Requisitos de red para Cloud Volumes ONTAP en Azure
Sugerir cambios
PDF
Configure sus redes de Azure para que los sistemas Cloud Volumes ONTAP funcionen correctamente.
Requisitos para Cloud Volumes ONTAP
Los siguientes requisitos de red deben satisfacerse en Azure.
Acceso a Internet de salida
Los nodos Cloud Volumes ONTAP requieren acceso a Internet saliente para acceder a puntos finales externos para diversas funciones. Cloud Volumes ONTAP no puede funcionar correctamente si estos puntos finales están bloqueados en entornos con estrictos requisitos de seguridad.
Puntos finales de Cloud Volumes ONTAP
Cloud Volumes ONTAP requiere acceso a Internet saliente para contactar con varios terminales para las operaciones diarias.
Los siguientes extremos son específicos de Cloud Volumes ONTAP. El conector también contacta con varios puntos finales para las operaciones diarias, así como con la consola basada en web de BlueXP . Consulte "Ver puntos finales contactados desde el conector" y. "Prepare las redes para usar la consola de BlueXP"
| Puntos finales | Aplicable para | Específico | Modos de implementación de BlueXP | Impacto si no está disponible |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
Autenticación |
Se utiliza para la autenticación BlueXP . |
Modos estándar y restringidos. |
La autenticación de usuario falla y los siguientes servicios no están disponibles:
|
https://keyvault-production-aks.vault.azure.net |
Almacén de claves |
Se utiliza para recuperar la clave secreta del cliente del almacén de claves de Azure para comunicarse con los bloques de S3 para gestionar metadatos. El servicio Cloud Volumes ONTAP utiliza este componente internamente. |
Modos estándar, restringido y privado. |
Los servicios Cloud Volumes ONTAP no están disponibles. |
https://cloudmanager.cloud.netapp.com/tenancy |
Cliente |
Se utiliza para recuperar los recursos de Cloud Volumes ONTAP de la tenencia de BlueXP para autorizar recursos y usuarios. |
Modos estándar y restringidos. |
Los recursos de Cloud Volumes ONTAP y los usuarios no están autorizados. |
https://support.NetApp.com/aods/asupmessage https://support.NetApp.com/asupprod/post/1,0/postAsup |
AutoSupport |
Se utiliza para enviar datos de telemetría de AutoSupport a soporte técnico de NetApp. |
Modos estándar y restringidos. |
La información de AutoSupport sigue sin entregarse. |
https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net |
Regiones públicas |
Comunicación con servicios de Azure. |
Modos estándar, restringido y privado. |
Cloud Volumes ONTAP no se puede comunicar con el servicio de Azure para realizar operaciones específicas de BlueXP en Azure. |
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn |
Región de China |
Comunicación con servicios de Azure. |
Modos estándar, restringido y privado. |
Cloud Volumes ONTAP no se puede comunicar con el servicio de Azure para realizar operaciones específicas de BlueXP en Azure. |
https://management.microsoftazure.de https://login.microsoftonline.de https://blob.core.cloudapi.de https://core.cloudapi.de |
Región de Alemania |
Comunicación con servicios de Azure. |
Modos estándar, restringido y privado. |
Cloud Volumes ONTAP no se puede comunicar con el servicio de Azure para realizar operaciones específicas de BlueXP en Azure. |
https://management.usgovcloudapi.net https://login.microsoftonline.us https://blob.core.usgovcloudapi.net https://core.usgovcloudapi.net |
Regiones gubernamentales |
Comunicación con servicios de Azure. |
Modos estándar, restringido y privado. |
Cloud Volumes ONTAP no se puede comunicar con el servicio de Azure para realizar operaciones específicas de BlueXP en Azure. |
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud |
Regiones gubernamentales del Departamento de Defensa |
Comunicación con servicios de Azure. |
Modos estándar, restringido y privado. |
Cloud Volumes ONTAP no se puede comunicar con el servicio de Azure para realizar operaciones específicas de BlueXP en Azure. |
Acceso a Internet saliente para NetApp AutoSupport
Los nodos Cloud Volumes ONTAP requieren acceso a Internet de salida para AutoSupport de NetApp, que supervisa de forma proactiva el estado del sistema y envía mensajes al soporte técnico de NetApp.
