本繁體中文版使用機器翻譯，譯文僅供參考，若與英文版本牴觸，應以英文版本為準。

準備以私有模式進行部署

02/12/2025 貢獻者

在以私有模式部署 BlueXP 之前、請先準備好您的環境。例如、您需要檢閱主機需求、準備網路、設定權限等。

如果您想在中使用 BlueXP "AWS Secret Cloud" 或 "AWS Top Secret Cloud"然後，您應該按照單獨的說明在這些環境中開始使用。 "瞭解如何在 AWS Secret Cloud 或 Top Secret Cloud 中開始使用 Cloud Volumes ONTAP"

步驟 1 ：瞭解私有模式的運作方式

開始之前、您應該先瞭解 BlueXP 在私有模式下的運作方式。

例如、您應該瞭解、您必須使用本機可從 BlueXP Connector 取得的瀏覽器型介面來安裝。您無法從透過 SaaS 層提供的網路型主控台存取 BlueXP 。

此外、並非所有 BlueXP 服務都可用。

"瞭解私有模式的運作方式"。

步驟 2 ：檢閱安裝選項

在私有模式中、您可以在內部部署或雲端中手動安裝 Connector 、方法是在您自己的 Linux 主機上安裝 Connector 。

安裝 Connector 的位置決定了使用私有模式時可用的 BlueXP 服務和功能。例如、如果您想要部署和管理 Cloud Volumes ONTAP 、則必須將 Connector 安裝在雲端中。 "深入瞭解私有模式"。

步驟 3 ：檢閱主機需求

Connector 軟體必須在符合特定作業系統需求、 RAM 需求、連接埠需求等的主機上執行。

專用主機

與其他應用程式共用的主機不支援 Connector 。主機必須是專屬主機。

主機可以是任何符合下列規模需求的架構：

CPU ： 8 核心或 8 個 vCPU
RAM：32 GB

作業系統與容器需求

在私有模式下使用 BlueXP 時、 BlueXP 支援連接器搭配下列作業系統。安裝 Connector 之前、需要使用容器協調工具。

作業系統	支援 OS 的支援版本	支援的 Connector 版本	必要的容器工具	SELinux
Red Hat Enterprise Linux	9.1 至 9.4 8.6 至 8.10	3.9.42 或更新版本、 BlueXP 為私人模式	Podman 4.6.1 或 4.9.4 版檢視 Podman 組態需求。	在強制模式或允許模式 ¹ 中支援
Ubuntu	22.04 LTS	3.9.29 或更新版本	Docker Engine 23.0.6 至 26.0.0 26.0.0 支援 new Connector 3.9.44 或更新版本的安裝	不支援

作業系統

支援 OS 的支援版本

支援的 Connector 版本

必要的容器工具

SELinux

Red Hat Enterprise Linux

9.1 至 9.4

8.6 至 8.10

3.9.42 或更新版本、 BlueXP 為私人模式

Podman 4.6.1 或 4.9.4 版

檢視 Podman 組態需求。

在強制模式或允許模式 ¹ 中支援

Ubuntu

22.04 LTS

3.9.29 或更新版本

Docker Engine 23.0.6 至 26.0.0

26.0.0 支援 new Connector 3.9.44 或更新版本的安裝

不支援

附註：

在作業系統上啟用 SELinux 的 Connectors 不支援 Cloud Volumes ONTAP 系統的管理。
這些作業系統的英文版本支援 Connector 。
對於 RHEL 、主機必須向 Red Hat Subscription Management 登錄。如果主機尚未登錄、則無法在 Connector 安裝期間存取儲存庫來更新所需的協力廠商軟體。

Hypervisor

需要經過認證可執行支援作業系統的裸機或託管 Hypervisor 。

CPU

8 個核心或 8 個 vCPU

RAM

32GB

AWS EC2 執行個體類型

符合上述 CPU 和 RAM 需求的執行個體類型。我們建議使用 t3.2 x 大型。

Azure VM 大小

符合上述 CPU 和 RAM 需求的執行個體類型。我們建議您使用 Standard_D8s_v3 。

Google Cloud 機器類型

符合上述 CPU 和 RAM 需求的執行個體類型。建議使用n2-Standard-8。

Google Cloud支援Connector的VM執行個體、其作業系統可支援此連接器 "防護VM功能"

