Skip to main content
NetApp Console setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 AWS 中手動安裝控制台代理

貢獻者 netapp-tonias
PDF

您可以在 AWS 中執行的 Linux 主機上手動安裝控制台代理程式。要在您自己的 Linux 主機上手動安裝控制台代理,您需要查看主機要求、設定網路、準備 AWS 權限、安裝控制台代理,然後提供您準備好的權限。

開始之前

步驟 1:查看主機需求

控制台代理軟體必須在滿足特定作業系統要求、RAM 要求、連接埠要求等的主機上執行。

註 控制台代理保留 19000 到 19200 的 UID 和 GID 範圍。這個範圍是固定的,不能修改。如果主機上的任何第三方軟體使用此範圍內的 UID 或 GID,則代理安裝將會失敗。 NetApp建議使用沒有第三方軟體的主機以避免衝突。
專用主機

與其他應用程式共用的主機不支援控制台代理。該主機必須是專用主機。主機可以是滿足以下大小要求的任何架構:

  • CPU:8 核心或 8 個 vCPU

  • 記憶體:32 GB

  • 磁碟空間:建議主機預留165GB空間,分割區需求如下:

    • /opt:必須有 120 GiB 可用空間

      代理使用 `/opt`安裝 `/opt/application/netapp`目錄及其內容。

    • /var:必須有 40 GiB 可用空間

      控制台代理需要此空間 `/var`因為 Docker 或 Podman 的設計目的是在此目錄中建立容器。具體來說,他們將在 `/var/lib/containers/storage`目錄。外部安裝或符號連結不適用於此空間。

虛擬機器管理程序

需要經過認證可運行支援的作業系統的裸機或託管虛擬機器管理程式。

作業系統和容器要求

在標準模式或受限模式下使用控制台時,控制台代理程式支援下列作業系統。安裝代理之前需要一個容器編排工具。

作業系統 支援的作業系統版本 支援的代理版本 所需的容器工具 SELinux

紅帽企業 Linux

9.1 至 9.4

8.6 至 8.10

  • 僅限英文版本。

  • 主機必須在 Red Hat 訂閱管理中註冊。如果未註冊,主機將無法在代理安裝期間存取儲存庫來更新所需的第三方軟體。

3.9.50 或更高版本,控制台處於標準模式或受限模式

Podman 版本 4.6.1 或 4.9.4

查看 Podman 設定要求

在強制模式或寬容模式下受支持

  • 作業系統上啟用了 SELinux 的代理程式不支援對Cloud Volumes ONTAP系統的管理。

Ubuntu

24.04 LTS

3.9.45 或更高版本, NetApp控制台處於標準模式或受限模式

Docker Engine 23.06 至 28.0.0。

不支援
AWS EC2 執行個體類型

滿足上述 CPU 和 RAM 要求的執行個體類型。我們推薦 t3.2xlarge。

密鑰對

建立控制台代理程式時,您需要選擇一個 EC2 金鑰對來與執行個體一起使用。

使用 IMDSv2 時的 PUT 響應跳數限制

如果在 EC2 執行個體上啟用了 IMDSv2(這是新 EC2 執行個體的預設設定),則必須將執行個體上的 PUT 回應跳數限制變更為 3。如果您不變更 EC2 執行個體的限制,則在嘗試設定代理程式時會收到 UI 初始化錯誤。

/opt 中的磁碟空間

必須有 100 GiB 可用空間

代理使用 `/opt`安裝 `/opt/application/netapp`目錄及其內容。

/var 中的磁碟空間

必須有 20 GiB 可用空間

控制台代理需要此空間 `/var`因為 Docker 或 Podman 的設計目的是在此目錄中建立容器。具體來說,他們將在 `/var/lib/containers/storage`目錄。外部安裝或符號連結不適用於此空間。

步驟 2:安裝 Podman 或 Docker Engine

根據您的作業系統,安裝代理程式之前需要 Podman 或 Docker Engine。

範例 1. 步驟
Podman

請依照以下步驟安裝和設定 Podman:

