從 AWS Marketplace 建立控制台代理
建議變更
PDF
步驟 1:設定網絡
確保控制台代理程式的網路位置符合以下要求以管理混合雲資源。
- VPC 和子網
-
建立控制台代理程式時,您需要指定它所在的 VPC 和子網路。
- 連接到目標網絡
-
控制台代理程式需要與您計劃建立和管理系統的位置建立網路連線。例如,您計劃在本機環境中建立Cloud Volumes ONTAP系統或儲存系統的網路。
- 出站互聯網訪問
-
部署控制台代理程式的網路位置必須具有出站網路連線才能聯絡特定端點。
- 從控制台代理聯繫的端點
-
控制台代理需要外部網路存取來聯繫以下端點,以管理公有雲環境中的資源和流程以進行日常操作。
下面列出的端點都是 CNAME 條目。
端點 目的 AWS 服務(amazonaws.com):
-
雲形成
-
彈性運算雲(EC2)
-
身分和存取管理 (IAM)
-
金鑰管理服務(KMS)
-
安全性令牌服務 (STS)
-
簡單儲存服務(S3)
管理 AWS 資源。端點取決於您的 AWS 區域。 "有關詳細信息,請參閱 AWS 文檔"
取得許可資訊並向NetApp支援發送AutoSupport訊息。
更新NetApp支援網站 (NSS) 憑證或將新的 NSS 憑證新增至NetApp控制台。
在NetApp控制台中提供功能和服務。
取得控制台代理升級的影像。
-
當您部署新代理程式時,驗證檢查會測試與目前端點的連線。如果你使用"先前的端點",驗證檢查失敗。為了避免此失敗,請跳過驗證檢查。
儘管先前的端點仍然受支持,但NetApp建議盡快將防火牆規則更新至目前端點。"了解如何更新終端節點列表" 。
-
當您更新到防火牆中的目前端點時,您現有的代理程式將繼續運作。
-
- 代理伺服器
-
NetApp支援顯式和透明代理配置。如果您使用透明代理,則只需要提供代理伺服器的憑證。如果您使用明確代理,您還需要 IP 位址和憑證。
-
IP 位址
-
證書
-
HTTPS 憑證
-
- 連接埠
-
除非您啟動它或將其用作代理將AutoSupport訊息從Cloud Volumes ONTAP發送到NetApp支持,否則控制台代理不會有傳入流量。
-
HTTP(80)和 HTTPS(443)提供對本機 UI 的訪問,您會在極少數情況下使用它們。
-
僅當需要連接到主機進行故障排除時才需要 SSH(22)。
-
如果您在沒有外部網路連線的子網路中部署Cloud Volumes ONTAP系統,則需要透過連接埠 3128 建立入站連線。
如果Cloud Volumes ONTAP系統沒有出站網路連線來傳送AutoSupport訊息,控制台會自動設定這些系統以使用控制台代理附帶的代理伺服器。唯一的要求是確保控制台代理的安全群組允許透過連接埠 3128 進行入站連線。部署控制台代理程式後,您需要開啟此連接埠。
-
- 啟用 NTP
-
如果您打算使用NetApp資料分類掃描公司資料來源,則應在控制台代理程式和NetApp資料分類系統上啟用網路時間協定 (NTP) 服務,以便系統之間的時間同步。 "了解有關NetApp資料分類的更多信息"
建立控制台代理程式後實現此網路存取。
步驟 2:設定 AWS 權限
為了準備市場部署,請在 AWS 中建立 IAM 策略並將其附加到 IAM 角色。當您從 AWS Marketplace 建立控制台代理程式時,系統會提示您選擇該 IAM 角色。
-
登入 AWS 主控台並導覽至 IAM 服務。
-
建立策略:
-
選擇“策略”>“建立策略”。
-
選擇 JSON 並複製並貼上內容"控制台代理的 IAM 策略"。
-
完成剩餘步驟以建立策略。
您可能需要根據計劃使用的NetApp資料服務建立第二個策略。對於標準區域,權限分佈在兩個策略中。由於 AWS 中託管策略的最大字元大小限制,因此需要兩個策略。"了解有關控制台代理的 IAM 策略的更多信息" 。
