Skip to main content
NetApp Console setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 VCenter 在本機安裝控制台代理

貢獻者 netapp-tonias
PDF

如果您是 VMWare 用戶,您可以使用 OVA 在您的 VCenter 中安裝控制台代理程式。可透過NetApp控制台下載 OVA 或取得 URL。

註 當您使用 VCenter 工具安裝控制台代理程式時,您可以使用 VM Web 控制台執行維護任務。"了解有關代理的 VM 控制台的更多資訊。"

準備安裝控制台代理

安裝之前,請確保您的 VM 主機符合要求並且控制台代理程式可以存取網際網路和目標網路。若要使用NetApp資料服務或Cloud Volumes ONTAP,請為控制台代理程式建立雲端提供者憑證以代表您執行操作。

查看控制台代理主機需求

在安裝控制台代理之前,請確保您的主機符合安裝要求。

註 在 vCenter 環境中安裝代理,而不是直接在 ESXi 主機上安裝。

為控制台代理設定網路訪問

與您的網路管理員合作,確保控制台代理具有所需端點的出站存取權限以及與目標網路的連線。

連接到目標網絡

控制台代理程式需要與您計劃建立和管理系統的位置建立網路連線。例如,您計劃在本機環境中建立Cloud Volumes ONTAP系統或儲存系統的網路。

出站互聯網訪問

部署控制台代理程式的網路位置必須具有出站網路連線才能聯絡特定端點。

使用基於 Web 的NetApp控制台時從電腦聯繫的端點

從 Web 瀏覽器存取控制台的電腦必須能夠聯絡多個端點。您需要使用控制台來設定控制台代理並進行控制台的日常使用。

"為NetApp控制台準備網絡"

從控制台代理聯繫的端點

控制台代理需要外部網路存取來聯繫以下端點,以管理公有雲環境中的資源和流程以進行日常操作。

下面列出的端點都是 CNAME 條目。

註 您無法使用安裝在本機的控制台代理程式來管理 Google Cloud 中的資源。若要管理 Google Cloud 資源,請在 Google Cloud 中安裝代理程式。
AWS

當控制台代理程式安裝在本機時,它需要對以下 AWS 端點進行網路訪問,以便管理部署在 AWS 中的NetApp系統(例如Cloud Volumes ONTAP)。

從控制台代理聯繫的端點

控制台代理需要外部網路存取來聯繫以下端點,以管理公有雲環境中的資源和流程以進行日常操作。

下面列出的端點都是 CNAME 條目。

端點 目的

AWS 服務(amazonaws.com):

  • 雲形成

  • 彈性運算雲(EC2)

  • 身分和存取管理 (IAM)

  • 金鑰管理服務(KMS)

  • 安全性令牌服務 (STS)

  • 簡單儲存服務(S3)

管理 AWS 資源。端點取決於您的 AWS 區域。 "有關詳細信息,請參閱 AWS 文檔"

\ https://mysupport.netapp.com

取得許可資訊並向NetApp支援發送AutoSupport訊息。

\ https://signin.b2c.netapp.com

更新NetApp支援網站 (NSS) 憑證或將新的 NSS 憑證新增至NetApp控制台。

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

在NetApp控制台中提供功能和服務。

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

取得控制台代理升級的影像。

  • 當您部署新代理程式時,驗證檢查會測試與目前端點的連線。如果你使用"先前的端點",驗證檢查失敗。為了避免此失敗,請跳過驗證檢查。

    儘管先前的端點仍然受支持,但NetApp建議盡快將防火牆規則更新至目前端點。"了解如何更新終端節點列表"

  • 當您更新到防火牆中的目前端點時,您現有的代理程式將繼續運作。
Azure

當控制台代理程式安裝在本機時,它需要對以下 Azure 端點進行網路訪問,以便管理部署在 Azure 中的NetApp系統(例如Cloud Volumes ONTAP)。

端點 目的

\ https://management.azure.com \ https://login.microsoftonline.com \ https://blob.core.windows.net \ https://core.windows.net

