從 Google Cloud 建立控制台代理
建議變更
PDF
步驟 1:設定網絡
設定網路以使控制台代理程式能夠管理資源並連接到目標網路和網際網路。
- VPC 和子網
-
建立控制台代理程式時,您需要指定它所在的 VPC 和子網路。
- 連接到目標網絡
-
控制台代理程式需要與您計劃建立和管理系統的位置建立網路連線。例如,您計劃在本機環境中建立Cloud Volumes ONTAP系統或儲存系統的網路。
- 出站互聯網訪問
-
部署控制台代理程式的網路位置必須具有出站網路連線才能聯絡特定端點。
- 從控制台代理聯繫的端點
-
控制台代理需要外部網路存取來聯繫以下端點,以管理公有雲環境中的資源和流程以進行日常操作。
下面列出的端點都是 CNAME 條目。
端點 目的 \ https://www.googleapis.com/compute/v1/ \ https://compute.googleapis.com/compute/v1 \ https://cloudresourcemanager.googleapis.com/v1/projects \ https://www.googleapis.com/compute/beta https://www.googleapis.com/storage/v1 https://storage.googleapis.com/storage/v1 https://iam.googleapis.com/v1 \ https://cloudkms.googleapis.com/v1 \ https://www.googleapis.com/deploymentmanager/v2/projects
管理 Google Cloud 中的資源。
取得許可資訊並向NetApp支援發送AutoSupport訊息。
更新NetApp支援網站 (NSS) 憑證或將新的 NSS 憑證新增至NetApp控制台。
在NetApp控制台中提供功能和服務。
取得控制台代理升級的影像。
-
當您部署新代理程式時,驗證檢查會測試與目前端點的連線。如果你使用"先前的端點",驗證檢查失敗。為了避免此失敗,請跳過驗證檢查。
儘管先前的端點仍然受支持,但NetApp建議盡快將防火牆規則更新至目前端點。"了解如何更新終端節點列表" 。
-
當您更新到防火牆中的目前端點時,您現有的代理程式將繼續運作。
-
- 從NetApp控制台聯繫的端點
-
當您使用透過 SaaS 層提供的基於 Web 的NetApp控制台時,它會聯絡多個端點來完成資料管理任務。這包括從控制台聯繫以部署控制台代理的端點。
- 代理伺服器
-
NetApp支援顯式和透明代理配置。如果您使用透明代理,則只需要提供代理伺服器的憑證。如果您使用明確代理,您還需要 IP 位址和憑證。
-
IP 位址
-
證書
-
HTTPS 憑證
-
- 連接埠
-
除非您啟動它或將其用作代理將AutoSupport訊息從Cloud Volumes ONTAP發送到NetApp支持,否則控制台代理不會有傳入流量。
-
HTTP(80)和 HTTPS(443)提供對本機 UI 的訪問,您會在極少數情況下使用它們。
-
僅當需要連接到主機進行故障排除時才需要 SSH(22)。
-
如果您在沒有外部網路連線的子網路中部署Cloud Volumes ONTAP系統,則需要透過連接埠 3128 建立入站連線。
如果Cloud Volumes ONTAP系統沒有出站網路連線來傳送AutoSupport訊息,控制台會自動設定這些系統以使用控制台代理附帶的代理伺服器。唯一的要求是確保控制台代理的安全群組允許透過連接埠 3128 進行入站連線。部署控制台代理程式後,您需要開啟此連接埠。
-
- 啟用 NTP
-
如果您打算使用NetApp資料分類掃描公司資料來源,則應在控制台代理程式和NetApp資料分類系統上啟用網路時間協定 (NTP) 服務,以便系統之間的時間同步。 "了解有關NetApp資料分類的更多信息"
建立控制台代理程式後實現此網路需求。
步驟 2:設定權限以建立控制台代理
為 Google Cloud 使用者設定權限以從 Google Cloud 部署控制台代理虛擬機器。
-
在 Google 平台中建立自訂角色:
-
建立包含以下權限的 YAML 檔案:
title: Console agent deployment policy description: Permissions for the user who deploys the NetApp Console agent stage: GA includedPermissions: - compute.disks.create - compute.disks.get - compute.disks.list - compute.disks.setLabels - compute.disks.use - compute.firewalls.create - compute.firewalls.delete - compute.firewalls.get - compute.firewalls.list - compute.globalOperations.get - compute.images.get - compute.images.getFromFamily - compute.images.list - compute.images.useReadOnly - compute.instances.attachDisk - compute.instances.create - compute.instances.get - compute.instances.list - compute.instances.setDeletionProtection - compute.instances.setLabels - compute.instances.setMachineType - compute.instances.setMetadata - compute.instances.setTags - compute.instances.start - compute.instances.updateDisplayDevice - compute.machineTypes.get - compute.networks.get - compute.networks.list - compute.networks.updatePolicy - compute.projects.get - compute.regions.get - compute.regions.list - compute.subnetworks.get - compute.subnetworks.list - compute.zoneOperations.get - compute.zones.get - compute.zones.list - deploymentmanager.compositeTypes.get - deploymentmanager.compositeTypes.list - deploymentmanager.deployments.create - deploymentmanager.deployments.delete - deploymentmanager.deployments.get - deploymentmanager.deployments.list - deploymentmanager.manifests.get - deploymentmanager.manifests.list - deploymentmanager.operations.get - deploymentmanager.operations.list - deploymentmanager.resources.get - deploymentmanager.resources.list - deploymentmanager.typeProviders.get - deploymentmanager.typeProviders.list - deploymentmanager.types.get - deploymentmanager.types.list - resourcemanager.projects.get - compute.instances.setServiceAccount - iam.serviceAccounts.list -
從 Google Cloud 啟動雲殼。
-
上傳包含所需權限的 YAML 檔案。
-
使用建立自訂角色 `gcloud iam roles create`命令。
以下範例在專案層級建立一個名為「connectorDeployment」的角色:
gcloud iam 角色建立 connectorDeployment --project=myproject --file=connector-deployment.yaml
-
-
將此自訂角色指派給從 Google Cloud 部署控制台代理程式的使用者。
步驟 3:設定控制台代理操作的權限
需要一個 Google Cloud 服務帳號來向控制台代理提供控制台管理 Google Cloud 中的資源所需的權限。建立控制台代理程式時,您需要將此服務帳戶與控制台代理 VM 關聯。
在後續版本中新增權限時,您有責任更新自訂角色。如果需要新的權限,它們將在發行說明中列出。
-
在 Google Cloud 中建立自訂角色:
-
建立一個包含以下內容的 YAML 文件"控制台代理程式的服務帳戶權限"。
-
從 Google Cloud 啟動雲殼。
-
上傳包含所需權限的 YAML 檔案。
-
使用建立自訂角色 `gcloud iam roles create`命令。
以下範例在專案層級建立一個名為「connector」的角色:
gcloud iam roles create connector --project=myproject --file=connector.yaml
-
-
在 Google Cloud 中建立服務帳號並將角色指派給該服務帳號:
-
從 IAM 和管理服務中,選擇 服務帳戶 > 建立服務帳戶。
-
輸入服務帳戶詳細資料並選擇*建立並繼續*。
-
選擇您剛剛建立的角色。
-
完成剩餘步驟以建立角色。
-
-
如果您打算在與控制台代理程式所在專案不同的專案中部署Cloud Volumes ONTAP系統,則需要為控制台代理程式的服務帳戶提供這些項目的存取權限。
例如,假設控制台代理程式位於專案 1 中,而您想要在專案 2 中建立Cloud Volumes ONTAP系統。您需要授予項目 2 中的服務帳戶存取權限。
-
從 IAM 和管理服務中,選擇您想要建立Cloud Volumes ONTAP系統的 Google Cloud 專案。
-
在 IAM 頁面上,選擇 授予存取權限 並提供所需的詳細資訊。
-
輸入控制台代理服務帳戶的電子郵件。
-
選擇控制台代理程式的自訂角色。
-
選擇*儲存*。
-
有關詳細信息,請參閱 "Google Cloud 文件"
-
步驟 4:設定共享 VPC 權限
如果您使用共用 VPC 將資源部署到服務項目中,則需要準備好您的權限。
此表僅供參考,當 IAM 配置完成時,您的環境應該反映權限表。
查看共用 VPC 權限
| 身分 | 創造者 | 主辦地點 | 服務項目權限 | 宿主專案權限 | 目的 |
|---|---|---|---|---|---|
Google 帳戶部署代理 |
風俗 |
服務項目 |
計算.網路用戶 |
在服務項目中部署代理 |
|
代理服務帳戶 |
風俗 |
服務項目 |
計算.網路使用者部署管理員.編輯器 |
部署和維護服務項目中的Cloud Volumes ONTAP和服務 |
|
Cloud Volumes ONTAP服務帳戶 |
風俗 |
服務項目 |
storage.admin 成員: NetApp Console 服務帳號為 serviceAccount.user |
不適用 |
(選購)適用於NetApp Cloud Tiering 和NetApp Backup and Recovery |
Google API 服務代理 |
Google雲 |
服務項目 |
(預設)編輯器 |
計算.網路用戶 |
代表部署與 Google Cloud API 互動。允許控制台使用共用網路。 |
Google Compute Engine 預設服務帳戶 |
