳送 AutoSupport 訊息、 BlueXP 會自動將這些系統設定為使用 Connector 隨附的 Proxy 伺服器。唯一的需求是確保連接器的安全群組允許透過連接埠3128進行傳入連線。部署Connector之後、您需要開啟此連接埠。
-
- 啟用 NTP
-
如果您打算使用 BlueXP 分類來掃描公司資料來源、則應該在 BlueXP Connector 系統和 BlueXP 分類系統上啟用網路時間傳輸協定( NTP )服務、以便在系統之間同步時間。 "深入瞭解 BlueXP 分類"
步驟 4 :設定雲端權限
如果您想在 AWS 或 Azure 中搭配內部部署 Connector 使用 BlueXP 服務、則需要在雲端供應商中設定權限、以便在安裝之後將認證新增至 Connector 。
為何不選擇 Google Cloud ?當 Connector 安裝在您的內部環境中時、就無法在 Google Cloud 中管理您的資源。Connector 必須安裝在 Google Cloud 中、才能管理任何位於該處的資源。 |
當 Connector 安裝在內部部署時、您需要為具有必要權限的 IAM 使用者新增存取金鑰、以提供 BlueXP AWS 權限。
如果 Connector 安裝在內部部署、則必須使用此驗證方法。您無法使用IAM角色。
-
登入 AWS 主控台並瀏覽至 IAM 服務。
-
建立原則:
-
選取 * 原則 > 建立原則 * 。
-
選取 * JSON* 、然後複製並貼上的內容 "Connector 的 IAM 原則"。
-
完成其餘步驟以建立原則。
視您打算使用的 BlueXP 服務而定、您可能需要建立第二個原則。
對於標準區域、權限分佈在兩個原則之間。由於AWS中受管理原則的字元大小上限、因此需要兩個原則。 "深入瞭解 Connector 的 IAM 原則"。
-
-
將原則附加至 IAM 使用者。
-
請確定使用者擁有存取金鑰、您可以在安裝 Connector 之後新增至 BlueXP 。
您現在應該擁有具有必要權限的 IAM 使用者存取金鑰。安裝 Connector 之後、您需要將這些認證與 BlueXP 的 Connector 建立關聯。
當 Connector 安裝在內部部署時、您需要在 Microsoft Entra ID 中設定服務主體、並取得 BlueXP 所需的 Azure 認證、以提供 BlueXP Azure 權限。
-
確保您在 Azure 中擁有建立 Active Directory 應用程式及將應用程式指派給角色的權限。
如需詳細資訊、請參閱 "Microsoft Azure 說明文件:必要權限"
-
從 Azure 入口網站開啟 * Microsoft Entra ID* 服務。
-
在功能表中、選取 * 應用程式註冊 * 。
-
選取 * 新登錄 * 。
-
指定應用程式的詳細資料:
-
* 名稱 * :輸入應用程式的名稱。
-
帳戶類型:選取帳戶類型(任何帳戶類型均可用於BlueXP)。
-
重新導向URI:您可以將此欄位保留空白。
-
-
選擇*註冊*。
您已建立 AD 應用程式和服務主體。
-
建立自訂角色:
請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"
-
複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。
-
將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。
您應該為使用者建立 Cloud Volumes ONTAP 的各個 Azure 訂閱新增 ID 。
-
範例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
-
使用 Json 檔案在 Azure 中建立自訂角色。
下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。
-
開始 "Azure Cloud Shell" 並選擇Bash環境。
-
上傳Json檔案。
-
使用Azure CLI建立自訂角色:
az role definition create --role-definition Connector_Policy.json
現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。
-
-
-
將應用程式指派給角色:
-
從 Azure 入口網站開啟 * 訂閱 * 服務。
-
選取訂閱。
-
選取 * 存取控制( IAM ) > 新增 > 新增角色指派 * 。
-
在 * 角色 * 索引標籤中、選取 * BlueXP 操作員 * 角色、然後選取 * 下一步 * 。
-
在「成員」索引標籤中、完成下列步驟:
-
保留*選取「使用者」、「群組」或「服務主體」*。
-
選取 * 選取成員 * 。
-
搜尋應用程式名稱。
範例如下:
-
選取應用程式、然後選取 * 選取 * 。
-
選擇*下一步*。
-
-