管理 Azure 公用區域中的資源。

\ https://management.chinacloudapi.cn \ https://login.chinacloudapi.cn \ https://blob.core.chinacloudapi.cn \ https://core.chinacloudapi.cn

管理 Azure 中國區域的資源。

\ https://mysupport.netapp.com

取得許可資訊並向NetApp支援發送AutoSupport訊息。

\ https://signin.b2c.netapp.com

更新NetApp支援網站 (NSS) 憑證或將新的 NSS 憑證新增至NetApp控制台。

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

在NetApp控制台中提供功能和服務。

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

取得控制台代理升級的影像。

  • 當您部署新代理程式時,驗證檢查會測試與目前端點的連線。如果你使用"先前的端點",驗證檢查失敗。為了避免此失敗,請跳過驗證檢查。

    儘管先前的端點仍然受支持,但NetApp建議盡快將防火牆規則更新至目前端點。"了解如何更新終端節點列表"

  • 當您更新到防火牆中的目前端點時,您現有的代理程式將繼續運作。
代理伺服器

NetApp支援顯式和透明代理配置。如果您使用透明代理,則只需要提供代理伺服器的憑證。如果您使用明確代理,您還需要 IP 位址和憑證。

  • IP 位址

  • 證書

  • HTTPS 憑證

連接埠

除非您啟動它或將其用作代理將AutoSupport訊息從Cloud Volumes ONTAP發送到NetApp支持,否則控制台代理不會有傳入流量。

  • HTTP(80)和 HTTPS(443)提供對本機 UI 的訪問,您會在極少數情況下使用它們。

  • 僅當需要連接到主機進行故障排除時才需要 SSH(22)。

  • 如果您在沒有外部網路連線的子網路中部署Cloud Volumes ONTAP系統,則需要透過連接埠 3128 建立入站連線。

    如果Cloud Volumes ONTAP系統沒有出站網路連線來傳送AutoSupport訊息,控制台會自動設定這些系統以使用控制台代理附帶的代理伺服器。唯一的要求是確保控制台代理的安全群組允許透過連接埠 3128 進行入站連線。部署控制台代理程式後,您需要開啟此連接埠。

啟用 NTP

如果您打算使用NetApp資料分類掃描公司資料來源,則應在控制台代理程式和NetApp資料分類系統上啟用網路時間協定 (NTP) 服務,以便系統之間的時間同步。 "了解有關NetApp資料分類的更多信息"

為 AWS 或 Azure 建立控制台代理雲端權限

如果您想將 AWS 或 Azure 中的NetApp資料服務與本機控制台代理程式一起使用,則需要在雲端提供者中設定權限,以便在安裝控制台代理程式後將憑證新增至控制台代理程式。

註 您無法使用安裝在本機的控制台代理程式來管理 Google Cloud 中的資源。如果您想管理 Google Cloud 資源,則需要在 Google Cloud 中安裝代理程式。
AWS

對於本機控制台代理,透過新增 IAM 使用者存取金鑰來提供 AWS 權限。

對本機控制台代理程式使用 IAM 使用者存取金鑰;本機控制台代理程式不支援 IAM 角色。

步驟

  1. 登入 AWS 主控台並導覽至 IAM 服務。

  2. 建立策略:

    1. 選擇“策略”>“建立策略”。

    2. 選擇 JSON 並複製並貼上內容"控制台代理的 IAM 策略"

    3. 完成剩餘步驟以建立策略。

      根據您計劃使用的NetApp資料服務,您可能需要建立第二個策略。

    對於標準區域,權限分佈在兩個策略中。由於 AWS 中託管策略的最大字元大小限制,因此需要兩個策略。"了解有關控制台代理的 IAM 策略的更多信息"

  3. 將策略附加到 IAM 使用者。

  4. 確保使用者擁有存取金鑰,您可以在安裝控制台代理後將其新增至NetApp控制台。

結果

您現在應該擁有具有所需權限的 IAM 使用者存取金鑰。安裝控制台代理程式後,從控制台將這些憑證與控制台代理程式關聯。

Azure

當控制台代理程式安裝在本機時,您需要透過在 Microsoft Entra ID 中設定服務主體並取得控制台代理程式所需的 Azure 憑證來授予控制台代理 Azure 權限。

