Requisitos de red para Cloud Volumes ONTAP en Google Cloud
Sugerir cambios
PDF
Configure sus redes de Google Cloud para que los sistemas Cloud Volumes ONTAP funcionen correctamente.
Si desea poner en marcha un par de alta disponibilidad, debería hacerlo "Descubra cómo funcionan los pares de alta disponibilidad en Google Cloud".
Requisitos para Cloud Volumes ONTAP
Los siguientes requisitos deben cumplirse en Google Cloud.
Requisitos específicos de los sistemas de un solo nodo
Si desea implementar un sistema de un solo nodo, asegúrese de que la red cumpla los siguientes requisitos.
Un VPC
Se requiere una nube privada virtual (VPC) para un único sistema de nodo.
Direcciones IP privadas
BlueXP asigna direcciones IP privadas 3 o 4 a un sistema de un solo nodo en Google Cloud.
Puede omitir la creación de la LIF de gestión de máquinas virtuales de almacenamiento (SVM) si implementa Cloud Volumes ONTAP mediante la API y especifica el siguiente indicador:
skipSvmManagementLif: true
|
Una LIF es una dirección IP asociada con un puerto físico. Se necesita un LIF de gestión de máquinas virtuales de almacenamiento (SVM) para herramientas de gestión como SnapCenter. |
Requisitos específicos de los pares de alta disponibilidad
Si desea implementar un par de alta disponibilidad, asegúrese de que la red cumpla los siguientes requisitos.
Una o varias zonas
Puede garantizar la alta disponibilidad de sus datos mediante la implementación de una configuración de alta disponibilidad en varias o en una sola zona. BlueXP le solicitará que elija varias zonas o una sola zona cuando cree el par ha.
-
Varias zonas (recomendado)
La implementación de una configuración de alta disponibilidad en tres zonas garantiza una disponibilidad continua de los datos en caso de que se produzca un fallo dentro de una zona. Tenga en cuenta que el rendimiento de escritura es ligeramente inferior al de una sola zona, pero es mínimo.
-
Una sola zona
Cuando se implementa en una sola zona, una configuración de alta disponibilidad de Cloud Volumes ONTAP utiliza una política de ubicación distribuida. Esta directiva garantiza que una configuración de alta disponibilidad esté protegida desde un único punto de error dentro de la zona, sin tener que utilizar zonas independientes para lograr el aislamiento de fallos.
Este modelo de puesta en marcha reduce sus costes, ya que no hay ningún coste por salida de datos entre zonas.
Cuatro clouds privados virtuales
Se necesitan cuatro clouds privados virtuales (VPC) para una configuración de alta disponibilidad. Se necesitan cuatro VPC, ya que Google Cloud requiere que cada interfaz de red resida en una red VPC independiente.
BlueXP le solicitará que elija cuatro VPC al crear el par ha:
-
VPC-0 para conexiones entrantes a los datos y los nodos
-
VPC-1, VPC-2 y VPC-3 para la comunicación interna entre los nodos y el mediador de alta disponibilidad
Subredes
Se requiere una subred privada para cada VPC.
Si coloca el conector en VPC-0, deberá habilitar el acceso privado de Google en la subred para acceder a las API y habilitar la organización en niveles de datos.
Las subredes de estas VPC deben tener distintos rangos CIDR. No pueden tener rangos CIDR superpuestos.
Direcciones IP privadas
BlueXP asigna automáticamente el número requerido de direcciones IP privadas a Cloud Volumes ONTAP en Google Cloud. Debe asegurarse de que su red tiene suficientes direcciones privadas disponibles.
El número de LIF que BlueXP asigna a Cloud Volumes ONTAP depende de si pone en marcha un sistema de nodo único o un par de alta disponibilidad. Una LIF es una dirección IP asociada con un puerto físico. Se requiere una LIF de gestión de SVM para herramientas de gestión como SnapCenter.
-
Single Node BlueXP asigna 4 direcciones IP a un sistema de un solo nodo:
-
LIF de gestión de nodos
-
LIF de gestión de clústeres
-
LIF de datos iSCSI
Un LIF iSCSI proporciona acceso a los clientes a través del protocolo iSCSI y el sistema lo utiliza para otros flujos de trabajo de red importantes. Estos LIF son necesarios y no deben eliminarse. -
LIF NAS
Puede omitir la creación de la LIF de gestión de máquinas virtuales de almacenamiento (SVM) si implementa Cloud Volumes ONTAP mediante la API y especifica el siguiente indicador:
skipSvmManagementLif: true -
-
Par de alta disponibilidad BlueXP asigna 12-13 direcciones IP a un par de alta disponibilidad:
-
2 LIF de gestión de nodos (e0a)
-
1 LIF de administración de clúster (e0a)
-
2 LIF iSCSI (e0a)
Un LIF iSCSI proporciona acceso a los clientes a través del protocolo iSCSI y el sistema lo utiliza para otros flujos de trabajo de red importantes. Estos LIF son necesarios y no deben eliminarse. -
1 o 2 LIF NAS (e0a)
-
2 LIF de clúster (e0b)
-
2 direcciones IP de interconexión de alta disponibilidad (e0c)
-
2 direcciones IP iSCSI RSM (e0d)
Puede omitir la creación de la LIF de gestión de máquinas virtuales de almacenamiento (SVM) si implementa Cloud Volumes ONTAP mediante la API y especifica el siguiente indicador:
skipSvmManagementLif: true -
Equilibradores de carga internos
BlueXP crea automáticamente cuatro equilibradores de carga internos de Google Cloud (TCP/UDP) que gestionan el tráfico entrante para el par de alta disponibilidad de Cloud Volumes ONTAP. No es necesario configurar nada Hemos incluido esto como requisito simplemente para informarle del tráfico de red y para mitigar cualquier problema de seguridad.