  • 啟用並啟動 podman.socket 服務

  • 安裝python3

  • 安裝 podman-compose 軟體套件版本 1.0.6

  • 將 podman-compose 加入到 PATH 環境變量

  • 如果使用 Red Hat Enterprise Linux 8,請驗證您的 Podman 版本使用的是 Aardvark DNS 而不是 CNI

註 安裝代理程式後調整 aardvark-dns 連接埠(預設值:53),以避免 DNS 連接埠衝突。按照說明配置連接埠。
步驟

  1. 如果主機上安裝了 podman-docker 套件,請將其刪除。

    dnf remove podman-docker
rm /var/run/docker.sock

  2. 安裝 Podman。

    您可以從官方 Red Hat Enterprise Linux 儲存庫取得 Podman。

    對於 Red Hat Enterprise Linux 9:

    sudo dnf install podman-2:<version>

    其中 <version> 是您正在安裝的 Podman 支援的版本。查看支援的 Podman 版本

    對於 Red Hat Enterprise Linux 8:

    sudo dnf install podman-3:<version>

    其中 <version> 是您正在安裝的 Podman 支援的版本。查看支援的 Podman 版本

  3. 啟用並啟動 podman.socket 服務。

    sudo systemctl enable --now podman.socket

  4. 安裝 python3。

    sudo dnf install python3

  5. 如果您的系統上還沒有 EPEL 儲存庫包,請安裝它。

  6. 如果使用 Red Hat Enterprise:

    此步驟是必要的,因為 podman-compose 可從 Extra Packages for Enterprise Linux (EPEL) 儲存庫中取得。

    對於 Red Hat Enterprise Linux 9:

    sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-9.noarch.rpm

    對於 Red Hat Enterprise Linux 8:

    sudo dnf install https://dl.fedoraproject.org/pub/epel/epel-release-latest-8.noarch.rpm

  7. 安裝 podman-compose 套件 1.0.6。

    sudo dnf install podman-compose-1.0.6
    註 使用 `dnf install`指令滿足將 podman-compose 新增至 PATH 環境變數的要求。安裝指令將 podman-compose 新增至 /usr/bin,它已經包含在 `secure_path`主機上的選項。

  8. 如果使用 Red Hat Enterprise Linux 8,請驗證您的 Podman 版本是否使用具有 Aardvark DNS 的 NetAvark 而不是 CNI。

    1. 透過執行以下命令檢查您的 networkBackend 是否設定為 CNI:

      podman info | grep networkBackend

    2. 如果 networkBackend 設定為 CNI,你需要將其更改為 netavark

    3. 安裝 `netavark`和 `aardvark-dns`使用以下命令:

      dnf install aardvark-dns netavark

    4. 打開 `/etc/containers/containers.conf`檔案並修改 network_backend 選項以使用“netavark”而不是“cni”。

    如果 /etc/containers/containers.conf`不存在,請將配置變更為 `/usr/share/containers/containers.conf

  9. 重新啟動 podman。

    systemctl restart podman

  10. 使用以下命令確認 networkBackend 現在已更改為“netavark”:

    podman info | grep networkBackend
Docker 引擎

依照 Docker 的文件安裝 Docker Engine。

步驟

  1. "查看 Docker 的安裝說明"

    請依照步驟安裝支援的 Docker Engine 版本。請勿安裝最新版本,因為控制台不支援它。

  2. 驗證 Docker 是否已啟用並正在運行。

    sudo systemctl enable docker && sudo systemctl start docker

步驟 3:設定網絡

確保您打算安裝控制台代理的網路位置支援以下要求。滿足這些要求使控制台代理程式能夠管理混合雲環境中的資源和流程。

連接到目標網絡

控制台代理程式需要與您計劃建立和管理系統的位置建立網路連線。例如,您計劃在本機環境中建立Cloud Volumes ONTAP系統或儲存系統的網路。

出站互聯網訪問

部署控制台代理程式的網路位置必須具有出站網路連線才能聯絡特定端點。

使用基於 Web 的NetApp控制台時從電腦聯繫的端點

從 Web 瀏覽器存取控制台的電腦必須能夠聯絡多個端點。您需要使用控制台來設定控制台代理並進行控制台的日常使用。

"為NetApp控制台準備網絡"