建立用於基於角色的存取控制的 Microsoft Entra 應用程式

  1. 確保您在 Azure 中擁有建立 Active Directory 應用程式並將該應用程式指派給角色的權限。

    有關詳細信息,請參閱 "Microsoft Azure 文件:所需權限"

  2. 從 Azure 入口網站開啟 Microsoft Entra ID 服務。

    顯示 Microsoft Azure 中的 Active Directory 服務。

  3. 在選單中,選擇*應用程式註冊*。

  4. 選擇*新註冊*。

  5. 指定有關應用程式的詳細資訊:

    • 名稱:輸入應用程式的名稱。

    • 帳戶類型:選擇帳戶類型(任何類型都可以與NetApp控制台一起使用)。

    • 重定向 URI:您可以將此欄位留空。

  6. 選擇*註冊*。

    您已建立 AD 應用程式和服務主體。

將應用程式指派給角色

  1. 建立自訂角色:

    請注意,您可以使用 Azure 入口網站、Azure PowerShell、Azure CLI 或 REST API 建立 Azure 自訂角色。以下步驟展示如何使用 Azure CLI 建立角色。如果您希望使用其他方法,請參閱 "Azure 文件"

    1. 複製"控制台代理程式的自訂角色權限"並將它們保存在 JSON 檔案中。

    2. 透過將 Azure 訂閱 ID 新增至可分配範圍來修改 JSON 檔案。

      您應該為使用者將從中建立Cloud Volumes ONTAP系統的每個 Azure 訂閱新增 ID。

      例子

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. 使用 JSON 檔案在 Azure 中建立自訂角色。

      以下步驟說明如何使用 Azure Cloud Shell 中的 Bash 建立角色。

      • 開始 "Azure 雲端外殼"並選擇 Bash 環境。

      • 上傳 JSON 檔案。

        Azure Cloud Shell 的螢幕截圖,您可以在其中選擇上傳檔案的選項。

      • 使用 Azure CLI 建立自訂角色:

        az role definition create --role-definition Connector_Policy.json

        現在您應該有一個名為「控制台操作員」的自訂角色,可以將其指派給控制台代理虛擬機器。

  2. 將應用程式指派給角色:

    1. 從 Azure 入口網站開啟 Subscriptions 服務。

    2. 選擇訂閱。

    3. 選擇“存取控制 (IAM)”>“新增”>“新增角色分配”。

    4. 在*角色*標籤中,選擇*控制台操作員*角色並選擇*下一步*。

    5. 在「成員」標籤中,完成以下步驟:

      • 保持選取「使用者、群組或服務主體」。

      • 選擇*選擇成員*。

        在應用程式新增角色時顯示「成員」頁面的 Azure 入口網站螢幕截圖。

      • 搜尋應用程式的名稱。

        以下是一個例子:

      Azure 入口網站的螢幕截圖,顯示了 Azure 入口網站中的「新增角色指派」表單。

      • 選擇應用程式並選擇*選擇*。

      • 選擇“下一步”。

    6. 選擇*審閱+分配*。

      服務主體現在具有部署控制台代理程式所需的 Azure 權限。

    如果您想要從多個 Azure 訂閱部署Cloud Volumes ONTAP ,則必須將服務主體綁定到每個訂閱。在NetApp控制台中,您可以選擇部署Cloud Volumes ONTAP時要使用的訂閱。