Las políticas de enrutamiento y firewall deben permitir el tráfico HTTP/HTTPS a los siguientes extremos para que Cloud Volumes ONTAP pueda enviar mensajes de AutoSupport:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
Si una conexión a Internet saliente no está disponible para enviar mensajes AutoSupport, BlueXP configura automáticamente sus sistemas Cloud Volumes ONTAP para utilizar el conector como servidor proxy. El único requisito es asegurarse de que el grupo de seguridad del conector permita conexiones entrante a través del puerto 3128. Tendrá que abrir este puerto después de desplegar el conector.
Si ha definido reglas de salida estrictas para Cloud Volumes ONTAP, también tendrá que asegurarse de que el grupo de seguridad Cloud Volumes ONTAP permita conexiones saliente a través del puerto 3128.
Una vez que haya comprobado que el acceso saliente a Internet está disponible, puede probar AutoSupport para asegurarse de que puede enviar mensajes. Para obtener instrucciones, consulte "Documentos de ONTAP: Configure AutoSupport".
Si BlueXP notifica que los mensajes de AutoSupport no se pueden enviar, "Solucione problemas de configuración de AutoSupport".
Direcciones IP
BlueXP asigna automáticamente el número requerido de direcciones IP privadas a Cloud Volumes ONTAP en Azure. Debe asegurarse de que la red tenga suficientes direcciones IP privadas disponibles.
El número de LIF que BlueXP asigna a Cloud Volumes ONTAP depende de si pone en marcha un sistema de nodo único o un par de alta disponibilidad. Una LIF es una dirección IP asociada con un puerto físico. Se requiere una LIF de gestión de SVM para herramientas de gestión como SnapCenter.
|
Un LIF iSCSI proporciona acceso a los clientes a través del protocolo iSCSI y el sistema lo utiliza para otros flujos de trabajo de red importantes. Estos LIF son necesarios y no deben eliminarse. |
Direcciones IP para un sistema de nodo único
BlueXP asigna direcciones IP 5 o 6 a un sistema de un solo nodo:
-
IP de gestión del clúster
-
IP de gestión de nodos
-
IP de interconexión de clústeres para SnapMirror
-
IP NFS/CIFS
-
IP de iSCSI
El IP de iSCSI proporciona acceso de cliente a través del protocolo iSCSI. El sistema también lo utiliza para otros flujos de trabajo importantes de redes. Este LIF es necesario y no debe eliminarse. -
Gestión de SVM (opcional: No configurado de forma predeterminada)
Direcciones IP para pares de alta disponibilidad
BlueXP asigna direcciones IP a 4 NIC (por nodo) durante la implementación.
Tenga en cuenta que BlueXP crea una LIF de gestión de SVM en parejas de alta disponibilidad, pero no en sistemas de un único nodo en Azure.
NIC0
-
IP de gestión de nodos
-
IP de interconexión de clústeres
-
IP de iSCSI
El IP de iSCSI proporciona acceso de cliente a través del protocolo iSCSI. El sistema también lo utiliza para otros flujos de trabajo importantes de redes. Este LIF es necesario y no debe eliminarse.
NIC1
-
La IP de red del clúster
NIC2
-
IP de interconexión de clúster (IC de alta disponibilidad)
NIC3
-
IP de NIC Pageblob (acceso al disco)
|
|
NIC3 solo se aplica a implementaciones de alta disponibilidad que usan almacenamiento BLOB de página. |
Las direcciones IP anteriores no migran en eventos de conmutación al nodo de respaldo.
Además, 4 IP de interfaz (FIPS) están configuradas para migrar eventos de conmutación por error. Estas IP de front-end residen en el equilibrador de carga.
-
IP de gestión del clúster
-
IP de datos NODEA (NFS/CIFS)
-
IP de datos de NodeB (NFS/CIFS)
-
La IP de gestión de SVM
Conexiones seguras con servicios de Azure
De forma predeterminada, BlueXP habilita un vínculo privado de Azure para las conexiones entre las cuentas de almacenamiento BLOB de Cloud Volumes ONTAP y Azure.
En la mayoría de los casos, no hay nada que hacer: BlueXP gestiona el vínculo privado de Azure para usted. Pero si utiliza DNS privado de Azure, tendrá que editar un archivo de configuración. También debe estar al tanto de un requisito para la ubicación del conector en Azure.
