當使用部署為服務閘道實例的 File Security 虛擬裝置 (FSVA) 時,無需額外配置即可啟用 ONTAP 代理支援。掃描器 (gRPC) 和管理 (WebSocket)
端點均內建於裝置中,並預設可在埠 443 使用。
端點
|
服務
|
通訊協定
|
端點
|
通訊埠
|
| 掃描器 (gRPC) | gRPC 通過 TLS | <instance IP> |
443 |
| 管理(WebSocket) | WSS | <instance IP>/ontap |
443 |
這些對應於 ONTAP 代理程式安裝程式中的 掃描器服務端點 和 管理服務端點 欄位。
網路需求
確保在服務閘道實例的安全群組(或等效的防火牆)上開啟以下輸入規則:
|
類型
|
通訊協定
|
通訊埠
|
來源
|
原因
|
| HTTPS/WSS/gRPC | TCP | 443 | Vscan 伺服器 IP / CIDR | ONTAP 代理掃描器 + 管理流量 |
注意埠 443 已經是 SDK 掃瞄客戶端所需的,根據 FSVA 輸入/輸出配置。如果您之前僅對您的 SDK 客戶端 CIDR 開啟 443,請擴展來源以包含 Vscan 伺服器 IP。
|
測試端點
在安裝 ONTAP 代理之前,請從 Vscan 伺服器驗證兩個端點:
管理服務(預期 401 — 確認連接性,而非驗證):
websocat --exit-on-eof wss://<instance IP>/ontap
掃描服務:
tmfs scan file:<sample-file> --endpoint=<instance IP>
為 ONTAP 代理生成入門令牌
-
以
sgowner身份登入服務閘道實例 -
尋找管理服務容器。所有 FSVA 容器都在
sg-sfs-scanner命名空間下的單一 pod 中運行。獲取當前的 pod 名稱:kubectl get pods -n sg-sfs-scanner
如需進一步對服務閘道實例進行kubectl操作,請參閱KA-0014380。 -
進入管理服務容器:
kubectl exec -it <pod-name> -n sg-sfs-scanner -c sg-sfs-scanner-management-service -- bash
範例:kubectl exec -it sg-sfs-scanner-6db74d58c-47g5p -n sg-sfs-scanner -c sg-sfs-scanner-management-service -- bash
-
建立代理插槽並發行入職令牌:
clish agent create --name <agent-name> clish agent onboarding-token issue --instance <agent-name>
安裝 ONTAP 代理程式
-
安裝在 Windows Vscan 伺服器上。
-
使用以下方式配置 ONTAP 代理:
-
已生成的入門憑證
-
掃描器服務端點:
<instance IP> -
管理服務端點:
<instance IP>/ontap
-
使用管理服務配置ONTAP代理
-
進入管理服務容器。
-
檢查用戶端連線狀態:
clish agent show --instance <agent-name>
-
設定特權使用者憑證:
clish agent credential modify --instance <agent-name>
確認
在 ONTAP 管理控制台上執行
vserver vscan connection-status show-all,並透過 clish agent show 驗證代理程式連線狀態。
