Skip to main content
NetApp Console setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

從 NetApp Console 在 AWS 部署 Console agent

貢獻者 netapp-tonias netapp-mwallis
PDF

您可以直接從 NetApp Console 在 AWS 部署 Console 代理程式。在從 Console 於 AWS 部署 Console 代理程式之前,您需要設定網路並準備 AWS 權限。

在 AWS 中部署代理程式會在您選擇的 VPC 中啟動一個執行 Linux 和 Console 代理軟體的 EC2 執行個體。

開始之前

步驟 1:設定網路以在 AWS 中部署控制台代理

確保您打算安裝控制台代理的網路位置支援以下要求。這些要求使控制台代理程式能夠管理混合雲中的資源和流程。

VPC 和子網

建立控制台代理程式時,您需要指定它所在的 VPC 和子網路。

連接到目標網絡

控制台代理程式需要與您計劃建立和管理系統的位置建立網路連線。例如,您計劃在本機環境中建立Cloud Volumes ONTAP系統或儲存系統的網路。

出站互聯網訪問

部署控制台代理程式的網路位置必須具有出站網路連線才能聯絡特定端點。

從控制台代理聯繫的端點

控制台代理需要外部網路存取來聯繫以下端點,以管理公有雲環境中的資源和流程以進行日常操作。

下面列出的端點都是 CNAME 條目。

端點 目的

AWS 服務(amazonaws.com):

  • 雲形成

  • 彈性運算雲(EC2)

  • 身分和存取管理 (IAM)

  • 金鑰管理服務(KMS)

  • 安全性令牌服務 (STS)

  • 簡單儲存服務(S3)

管理 AWS 資源。端點取決於您的 AWS 區域。 "有關詳細信息,請參閱 AWS 文檔"

Amazon FSx for NetApp ONTAP:

  • api.workloads.netapp.com

基於 Web 的控制台透過與 Workload Factory API 互動來管理和操作基於ONTAP 的FSx 工作負載。

\ https://mysupport.netapp.com

取得授權資訊並將 AutoSupport 訊息傳送至 NetApp 支援部門。

\ https://signin.b2c.netapp.com

更新NetApp支援網站 (NSS) 憑證或將新的 NSS 憑證新增至NetApp Console。

\ https://support.netapp.com

以取得授權資訊並將 AutoSupport 訊息傳送至 NetApp 支援,以及接收 Cloud Volumes ONTAP 的軟體更新。

https://api.bluexp.netapp.com https://netapp-cloud-account.auth0.com https://netapp-cloud-account.us.auth0.com https://console.netapp.com https://components.console.netapp.com https://cdn.auth0.com

在NetApp Console中提供功能和服務。

https://bluexpinfraprod.eastus2.data.azurecr.io https://bluexpinfraprod.azurecr.io https://occmclientinfragov.azurecr.us (受限模式部署需要)

取得控制台代理升級的影像。
從NetApp控制台聯繫的端點

當您使用基於 Web 的 NetApp Console SaaS 應用程式時,它會連接多個端點以完成資料管理任務。這包括用於從 Console 部署 Console 代理的端點。

"從 NetApp Console 檢視已聯絡的端點清單"

代理伺服器

NetApp支援顯式和透明代理配置。如果您使用透明代理,則只需要提供代理伺服器的憑證。如果您使用明確代理,您還需要 IP 位址和憑證。

  • IP 位址

  • 證書

  • HTTPS 憑證

連接埠

除非您發起請求或將其用作代理以將 AutoSupport 訊息從 Cloud Volumes ONTAP 傳送到 NetApp 支援部門,否則 Console 代理不會接收任何傳入流量。

  • HTTP(80)和 HTTPS(443)提供對本機 UI 的訪問,您會在極少數情況下使用它們。

  • 僅當需要連接到主機進行故障排除時才需要 SSH(22)。

  • 如果您在沒有外部網路連線的子網路中部署Cloud Volumes ONTAP系統,則需要透過連接埠 3128 建立入站連線。

    如果Cloud Volumes ONTAP系統沒有出站網路連線來傳送AutoSupport訊息,控制台會自動設定這些系統以使用控制台代理附帶的代理伺服器。唯一的要求是確保控制台代理的安全群組允許透過連接埠 3128 進行入站連線。部署控制台代理程式後,您需要開啟此連接埠。