從控制台代理聯繫的端點

控制台代理需要外部網路存取來聯繫以下端點,以管理公有雲環境中的資源和流程以進行日常操作。

下面列出的端點都是 CNAME 條目。

端點 目的

AWS 服務(amazonaws.com):

  • 雲形成

  • 彈性運算雲(EC2)

  • 身分和存取管理 (IAM)

  • 金鑰管理服務(KMS)

  • 安全性令牌服務 (STS)

  • 簡單儲存服務(S3)

管理 AWS 資源。端點取決於您的 AWS 區域。 "有關詳細信息,請參閱 AWS 文檔"

\ https://mysupport.netapp.com

取得許可資訊並向NetApp支援發送AutoSupport訊息。

\ https://signin.b2c.netapp.com

更新NetApp支援網站 (NSS) 憑證或將新的 NSS 憑證新增至NetApp控制台。

\ https://api.bluexp.netapp.com \ https://netapp-cloud-account.auth0.com \ https://netapp-cloud-account.us.auth0.com \ https://console.netapp.com \ https://components.console.bluexp.netapp.com \ https://cdn.auth0.com

在NetApp控制台中提供功能和服務。

\ https://bluexpinfraprod.eastus2.data.azurecr.io \ https://bluexpinfraprod.azurecr.io

取得控制台代理升級的影像。

  • 當您部署新代理程式時,驗證檢查會測試與目前端點的連線。如果你使用"先前的端點",驗證檢查失敗。為了避免此失敗,請跳過驗證檢查。

    儘管先前的端點仍然受支持,但NetApp建議盡快將防火牆規則更新至目前端點。"了解如何更新終端節點列表"

  • 當您更新到防火牆中的目前端點時,您現有的代理程式將繼續運作。
代理伺服器

NetApp支援顯式和透明代理配置。如果您使用透明代理,則只需要提供代理伺服器的憑證。如果您使用明確代理,您還需要 IP 位址和憑證。

  • IP 位址

  • 證書

  • HTTPS 憑證

連接埠

除非您啟動它或將其用作代理將AutoSupport訊息從Cloud Volumes ONTAP發送到NetApp支持,否則控制台代理不會有傳入流量。

  • HTTP(80)和 HTTPS(443)提供對本機 UI 的訪問,您會在極少數情況下使用它們。

  • 僅當需要連接到主機進行故障排除時才需要 SSH(22)。

  • 如果您在沒有外部網路連線的子網路中部署Cloud Volumes ONTAP系統,則需要透過連接埠 3128 建立入站連線。

    如果Cloud Volumes ONTAP系統沒有出站網路連線來傳送AutoSupport訊息,控制台會自動設定這些系統以使用控制台代理附帶的代理伺服器。唯一的要求是確保控制台代理的安全群組允許透過連接埠 3128 進行入站連線。部署控制台代理程式後,您需要開啟此連接埠。

啟用 NTP

如果您打算使用NetApp資料分類掃描公司資料來源,則應在控制台代理程式和NetApp資料分類系統上啟用網路時間協定 (NTP) 服務,以便系統之間的時間同步。 "了解有關NetApp資料分類的更多信息"

步驟 4:設定控制台的 AWS 權限

您需要使用下列選項之一向NetApp控制台提供 AWS 權限:

  • 選項 1:建立 IAM 原則並將政策附加到可與 EC2 執行個體關聯的 IAM 角色。

  • 選項 2:向控制台提供具有所需權限的 IAM 使用者的 AWS 存取金鑰。

依照步驟準備控制台的權限。

IAM 角色
步驟

  1. 登入 AWS 主控台並導覽至 IAM 服務。

  2. 建立策略:

    1. 選擇“策略”>“建立策略”。

    2. 選擇 JSON 並複製並貼上內容"控制台代理的 IAM 策略"

    3. 完成剩餘步驟以建立策略。

      根據您計劃使用的NetApp資料服務,您可能需要建立第二個策略。對於標準區域,權限分佈在兩個策略中。由於 AWS 中託管策略的最大字元大小限制,因此需要兩個策略。"了解有關控制台代理的 IAM 策略的更多信息"

