Netzwerkanforderungen für die Implementierung und das Management von Cloud Volumes ONTAP in Azure
Änderungen vorschlagen
PDFs
Richten Sie Ihr Azure Netzwerk ein, um Cloud Volumes ONTAP Systeme ordnungsgemäß funktionieren zu können. Dazu gehört auch die Vernetzung von Connector und Cloud Volumes ONTAP.
Anforderungen für Cloud Volumes ONTAP
Die folgenden Netzwerkanforderungen müssen in Azure erfüllt werden.
- Outbound-Internetzugang für Cloud Volumes ONTAP
-
Cloud Volumes ONTAP erfordert ausgehenden Internetzugang, um Nachrichten an NetApp AutoSupport zu senden, der proaktiv den Zustand Ihres Storage überwacht.
Routing- und Firewall-Richtlinien müssen HTTP-/HTTPS-Datenverkehr an die folgenden Endpunkte ermöglichen, damit Cloud Volumes ONTAP AutoSupport-Meldungen senden kann:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
-
- Sicherheitsgruppen
-
Sie müssen keine Sicherheitsgruppen erstellen, da Cloud Manager dies für Sie tut. Wenn Sie Ihre eigene Verwendung benötigen, lesen Sie die unten aufgeführten Sicherheitsgruppenregeln.
- Anzahl der IP-Adressen
-
Cloud Manager weist Cloud Volumes ONTAP in Azure die folgende Anzahl von IP-Adressen zu:
-
Single Node: 5 IP-Adressen
-
HA-Paar: 16 IP-Adressen
Cloud Manager erstellt eine SVM-Management-LIF auf HA-Paare, jedoch nicht auf Systemen mit einem einzelnen Node in Azure.
Ein LIF ist eine IP-Adresse, die einem physischen Port zugewiesen ist. Für Managementtools wie SnapCenter ist eine SVM-Management-LIF erforderlich.
-
- Verbindung von Cloud Volumes ONTAP zu Azure Blob Storage für Data Tiering
-
Wenn Sie „kalte“ Daten für den Azure Blob Storage Tiering möchten, müssen Sie keine Verbindung zwischen der Performance-Tier und der Kapazitäts-Tier einrichten, solange Cloud Manager über die erforderlichen Berechtigungen verfügt. Cloud Manager unterstützt ein vnet-Service-Endpunkt für Sie, wenn die Cloud Manager-Richtlinie über die folgenden Berechtigungen verfügt:
"Microsoft.Network/virtualNetworks/subnets/write", "Microsoft.Network/routeTables/join/action",Diese Berechtigungen sind in der neuesten enthalten "Cloud Manager-Richtlinie".
Weitere Informationen zum Einrichten von Daten-Tiering finden Sie unter "Tiering von kalten Daten auf kostengünstigen Objekt-Storage".
- Verbindungen zu ONTAP Systemen in anderen Netzwerken
-
Um Daten zwischen einem Cloud Volumes ONTAP System in Azure und ONTAP Systemen in anderen Netzwerken zu replizieren, müssen Sie über eine VPN-Verbindung zwischen Azure VNet und dem anderen Netzwerk verfügen, z. B. einem AWS VPC oder Ihrem Unternehmensnetzwerk.
Anweisungen finden Sie unter "Microsoft Azure Dokumentation: Erstellen Sie eine Site-to-Site-Verbindung im Azure-Portal".
Anforderungen an den Steckverbinder
Richten Sie Ihr Netzwerk ein, damit der Connector Ressourcen und Prozesse in Ihrer Public Cloud-Umgebung managen kann. Der wichtigste Schritt besteht darin, ausgehenden Internetzugriff auf verschiedene Endpunkte zu gewährleisten.
|
|
Wenn Ihr Netzwerk für die gesamte Kommunikation mit dem Internet einen Proxyserver verwendet, können Sie den Proxyserver über die Seite Einstellungen angeben. Siehe "Konfigurieren des Connectors für die Verwendung eines Proxy-Servers". |
Verbindungen zu Zielnetzwerken
Für einen Connector ist eine Netzwerkverbindung zu den VPCs und VNets erforderlich, in denen Cloud Volumes ONTAP bereitgestellt werden soll.