También puede desactivar la conexión de enlace privado, si así lo requieren las necesidades de su empresa. Si deshabilita el vínculo, BlueXP configura Cloud Volumes ONTAP para que use un extremo de servicio en su lugar.
Conexiones con otros sistemas ONTAP
Para replicar datos entre un sistema Cloud Volumes ONTAP en Azure y sistemas ONTAP en otras redes, debe tener una conexión VPN entre la red virtual de Azure y la otra red, por ejemplo, la red corporativa.
Para obtener instrucciones, consulte "Documentación de Microsoft Azure: Cree una conexión de sitio a sitio en el portal de Azure".
Puerto para la interconexión de alta disponibilidad
Un par de alta disponibilidad de Cloud Volumes ONTAP incluye una interconexión de alta disponibilidad, que permite a cada nodo comprobar continuamente si su compañero está funcionando y reflejar los datos de registro de la memoria no volátil del otro. La interconexión de alta disponibilidad utiliza el puerto TCP 10006 para la comunicación.
De forma predeterminada, la comunicación entre los LIF ha Interconnect es abierta y no hay reglas de grupos de seguridad para este puerto. Sin embargo, si crea un firewall entre los LIF de interconexión de alta disponibilidad, tiene que asegurarse de que el tráfico TCP esté abierto para el puerto 10006 de modo que el par de alta disponibilidad pueda funcionar correctamente.
Solo un par de alta disponibilidad en un grupo de recursos de Azure
Debe utilizar un grupo de recursos dedicado para cada par de alta disponibilidad de Cloud Volumes ONTAP que implemente en Azure. Solo se admite un par de alta disponibilidad en un grupo de recursos.
BlueXP experimenta problemas de conexión si intenta implementar un segundo par de alta disponibilidad de Cloud Volumes ONTAP en un grupo de recursos de Azure.
Reglas de grupo de seguridad
BlueXP crea grupos de seguridad de Azure que incluyen las reglas entrantes y salientes que Cloud Volumes ONTAP necesita para funcionar correctamente. Tal vez desee consultar los puertos para fines de prueba o si prefiere utilizar sus propios grupos de seguridad.
El grupo de seguridad para Cloud Volumes ONTAP requiere reglas tanto entrantes como salientes.
|
¿Busca información sobre el conector? "Ver reglas de grupo de seguridad para el conector" |
Reglas de entrada para sistemas de un solo nodo
Al crear un entorno de trabajo y elegir un grupo de seguridad predefinido, puede optar por permitir el tráfico de una de las siguientes opciones:
-
Solo vnet seleccionado: La fuente del tráfico entrante es el rango de subred del vnet para el sistema Cloud Volumes ONTAP y el rango de subred del vnet donde reside el conector. Esta es la opción recomendada.
-
Todos los VNets: La fuente del tráfico entrante es el rango IP 0,0.0.0/0.
-
Desactivado: Esta opción restringe el acceso de la red pública a su cuenta de almacenamiento y deshabilita la organización de datos en niveles para los sistemas Cloud Volumes ONTAP. Esta es una opción recomendada si sus direcciones IP privadas no deben estar expuestas incluso dentro de la misma vnet debido a las regulaciones y políticas de seguridad.