新增 Windows Azure 服務管理 API 權限

  1. 在*Microsoft Entra ID*服務中,選擇*App Registrations*並選擇應用程式。

  2. 選擇*API 權限 > 新增權限*。

  3. 在「Microsoft API」下,選擇「Azure 服務管理」。

    Azure 入口網站的螢幕截圖,顯示了 Azure 服務管理 API 權限。

  4. 選擇*以組織使用者身分存取 Azure 服務管理*,然後選擇*新增權限*。

    Azure 入口網站的螢幕截圖,顯示新增 Azure 服務管理 API。

取得應用程式的應用程式ID和目錄ID

  1. 在*Microsoft Entra ID*服務中,選擇*App Registrations*並選擇應用程式。

  2. 複製*應用程式(客戶端)ID*和*目錄(租用戶)ID*。

    螢幕截圖顯示了 Microsoft Entra IDy 中應用程式的應用程式(客戶端)ID 和目錄(租用戶)ID。

    將 Azure 帳戶新增至控制台時,您需要提供應用程式(用戶端)ID 和應用程式的目錄(租用戶)ID。控制台使用 ID 以程式設計方式登入。

建立客戶端機密

  1. 開啟*Microsoft Entra ID*服務。

  2. 選擇*應用程式註冊*並選擇您的應用程式。

  3. 選擇*憑證和機密>新客戶端機密*。

  4. 提供秘密的描述和持續時間。

  5. 選擇“新增”。

  6. 複製客戶端機密的值。

    Azure 入口網站的螢幕截圖,顯示了 Microsoft Entra 服務主體的用戶端機密。

在 VCenter 環境中安裝控制台代理

NetApp支援在您的 VCenter 環境中安裝控制台代理程式。 OVA 檔案包含一個預先設定的 VM 映像,您可以在 VMware 環境中部署該映像。可直接從NetApp控制台下載檔案或部署 URL。它包括控制台代理軟體和自簽名證書。

下載 OVA 或複製 URL

直接從NetApp控制台下載 OVA 或複製 OVA URL。

  1. 選擇“管理 > 代理”。

  2. 在「概覽」頁面上,選擇「部署代理程式>本機」。

  3. 選擇*使用 OVA*。

  4. 選擇下載 OVA 或複製 URL 以在 VCenter 中使用。

在您的 VCenter 中部署代理

登入您的 VCenter 環境以部署代理程式。

步驟

  1. 如果您的環境需要,請將自簽名憑證上傳到您的受信任憑證。安裝後,您可以替換此證書。"了解如何替換自簽名憑證。"

  2. 從內容庫或本機系統部署 OVA。

    從本地系統

    來自內容庫

    a. 右鍵點選並選擇 部署 OVF 範本…​。 b. 從 URL 中選擇 OVA 檔案或瀏覽到其位置,然後選擇 下一步

    a. 前往您的內容庫並選擇控制台代理 OVA。 b. 選擇“操作”>“從此範本新虛擬機器”

  3. 完成部署 OVF 範本精靈以部署控制台代理程式。

  4. 為虛擬機器選擇名稱和資料夾,然後選擇“下一步”。

  5. 選擇一個計算資源,然後選擇*下一步*。

  6. 查看範本的詳細信息,然後選擇*下一步*。

  7. 接受許可協議,然後選擇*下一步*。

  8. 選擇要使用的代理配置類型:明確代理、透明代理或無代理。

  9. 選擇要部署虛擬機器的資料存儲,然後選擇*下一步*。確保它滿足主機要求。

  10. 選擇您想要連接虛擬機器的網絡,然後選擇*下一步*。確保網路為 IPv4 並且具有對所需端點的出站網路存取權限。

  11. 在*自訂範本*視窗中,填寫以下欄位:

    • 代理資訊

      • 如果選擇了明確代理,請輸入代理伺服器主機名稱或 IP 位址和連接埠號,以及使用者名稱和密碼。

      • 如果您選擇了透明代理,請上傳對應的憑證。

    • 虛擬機器配置

      • 跳過配置檢查:預設未選取此複選框,這表示代理程式執行配置檢查以驗證網路存取。

        • NetApp建議不要選取此框,以便安裝包含代理程式的設定檢查。設定檢查驗證代理是否具有所需端點的網路存取權限。如果由於連線問題導致部署失敗,您可以從代理主機存取驗證報告和日誌。在某些情況下,如果您確信代理程式具有網路存取權限,則可以選擇跳過檢查。例如,如果您仍在使用"先前的端點"用於代理升級,驗證失敗並出現錯誤。為了避免這種情況,請勾選複選框以在不進行驗證檢查的情況下進行安裝。"了解如何更新終端節點列表"