Google雲 |
服務項目 |
(預設)編輯器 |
計算.網路用戶 |
代表部署部署 Google Cloud 執行個體和運算基礎架構。允許控制台使用共用網路。 |
筆記:
-
如果您沒有將防火牆規則傳遞給部署並選擇讓控制台為您建立規則,則僅主機專案才需要 deploymentmanager.editor。如果未指定規則, NetApp控制台將在主機專案中建立包含 VPC0 防火牆規則的部署。
-
只有當您未將防火牆規則傳遞給部署並選擇讓控制台為您建立它們時,才需要firewall.create 和firewall.delete。這些權限位於控制台帳戶 .yaml 檔案中。如果您使用共用 VPC 部署 HA 對,這些權限將用於為 VPC1、2 和 3 建立防火牆規則。對於所有其他部署,這些權限也將用於為 VPC0 建立規則。
-
對於 Cloud Tiering,分層服務帳戶必須在服務帳戶上具有 serviceAccount.user 角色,而不僅僅是在專案層級。目前,如果您在專案層級指派 serviceAccount.user,則使用 getIAMPolicy 查詢服務帳號時不會顯示權限。
步驟 5:啟用 Google Cloud API
在部署控制台代理程式和Cloud Volumes ONTAP之前,先啟用多個 Google Cloud API。
-
在您的專案中啟用以下 Google Cloud API:
-
雲端部署管理器 V2 API
-
雲端日誌 API
-
雲端資源管理器 API
-
計算引擎 API
-
身分識別和存取管理 (IAM) API
-
雲端金鑰管理服務 (KMS) API
(僅當您打算將NetApp Backup and Recovery 與客戶管理加密金鑰 (CMEK) 結合使用時才需要)
-
步驟 6:建立控制台代理
使用 Google Cloud 建立控制台代理程式。
建立控制台代理程式會使用預設配置在 Google Cloud 中部署虛擬機器執行個體。建立控制台代理程式後,請勿切換到具有較少 CPU 或較少 RAM 的較小 VM 執行個體。"了解控制台代理的預設配置" 。
您應該具有以下內容:
-
建立控制台代理程式所需的 Google Cloud 權限以及控制台代理虛擬機器的服務帳號。
-
滿足組網需求的VPC及子網路。
-
了解 VM 實例要求。
-
CPU:8 核心或 8 個 vCPU
-
記憶體:32 GB
-
機器類型:我們推薦 n2-standard-8。
Google Cloud 在具有支援 Shielded VM 功能的作業系統的 VM 執行個體上支援控制台代理。
-
-
使用您喜歡的方法登入 Google Cloud SDK。
此範例使用安裝了 gcloud SDK 的本機 shell,但您也可以使用 Google Cloud Shell。
有關 Google Cloud SDK 的更多信息,請訪問"Google Cloud SDK 文件頁面"。
-
驗證您是否以具有上述部分定義的所需權限的使用者身分登入:
gcloud auth list輸出應顯示以下內容,其中 * 使用者帳戶是要登入的使用者帳戶:
Credentialed Accounts ACTIVE ACCOUNT some_user_account@domain.com * desired_user_account@domain.com To set the active account, run: $ gcloud config set account `ACCOUNT` Updates are available for some Cloud SDK components. To install them, please run: $ gcloud components update -
運行 `gcloud compute instances create`命令:
gcloud compute instances create <instance-name> --machine-type=n2-standard-8 --image-project=netapp-cloudmanager --image-family=cloudmanager --scopes=cloud-platform --project=<project> --service-account=<service-account> --zone=<zone> --no-address --tags <network-tag> --network <network-path> --subnet <subnet-path> --boot-disk-kms-key <kms-key-path>- 實例名稱
-
VM 實例所需的實例名稱。
- 專案
-
(可選)您想要部署虛擬機器的專案。
- 服務帳戶
-
步驟 2 的輸出中指定的服務帳戶。
- 區
-
您想要部署虛擬機器的區域
- 無地址
-
(可選)不使用外部 IP 位址(您需要雲端 NAT 或代理將流量路由到公用網際網路)
- 網路標籤
-
(可選)新增網路標記,使用標記將防火牆規則連結到控制台代理實例
- 網路路徑
-
(可選)新增要部署控制台代理程式的網路名稱(對於共用 VPC,您需要完整路徑)
- 子網路路徑
-
(可選)新增要部署控制台代理程式的子網路名稱(對於共用 VPC,您需要完整路徑)
- kms 金鑰路徑
-
(可選)新增 KMS 金鑰來加密控制台代理的磁碟(還需要套用 IAM 權限)
有關這些標誌的更多信息,請訪問"Google Cloud 運算 SDK 文件"。
運行該命令將部署控制台代理程式。控制台代理實例和軟體應在大約五分鐘內運行。
-
開啟 Web 瀏覽器並輸入控制台代理主機 URL:
控制台主機 URL 可以是本機主機、私人 IP 位址或公用 IP 位址,取決於主機的配置。例如,如果控制台代理程式位於沒有公用 IP 位址的公有雲中,則必須輸入與控制台代理主機有連接的主機的私人 IP 位址。
-
登入後,設定控制台代理:
-
指定與控制台代理程式關聯的控制台組織。
-
輸入系統的名稱。
-
控制台代理現在已安裝並設定到您的控制台組織。
開啟 Web 瀏覽器並前往 "NetApp控制台"開始使用控制台代理。