檢視次數:
當使用部署為服務閘道實例的 File Security 虛擬裝置 (FSVA) 時,無需額外配置即可啟用 ONTAP 代理支援。掃描器 (gRPC) 和管理 (WebSocket) 端點均內建於裝置中,並預設可在埠 443 使用。

端點

服務
通訊協定
端點
通訊埠
掃描器 (gRPC) gRPC 通過 TLS <instance IP> 443
管理(WebSocket) WSS <instance IP>/ontap 443
這些對應於 ONTAP 代理程式安裝程式中的 掃描器服務端點管理服務端點 欄位。

網路需求

確保在服務閘道實例的安全群組(或等效的防火牆)上開啟以下輸入規則:
類型
通訊協定
通訊埠
來源
原因
HTTPS/WSS/gRPC TCP 443 Vscan 伺服器 IP / CIDR ONTAP 代理掃描器 + 管理流量
注意
注意
埠 443 已經是 SDK 掃瞄客戶端所需的,根據 FSVA 輸入/輸出配置。如果您之前僅對您的 SDK 客戶端 CIDR 開啟 443,請擴展來源以包含 Vscan 伺服器 IP。

測試端點

在安裝 ONTAP 代理之前,請從 Vscan 伺服器驗證兩個端點:
管理服務(預期 401 — 確認連接性,而非驗證):
websocat --exit-on-eof wss://<instance IP>/ontap
掃描服務:
tmfs scan file:<sample-file> --endpoint=<instance IP>

為 ONTAP 代理生成入門令牌

  1. sgowner身份登入服務閘道實例
  2. 尋找管理服務容器。所有 FSVA 容器都在 sg-sfs-scanner 命名空間下的單一 pod 中運行。獲取當前的 pod 名稱:
    kubectl get pods -n sg-sfs-scanner
    如需進一步對服務閘道實例進行kubectl操作,請參閱KA-0014380
  3. 進入管理服務容器:
    kubectl exec -it <pod-name> -n sg-sfs-scanner -c sg-sfs-scanner-management-service -- bash
    範例:
    kubectl exec -it sg-sfs-scanner-6db74d58c-47g5p -n sg-sfs-scanner -c sg-sfs-scanner-management-service -- bash
  4. 建立代理插槽並發行入職令牌:
    clish agent create --name <agent-name>
    clish agent onboarding-token issue --instance <agent-name>

安裝 ONTAP 代理程式

  • 安裝在 Windows Vscan 伺服器上。
  • 使用以下方式配置 ONTAP 代理:
    • 已生成的入門憑證
    • 掃描器服務端點:<instance IP>
    • 管理服務端點:<instance IP>/ontap

使用管理服務配置ONTAP代理

  1. 進入管理服務容器。
  2. 檢查用戶端連線狀態:
    clish agent show --instance <agent-name>
  3. 設定特權使用者憑證:
    clish agent credential modify --instance <agent-name>

確認

在 ONTAP 管理控制台上執行 vserver vscan connection-status show-all,並透過 clish agent show 驗證代理程式連線狀態。