  3. 建立 IAM 角色:

    1. 選擇*角色 > 建立角色*。

    2. 選擇 AWS 服務 > EC2

    3. 透過附加剛剛建立的策略來新增權限。

    4. 完成剩餘步驟以建立角色。

結果

安裝控制台代理程式後,您現在擁有一個可以與 EC2 執行個體關聯的 IAM 角色。

AWS 存取金鑰
步驟

  1. 登入 AWS 主控台並導覽至 IAM 服務。

  2. 建立策略:

    1. 選擇“策略”>“建立策略”。

    2. 選擇 JSON 並複製並貼上內容"控制台代理的 IAM 策略"

    3. 完成剩餘步驟以建立策略。

      根據您計劃使用的NetApp資料服務,您可能需要建立第二個策略。

    對於標準區域,權限分佈在兩個策略中。由於 AWS 中託管策略的最大字元大小限制,因此需要兩個策略。"了解有關控制台代理的 IAM 策略的更多信息"

  3. 將策略附加到 IAM 使用者。

  4. 確保使用者擁有存取金鑰,您可以在安裝控制台代理後將其新增至NetApp控制台。

結果

現在,您擁有一個具有所需權限的 IAM 使用者和一個可以提供給控制台的存取金鑰。

步驟 5:安裝控制台代理

前提條件完成後,您可以在自己的 Linux 主機上手動安裝軟體。

開始之前

您應該具有以下內容:

  • 安裝控制台代理程式的 root 權限。

  • 如果控制台代理需要代理才能存取互聯網,則提供有關代理伺服器的詳細資訊。

    您可以選擇在安裝後設定代理伺服器,但這樣做需要重新啟動控制台代理。

  • 如果代理伺服器使用 HTTPS 或代理是攔截代理,則需要 CA 簽署的憑證。

註 手動安裝控制台代理程式時,無法為透明代理伺服器設定憑證。如果需要為透明代理伺服器設定證書,則必須在安裝後使用維護控制台。詳細了解"代理維護控制台"
關於此任務

NetApp支援網站上提供的安裝程式可能是早期版本。安裝後,如果有新版本可用,控制台代理會自動更新。

步驟

  1. 如果主機上設定了 http_proxyhttps_proxy 系統變量,請將其刪除:

    unset http_proxy
unset https_proxy

    如果不刪除這些系統變量,安裝將會失敗。

  2. 從下載控制台代理軟體 "NetApp支援站點",然後將其複製到Linux主機上。

    您應該下載適用於您的網路或雲端中的「線上」代理安裝程式。

  3. 分配運行腳本的權限。

    chmod +x NetApp_Console_Agent_Cloud_<version>

    其中 <version> 是您下載的控制台代理的版本。

  4. 如果在政府雲端環境中安裝,請停用設定檢查。"了解如何停用手動安裝的設定檢查。"

  5. 運行安裝腳本。

     ./NetApp_Console_Agent_Cloud_<version> --proxy <HTTP or HTTPS proxy server> --cacert <path and file name of a CA-signed certificate>

    如果您的網路需要代理來存取互聯網,則需要新增代理資訊。您可以新增透明或顯式代理程式。 --proxy 和 --cacert 參數是可選的,系統不會提示您新增它們。如果您有代理伺服器,則需要輸入所示的參數。

    以下是使用 CA 簽章憑證設定明確代理伺服器的範例:

     ./NetApp_Console_Agent_Cloud_v4.0.0--proxy https://user:password@10.0.0.30:8080/ --cacert /tmp/cacert/certificate.cer

    `--proxy`使用下列格式之一將控制台代理程式配置為使用 HTTP 或 HTTPS 代理伺服器:

    • http://位址:埠

    • http://用戶名:密碼@地址:端口

    • http://網域%92用戶名:密碼@位址:端口

    • https://位址:埠

    • https://使用者名稱:密碼@位址:端口

    • https://網域%92用戶名:密碼@地址:端口

      請注意以下事項:

      • 使用者可以是本機使用者或網域使用者。

      • 對於網域用戶,您必須使用 \ 的 ASCII 代碼,如上所示。

      • 控制台代理不支援包含 @ 字元的使用者名稱或密碼。

      • 如果密碼包含以下任何特殊字符,則必須在該特殊字符前面加上反斜杠來轉義該特殊字符:& 或 !