Wenn Sie beispielsweise einen Connector in Ihrem Unternehmensnetzwerk installieren, müssen Sie eine VPN-Verbindung zur VPC oder vnet einrichten, in der Sie Cloud Volumes ONTAP starten.
Outbound-Internetzugang
Für den Connector ist ein abgehender Internetzugang erforderlich, um Ressourcen und Prozesse in Ihrer Public Cloud-Umgebung zu managen. Ein Connector kontaktiert folgende Endpunkte beim Managen von Ressourcen in Azure:
| Endpunkte | Zweck |
|---|---|
https://management.azure.com https://login.microsoftonline.com |
Ermöglicht Cloud Manager die Implementierung und das Management von Cloud Volumes ONTAP in den meisten Azure Regionen. |
https://management.microsoftazure.de https://login.microsoftonline.de |
Ermöglicht Cloud Manager die Implementierung und das Management von Cloud Volumes ONTAP in den Azure Germany Regionen. |
https://management.usgovcloudapi.net https://login.microsoftonline.com |
Ermöglicht Cloud Manager die Implementierung und das Management von Cloud Volumes ONTAP in den Azure US Gov Regionen. |
https://api.services.cloud.netapp.com:443 |
API-Anfragen an NetApp Cloud Central. |
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com |
Bietet Zugriff auf Software-Images, Manifeste und Vorlagen. |
https://repo.cloud.support.netapp.com |
Wird zum Herunterladen der Abhängigkeiten von Cloud Manager verwendet. |
http://repo.mysql.com/ |
Zum Herunterladen von MySQL. |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
Cloud Manager kann Manifeste, Vorlagen und Cloud Volumes ONTAP Upgrade-Images abrufen und herunterladen. |
https://cloudmanagerinfraprod.azurecr.io |
Zugriff auf Software-Images von Container-Komponenten für eine Infrastruktur, die Docker ausführt und eine Lösung für die Service-Integration mit Cloud Manager bietet. |
https://kinesis.us-east-1.amazonaws.com |
Ermöglicht NetApp das Streamen von Daten aus Audit-Datensätzen. |
https://cloudmanager.cloud.netapp.com |
Kommunikation mit dem Cloud Manager-Service, der Cloud Central-Konten einschließt |
https://netapp-cloud-account.auth0.com |
Kommunikation mit NetApp Cloud Central für zentralisierte Benutzerauthentifizierung |
https://mysupport.netapp.com |
Kommunikation mit NetApp AutoSupport. |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
Kommunikation mit NetApp bei Systemlizenzrechten und Support-Registrierung |
https://ipa-signer.cloudmanager.netapp.com |
Ermöglicht Cloud Manager die Generierung von Lizenzen (beispielsweise eine FlexCache Lizenz für Cloud Volumes ONTAP) |
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
Erforderlich, um Cloud Volumes ONTAP Systeme mit einem Kubernetes Cluster zu verbinden Mit den Endpunkten ist die Installation von NetApp Trident möglich. |
*.blob.core.windows.net |
Bei Verwendung eines Proxy erforderlich für HA-Paare |
Verschiedene Standorte von Drittanbietern, z. B.:
An Standorten von Drittanbietern können Änderungen vorgenommen werden. |
Während Upgrades lädt Cloud Manager die neuesten Pakete für Abhängigkeiten von Drittanbietern herunter. |