      • 維修密碼:設定維修密碼 `maint`允許存取代理維護控制台的使用者。

      • NTP 伺服器:指定一個或多個 NTP 伺服器進行時間同步。

      • 主機名稱:設定此虛擬機器的主機名稱。它不能包含搜尋域。例如,FQDN console10.searchdomain.company.com 應輸入為 console10。

      • 主 DNS:指定用於名稱解析的主 DNS 伺服器。

      • 輔助 DNS:指定用於名稱解析的輔助 DNS 伺服器。

      • 搜尋域:指定解析主機名稱時所使用的搜尋網域名稱。例如,如果 FQDN 是 console10.searchdomain.company.com,則輸入 searchdomain.company.com。

      • IPv4 位址:對應到主機名稱的 IP 位址。

      • IPv4 子網路遮罩:IPv4 位址的子網路遮罩。

      • IPv4 網關位址:IPv4 位址的網關位址。

  12. 選擇“下一步”。

  13. 查看“準備完成”視窗中的詳細信息,選擇“完成”。

    vSphere 工作列顯示控制台代理部署的進度。

  14. 啟動虛擬機器。

註 如果部署失敗,您可以從代理主機存取驗證報告和日誌。"了解如何解決安裝問題。"

使用NetApp控制台註冊控制台代理

登入控制台並將控制台代理與您的組織關聯。登入方式取決於您使用控制台的模式。如果您在標準模式下使用控制台,則可以透過 SaaS 網站登入。如果您在受限或私人模式下使用控制台,則可以從控制台代理主機本機登入。

步驟

  1. 開啟 Web 瀏覽器並輸入控制台代理主機 URL:

    控制台主機 URL 可以是本機主機、私人 IP 位址或公用 IP 位址,取決於主機的配置。例如,如果控制台代理程式位於沒有公用 IP 位址的公有雲中,則必須輸入與控制台代理主機有連接的主機的私人 IP 位址。

  2. 註冊或登入。

  3. 登入後,設定控制台:

    1. 指定與控制台代理程式關聯的控制台組織。

    2. 輸入系統的名稱。

    3. 在*您是否在安全環境中運作? *下保持限制模式為停用。

      當控制台代理安裝在本機時,不支援限制模式。

    4. 選擇*讓我們開始吧*。

將雲端提供者憑證新增至控制台

安裝並設定控制台代理程式後,新增您的雲端憑證,以便控制台代理程式具有在 AWS 或 Azure 中執行操作所需的權限。

AWS
開始之前

如果您剛剛建立了這些 AWS 憑證,它們可能需要幾分鐘才能生效。等待幾分鐘,然後將憑證新增至控制台。

步驟

  1. 選擇“管理 > 憑證”。

  2. 選擇*組織憑證*。

  3. 選擇“新增憑證”並按照精靈中的步驟操作。

    1. 憑證位置:選擇*Amazon Web Services > 代理程式。

    2. 定義憑證:輸入 AWS 存取金鑰和金鑰。

    3. 市場訂閱:透過立即訂閱或選擇現有訂閱將市場訂閱與這些憑證關聯。

    4. 審核:確認有關新憑證的詳細資訊並選擇*新增*。

您現在可以前往 "NetApp控制台"開始使用控制台代理。

Azure
開始之前

如果您剛剛建立了這些 Azure 憑證,它們可能需要幾分鐘才能使用。等待幾分鐘,然後再新增控制台代理的憑證。

步驟

  1. 選擇“管理 > 憑證”。

  2. 選擇“新增憑證”並按照精靈中的步驟操作。

    1. 憑證位置:選擇*Microsoft Azure > 代理程式*。

    2. 定義憑證:輸入有關授予所需權限的 Microsoft Entra 服務主體的資訊:

      • 應用程式(客戶端)ID

      • 目錄(租戶)ID

      • 客戶端機密

    3. 市場訂閱:透過立即訂閱或選擇現有訂閱將市場訂閱與這些憑證關聯。

    4. 審核:確認有關新憑證的詳細資訊並選擇*新增*。

結果

控制台代理現在具有代表您在 Azure 中執行操作所需的權限。您現在可以前往 "NetApp控制台"開始使用控制台代理。