/opt 中的磁碟空間

必須有100 GiB的可用空間

BlueXP 使用 `/opt`安裝 `/opt/application/netapp`目錄及其內容。

/var.中的磁碟空間

必須提供20 GiB的空間

BlueXP 需要此空間 /var 因為 Docker 或 Podman 是專為在此目錄中建立容器而設計。具體而言、他們會在中建立容器 /var/lib/containers/storage 目錄。外部掛載或 symlinks 無法用於此空間。

步驟 4 ：安裝 Podman 或 Docker Engine

您需要安裝 Podman 或 Docker Engine 來為 Connector 準備主機。

根據您的作業系統而定、安裝 Connector 之前需要使用 Podman 或 Docker Engine 。

Red Hat Enterprise Linux 8 和 9 需要 Podman 。

檢視 BlueXP 支援的 Podman 版本。
Ubuntu 需要 Docker Engine 。

檢視 BlueXP 支援的 Docker Engine 版本。

請依照下列步驟安裝 Podman 、並將其設定為符合下列需求：

必須啟用並啟動 podman.socket 服務
必須安裝 python3
必須安裝 podman-compose 套件 1.0.6 版
必須將 podman-compose 新增至 PATH 環境變數

步驟

如果主機上已安裝 podman-泊塢視窗套件、請將其移除。
```
dnf remove podman-docker
rm /var/run/docker.sock
```
Cli
Copy
安裝 Podman 。

Podman 可從官方 Red Hat Enterprise Linux 儲存庫取得。

對於 Red Hat Enterprise Linux 9 ：
```
sudo dnf install podman-2:<version>
```
Cli
Copy
其中 <version> 是您正在安裝的 Podman 支援版本。檢視 BlueXP 支援的 Podman 版本。

對於 Red Hat Enterprise Linux 8 ：
```
sudo dnf install podman-3:<version>
```
Cli
Copy
其中 <version> 是您正在安裝的 Podman 支援版本。檢視 BlueXP 支援的 Podman 版本。
啟用並啟動 podman.socket 服務。
```
sudo systemctl enable --now podman.socket
```
Cli
Copy
安裝 python3 。
```
sudo dnf install python3
```
Cli
Copy
如果您的系統上尚未提供 EPEL 儲存庫套件、請加以安裝。

這是必要步驟、因為 podman-compose 可從 Enterprise Linux （ EPEL ）儲存庫取得。

對於 Red Hat Enterprise Linux 9 ：
```
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm
```
Cli
Copy
對於 Red Hat Enterprise Linux 8 ：
```
sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm
```
Cli
Copy

安裝 podman-compose 套件 1.0.6 。

sudo dnf install podman-compose-1.0.6

使用 dnf install 命令符合將 podman-compose 新增至 PATH 環境變數的需求。安裝命令會將 podman-compose 新增至已包含在中的 /usr/bin secure_path 主機上的選項。

步驟 5 ：準備網路

設定您的網路、讓 Connector 能夠管理公有雲環境中的資源和程序。除了連接器的虛擬網路和子網路之外、您還需要確保符合下列需求。

連線至目標網路

Connector 必須與您計畫管理儲存設備的位置建立網路連線。例如、您計畫部署 Cloud Volumes ONTAP 的 VPC 或 vnet 、或內部部署 ONTAP 叢集所在的資料中心。

用於日常作業的端點

如果您打算建立 Cloud Volumes ONTAP 系統、 Connector 需要連線至雲端供應商的公開資源中的端點。

端點	目的
AWS 服務（ amazonaws.com): CloudForation 彈性運算雲端（ EC2 ）身分識別與存取管理（ IAM ）金鑰管理服務（ KMS ）安全性權杖服務（ STOS ）簡易儲存服務（ S3 ）	管理AWS中的資源。確切的端點取決於您使用的 AWS 區域。 "如需詳細資料、請參閱AWS文件"
https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net	管理Azure公共區域的資源。
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud	管理Azure IL6區域的資源。
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn	管理Azure中國地區的資源。
https://www.googleapis.com/compute/v1/ https://compute.googleapis.com/compute/v1 https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects	管理Google Cloud中的資源。

