Netzwerkanforderungen für die Implementierung und das Management von Cloud Volumes ONTAP in GCP
Richten Sie das Netzwerk Ihrer Google Cloud-Plattform ein, damit Cloud Volumes ONTAP-Systeme ordnungsgemäß funktionieren können. Dazu gehört auch die Vernetzung von Connector und Cloud Volumes ONTAP.
Anforderungen für Cloud Volumes ONTAP
Die folgenden Anforderungen müssen in GCP erfüllt sein.
- Virtuelle Private Cloud
-
Cloud Volumes ONTAP und der Connector werden in einer gemeinsamen Google Cloud VPC und auch in nicht-freigegebenen VPCs unterstützt.
Mit einer gemeinsam genutzten VPC können Sie virtuelle Netzwerke über mehrere Projekte hinweg konfigurieren und zentral managen. Sie können freigegebene VPC-Netzwerke im_Host-Projekt_ einrichten und die Instanzen von Connector und Cloud Volumes ONTAP Virtual Machine in einem Service-Projekt implementieren. "Google Cloud-Dokumentation: Gemeinsame VPC-Übersicht".
Die einzige Anforderung bei der Verwendung einer gemeinsamen VPC ist die "Benutzerrolle für das Netzwerk wird berechnet" An das Konnektor-Dienstkonto. Cloud Manager benötigt diese Berechtigungen, um Firewalls, VPC und Subnetze im Host-Projekt abzufragen.
- Outbound-Internetzugang für Cloud Volumes ONTAP
-
Cloud Volumes ONTAP erfordert ausgehenden Internetzugang, um Nachrichten an NetApp AutoSupport zu senden, der proaktiv den Zustand Ihres Storage überwacht.
Routing- und Firewall-Richtlinien müssen HTTP-/HTTPS-Datenverkehr an die folgenden Endpunkte ermöglichen, damit Cloud Volumes ONTAP AutoSupport-Meldungen senden kann:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
-
- Anzahl der IP-Adressen
-
Cloud Manager weist Cloud Volumes ONTAP in GCP 5 IP-Adressen zu.
Beachten Sie, dass Cloud Manager keine SVM-Management-LIF für Cloud Volumes ONTAP in GCP erstellt.
Ein LIF ist eine IP-Adresse, die einem physischen Port zugewiesen ist. Für Managementtools wie SnapCenter ist eine SVM-Management-LIF erforderlich. - Firewall-Regeln
-
Sie müssen keine Firewall-Regeln erstellen, weil Cloud Manager das für Sie macht. Wenn Sie Ihre eigene verwenden müssen, beachten Sie die unten aufgeführten Firewall-Regeln.
- Verbindung von Cloud Volumes ONTAP zu Google Cloud Storage für Daten-Tiering
-
Wenn „kalte“ Daten in einen Google Cloud Storage Bucket verschoben werden sollen, muss das Subnetz, in dem Cloud Volumes ONTAP residiert, für privaten Google Zugriff konfiguriert sein. Anweisungen finden Sie unter "Google Cloud-Dokumentation: Privaten Google Access konfigurieren".
Weitere Schritte zur Einrichtung von Daten-Tiering in Cloud Manager finden Sie unter "Tiering von kalten Daten auf kostengünstigen Objekt-Storage".
- Verbindungen zu ONTAP Systemen in anderen Netzwerken
-
Zur Replizierung von Daten zwischen einem Cloud Volumes ONTAP System in GCP und ONTAP Systemen in anderen Netzwerken müssen Sie eine VPN-Verbindung zwischen der VPC und dem anderen Netzwerk herstellen, beispielsweise mit dem Unternehmensnetzwerk.
Anweisungen finden Sie unter "Google Cloud Dokumentation: Cloud VPN Übersicht".
Anforderungen an den Steckverbinder
Richten Sie Ihr Netzwerk ein, damit der Connector Ressourcen und Prozesse in Ihrer Public Cloud-Umgebung managen kann. Der wichtigste Schritt besteht darin, ausgehenden Internetzugriff auf verschiedene Endpunkte zu gewährleisten.
