版本資訊
準備以私有模式進行部署
建議變更
PDF
在以私有模式部署 BlueXP 之前、請先準備好您的環境。例如、您需要檢閱主機需求、準備網路、設定權限等。
|
如果您想在中使用 BlueXP "AWS Secret Cloud" 或 "AWS Top Secret Cloud"然後,您應該按照單獨的說明在這些環境中開始使用。 "瞭解如何在 AWS Secret Cloud 或 Top Secret Cloud 中開始使用 Cloud Volumes ONTAP" |
步驟 1 :瞭解私有模式的運作方式
開始之前、您應該先瞭解 BlueXP 在私有模式下的運作方式。
例如、您應該瞭解、您必須使用本機可從 BlueXP Connector 取得的瀏覽器型介面來安裝。您無法從透過 SaaS 層提供的網路型主控台存取 BlueXP 。
此外、並非所有 BlueXP 服務都可用。
步驟 2 :檢閱安裝選項
在私有模式中、您可以在內部部署或雲端中手動安裝 Connector 、方法是在您自己的 Linux 主機上安裝 Connector 。
安裝 Connector 的位置決定了使用私有模式時可用的 BlueXP 服務和功能。例如、如果您想要部署和管理 Cloud Volumes ONTAP 、則必須將 Connector 安裝在雲端中。 "深入瞭解私有模式"。
步驟 3 :檢閱主機需求
Connector 軟體必須在符合特定作業系統需求、 RAM 需求、連接埠需求等的主機上執行。
- 專用主機
-
與其他應用程式共用的主機不支援 Connector 。主機必須是專屬主機。
- 支援的作業系統
-
-
Ubuntu 22.04 LTS
-
CentOS 7.6、7.7、7.8及7.9
-
Red Hat Enterprise Linux 7.6 、 7.7 、 7.8 和 7.9
主機必須向 Red Hat Subscription Management 登錄。如果主機尚未登錄、則無法在 Connector 安裝期間存取儲存庫來更新所需的協力廠商軟體。
這些作業系統的英文版本支援 Connector 。
-
- Hypervisor
-
需要經認證可執行 Ubuntu 、 CentOS 或 Red Hat Enterprise Linux 的裸機或託管 Hypervisor 。
- CPU
-
4 個核心或 4 個 vCPU
- RAM
-
14 GB
- AWS EC2 執行個體類型
-
符合上述 CPU 和 RAM 需求的執行個體類型。建議使用T3.xLarge。
- Azure VM 大小
-
符合上述 CPU 和 RAM 需求的執行個體類型。我們建議使用 DS3 v2 。
- Google Cloud 機器類型
-
符合上述 CPU 和 RAM 需求的執行個體類型。我們建議使用 n2 標準 4 。
Google Cloud支援Connector的VM執行個體、其作業系統可支援此連接器 "防護VM功能"
- /opt 中的磁碟空間
-
必須有100 GiB的可用空間
- /var.中的磁碟空間
-
必須提供20 GiB的空間
- Docker引擎
-
安裝 Connector 之前、主機上需要 Docker Engine 。
-
支援的最低版本為 19.3.1 。
-
支援的最大版本為 25.0.0 。
-
步驟 4 :為 Connector 準備網路
設定您的網路、讓 Connector 能夠管理公有雲環境中的資源和程序。除了連接器的虛擬網路和子網路之外、您還需要確保符合下列需求。
- 連線至目標網路
-
Connector 必須與您計畫管理儲存設備的位置建立網路連線。例如、您計畫部署 Cloud Volumes ONTAP 的 VPC 或 vnet 、或內部部署 ONTAP 叢集所在的資料中心。
- 用於日常作業的端點
-
Connector 會聯絡下列端點、以管理公有雲環境中的資源和程序。
端點 目的 AWS 服務( amazonaws.com):
-
CloudForation
-
彈性運算雲端( EC2 )
-
身分識別與存取管理( IAM )
-
金鑰管理服務( KMS )
-
安全性權杖服務( STOS )
-
簡易儲存服務( S3 )
管理AWS中的資源。確切的端點取決於您使用的 AWS 區域。 "如需詳細資料、請參閱AWS文件"
https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net管理Azure公共區域的資源。
https://management.azure.microsoft.scloud
https://login.microsoftonline.microsoft.scloud
https://blob.core.microsoft.scloud
https://core.microsoft.scloud管理Azure IL6區域的資源。
https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn管理Azure中國地區的資源。
https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects管理Google Cloud中的資源。
-
- Azure 中的公有 IP 位址
-
如果您想在 Azure 中的 Connector VM 使用公有 IP 位址、則 IP 位址必須使用基本 SKU 、以確保 BlueXP 使用此公有 IP 位址。