Während Sie fast alle Aufgaben über die SaaS-Benutzeroberfläche ausführen sollten, steht auf dem Connector weiterhin eine lokale Benutzeroberfläche zur Verfügung. Die Maschine, auf der der Webbrowser ausgeführt wird, muss über Verbindungen zu den folgenden Endpunkten verfügen:
| Endpunkte | Zweck |
|---|---|
Der Connector-Host |
Sie müssen die IP-Adresse des Hosts aus einem Webbrowser eingeben, um die Cloud Manager-Konsole zu laden. Je nach Ihrer Verbindung mit Ihrem Cloud-Provider können Sie die private IP oder eine dem Host zugewiesene öffentliche IP verwenden:
In jedem Fall sollten Sie den Netzwerkzugriff sichern, indem Sie sicherstellen, dass die Sicherheitsgruppenregeln den Zugriff nur von autorisierten IPs oder Subnetzen ermöglichen. |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
Ihr Webbrowser stellt über NetApp Cloud Central eine Verbindung zu diesen Endpunkten her, um eine zentralisierte Benutzerauthentifizierung zu ermöglichen. |
https://widget.intercom.io |
Für Ihren Produkt-Chat, der Ihnen das Gespräch mit NetApp Cloud-Experten ermöglicht. |
Regeln für Sicherheitsgruppen für Cloud Volumes ONTAP
Cloud Manager erstellt Azure-Sicherheitsgruppen mit den ein- und ausgehenden Regeln, die für den erfolgreichen Betrieb von Cloud Volumes ONTAP erforderlich sind. Sie können die Ports zu Testzwecken oder zur Verwendung eigener Sicherheitsgruppen verwenden.
Die Sicherheitsgruppe für Cloud Volumes ONTAP erfordert sowohl eingehende als auch ausgehende Regeln.
Eingehende Regeln für Single-Node-Systeme
Die unten aufgeführten Regeln erlauben den Datenverkehr, es sei denn, die Beschreibung stellt fest, dass bestimmte eingehende Daten blockiert werden.
| Priorität und Name | Port und Protokoll | Quelle und Ziel | Beschreibung |
|---|---|---|---|
1000 Inbound_SSH |
22 TCP |
Beliebige Art |
SSH-Zugriff auf die IP-Adresse der Cluster Management LIF oder einer Node Management LIF |
1001 Inbound_http |
80 TCP |
Beliebige Art |
HTTP-Zugriff auf die System Manager Webkonsole mit der IP-Adresse der Cluster-Management-LIF |
1002 Inbound_111_tcp |
111 TCP |
Beliebige Art |
Remote-Prozeduraufruf für NFS |
1003 Inbound_111_udp |
111 UDP |
Beliebige Art |
Remote-Prozeduraufruf für NFS |
1004 eingehend_139 |
139 TCP |
Beliebige Art |
NetBIOS-Servicesitzung für CIFS |
1005 Inbound_161-162 _tcp |
161-162 TCP |
Beliebige Art |
Einfaches Netzwerkverwaltungsprotokoll |
1006 Inbound_161-162 _udp |
161-162 UDP |
Beliebige Art |
Einfaches Netzwerkverwaltungsprotokoll |
1007 eingehend_443 |
443 TCP |
Beliebige Art |
HTTPS-Zugriff auf die System Manager-Webkonsole unter Verwendung der IP-Adresse der Cluster-Management-LIF |
1008 eingehend_445 |
445 TCP |
Beliebige Art |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
1009 Inbound_635_tcp |
635 TCP |
Beliebige Art |
NFS-Mount |
1010 Inbound_635_udp |
635 UDP |
Beliebige Art |
NFS-Mount |
1011 eingehend_749 |
749 TCP |
Beliebige Art |
Kerberos |
1012 Inbound_2049_tcp |
2049 TCP |
Beliebige Art |
NFS-Server-Daemon |
1013 Inbound_2049_udp |
2049 UDP |
Beliebige Art |
NFS-Server-Daemon |
1014 eingehend_3260 |
3260 TCP |
Beliebige Art |
ISCSI-Zugriff über die iSCSI-Daten-LIF |