-
-
建立 IAM 角色:
-
選擇*角色 > 建立角色*。
-
選擇 AWS 服務 > EC2。
-
透過附加剛剛建立的策略來新增權限。
-
完成剩餘步驟以建立角色。
-
現在,您擁有一個 IAM 角色,可以在從 AWS Marketplace 部署期間將其與 EC2 執行個體關聯。
步驟 3:檢視實例要求
建立控制台代理程式時,您需要選擇符合下列要求的 EC2 執行個體類型。
- 中央處理器
-
8 個核心或 8 個 vCPU
- 記憶體
-
32GB
- AWS EC2 執行個體類型
-
滿足上述 CPU 和 RAM 要求的執行個體類型。我們推薦 t3.2xlarge。
步驟 4:建立控制台代理
直接從 AWS Marketplace 建立控制台代理。
從 AWS Marketplace 建立控制台代理程式會使用預設配置在 AWS 中部署 EC2 執行個體。"了解控制台代理的預設配置" 。
您應該具有以下內容:
-
滿足組網需求的VPC及子網路。
-
具有附加策略的 IAM 角色,其中包含控制台代理程式所需的權限。
-
您的 IAM 使用者訂閱並取消訂閱 AWS Marketplace 的權限。
-
了解執行個體的 CPU 和 RAM 需求。
-
EC2 執行個體的金鑰對。
-
在市場頁面上,選擇*繼續訂閱*。
-
若要訂閱軟體,請選擇*接受條款*。
訂閱過程可能需要幾分鐘。
-
訂閱程序完成後,選擇*繼續配置*。
-
在*配置此軟體*頁面上,確保您選擇了正確的區域,然後選擇*繼續啟動*。
-
在*啟動此軟體*頁面的*選擇操作*下,選擇*透過 EC2 啟動*,然後選擇*啟動*。
使用 EC2 控制台啟動執行個體並附加 IAM 角色。使用「從網站啟動」操作無法實現這一點。
-
依照提示配置並部署實例:
-
名稱和標籤:輸入實例的名稱和標籤。
-
應用程式和作業系統映像:跳過此部分。控制台代理程式 AMI 已被選取。
-
執行個體類型:根據區域可用性,選擇符合 RAM 和 CPU 要求的執行個體類型(預先選擇並建議 t3.2xlarge)。
-
金鑰對(登入):選擇您想要用來安全地連線到執行個體的金鑰對。
-
網路設定:依需求編輯網路設定:
-
選擇所需的 VPC 和子網路。
-
指定執行個體是否應具有公用 IP 位址。
-
指定安全性群組設置,以啟用控制台代理實例所需的連接方法:SSH、HTTP 和 HTTPS。
-
-
配置儲存:保留根磁碟區的預設大小和磁碟類型。
如果要在根磁碟區上啟用 Amazon EBS 加密,請選擇 進階,展開 磁碟區 1,選擇 加密,然後選擇 KMS 金鑰。
-
進階詳細資料:在 IAM 實例設定檔 下,選擇包含控制台代理程式所需權限的 IAM 角色。
-
摘要:查看摘要並選擇*啟動實例*。
AWS 使用指定的設定啟動控制台代理,控制台代理將在大約十分鐘內運作。
如果安裝失敗,您可以查看日誌和報告來幫助您排除故障。"了解如何解決安裝問題。" -
-
從連接到控制台代理虛擬機器並具有控制台代理 URL 的主機開啟 Web 瀏覽器。
-
登入後,設定控制台代理:
-
指定與控制台代理程式關聯的控制台組織。
-
輸入系統的名稱。
-
在*您是否在安全環境中運作? *下保持限制模式為停用。
保持限制模式處於停用狀態以便在標準模式下使用控制台。只有當您擁有安全的環境並希望中斷此帳戶與控制台後端服務的連線時,才應啟用受限模式。如果真是這樣的話,"依照步驟在受限模式下開始使用NetApp控制台" 。
-
選擇*讓我們開始吧*。
-
控制台代理現在已安裝並設定到您的控制台組織。
開啟 Web 瀏覽器並前往 "NetApp控制台"開始將控制台代理與控制台一起使用。
如果您在建立控制台代理程式的相同 AWS 帳戶中擁有 Amazon S3 儲存桶,您將看到 Amazon S3 工作環境自動出現在 系統 頁面上。 "了解如何從NetApp控制台管理 S3 儲存桶"