| Prioridad y nombre | Puerto y protocolo | Origen y destino | Descripción |
|---|---|---|---|
1000 inbound_ssh |
22 TCP |
De cualquiera a cualquiera |
Acceso SSH a la dirección IP de administración del clúster LIF o una LIF de gestión de nodos |
1001 inbound_http |
80 TCP |
De cualquiera a cualquiera |
Acceso HTTP a la consola web de ONTAP System Manager mediante la dirección IP de la LIF de gestión de clúster |
1002 inbound_111_tcp |
111 TCP |
De cualquiera a cualquiera |
Llamada a procedimiento remoto para NFS |
1003 inbound_111_udp |
111 UDP |
De cualquiera a cualquiera |
Llamada a procedimiento remoto para NFS |
1004 inbound_139 |
139 TCP |
De cualquiera a cualquiera |
Sesión de servicio NetBIOS para CIFS |
1005 inbound_161-162 _tcp |
161-162 TCP |
De cualquiera a cualquiera |
Protocolo simple de gestión de red |
1006 inbound_161-162 _udp |
161-162 UDP |
De cualquiera a cualquiera |
Protocolo simple de gestión de red |
1007 inbound_443 |
443 TCP |
De cualquiera a cualquiera |
Conectividad con el acceso de conector y HTTPS a la consola web de ONTAP System Manager mediante la dirección IP de la LIF de gestión del clúster |
1008 inbound_445 |
445 TCP |
De cualquiera a cualquiera |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
1009 inbound_635_tcp |
635 TCP |
De cualquiera a cualquiera |
Montaje NFS |
1010 inbound_635_udp |
635 UDP |
De cualquiera a cualquiera |
Montaje NFS |
1011 inbound_749 |
749 TCP |
De cualquiera a cualquiera |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
De cualquiera a cualquiera |
Daemon del servidor NFS |
1013 inbound_2049_udp |
2049 UDP |
De cualquiera a cualquiera |
Daemon del servidor NFS |
1014 inbound_3260 |
3260 TCP |
De cualquiera a cualquiera |
Acceso iSCSI mediante la LIF de datos iSCSI |
1015 inbound_4045-4046_tcp |
4045-4046 TCP |
De cualquiera a cualquiera |
Daemon de bloqueo NFS y monitor de estado de red |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
De cualquiera a cualquiera |
Daemon de bloqueo NFS y monitor de estado de red |
1017 inbound_10000 |
10000 TCP |
De cualquiera a cualquiera |
Backup con NDMP |
1018 inbound_11104-11105 |
11104-11105 TCP |
De cualquiera a cualquiera |
Transferencia de datos de SnapMirror |
3000 inbound_deny _all_tcp |
Cualquier puerto TCP |
De cualquiera a cualquiera |
Bloquear el resto del tráfico entrante TCP |
3001 inbound_deny _all_udp |
Cualquier puerto UDP |
De cualquiera a cualquiera |
Bloquee el resto del tráfico de entrada UDP |
65000 AllowVnetInBound |
Cualquier protocolo |
VirtualNetwork para VirtualNetwork |
Tráfico entrante desde dentro del vnet |
65001 AllowAzureLoad Balance InBound |
Cualquier protocolo |
AzureLoadBalancer a cualquiera |
Tráfico de datos del balanceador de carga estándar de Azure |
65500 DenyAllInBound |
Cualquier protocolo |
De cualquiera a cualquiera |
Bloquear el resto del tráfico entrante |
Reglas de entrada para sistemas de alta disponibilidad
Al crear un entorno de trabajo y elegir un grupo de seguridad predefinido, puede optar por permitir el tráfico de una de las siguientes opciones:
-
Solo vnet seleccionado: La fuente del tráfico entrante es el rango de subred del vnet para el sistema Cloud Volumes ONTAP y el rango de subred del vnet donde reside el conector. Esta es la opción recomendada.
-
Todos los VNets: La fuente del tráfico entrante es el rango IP 0,0.0.0/0.
|
|
Los sistemas de ALTA DISPONIBILIDAD tienen menos reglas entrantes que los sistemas de un solo nodo, porque el tráfico de datos entrantes pasa por el balanceador de carga estándar de Azure. Debido a esto, el tráfico del equilibrador de carga debe estar abierto, como se muestra en la regla "AllowAzureLoadBalance InBound". |
-
Desactivado: Esta opción restringe el acceso de la red pública a su cuenta de almacenamiento y deshabilita la organización de datos en niveles para los sistemas Cloud Volumes ONTAP. Esta es una opción recomendada si sus direcciones IP privadas no deben estar expuestas incluso dentro de la misma vnet debido a las regulaciones y políticas de seguridad.