1015 Inbound_4045-4046_tcp |
4045-4046 TCP |
Beliebige Art |
NFS Lock Daemon und Network Status Monitor |
1016 Inbound_4045-4046_udp |
4045-4046 UDP |
Beliebige Art |
NFS Lock Daemon und Network Status Monitor |
1017 eingehend_10000 |
10000 TCP |
Beliebige Art |
Backup mit NDMP |
1018 eingehend_11104-11105 |
11104-11105 TCP |
Beliebige Art |
SnapMirror Datenübertragung |
3000 Inbound_Deny_all_tcp |
Alle TCP-Ports |
Beliebige Art |
Blockieren Sie den gesamten anderen TCP-eingehenden Datenverkehr |
3001 Inbound_Deny_all_udp |
Alle Ports UDP |
Beliebige Art |
Alle anderen UDP-eingehenden Datenverkehr blockieren |
65000 AllowVnetInBound |
Alle Ports und Protokolle |
VirtualNetwork zu VirtualNetwork |
Eingehender Verkehr aus dem vnet |
65001 AllowAzureLoad BalancerInBound |
Alle Ports und Protokolle |
AzureLoadBalancer zu jedem |
Datenverkehr vom Azure Standard Load Balancer |
65500 DenyAllInBound |
Alle Ports und Protokolle |
Beliebige Art |
Alle anderen eingehenden Datenverkehr blockieren |
Eingehende Regeln für HA-Systeme
Die unten aufgeführten Regeln erlauben den Datenverkehr, es sei denn, die Beschreibung stellt fest, dass bestimmte eingehende Daten blockiert werden.
|
HA-Systeme weisen weniger eingehende Regeln als Systeme mit einzelnen Nodes auf, da eingehender Datenverkehr durch den Azure Standard Load Balancer geleitet wird. Aus diesem Grund sollte der Verkehr aus dem Load Balancer geöffnet sein, wie in der Regel "AllowAzureLoadBalancerInBound" gezeigt. |
| Priorität und Name | Port und Protokoll | Quelle und Ziel | Beschreibung |
|---|---|---|---|
100 eingehend_443 |
443 beliebiges Protokoll |
Beliebige Art |
HTTPS-Zugriff auf die System Manager-Webkonsole unter Verwendung der IP-Adresse der Cluster-Management-LIF |
101 Inbound_111_tcp |
111 beliebiges Protokoll |
Beliebige Art |
Remote-Prozeduraufruf für NFS |
102 Inbound_2049_tcp |
2049 beliebiges Protokoll |
Beliebige Art |
NFS-Server-Daemon |
111 Inbound_SSH |
22 beliebiges Protokoll |
Beliebige Art |
SSH-Zugriff auf die IP-Adresse der Cluster Management LIF oder einer Node Management LIF |
121 eingehend_53 |
53 beliebiges Protokoll |
Beliebige Art |
DNS und CIFS |
65000 AllowVnetInBound |
Alle Ports und Protokolle |
VirtualNetwork zu VirtualNetwork |
Eingehender Verkehr aus dem vnet |
65001 AllowAzureLoad BalancerInBound |
Alle Ports und Protokolle |
AzureLoadBalancer zu jedem |
Datenverkehr vom Azure Standard Load Balancer |
65500 DenyAllInBound |
Alle Ports und Protokolle |
Beliebige Art |
Alle anderen eingehenden Datenverkehr blockieren |
Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.
Grundlegende Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP enthält die folgenden ausgehenden Regeln.
| Port | Protokoll | Zweck |
|---|---|---|
Alle |
Alle TCP |
Gesamter abgehender Datenverkehr |
Alle |
Alle UDP-Protokolle |
Gesamter abgehender Datenverkehr |
Erweiterte Outbound-Regeln
Wenn Sie strenge Regeln für ausgehenden Datenverkehr benötigen, können Sie mit den folgenden Informationen nur die Ports öffnen, die für die ausgehende Kommunikation durch Cloud Volumes ONTAP erforderlich sind.