如果您改用標準 SKU IP 位址、則 BlueXP 會使用 Connector 的 _private IP 位址、而非公有 IP 。如果您用來存取 BlueXP 主控台的機器無法存取該私有 IP 位址、則 BlueXP 主控台的動作將會失敗。
- Proxy伺服器
-
如果您的組織需要為所有傳出的網際網路流量部署 Proxy 伺服器、請取得下列關於 HTTP 或 HTTPS Proxy 的資訊。您必須在安裝期間提供此資訊。
-
IP 位址
-
認證資料
-
HTTPS憑證
請注意、 BlueXP 不支援透明 Proxy 伺服器。
+
在私有模式下、 BlueXP 傳送輸出流量的唯一時間是傳送給雲端供應商、以便建立 Cloud Volumes ONTAP 系統。 -
- 連接埠
-
除非您啟動連接器、否則不會有傳入流量進入連接器。
HTTP ( 80 )和 HTTPS ( 443 )可讓您存取 BlueXP 主控台。只有在需要連線至主機進行疑難排解時、才需要SSH(22)。
- 啟用 NTP
-
如果您打算使用 BlueXP 分類來掃描公司資料來源、則應該在 BlueXP Connector 系統和 BlueXP 分類系統上啟用網路時間傳輸協定( NTP )服務、以便在系統之間同步時間。 "深入瞭解 BlueXP 分類"
步驟 5 :準備雲端權限
如果 Connector 安裝在雲端、而您打算建立 Cloud Volumes ONTAP 系統、則 BlueXP 需要雲端供應商的權限。您需要在雲端供應商中設定權限、然後在安裝之後將這些權限與 Connector 執行個體建立關聯。
若要檢視必要步驟、請選取您想要用於雲端供應商的驗證選項。
使用 IAM 角色為 Connector 提供權限。您需要手動將角色附加至 Connector 的 EC2 執行個體。
-
登入 AWS 主控台並瀏覽至 IAM 服務。
-
建立原則:
-
選取 * 原則 > 建立原則 * 。
-
選取 * JSON* 、然後複製並貼上的內容 "Connector 的 IAM 原則"。
-
完成其餘步驟以建立原則。
-
-
建立 IAM 角色:
-
選取 * 角色 > 建立角色 * 。
-
選取 * AWS 服務 > EC2* 。
-
附加您剛建立的原則來新增權限。
-
完成剩餘步驟以建立角色。
-
您現在擁有 Connector EC2 執行個體的 IAM 角色。
為 IAM 使用者設定權限和存取金鑰。安裝 Connector 並設定 BlueXP 之後、您需要為 BlueXP 提供 AWS 存取金鑰。
-
登入 AWS 主控台並瀏覽至 IAM 服務。
-
建立原則:
-
選取 * 原則 > 建立原則 * 。
-
選取 * JSON* 、然後複製並貼上的內容 "Connector 的 IAM 原則"。
-
完成其餘步驟以建立原則。
視您打算使用的 BlueXP 服務而定、您可能需要建立第二個原則。
對於標準區域、權限分佈在兩個原則之間。由於AWS中受管理原則的字元大小上限、因此需要兩個原則。 "深入瞭解 Connector 的 IAM 原則"。
-
-
將原則附加至 IAM 使用者。
-
請確定使用者擁有存取金鑰、您可以在安裝 Connector 之後新增至 BlueXP 。
帳戶現在擁有必要的權限。
建立具有必要權限的 Azure 自訂角色。您將會將此角色指派給 Connector VM 。
請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"
-
在您計畫安裝 Connector 的 VM 上啟用系統指派的託管身分識別、以便透過自訂角色提供必要的 Azure 權限。
-
複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。
-
將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。
您應該為每個想要搭配 BlueXP 使用的 Azure 訂閱新增 ID 。
-
範例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz" -
-
使用 Json 檔案在 Azure 中建立自訂角色。
下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。
-
開始 "Azure Cloud Shell" 並選擇Bash環境。
-
上傳Json檔案。
-
使用Azure CLI建立自訂角色:
az role definition create --role-definition Connector_Policy.json
-
現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。
在 Microsoft Entra ID 中建立並設定服務主體、並取得 BlueXP 所需的 Azure 認證。安裝 Connector 並設定 BlueXP 之後、您必須提供 BlueXP 的這些認證。
-
確保您在 Azure 中擁有建立 Active Directory 應用程式及將應用程式指派給角色的權限。
如需詳細資訊、請參閱 "Microsoft Azure 說明文件:必要權限"
-
從 Azure 入口網站開啟 * Microsoft Entra ID* 服務。
-
在功能表中、選取 * 應用程式註冊 * 。
-
選取 * 新登錄 * 。
-
指定應用程式的詳細資料:
-
* 名稱 * :輸入應用程式的名稱。
-
帳戶類型:選取帳戶類型(任何帳戶類型均可用於BlueXP)。
-