選取 * 檢閱 + 指派 * 。
服務主體現在擁有部署Connector所需的Azure權限。
如果您想要從 Cloud Volumes ONTAP 多個 Azure 訂閱中部署支援功能、則必須將服務授權對象繫結至每個訂閱項目。BlueXP可讓您選擇部署Cloud Volumes ONTAP 時要使用的訂閱內容。
-
-
在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
-
選取 * API 權限 > 新增權限 * 。
-
在「 * Microsoft API* 」下、選取「 * Azure 服務管理 * 」。
-
選取 * 以組織使用者身分存取 Azure 服務管理 * 、然後選取 * 新增權限 * 。
-
在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
-
複製 * 應用程式(用戶端) ID* 和 * 目錄(租戶) ID* 。
將Azure帳戶新增至BlueXP時、您必須提供應用程式的應用程式(用戶端)ID和目錄(租戶)ID。BlueXP使用ID以程式設計方式登入。
-
開啟 * Microsoft Entra ID* 服務。
-
選取 * 應用程式註冊 * 、然後選取您的應用程式。
-
選取 * 「憑證與機密」 > 「新用戶端機密」 * 。
-
提供機密與持續時間的說明。
-
選取*「Add*」。
-
複製用戶端機密的值。
您現在擁有一個客戶機密、 BlueXP 可以使用它來驗證 Microsoft Entra ID 。
您的服務主體現在已設定完成、您應該已經複製應用程式(用戶端) ID 、目錄(租戶) ID 、以及用戶端機密的值。安裝 Connector 之後、您需要將這些認證與 BlueXP 的 Connector 建立關聯。
步驟 5 :安裝 Connector
在現有的內部部署 Linux 主機上下載並安裝 Connector 軟體。
您應該擁有下列項目:
-
安裝Connector的root權限。
-
Proxy伺服器的詳細資料、如果需要Proxy才能從Connector存取網際網路。
您可以選擇在安裝後設定Proxy伺服器、但需要重新啟動Connector。
請注意、 BlueXP 不支援透明 Proxy 伺服器。
-
CA 簽署的憑證(如果 Proxy 伺服器使用 HTTPS 或 Proxy 是攔截 Proxy )。
NetApp 支援網站上提供的安裝程式可能是舊版。安裝後、如果有新版本可用、 Connector 會自動自行更新。
-
如果主機上已設定_http或_https或proxy_系統變數、請將其移除:
unset http_proxy unset https_proxy
如果您未移除這些系統變數、安裝將會失敗。
-
從下載Connector軟體 "NetApp 支援網站",然後將其複製到 Linux 主機。
您應該下載「線上」 Connector 安裝程式、以供您的網路或雲端使用。Connector 有獨立的「離線」安裝程式、但僅支援私有模式部署。
-
指派執行指令碼的權限。
chmod +x BlueXP-Connector-Cloud-<version>
其中、就是您下載的Connector版本<version> 。
-
執行安裝指令碼。
./BlueXP-Connector-Cloud-<version> --proxy <HTTP or HTTPS proxy server> --cacert <path and file name of a CA-signed certificate>
-Proxy和—cacert參數是可選的。如果您有 Proxy 伺服器、則需要輸入如圖所示的參數。安裝程式不會提示您提供Proxy的相關資訊。
以下是使用兩個選用參數的命令範例:
./BlueXP-Connector-Cloud-v3.9.40--proxy https://user:password@10.0.0.30:8080/ --cacert /tmp/cacert/certificate.cer
-Proxy會使用下列其中一種格式、將Connector設定為使用HTTP或HTTPS Proxy伺服器:
-
http://address:port
-
http://user-name:password@address:port
-
http://domain-name%92user-name:password@address:port
-
https://address:port
-
https://user-name:password@address:port
-
https://domain-name%92user-name:password@address:port
請注意下列事項:
-
使用者可以是本機使用者或網域使用者。
-
對於網域使用者、您必須使用上方所示的 \ 的 ASCII 碼。
-
BlueXP 不支援包含 @ 字元的使用者名稱或密碼。
-
如果密碼包含下列任何特殊字元、您必須以反斜線開頭來轉義該特殊字元: & 或 !
