Skip to main content
NetApp Console setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

透過NetApp控制台在 AWS 中建立控制台代理

貢獻者 netapp-tonias
PDF

您可以直接從NetApp控制台在 AWS 中建立控制台代理程式。在從控制台建立 AWS 中的控制台代理之前,您需要設定網路並準備 AWS 權限。

開始之前

步驟 1:設定網路以在 AWS 中部署控制台代理

確保您打算安裝控制台代理的網路位置支援以下要求。這些要求使控制台代理程式能夠管理混合雲中的資源和流程。

VPC 和子網

建立控制台代理程式時,您需要指定它所在的 VPC 和子網路。

連接到目標網絡

控制台代理程式需要與您計劃建立和管理系統的位置建立網路連線。例如,您計劃在本機環境中建立Cloud Volumes ONTAP系統或儲存系統的網路。

出站互聯網訪問

部署控制台代理程式的網路位置必須具有出站網路連線才能聯絡特定端點。

從控制台代理聯繫的端點

控制台代理需要外部網路存取來聯繫以下端點,以管理公有雲環境中的資源和流程以進行日常操作。

下面列出的端點都是 CNAME 條目。

端點 目的

AWS 服務(amazonaws.com):

  • 雲形成

  • 彈性運算雲(EC2)

  • 身分和存取管理 (IAM)

  • 金鑰管理服務(KMS)

  • 安全性令牌服務 (STS)

  • 簡單儲存服務(S3)

管理 AWS 資源。端點取決於您的 AWS 區域。 "有關詳細信息,請參閱 AWS 文檔"

\ https://mysupport.netapp.com

取得許可資訊並向NetApp支援發送AutoSupport訊息。

\ https://signin.b2c.netapp.com

更新NetApp支援網站 (NSS) 憑證或將新的 NSS 憑證新增至NetApp控制台。

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

在NetApp控制台中提供功能和服務。

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

取得控制台代理升級的影像。

  • 當您部署新代理程式時,驗證檢查會測試與目前端點的連線。如果你使用"先前的端點",驗證檢查失敗。為了避免此失敗,請跳過驗證檢查。

    儘管先前的端點仍然受支持,但NetApp建議盡快將防火牆規則更新至目前端點。"了解如何更新終端節點列表"

  • 當您更新到防火牆中的目前端點時,您現有的代理程式將繼續運作。
從NetApp控制台聯繫的端點

當您使用透過 SaaS 層提供的基於 Web 的NetApp控制台時,它會聯絡多個端點來完成資料管理任務。這包括從控制台聯繫以部署控制台代理的端點。

"查看從NetApp控制台聯繫的端點列表"

代理伺服器

NetApp支援顯式和透明代理配置。如果您使用透明代理,則只需要提供代理伺服器的憑證。如果您使用明確代理,您還需要 IP 位址和憑證。

  • IP 位址

  • 證書

  • HTTPS 憑證

連接埠

除非您啟動它或將其用作代理將AutoSupport訊息從Cloud Volumes ONTAP發送到NetApp支持,否則控制台代理不會有傳入流量。

  • HTTP(80)和 HTTPS(443)提供對本機 UI 的訪問,您會在極少數情況下使用它們。

  • 僅當需要連接到主機進行故障排除時才需要 SSH(22)。

  • 如果您在沒有外部網路連線的子網路中部署Cloud Volumes ONTAP系統,則需要透過連接埠 3128 建立入站連線。

    如果Cloud Volumes ONTAP系統沒有出站網路連線來傳送AutoSupport訊息,控制台會自動設定這些系統以使用控制台代理附帶的代理伺服器。唯一的要求是確保控制台代理的安全群組允許透過連接埠 3128 進行入站連線。部署控制台代理程式後,您需要開啟此連接埠。

啟用 NTP

如果您打算使用NetApp資料分類掃描公司資料來源,則應在控制台代理程式和NetApp資料分類系統上啟用網路時間協定 (NTP) 服務,以便系統之間的時間同步。 "了解有關NetApp資料分類的更多信息"