啟用 NTP

如果您打算使用 NetApp Data Classification 掃描企業資料來源,則應在 Console 代理程式和 NetApp Data Classification 系統上啟用網路時間協定(NTP)服務,以便系統之間的時間同步 "深入瞭解 NetApp Data Classification"

建立控制台代理程式後,您需要實作此網路要求。

步驟 2:為控制台代理程式設定 AWS 權限

控制台需要透過 AWS 進行身份驗證,然後才能在您的 VPC 中部署控制台代理程式。您可以選擇以下身份驗證方法之一:

  • 讓控制台承擔具有所需權限的 IAM 角色

  • 為具有所需權限的 IAM 使用者提供 AWS 存取金鑰和金鑰

無論選擇哪種方式,第一步都是建立 IAM 策略。此原則僅包含從控制台啟動 AWS 中的控制台代理程式所需的權限。

如果需要,您可以使用 IAM 限制 IAM 策略 `Condition`元素。 "AWS 文件:條件元素"

步驟

  1. 前往 AWS IAM 主控台。

  2. 選擇“策略”>“建立策略”。

  3. 選擇 JSON

  4. 複製並貼上以下策略:

    此原則僅包含從控制台啟動 AWS 中的控制台代理程式所需的權限。當控制台建立控制台代理時,它會將一組新權限套用至控制台代理,使控制台代理程式能夠管理 AWS 資源。"查看控制台代理本身所需的權限"

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:DeleteRole",
        "iam:PutRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:DeleteRolePolicy",
        "iam:AddRoleToInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeleteInstanceProfile",
        "iam:PassRole",
        "iam:ListRoles",
        "ec2:DescribeInstanceStatus",
        "ec2:RunInstances",
        "ec2:ModifyInstanceAttribute",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeInstances",
        "ec2:CreateTags",
        "ec2:DescribeImages",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeLaunchTemplates",
        "ec2:CreateLaunchTemplate",
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:ValidateTemplate",
        "ec2:AssociateIamInstanceProfile",
        "ec2:DescribeIamInstanceProfileAssociations",
        "ec2:DisassociateIamInstanceProfile",
        "iam:GetRole",
        "iam:TagRole",
        "kms:ListAliases",
        "cloudformation:ListStacks"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/OCCMInstance": "*"
        }
      },
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

  5. 選擇*下一步*並新增標籤(如果需要)。

  6. 選擇*下一步*並輸入名稱和描述。

  7. 選擇*建立策略*。

  8. 將政策附加到控制台可以承擔的 IAM 角色或 IAM 用戶,以便您可以為控制台提供存取金鑰:

    • (選項 1)設定控制台可以承擔的 IAM 角色:

      1. 前往目標帳戶中的 AWS IAM 主控台。

      2. 在存取管理下,選擇*角色>建立角色*並依照步驟建立角色。

      3. 受信任實體類型 下,選擇 AWS 帳戶

      4. 選擇*另一個 AWS 帳戶*並輸入控制台 SaaS 帳戶的 ID:952013314444

      5. 選擇您在上一節中建立的策略。

      6. 建立角色後,複製角色 ARN,以便在建立控制台代理時將其貼到控制台中。

    • (選項 2)為 IAM 使用者設定權限,以便您可以向控制台提供存取金鑰:

      1. 從 AWS IAM 控制台中,選擇 使用者,然後選擇使用者名稱。

      2. 選擇*新增權限>直接附加現有策略*。

      3. 選擇您建立的策略。

      4. 選擇*下一步*,然後選擇*新增權限*。

      5. 確保您擁有 IAM 使用者的存取金鑰和金鑰。

結果

現在您應該擁有一個具有所需權限的 IAM 角色或一個具有所需權限的 IAM 使用者。從控制台建立控制台代理時,您可以提供有關角色或存取金鑰的資訊。

步驟 3:建立控制台代理

直接從 NetApp Console 網路型主控台建立 Console 代理程式。

關於此任務

  • 從控制台建立控制台代理程式使用預設配置在 AWS 中部署 EC2 執行個體。建立控制台代理程式後,請勿切換到具有較少 CPU 或較少 RAM 的較小 EC2 執行個體。"了解控制台代理的預設配置"