端點

目的

AWS 服務（ amazonaws.com):

CloudForation
彈性運算雲端（ EC2 ）
身分識別與存取管理（ IAM ）
金鑰管理服務（ KMS ）
安全性權杖服務（ STOS ）
簡易儲存服務（ S3 ）

管理AWS中的資源。確切的端點取決於您使用的 AWS 區域。 "如需詳細資料、請參閱AWS文件"

https://management.azure.com
https://login.microsoftonline.com
https://blob.core.windows.net
https://core.windows.net

管理Azure公共區域的資源。

https://management.azure.microsoft.scloud
https://login.microsoftonline.microsoft.scloud
https://blob.core.microsoft.scloud
https://core.microsoft.scloud

管理Azure IL6區域的資源。

https://management.chinacloudapi.cn
https://login.chinacloudapi.cn
https://blob.core.chinacloudapi.cn
https://core.chinacloudapi.cn

管理Azure中國地區的資源。

https://www.googleapis.com/compute/v1/
https://compute.googleapis.com/compute/v1
https://cloudresourcemanager.googleapis.com/v1/projects
https://www.googleapis.com/compute/beta
https://storage.googleapis.com/storage/v1
https://www.googleapis.com/storage/v1
https://iam.googleapis.com/v1
https://cloudkms.googleapis.com/v1
https://www.googleapis.com/deploymentmanager/v2/projects

管理Google Cloud中的資源。

Azure 中的公有 IP 位址

如果您想在 Azure 中的 Connector VM 使用公有 IP 位址、則 IP 位址必須使用基本 SKU 、以確保 BlueXP 使用此公有 IP 位址。

在 Azure 中建立新 IP 位址的螢幕擷取畫面、可讓您在 SKU 欄位中選擇「基本」。

如果您改用標準 SKU IP 位址、則 BlueXP 會使用 Connector 的 _private IP 位址、而非公有 IP 。如果您用來存取 BlueXP 主控台的機器無法存取該私有 IP 位址、則 BlueXP 主控台的動作將會失敗。

"Azure 文件：公有 IP SKU"

Proxy伺服器

如果您的企業需要為所有傳出的網際網路流量部署 Proxy 伺服器、請取得下列關於 HTTP 或 HTTPS Proxy 的資訊。您必須在安裝期間提供此資訊。請注意、 BlueXP 不支援透明 Proxy 伺服器。

IP 位址
認證資料
HTTPS憑證

在私有模式下、 BlueXP 傳送輸出流量的唯一時間是傳送給雲端供應商、以便建立 Cloud Volumes ONTAP 系統。

連接埠

除非您啟動連接器、否則不會有傳入流量進入連接器。

HTTP （ 80 ）和 HTTPS （ 443 ）可讓您存取 BlueXP 主控台。只有在需要連線至主機進行疑難排解時、才需要SSH（22）。

啟用 NTP

如果您打算使用 BlueXP 分類來掃描公司資料來源、則應該在 BlueXP Connector 系統和 BlueXP 分類系統上啟用網路時間傳輸協定（ NTP ）服務、以便在系統之間同步時間。 "深入瞭解 BlueXP 分類"

步驟 6 ：準備雲端權限

如果 Connector 安裝在雲端、而您打算建立 Cloud Volumes ONTAP 系統、則 BlueXP 需要雲端供應商的權限。您需要在雲端供應商中設定權限、然後在安裝之後將這些權限與 Connector 執行個體建立關聯。

若要檢視必要步驟、請選取您想要用於雲端供應商的驗證選項。

使用 IAM 角色為 Connector 提供權限。您需要手動將角色附加至 Connector 的 EC2 執行個體。

步驟

登入 AWS 主控台並瀏覽至 IAM 服務。
建立原則：
1. 選取 * 原則 > 建立原則 * 。
2. 選取 * JSON* 、然後複製並貼上的內容 "Connector 的 IAM 原則"。
3. 完成其餘步驟以建立原則。
建立 IAM 角色：
1. 選取 * 角色 > 建立角色 * 。
2. 選取 * AWS 服務 > EC2* 。
3. 附加您剛建立的原則來新增權限。
4. 完成剩餘步驟以建立角色。