        例如:

    http://bxpproxyuser:netapp1\!@網址:3128

`--cacert`指定用於控制台代理程式和代理伺服器之間的 HTTPS 存取的 CA 簽章憑證。 HTTPS代理伺服器、攔截代理伺服器、透明代理伺服器都需要此參數。

+ 下面是設定透明代理伺服器的範例。配置透明代理時,不需要定義代理伺服器。您只需將 CA 簽署的憑證新增至控制台代理主機:

+

 ./NetApp_Console_Agent_Cloud_v4.0.0 --cacert /tmp/cacert/certificate.cer

  1. 如果您使用 Podman,則需要調整 aardvark-dns 連接埠。

    1. 透過 SSH 連接到控制台代理虛擬機器。

    2. 開啟 podman /usr/share/containers/containers.conf 檔案並修改 Aardvark DNS 服務的選定連接埠。例如,將其更改為54。

      vi /usr/share/containers/containers.conf
...
# Port to use for dns forwarding daemon with netavark in rootful bridge
# mode and dns enabled.
# Using an alternate port might be useful if other DNS services should
# run on the machine.
#
dns_bind_port = 54
...
Esc:wq

    3. 重新啟動控制台代理虛擬機器。

  2. 等待安裝完成。

    安裝結束時,如果您指定了代理伺服器,控制台代理服務 (occm) 將重新啟動兩次。

註 如果安裝失敗,您可以查看安裝報告和日誌來協助您解決問題。"了解如何解決安裝問題。"

  1. 從連接到控制台代理虛擬機器的主機開啟 Web 瀏覽器並輸入以下 URL:

    https://ipaddress

  2. 登入後,設定控制台代理:

    1. 指定與控制台代理程式關聯的組織。

    2. 輸入系統的名稱。

    3. 在*您是否在安全環境中運作? *下保持限制模式為停用。

      您應該保持限制模式處於停用狀態,因為這些步驟描述如何在標準模式下使用控制台。只有當您擁有安全的環境並希望中斷此帳戶與後端服務的連線時,才應啟用受限模式。如果真是這樣的話,"依照步驟在受限模式下開始使用NetApp控制台"

    4. 選擇*讓我們開始吧*。

如果您在建立控制台代理程式的相同 AWS 帳戶中擁有 Amazon S3 儲存桶,您將看到 Amazon S3 儲存系統自動出現在 系統 頁面上。 "了解如何透過NetApp ConsoleP 管理 S3 儲存桶"

步驟 6:提供對NetApp控制台的權限

現在您已經安裝了控制台代理,您需要為控制台提供您先前設定的 AWS 權限。提供權限可讓控制台代理程式能夠管理 AWS 中的資料和儲存基礎架構。

IAM 角色

將您先前建立的 IAM 角色附加到控制台代理 EC2 執行個體。

步驟

  1. 前往 Amazon EC2 主控台。

  2. 選擇*實例*。

  3. 選擇控制台代理實例。

  4. 選擇*操作>安全性>修改 IAM 角色*。

  5. 選擇 IAM 角色並選擇 更新 IAM 角色

前往 "NetApp控制台"開始使用控制台代理。

AWS 存取金鑰

向控制台提供具有所需權限的 IAM 使用者的 AWS 存取金鑰。

步驟

  1. 確保目前在控制台中選擇了正確的控制台代理。

  2. 選擇“管理 > 憑證”。

  3. 選擇*組織憑證*。

  4. 選擇“新增憑證”並按照精靈中的步驟操作。

    1. 憑證位置:選擇*Amazon Web Services > 代理程式。

    2. 定義憑證:輸入 AWS 存取金鑰和金鑰。

    3. 市場訂閱:透過立即訂閱或選擇現有訂閱將市場訂閱與這些憑證關聯。

    4. 審核:確認有關新憑證的詳細資訊並選擇*新增*。

前往 "NetApp控制台"開始使用控制台代理。