  • 當控制台建立控制台代理時,它會為代理程式建立一個 IAM 角色和一個設定檔。此角色包括使控制台代理程式能夠管理 AWS 資源的權限。確保在未來版本中新增權限時更新角色。"了解有關控制台代理的 IAM 策略的更多信息"

開始之前

您應該具有以下內容:

  • AWS 驗證方法:具有所需權限的 IAM 角色或 IAM 使用者的存取金鑰。

  • 滿足組網需求的VPC及子網路。

  • EC2 執行個體的金鑰對。

  • 如果控制台代理需要代理才能存取互聯網,則提供有關代理伺服器的詳細資訊。

  • 設定"網路需求"

  • 設定"AWS 權限"

步驟

  1. 選擇“管理 > 代理”。

  2. Overview 頁面上,選擇 Deploy agent > AWS

  3. 依照精靈中的步驟建立控制台代理:

  4. Introduction 頁面上、檢閱程序總覽。

  5. 在「AWS 憑證」頁面上,指定您的 AWS 區域,然後選擇一種驗證方法,該方法可以是 Console 可以承擔的 IAM 角色,也可以是 AWS 存取金鑰和秘密金鑰。

    提示 如果您選擇*承擔角色*,您可以從控制台代理部署精靈建立第一組憑證。任何附加憑證集都必須從憑證頁面建立。然後,它們將從嚮導的下拉清單中提供。"了解如何新增其他憑證"

  6. 在「詳細資料」頁面上,提供有關控制台代理的詳細資訊。

    • 輸入名稱。

    • 新增自訂標籤(元資料)。

    • 選擇是否希望控制台建立具有所需權限的新角色,或是否要選擇您設定的現有角色"所需的權限"

    • 選擇是否要加密控制台代理的 EBS 磁碟。您可以選擇使用預設加密金鑰或使用自訂金鑰。

  7. Network 頁面上,為代理程式指定 VPC、子網路和金鑰配對,選擇是否啟用公用 IP 位址,並可選擇性地指定 Proxy 組態。

    確保您擁有正確的金鑰對來存取控制台代理虛擬機器。如果沒有密鑰對,您就無法存取它。

  8. 在「安全群組」頁面上,選擇是否建立新的安全性群組或是否選擇允許所需入站和出站規則的現有安全性群組。

    "查看 AWS 的安全群組規則"

  9. 檢閱您的選擇,以確認您的設定是否正確。

    1. 預設情況下會選取 Validate agent configuration 核取方塊,以便 NetApp Console 在部署時驗證網路連線需求。如果 NetApp Console 無法部署代理程式,它會提供報告以協助您進行疑難排解。如果部署成功,則不會提供報告。

    註

    • 如果您仍在使用用於代理升級的"先前的端點",驗證將失敗並顯示錯誤。為避免這種情況,請清除核取方塊以跳過驗證檢查。

    • 在安裝期間、NetApp 會檢查代理主機至少有 80% 的可用磁碟空間總計、其中包括 48 GB 在 /opt`和 32 GB 在 `/var(總計 80 GB)。安裝後、需要至少 20% 的磁碟總計保持可用、其中包括 12 GB 在 /opt`和 8 GB 在 `/var(總計 20 GB)。

  10. 選擇“新增”。

    控制台大約需要 10 分鐘即可部署代理程式。停留在該頁面上,直到過程完成。

結果

過程完成後,即可從控制台使用控制台代理。

註 如果部署失敗,您可以從控制台下載報告和日誌來幫助您解決問題。"了解如何解決安裝問題。"

如果您在建立控制台代理程式的相同 AWS 帳戶中擁有 Amazon S3 儲存桶,您將看到 Amazon S3 工作環境自動出現在 系統 頁面上。 "了解如何從NetApp Console管理 S3 儲存桶"