結果

您現在擁有 Connector EC2 執行個體的 IAM 角色。

為 IAM 使用者設定權限和存取金鑰。安裝 Connector 並設定 BlueXP 之後、您需要為 BlueXP 提供 AWS 存取金鑰。

步驟

登入 AWS 主控台並瀏覽至 IAM 服務。
建立原則：
1. 選取 * 原則 > 建立原則 * 。
2. 選取 * JSON* 、然後複製並貼上的內容 "Connector 的 IAM 原則"。
3. 完成其餘步驟以建立原則。
  
  視您打算使用的 BlueXP 服務而定、您可能需要建立第二個原則。
對於標準區域、權限分佈在兩個原則之間。由於AWS中受管理原則的字元大小上限、因此需要兩個原則。 "深入瞭解 Connector 的 IAM 原則"。
將原則附加至 IAM 使用者。
- "AWS 文件：建立 IAM 角色"
- "AWS 文件：新增和移除 IAM 原則"
請確定使用者擁有存取金鑰、您可以在安裝 Connector 之後新增至 BlueXP 。

結果

帳戶現在擁有必要的權限。

建立具有必要權限的 Azure 自訂角色。您將會將此角色指派給 Connector VM 。

請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"

步驟

在您計畫安裝 Connector 的 VM 上啟用系統指派的託管身分識別、以便透過自訂角色提供必要的 Azure 權限。

"Microsoft Azure 文件：使用 Azure 入口網站、在 VM 上設定 Azure 資源的託管身分識別"
複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。

將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。

您應該為每個想要搭配 BlueXP 使用的 Azure 訂閱新增 ID 。

範例 *

"AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

使用 Json 檔案在 Azure 中建立自訂角色。

下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。
1. 開始 "Azure Cloud Shell" 並選擇Bash環境。
2. 上傳Json檔案。
3. 使用Azure CLI建立自訂角色：
  az role definition create --role-definition Connector_Policy.json
  Azurecli
  Copy

結果

現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。

在 Microsoft Entra ID 中建立並設定服務主體、並取得 BlueXP 所需的 Azure 認證。安裝 Connector 並設定 BlueXP 之後、您必須提供 BlueXP 的這些認證。

建立 Microsoft Entra 應用程式以進行角色型存取控制

確保您在 Azure 中擁有建立 Active Directory 應用程式及將應用程式指派給角色的權限。

如需詳細資訊、請參閱 "Microsoft Azure 說明文件：必要權限"
從 Azure 入口網站開啟 * Microsoft Entra ID* 服務。
在功能表中、選取 * 應用程式註冊 * 。
選取 * 新登錄 * 。
指定應用程式的詳細資料：
- * 名稱 * ：輸入應用程式的名稱。
- 帳戶類型：選取帳戶類型（任何帳戶類型均可用於BlueXP）。
- 重新導向URI：您可以將此欄位保留空白。
選擇*註冊*。

您已建立 AD 應用程式和服務主體。

將應用程式指派給角色

建立自訂角色：

請注意、您可以使用 Azure 入口網站、 Azure PowerShell 、 Azure CLI 或 REST API 來建立 Azure 自訂角色。下列步驟說明如何使用 Azure CLI 建立角色。如果您想要使用不同的方法、請參閱 "Azure文件"
1. 複製的內容 "Connector的自訂角色權限" 並將它們儲存在Json檔案中。
2. 將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。
  
  您應該為使用者建立 Cloud Volumes ONTAP 的各個 Azure 訂閱新增 ID 。
  - 範例 *
  "AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
  JSON
  Copy
3. 使用 Json 檔案在 Azure 中建立自訂角色。
  
  下列步驟說明如何在Azure Cloud Shell中使用Bash建立角色。
  - 開始 "Azure Cloud Shell" 並選擇Bash環境。
  - 上傳Json檔案。
  - 使用Azure CLI建立自訂角色：
    
    az role definition create --role-definition Connector_Policy.json
    Azurecli
    Copy
    