Wenn Ihr Netzwerk für die gesamte Kommunikation mit dem Internet einen Proxyserver verwendet, können Sie den Proxyserver über die Seite Einstellungen angeben. Siehe "Konfigurieren des Connectors für die Verwendung eines Proxy-Servers". |
Verbindung zu Zielnetzwerken
Für einen Connector ist eine Netzwerkverbindung zu den VPCs und VNets erforderlich, in denen Cloud Volumes ONTAP bereitgestellt werden soll.
Wenn Sie beispielsweise einen Connector in Ihrem Unternehmensnetzwerk installieren, müssen Sie eine VPN-Verbindung zur VPC oder vnet einrichten, in der Sie Cloud Volumes ONTAP starten.
Outbound-Internetzugang
Für den Connector ist ein abgehender Internetzugang erforderlich, um Ressourcen und Prozesse in Ihrer Public Cloud-Umgebung zu managen. Ein Connector kontaktiert die folgenden Endpunkte beim Management von Ressourcen in GCP:
Endpunkte | Zweck |
---|---|
https://www.googleapis.com |
Ermöglicht dem Connector den Kontakt zu Google APIs für die Bereitstellung und das Management von Cloud Volumes ONTAP in GCP. |
https://api.services.cloud.netapp.com:443 |
API-Anfragen an NetApp Cloud Central. |
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com |
Bietet Zugriff auf Software-Images, Manifeste und Vorlagen. |
https://repo.cloud.support.netapp.com |
Wird zum Herunterladen der Abhängigkeiten von Cloud Manager verwendet. |
http://repo.mysql.com/ |
Zum Herunterladen von MySQL. |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
Ermöglicht dem Connector, auf Manifeste, Vorlagen und Cloud Volumes ONTAP Upgrade-Images zuzugreifen und diese herunterzuladen. |
https://cloudmanagerinfraprod.azurecr.io |
Zugriff auf Software-Images von Container-Komponenten für eine Infrastruktur, die Docker ausführt und eine Lösung für die Service-Integration mit Cloud Manager bietet. |
https://kinesis.us-east-1.amazonaws.com |
Ermöglicht NetApp das Streamen von Daten aus Audit-Datensätzen. |
https://cloudmanager.cloud.netapp.com |
Kommunikation mit dem Cloud Manager-Service, der Cloud Central-Konten einschließt |
https://netapp-cloud-account.auth0.com |
Kommunikation mit NetApp Cloud Central für zentralisierte Benutzerauthentifizierung |
https://mysupport.netapp.com |
Kommunikation mit NetApp AutoSupport. |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
Kommunikation mit NetApp bei Systemlizenzrechten und Support-Registrierung |
https://ipa-signer.cloudmanager.netapp.com |
Ermöglicht Cloud Manager die Generierung von Lizenzen (beispielsweise eine FlexCache Lizenz für Cloud Volumes ONTAP) |
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
Erforderlich, um Cloud Volumes ONTAP Systeme mit einem Kubernetes Cluster zu verbinden Mit den Endpunkten ist die Installation von NetApp Trident möglich. |
Verschiedene Standorte von Drittanbietern, z. B.:
An Standorten von Drittanbietern können Änderungen vorgenommen werden. |
Während Upgrades lädt Cloud Manager die neuesten Pakete für Abhängigkeiten von Drittanbietern herunter. |
Während Sie fast alle Aufgaben über die SaaS-Benutzeroberfläche ausführen sollten, steht auf dem Connector weiterhin eine lokale Benutzeroberfläche zur Verfügung. Die Maschine, auf der der Webbrowser ausgeführt wird, muss über Verbindungen zu den folgenden Endpunkten verfügen:
Endpunkte | Zweck |
---|---|
Der Connector-Host |
Sie müssen die IP-Adresse des Hosts aus einem Webbrowser eingeben, um die Cloud Manager-Konsole zu laden. Je nach Ihrer Verbindung mit Ihrem Cloud-Provider können Sie die private IP oder eine dem Host zugewiesene öffentliche IP verwenden:
In jedem Fall sollten Sie den Netzwerkzugriff sichern, indem Sie sicherstellen, dass die Sicherheitsgruppenregeln den Zugriff nur von autorisierten IPs oder Subnetzen ermöglichen. |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
Ihr Webbrowser stellt über NetApp Cloud Central eine Verbindung zu diesen Endpunkten her, um eine zentralisierte Benutzerauthentifizierung zu ermöglichen. |
https://widget.intercom.io |
Für Ihren Produkt-Chat, der Ihnen das Gespräch mit NetApp Cloud-Experten ermöglicht. |
Firewall-Regeln für Cloud Volumes ONTAP
Cloud Manager erstellt die GCP-Firewall-Regeln und enthält die ein- und ausgehenden Regeln, die für den erfolgreichen Betrieb von Cloud Manager und Cloud Volumes ONTAP gelten. Sie können die Ports zu Testzwecken oder zur Verwendung eigener Sicherheitsgruppen verwenden.