重新導向URI:您可以將此欄位保留空白。
-
-
選擇*註冊*。
您已建立 AD 應用程式和服務主體。
-
建立自訂角色:
請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"
-
複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。
-
將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。
您應該為使用者建立 Cloud Volumes ONTAP 的各個 Azure 訂閱新增 ID 。
-
範例 *
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz" -
-
使用 Json 檔案在 Azure 中建立自訂角色。
下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。
-
開始 "Azure Cloud Shell" 並選擇Bash環境。
-
上傳Json檔案。
-
使用Azure CLI建立自訂角色:
az role definition create --role-definition Connector_Policy.json現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。
-
-
-
將應用程式指派給角色:
-
從 Azure 入口網站開啟 * 訂閱 * 服務。
-
選取訂閱。
-
選取 * 存取控制( IAM ) > 新增 > 新增角色指派 * 。
-
在 * 角色 * 索引標籤中、選取 * BlueXP 操作員 * 角色、然後選取 * 下一步 * 。
-
在「成員」索引標籤中、完成下列步驟:
-
保留*選取「使用者」、「群組」或「服務主體」*。
-
選取 * 選取成員 * 。
-
搜尋應用程式名稱。
範例如下:
-
選取應用程式、然後選取 * 選取 * 。
-
選擇*下一步*。
-
-
選取 * 檢閱 + 指派 * 。
服務主體現在擁有部署Connector所需的Azure權限。
如果您想要從 Cloud Volumes ONTAP 多個 Azure 訂閱中部署支援功能、則必須將服務授權對象繫結至每個訂閱項目。BlueXP可讓您選擇部署Cloud Volumes ONTAP 時要使用的訂閱內容。
-
-
在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
-
選取 * API 權限 > 新增權限 * 。
-
在「 * Microsoft API* 」下、選取「 * Azure 服務管理 * 」。
-
選取 * 以組織使用者身分存取 Azure 服務管理 * 、然後選取 * 新增權限 * 。
-
在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
-
複製 * 應用程式(用戶端) ID* 和 * 目錄(租戶) ID* 。
將Azure帳戶新增至BlueXP時、您必須提供應用程式的應用程式(用戶端)ID和目錄(租戶)ID。BlueXP使用ID以程式設計方式登入。
-
開啟 * Microsoft Entra ID* 服務。
-
選取 * 應用程式註冊 * 、然後選取您的應用程式。
-
選取 * 「憑證與機密」 > 「新用戶端機密」 * 。
-
提供機密與持續時間的說明。
-
選取*「Add*」。
-
複製用戶端機密的值。
您現在擁有一個客戶機密、 BlueXP 可以使用它來驗證 Microsoft Entra ID 。
您的服務主體現在已設定完成、您應該已經複製應用程式(用戶端) ID 、目錄(租戶) ID 、以及用戶端機密的值。新增Azure帳戶時、您必須在BlueXP中輸入此資訊。
建立角色、並將其套用至將用於 Connector VM 執行個體的服務帳戶。
-
在 Google Cloud 中建立自訂角色:
-
建立包含中定義權限的 YAML 檔案 "Google Cloud 的 Connector 原則"。
-
從 Google Cloud 啟動 Cloud Shell 。
-
上傳包含 Connector 必要權限的 YAML 檔案。
-
使用建立自訂角色
gcloud iam roles create命令。以下範例在專案層級建立名為「 Connector 」的角色:
gcloud iam roles create connector --project=myproject --file=connector.yaml -
-
在 Google Cloud 中建立服務帳戶:
-
從 IAM & Admin 服務中、選取 * 服務帳戶 > 建立服務帳戶 * 。
-
輸入服務帳戶詳細資料、然後選取 * 建立並繼續 * 。
-
選取您剛建立的角色。
-
完成剩餘步驟以建立角色。
-
現在您有一個服務帳戶、可以指派給 Connector VM 執行個體。
步驟 6 :啟用 Google Cloud API
在 Google Cloud 中部署 Cloud Volumes ONTAP 需要幾個 API 。
-
-
Cloud Deployment Manager V2 API
-
雲端記錄 API
-
Cloud Resource Manager API
-
運算引擎 API
-
身分識別與存取管理( IAM ) API
-
雲端金鑰管理服務( KMS ) API
(僅當您打算使用 BlueXP 備份與還原搭配客戶管理的加密金鑰( CMEK )時才需要)
-