    現在您應該有一個名為BlueXP運算子的自訂角色、可以指派給連接器虛擬機器。
將應用程式指派給角色：
1. 從 Azure 入口網站開啟 * 訂閱 * 服務。
2. 選取訂閱。
3. 選取 * 存取控制（ IAM ） > 新增 > 新增角色指派 * 。
4. 在 * 角色 * 索引標籤中、選取 * BlueXP 操作員 * 角色、然後選取 * 下一步 * 。
5. 在「成員」索引標籤中、完成下列步驟：
  - 保留*選取「使用者」、「群組」或「服務主體」*。
  - 選取 * 選取成員 * 。
  - 搜尋應用程式名稱。
    
    範例如下：
  - 選取應用程式、然後選取 * 選取 * 。
  - 選擇*下一步*。
6. 選取 * 檢閱 + 指派 * 。
  
  服務主體現在擁有部署Connector所需的Azure權限。
如果您想要從 Cloud Volumes ONTAP 多個 Azure 訂閱中部署支援功能、則必須將服務授權對象繫結至每個訂閱項目。BlueXP可讓您選擇部署Cloud Volumes ONTAP 時要使用的訂閱內容。

新增 Windows Azure Service Management API 權限

在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
選取 * API 權限 > 新增權限 * 。
在「 * Microsoft API* 」下、選取「 * Azure 服務管理 * 」。
選取 * 以組織使用者身分存取 Azure 服務管理 * 、然後選取 * 新增權限 * 。

取得應用程式的應用程式 ID 和目錄 ID

在 * Microsoft Entra ID* 服務中、選取 * 應用程式登錄 * 、然後選取應用程式。
複製 * 應用程式（用戶端） ID* 和 * 目錄（租戶） ID* 。

將Azure帳戶新增至BlueXP時、您必須提供應用程式的應用程式（用戶端）ID和目錄（租戶）ID。BlueXP使用ID以程式設計方式登入。

建立用戶端機密

開啟 * Microsoft Entra ID* 服務。
選取 * 應用程式註冊 * 、然後選取您的應用程式。
選取 * 「憑證與機密」 > 「新用戶端機密」 * 。
提供機密與持續時間的說明。
選取*「Add*」。
複製用戶端機密的值。

您現在擁有一個客戶機密、 BlueXP 可以使用它來驗證 Microsoft Entra ID 。

結果

您的服務主體現在已設定完成、您應該已經複製應用程式（用戶端） ID 、目錄（租戶） ID 、以及用戶端機密的值。新增Azure帳戶時、您必須在BlueXP中輸入此資訊。

建立角色、並將其套用至將用於 Connector VM 執行個體的服務帳戶。

步驟

在 Google Cloud 中建立自訂角色：
1. 建立包含中定義權限的 YAML 檔案 "Google Cloud 的 Connector 原則"。
2. 從 Google Cloud 啟動 Cloud Shell 。
3. 上傳包含 Connector 必要權限的 YAML 檔案。
4. 使用建立自訂角色 gcloud iam roles create 命令。
  
  以下範例在專案層級建立名為「 Connector 」的角色：
```
gcloud iam roles create connector --project=myproject --file=connector.yaml
```
Gcloud
Copy
+
"Google Cloud 文件：建立及管理自訂角色"
在 Google Cloud 中建立服務帳戶：
1. 從 IAM & Admin 服務中、選取 * 服務帳戶 > 建立服務帳戶 * 。
2. 輸入服務帳戶詳細資料、然後選取 * 建立並繼續 * 。
3. 選取您剛建立的角色。
4. 完成剩餘步驟以建立角色。
  
  "Google Cloud 文件：建立服務帳戶"

結果

現在您有一個服務帳戶、可以指派給 Connector VM 執行個體。

步驟 7 ：啟用 Google Cloud API

在 Google Cloud 中部署 Cloud Volumes ONTAP 需要幾個 API 。

步驟

"在專案中啟用下列 Google Cloud API"
- Cloud Deployment Manager V2 API
- 雲端記錄 API
- Cloud Resource Manager API
- 運算引擎 API
- 身分識別與存取管理（ IAM ） API
- 雲端金鑰管理服務（ KMS ） API
  
  （僅當您打算使用 BlueXP 備份與還原搭配客戶管理的加密金鑰（ CMEK ）時才需要）