Die Firewall-Regeln für Cloud Volumes ONTAP erfordern sowohl ein- als auch ausgehende Regeln.
Regeln für eingehende Anrufe
Die Quelle für eingehende Regeln in der vordefinierten Sicherheitsgruppe ist 0.0.0.0/0.
Protokoll | Port | Zweck |
---|---|---|
Alle ICMP |
Alle |
Pingen der Instanz |
HTTP |
80 |
HTTP-Zugriff auf die System Manager Webkonsole mit der IP-Adresse der Cluster-Management-LIF |
HTTPS |
443 |
HTTPS-Zugriff auf die System Manager-Webkonsole unter Verwendung der IP-Adresse der Cluster-Management-LIF |
SSH |
22 |
SSH-Zugriff auf die IP-Adresse der Cluster Management LIF oder einer Node Management LIF |
TCP |
111 |
Remote-Prozeduraufruf für NFS |
TCP |
139 |
NetBIOS-Servicesitzung für CIFS |
TCP |
161-162 |
Einfaches Netzwerkverwaltungsprotokoll |
TCP |
445 |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
TCP |
635 |
NFS-Mount |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS-Server-Daemon |
TCP |
3260 |
ISCSI-Zugriff über die iSCSI-Daten-LIF |
TCP |
4045 |
NFS-Sperr-Daemon |
TCP |
4046 |
Netzwerkstatusüberwachung für NFS |
TCP |
10.000 |
Backup mit NDMP |
TCP |
11104 |
Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror |
TCP |
11105 |
SnapMirror Datenübertragung über Cluster-interne LIFs |
UDP |
111 |
Remote-Prozeduraufruf für NFS |
UDP |
161-162 |
Einfaches Netzwerkverwaltungsprotokoll |
UDP |
635 |
NFS-Mount |
UDP |
2049 |
NFS-Server-Daemon |
UDP |
4045 |
NFS-Sperr-Daemon |
UDP |
4046 |
Netzwerkstatusüberwachung für NFS |
UDP |
4049 |
NFS rquotad-Protokoll |
Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.
Grundlegende Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP enthält die folgenden ausgehenden Regeln.
Protokoll | Port | Zweck |
---|---|---|
Alle ICMP |
Alle |
Gesamter abgehender Datenverkehr |
Alle TCP |
Alle |
Gesamter abgehender Datenverkehr |
Alle UDP-Protokolle |
Alle |
Gesamter abgehender Datenverkehr |
Erweiterte Outbound-Regeln
Wenn Sie strenge Regeln für ausgehenden Datenverkehr benötigen, können Sie mit den folgenden Informationen nur die Ports öffnen, die für die ausgehende Kommunikation durch Cloud Volumes ONTAP erforderlich sind.