建立控制台代理程式後,您需要實作此網路要求。

步驟 2:為控制台代理程式設定 AWS 權限

控制台需要透過 AWS 進行驗證,然後才能在您的 VPC 中部署控制台代理執行個體。您可以選擇以下身份驗證方法之一:

  • 讓控制台承擔具有所需權限的 IAM 角色

  • 為具有所需權限的 IAM 使用者提供 AWS 存取金鑰和金鑰

無論選擇哪種方式,第一步都是建立 IAM 策略。此原則僅包含從控制台啟動 AWS 中的控制台代理執行個體所需的權限。

如果需要,您可以使用 IAM 限制 IAM 策略 `Condition`元素。 "AWS 文件:條件元素"

步驟

  1. 前往 AWS IAM 主控台。

  2. 選擇“策略”>“建立策略”。

  3. 選擇 JSON

  4. 複製並貼上以下策略:

    此原則僅包含從控制台啟動 AWS 中的控制台代理執行個體所需的權限。當控制台建立控制台代理程式時,它會將一組新權限套用至控制台代理實例,使控制台代理程式能夠管理 AWS 資源。"查看控制台代理實例本身所需的權限"

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:CreateRole",
        "iam:DeleteRole",
        "iam:PutRolePolicy",
        "iam:CreateInstanceProfile",
        "iam:DeleteRolePolicy",
        "iam:AddRoleToInstanceProfile",
        "iam:RemoveRoleFromInstanceProfile",
        "iam:DeleteInstanceProfile",
        "iam:PassRole",
        "iam:ListRoles",
        "ec2:DescribeInstanceStatus",
        "ec2:RunInstances",
        "ec2:ModifyInstanceAttribute",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupIngress",
        "ec2:CreateNetworkInterface",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DeleteNetworkInterface",
        "ec2:ModifyNetworkInterfaceAttribute",
        "ec2:DescribeSubnets",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeKeyPairs",
        "ec2:DescribeRegions",
        "ec2:DescribeInstances",
        "ec2:CreateTags",
        "ec2:DescribeImages",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeLaunchTemplates",
        "ec2:CreateLaunchTemplate",
        "cloudformation:CreateStack",
        "cloudformation:DeleteStack",
        "cloudformation:DescribeStacks",
        "cloudformation:DescribeStackEvents",
        "cloudformation:ValidateTemplate",
        "ec2:AssociateIamInstanceProfile",
        "ec2:DescribeIamInstanceProfileAssociations",
        "ec2:DisassociateIamInstanceProfile",
        "iam:GetRole",
        "iam:TagRole",
        "kms:ListAliases",
        "cloudformation:ListStacks"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringLike": {
          "ec2:ResourceTag/OCCMInstance": "*"
        }
      },
      "Resource": [
        "arn:aws:ec2:*:*:instance/*"
      ]
    }
  ]
}

  5. 選擇*下一步*並新增標籤(如果需要)。

  6. 選擇*下一步*並輸入名稱和描述。

  7. 選擇*建立策略*。

  8. 將政策附加到控制台可以承擔的 IAM 角色或 IAM 用戶,以便您可以為控制台提供存取金鑰:

    • (選項 1)設定控制台可以承擔的 IAM 角色:

      1. 前往目標帳戶中的 AWS IAM 主控台。

      2. 在存取管理下,選擇*角色>建立角色*並依照步驟建立角色。

      3. 受信任實體類型 下,選擇 AWS 帳戶

      4. 選擇*另一個 AWS 帳戶*並輸入控制台 SaaS 帳戶的 ID:952013314444

      5. 選擇您在上一節中建立的策略。

      6. 建立角色後,複製角色 ARN,以便在建立控制台代理時將其貼到控制台中。

    • (選項 2)為 IAM 使用者設定權限,以便您可以向控制台提供存取金鑰:

      1. 從 AWS IAM 控制台中,選擇 使用者,然後選擇使用者名稱。

      2. 選擇*新增權限>直接附加現有策略*。

      3. 選擇您建立的策略。

      4. 選擇*下一步*,然後選擇*新增權限*。

      5. 確保您擁有 IAM 使用者的存取金鑰和金鑰。

結果

現在您應該擁有一個具有所需權限的 IAM 角色或一個具有所需權限的 IAM 使用者。從控制台建立控制台代理時,您可以提供有關角色或存取金鑰的資訊。

步驟 3:建立控制台代理

直接從基於 Web 的控制台建立控制台代理程式。

關於此任務

  • 從控制台建立控制台代理程式使用預設配置在 AWS 中部署 EC2 執行個體。建立控制台代理程式後,請勿切換到具有較少 CPU 或較少 RAM 的較小 EC2 執行個體。"了解控制台代理的預設配置"

  • 當控制台建立控制台代理程式時,它會為實例建立一個 IAM 角色和一個實例設定檔。此角色包括使控制台代理程式能夠管理 AWS 資源的權限。確保在未來版本中新增權限時更新角色。"了解有關控制台代理的 IAM 策略的更多信息"

開始之前

您應該具有以下內容:

  • AWS 驗證方法:具有所需權限的 IAM 角色或 IAM 使用者的存取金鑰。

  • 滿足組網需求的VPC及子網路。

  • EC2 執行個體的金鑰對。

  • 如果控制台代理需要代理才能存取互聯網,則提供有關代理伺服器的詳細資訊。

  • 設定"網路需求"

  • 設定"AWS 權限"

步驟

  1. 選擇“管理 > 代理”。

  2. 在“概覽”頁面上,選擇“部署代理”>“AWS”

  3. 依照精靈中的步驟建立控制台代理:

  4. 在「簡介」頁面上提供了該過程的概述

  5. AWS Credentials 頁面上,指定您的 AWS 區域,然後選擇一種驗證方法,該方法可以是控制台可以承擔的 IAM 角色,也可以是 AWS 存取金鑰和金鑰。

    提示 如果您選擇*承擔角色*,您可以從控制台代理部署精靈建立第一組憑證。任何附加憑證集都必須從憑證頁面建立。然後,它們將從嚮導的下拉清單中提供。"了解如何新增其他憑證"

  6. 在「詳細資料」頁面上,提供有關控制台代理的詳細資訊。

    • 輸入實例的名稱。

    • 在實例中新增自訂標籤(元資料)。

    • 選擇是否希望控制台建立具有所需權限的新角色,或是否要選擇您設定的現有角色"所需的權限"

    • 選擇是否要加密控制台代理的 EBS 磁碟。您可以選擇使用預設加密金鑰或使用自訂金鑰。

  7. 在*網路*頁面上,為實例指定 VPC、子網路和金鑰對,選擇是否啟用公用 IP 位址,並選擇性地指定代理程式配置。

    確保您擁有正確的金鑰對來存取控制台代理虛擬機器。如果沒有密鑰對,您就無法存取它。

  8. 在「安全群組」頁面上,選擇是否建立新的安全性群組或是否選擇允許所需入站和出站規則的現有安全性群組。

    "查看 AWS 的安全群組規則"

  9. 檢查您的選擇以驗證您的設定是否正確。

    1. 預設情況下,*驗證代理程式設定*複選框處於選取狀態,以便控制台在您部署時驗證網路連線要求。如果控制台無法部署代理,它會提供一份報告來幫助您排除故障。如果部署成功,則不會提供報告。

    如果您仍在使用"先前的端點"用於代理升級,驗證失敗並出現錯誤。為了避免這種情況,請取消選取核取方塊以跳過驗證檢查。

  10. 選擇“新增”。

    控制台大約需要 10 分鐘才能準備好實例。停留在該頁面上,直到過程完成。

結果

過程完成後,即可從控制台使用控制台代理。

註 如果部署失敗,您可以從控制台下載報告和日誌來幫助您解決問題。"了解如何解決安裝問題。"

如果您在建立控制台代理程式的相同 AWS 帳戶中擁有 Amazon S3 儲存桶,您將看到 Amazon S3 工作環境自動出現在 系統 頁面上。 "了解如何從NetApp控制台管理 S3 儲存桶"