| Prioridad y nombre | Puerto y protocolo | Origen y destino | Descripción |
|---|---|---|---|
100 inbound_443 |
443 cualquier protocolo |
De cualquiera a cualquiera |
Conectividad con el acceso de conector y HTTPS a la consola web de ONTAP System Manager mediante la dirección IP de la LIF de gestión del clúster |
101 inbound_111_tcp |
111 cualquier protocolo |
De cualquiera a cualquiera |
Llamada a procedimiento remoto para NFS |
102 inbound_2049_tcp |
2049 cualquier protocolo |
De cualquiera a cualquiera |
Daemon del servidor NFS |
111 inbound_ssh |
22 cualquier protocolo |
De cualquiera a cualquiera |
Acceso SSH a la dirección IP de administración del clúster LIF o una LIF de gestión de nodos |
121 inbound_53 |
53 cualquier protocolo |
De cualquiera a cualquiera |
DNS y CIFS |
65000 AllowVnetInBound |
Cualquier protocolo |
VirtualNetwork para VirtualNetwork |
Tráfico entrante desde dentro del vnet |
65001 AllowAzureLoad Balance InBound |
Cualquier protocolo |
AzureLoadBalancer a cualquiera |
Tráfico de datos del balanceador de carga estándar de Azure |
65500 DenyAllInBound |
Cualquier protocolo |
De cualquiera a cualquiera |
Bloquear el resto del tráfico entrante |
Reglas de salida
El grupo de seguridad predefinido para Cloud Volumes ONTAP abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
El grupo de seguridad predefinido para Cloud Volumes ONTAP incluye las siguientes reglas de salida.
| Puerto | Protocolo | Específico |
|---|---|---|
Todo |
Todos los TCP |
Todo el tráfico saliente |
Todo |
Todas las UDP |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por Cloud Volumes ONTAP.
|
|
El origen es la interfaz (dirección IP) en el sistema Cloud Volumes ONTAP. |
| Servicio | Puerto | Protocolo | Origen | Destino | Específico |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Autenticación Kerberos V. |
137 |
UDP |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
138 |
UDP |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
139 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
389 |
TCP Y UDP |
LIF de gestión de nodos |
Bosque de Active Directory |
LDAP |
|
445 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
464 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
464 |
UDP |
LIF de gestión de nodos |
Bosque de Active Directory |
Administración de claves Kerberos |
|
749 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Contraseña de Kerberos V Change & Set (RPCSEC_GSS) |
|
88 |
TCP |
LIF de datos (NFS, CIFS e iSCSI) |
Bosque de Active Directory |
Autenticación Kerberos V. |
|
137 |
UDP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
138 |
UDP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
139 |
TCP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
389 |
TCP Y UDP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
LDAP |
|
445 |
TCP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
464 |
TCP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
464 |
UDP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Administración de claves Kerberos |
|
749 |
TCP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Contraseña de Kerberos V change & set (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
LIF de gestión de nodos |
support.netapp.com |
AutoSupport (HTTPS es la predeterminada) |
HTTP |
80 |
LIF de gestión de nodos |
support.netapp.com |
AutoSupport (solo si el protocolo de transporte cambia de HTTPS a HTTP) |
|
TCP |
3128 |
LIF de gestión de nodos |
Conector |
Envío de mensajes AutoSupport a través de un servidor proxy en el conector, si no hay disponible una conexión a Internet saliente |
|
Backups de configuración |
HTTP |
80 |
LIF de gestión de nodos |
\Http://<connector-IP-address>/occm/offboxconfig |
Enviar copias de seguridad de configuración al conector. "Obtener información acerca de los archivos de copia de seguridad de configuración". |
DHCP |
68 |
UDP |
LIF de gestión de nodos |
DHCP |
Cliente DHCP para la configuración inicial |
DHCPS |
67 |
UDP |
LIF de gestión de nodos |
DHCP |
Servidor DHCP |
DNS |
53 |
UDP |
LIF de gestión de nodos y LIF de datos (NFS, CIFS) |
DNS |
DNS |
NDMP |
18600–18699 |
TCP |
LIF de gestión de nodos |
Servidores de destino |
Copia NDMP |
SMTP |
25 |
TCP |
LIF de gestión de nodos |
Servidor de correo |
Alertas SMTP, que se pueden utilizar para AutoSupport |
SNMP |
161 |
TCP |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
161 |
UDP |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
162 |
TCP |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
162 |
UDP |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
SnapMirror |
11104 |
TCP |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Gestión de sesiones de comunicación de interconexión de clústeres para SnapMirror |
11105 |
TCP |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Transferencia de datos de SnapMirror |
|
Syslog |
514 |
UDP |
LIF de gestión de nodos |
Servidor de syslog |
Mensajes de syslog Reenviar |
Requisitos para el conector
Si aún no ha creado un conector, debe revisar los requisitos de red para el conector también.