|
|
Die Quelle ist die Schnittstelle (IP-Adresse) auf dem Cloud Volumes ONTAP System. |
| Service | Port | Protokoll | Quelle | Ziel | Zweck |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
137 |
UDP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
138 |
UDP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
139 |
TCP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
389 |
TCP UND UDP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
LDAP |
|
445 |
TCP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
464 |
TCP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
464 |
UDP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
749 |
TCP |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS) |
|
88 |
TCP |
Daten-LIF (NFS, CIFS, iSCSI) |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
|
137 |
UDP |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
138 |
UDP |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
139 |
TCP |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
389 |
TCP UND UDP |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
LDAP |
|
445 |
TCP |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
464 |
TCP |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
464 |
UDP |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
749 |
TCP |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V - Passwort ändern und festlegen (RPCSEC_GSS) |
|
DHCP |
68 |
UDP |
Node Management-LIF |
DHCP |
DHCP-Client für die erstmalige Einrichtung |
DHCPS |
67 |
UDP |
Node Management-LIF |
DHCP |
DHCP-Server |
DNS |
53 |
UDP |
Node Management LIF und Daten LIF (NFS, CIFS) |
DNS |
DNS |
NDMP |
18600-18699 |
TCP |
Node Management-LIF |
Zielserver |
NDMP-Kopie |
SMTP |
25 |
TCP |
Node Management-LIF |
Mailserver |
SMTP-Warnungen können für AutoSupport verwendet werden |
SNMP |
161 |
TCP |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
161 |
UDP |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
162 |
TCP |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
162 |
UDP |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
SnapMirror |
11104 |
TCP |
Intercluster-LIF |
ONTAP Intercluster-LIFs |
Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror |
11105 |
TCP |
Intercluster-LIF |
ONTAP Intercluster-LIFs |
SnapMirror Datenübertragung |
|
Syslog |
514 |
UDP |
Node Management-LIF |
Syslog-Server |
Syslog-Weiterleitungsmeldungen |
Sicherheitsgruppenregeln für den Konnektor
Die Sicherheitsgruppe für den Konnektor erfordert sowohl ein- als auch ausgehende Regeln.
Regeln für eingehende Anrufe
Die Quelle für eingehende Regeln in der vordefinierten Sicherheitsgruppe ist 0.0.0.0/0.
| Port | Protokoll | Zweck |
|---|---|---|
22 |
SSH |
Bietet SSH-Zugriff auf den Connector-Host |
80 |
HTTP |
Bietet HTTP-Zugriff von Client-Webbrowsern auf die lokale Benutzeroberfläche |
443 |
HTTPS |
Bietet HTTPS-Zugriff von Client-Webbrowsern auf die lokale Benutzeroberfläche |
Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für den Konnektor öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.
Grundlegende Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für den Connector enthält die folgenden ausgehenden Regeln.
| Port | Protokoll | Zweck |
|---|---|---|
Alle |
Alle TCP |
Gesamter abgehender Datenverkehr |
Alle |
Alle UDP-Protokolle |
Gesamter abgehender Datenverkehr |
Erweiterte Outbound-Regeln
Wenn Sie starre Regeln für ausgehenden Datenverkehr benötigen, können Sie die folgenden Informationen verwenden, um nur die Ports zu öffnen, die für die ausgehende Kommunikation durch den Konnektor erforderlich sind.
|
|
Die Quell-IP-Adresse ist der Connector-Host. |
| Service | Port | Protokoll | Ziel | Zweck |
|---|---|---|---|---|
Active Directory |
88 |
TCP |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
139 |
TCP |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
389 |
TCP |
Active Directory-Gesamtstruktur |
LDAP |
|
445 |
TCP |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
464 |
TCP |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
749 |
TCP |
Active Directory-Gesamtstruktur |
Active Directory Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS) |
|
137 |
UDP |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
138 |
UDP |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
464 |
UDP |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
API-Aufrufe und AutoSupport |
443 |
HTTPS |
Outbound-Internet und ONTAP Cluster Management LIF |
API-Aufrufe an AWS und ONTAP und Senden von AutoSupport Nachrichten an NetApp |
API-Aufrufe |
3000 |
TCP |
ONTAP Cluster Management LIF |
API-Aufrufe für ONTAP |
DNS |
53 |
UDP |
DNS |
Wird für die DNS-Auflösung durch Cloud Manager verwendet |