例如:
http://bxpproxyuser:netapp1\!@address:3128
-
-cacert指定用於連接器與Proxy伺服器之間HTTPS存取的CA簽署憑證。只有當您指定 HTTPS Proxy 伺服器或 Proxy 是攔截 Proxy 時、才需要此參數。
-
現在已安裝Connector。安裝結束時、如果您指定Proxy伺服器、Connector服務(occm)會重新啟動兩次。
步驟 6 :設定 Connector
註冊或登入、然後設定 Connector 與您的 BlueXP 組織合作。
-
開啟網頁瀏覽器並輸入下列 URL :
ipaddress 可以是 localhost 、私有 IP 位址或公有 IP 位址、視主機的組態而定。例如、如果連接器位於沒有公有 IP 位址的公有雲中、您必須輸入連接至連接器主機之主機的私有 IP 位址。
-
註冊或登入。
-
登入之後、請設定BlueXP:
-
指定要與連接器關聯的 BlueXP 組織。
-
輸入系統名稱。
-
在 * 您是在安全的環境中執行? * 保持停用限制模式。
您應該保持停用受限模式、因為這些步驟說明如何在標準模式中使用 BlueXP 。(此外、當 Connector 安裝在內部部署時、不支援受限模式。)
-
選取 * 開始 * 。
-
BlueXP 現在已設定好您剛安裝的 Connector 。
步驟 7 :提供 BlueXP 的權限
安裝並設定 Connector 之後、請新增您的雲端認證、以便 BlueXP 具有必要的權限、可在 AWS 或 Azure 中執行動作。
如果您剛在 AWS 中建立這些認證、可能需要幾分鐘的時間才能使用。請稍候幾分鐘、再將認證資料新增至BlueXP。
-
在 BlueXP 主控台的右上角、選取「設定」圖示、然後選取 * 認證 * 。
-
選取 * 新增認證 * 、然後依照精靈中的步驟進行。
-
認證資料位置:選取* Amazon Web Services > Connector*。
-
* 定義認證 * :輸入 AWS 存取金鑰和秘密金鑰。
-
市場訂閱:立即訂閱或選取現有的訂閱、以建立Marketplace訂閱與這些認證的關聯。
-
* 審查 * :確認新認證的詳細資料、然後選取 * 新增 * 。
-
BlueXP 現在擁有代表您在 AWS 中執行動作所需的權限。
您現在可以前往 "BlueXP主控台" 開始使用Connector with BlueXP。
如果您剛在 Azure 中建立這些認證、可能需要幾分鐘的時間才能使用。請稍候幾分鐘、再將認證資料新增至BlueXP。
-
在 BlueXP 主控台的右上角、選取「設定」圖示、然後選取 * 認證 * 。
-
選取 * 新增認證 * 、然後依照精靈中的步驟進行。
-
認證位置:選擇* Microsoft Azure > Connector*。
-
* 定義認證 * :輸入 Microsoft Entra 服務授權者的相關資訊、以授予必要的權限:
-
應用程式(用戶端)ID
-
目錄(租戶)ID
-
用戶端機密
-
-
市場訂閱:立即訂閱或選取現有的訂閱、以建立Marketplace訂閱與這些認證的關聯。
-
* 審查 * :確認新認證的詳細資料、然後選取 * 新增 * 。
-
BlueXP 現在擁有代表您在 Azure 中執行動作所需的權限。您現在可以前往 "BlueXP主控台" 開始使用Connector with BlueXP。