Die Quelle ist die Schnittstelle (IP-Adresse) auf dem Cloud Volumes ONTAP System. |
Service | Protokoll | Port | Quelle | Ziel | Zweck |
---|---|---|---|---|---|
Active Directory |
TCP |
88 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
UDP |
137 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
UDP |
138 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
TCP |
139 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
TCP UND UDP |
389 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
LDAP |
|
TCP |
445 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
TCP |
464 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
UDP |
464 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
TCP |
749 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS) |
|
TCP |
88 |
Daten-LIF (NFS, CIFS, iSCSI) |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
|
UDP |
137 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
UDP |
138 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
TCP |
139 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
TCP UND UDP |
389 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
LDAP |
|
TCP |
445 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
TCP |
464 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
UDP |
464 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
TCP |
749 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V - Passwort ändern und festlegen (RPCSEC_GSS) |
|
Cluster |
Gesamter Datenverkehr |
Gesamter Datenverkehr |
Alle LIFs auf einem Node |
Alle LIFs auf dem anderen Node |
Kommunikation zwischen Clustern (nur Cloud Volumes ONTAP HA) |
TCP |
3000 |
Node Management-LIF |
Ha Mediator |
ZAPI-Aufrufe (nur Cloud Volumes ONTAP HA) |
|
ICMP |
1 |
Node Management-LIF |
Ha Mediator |
Bleiben Sie am Leben (nur Cloud Volumes ONTAP HA) |
|
DHCP |
UDP |
68 |
Node Management-LIF |
DHCP |
DHCP-Client für die erstmalige Einrichtung |
DHCPS |
UDP |
67 |
Node Management-LIF |
DHCP |
DHCP-Server |
DNS |
UDP |
53 |
Node Management LIF und Daten LIF (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600-18699 |
Node Management-LIF |
Zielserver |
NDMP-Kopie |
SMTP |
TCP |
25 |
Node Management-LIF |
Mailserver |
SMTP-Warnungen können für AutoSupport verwendet werden |
SNMP |
TCP |
161 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
UDP |
161 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
TCP |
162 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
UDP |
162 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
SnapMirror |
TCP |
11104 |
Intercluster-LIF |
ONTAP Intercluster-LIFs |
Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror |
TCP |
11105 |
Intercluster-LIF |
ONTAP Intercluster-LIFs |
SnapMirror Datenübertragung |
|
Syslog |
UDP |
514 |
Node Management-LIF |
Syslog-Server |
Syslog-Weiterleitungsmeldungen |
Firewall-Regeln für den Connector
Die Firewall-Regeln für den Connector erfordern sowohl ein- als auch ausgehende Regeln.
Regeln für eingehende Anrufe
Die Quelle für eingehende Regeln in den vordefinierten Firewall-Regeln ist 0.0.0.0/0.
Protokoll | Port | Zweck |
---|---|---|
SSH |
22 |
Bietet SSH-Zugriff auf den Connector-Host |
HTTP |
80 |
Bietet HTTP-Zugriff von Client-Webbrowsern auf die lokale Benutzeroberfläche |
HTTPS |
443 |
Bietet HTTPS-Zugriff von Client-Webbrowsern auf die lokale Benutzeroberfläche |
Regeln für ausgehende Anrufe
Die vordefinierten Firewall-Regeln für den Connector öffnen den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.
Grundlegende Regeln für ausgehende Anrufe
Die vordefinierten Firewall-Regeln für den Connector enthalten die folgenden ausgehenden Regeln.
Protokoll | Port | Zweck |
---|---|---|
Alle TCP |
Alle |
Gesamter abgehender Datenverkehr |
Alle UDP-Protokolle |
Alle |
Gesamter abgehender Datenverkehr |
Erweiterte Outbound-Regeln
Wenn Sie starre Regeln für ausgehenden Datenverkehr benötigen, können Sie die folgenden Informationen verwenden, um nur die Ports zu öffnen, die für die ausgehende Kommunikation durch den Konnektor erforderlich sind.
Die Quell-IP-Adresse ist der Connector-Host. |
Service | Protokoll | Port | Ziel | Zweck |
---|---|---|---|---|
Active Directory |
TCP |
88 |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
TCP |
139 |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
TCP |
389 |
Active Directory-Gesamtstruktur |
LDAP |
|
TCP |
445 |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
TCP |
464 |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
TCP |
749 |
Active Directory-Gesamtstruktur |
Active Directory Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS) |
|
UDP |
137 |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
UDP |
138 |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
UDP |
464 |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
API-Aufrufe und AutoSupport |
HTTPS |
443 |
Outbound-Internet und ONTAP Cluster Management LIF |
API ruft GCP und ONTAP ab und sendet AutoSupport Nachrichten an NetApp |
API-Aufrufe |
TCP |
3000 |
ONTAP Cluster Management LIF |
API-Aufrufe für ONTAP |
DNS |
UDP |
53 |
DNS |
Wird für die DNS-Auflösung durch Cloud Manager verwendet |