Un equilibrador de carga se utiliza para la gestión del clúster, uno para la gestión de máquinas virtuales de almacenamiento (SVM), otro para el tráfico NAS al nodo 1 y, por último, para el tráfico NAS al nodo 2.
La configuración para cada equilibrador de carga es la siguiente:
-
Una dirección IP privada compartida
-
Una comprobación de estado global
De manera predeterminada, los puertos que utiliza la comprobación del estado son 63001, 63002 y 63003.
-
Un servicio de fondo TCP regional
-
Un servicio de backend UDP regional
-
Una regla de reenvío TCP
-
Una regla de reenvío UDP
-
El acceso global está desactivado
Aunque el acceso global esté deshabilitado de forma predeterminada, se admite la habilitación de la tecnología posterior a la implementación. Lo hemos desactivado porque el tráfico de diferentes regiones tendrá latencias mucho más altas. Queríamos asegurarnos de que no disponías de una experiencia negativa debido a los montajes accidentales en varias regiones. Habilitar esta opción es específica para las necesidades de su negocio.
VPC compartidos
Cloud Volumes ONTAP y el conector son compatibles con un VPC compartido de Google Cloud y también en las VPC independientes.
Para un sistema de un solo nodo, el VPC puede ser un VPC compartido o un VPC independiente.
Para un par de alta disponibilidad, se necesitan cuatro VPC. Cada una de esas VPC puede ser compartida o independiente. Por ejemplo, VPC-0 podría ser un VPC compartido, mientras que VPC-1, VPC-2 y VPC-3 serían equipos virtuales independientes.
Un VPC compartido permite configurar y gestionar de forma centralizada las redes virtuales de varios proyectos. Puede configurar redes VPC compartidas en el proyecto host e implementar las instancias de máquina virtual de conector y Cloud Volumes ONTAP en un proyecto de servicio. "Documentación de Google Cloud: Información general sobre VPC compartido".
Duplicación de paquetes en VPC
"Mirroring de paquetes" Debe desactivarse en la subred de Google Cloud en la que se implementa Cloud Volumes ONTAP.
Acceso a Internet de salida
Los nodos Cloud Volumes ONTAP requieren acceso a Internet saliente para acceder a puntos finales externos para diversas funciones. Cloud Volumes ONTAP no puede funcionar correctamente si estos puntos finales están bloqueados en entornos con estrictos requisitos de seguridad.
Puntos finales de Cloud Volumes ONTAP
Cloud Volumes ONTAP requiere acceso a Internet saliente para contactar con varios terminales para las operaciones diarias.
Los siguientes extremos son específicos de Cloud Volumes ONTAP. El conector también contacta con varios puntos finales para las operaciones diarias, así como con la consola basada en web de BlueXP . Consulte "Ver puntos finales contactados desde el conector" y. "Prepare las redes para usar la consola de BlueXP"
| Puntos finales | Aplicable para | Específico | Modo de puesta en marcha de BlueXP | Impacto si el punto final no está disponible |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
Autenticación |
Se utiliza para la autenticación BlueXP . |
Modos estándar y restringidos. |
La autenticación de usuario falla y los siguientes servicios no están disponibles:
|
https://keyvault-production-aks.vault.azure.net |
Almacén de claves |
Se utiliza para recuperar la clave secreta de cliente del almacén de claves de Azure para comunicarse con el bloque de S3 para gestionar metadatos. El servicio Cloud Volumes ONTAP utiliza este componente internamente. |
Modos estándar, restringido y privado. |
Los servicios Cloud Volumes ONTAP no están disponibles. |
https://cloudmanager.cloud.netapp.com/tenancy |
Cliente |
Se utiliza para recuperar los recursos de Cloud Volumes ONTAP de la tenencia de BlueXP para autorizar recursos y usuarios. |
Modos estándar y restringidos. |
Los recursos de Cloud Volumes ONTAP y los usuarios no están autorizados. |
https://support.NetApp.com/aods/asupmessage https://support.NetApp.com/asupprod/post/1,0/postAsup |
AutoSupport |
Se utiliza para enviar datos de telemetría de AutoSupport a soporte técnico de NetApp. |
Modos estándar y restringidos. |
La información de AutoSupport sigue sin entregarse. |
https://www.googleapis.com/compute/v1/projects/ https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects https://compute.googleapis.com/compute/v1 |
Google Cloud (uso comercial). |
Comunicación con servicios de Google Cloud. |
Modos estándar, restringido y privado. |
Cloud Volumes ONTAP no se puede comunicar con el servicio Google Cloud para realizar operaciones de BlueXP específicas en Google Cloud. |
Acceso a Internet saliente para NetApp AutoSupport
Cloud Volumes ONTAP requiere acceso saliente a Internet para AutoSupport de NetApp, que supervisa proactivamente el estado de su sistema y envía mensajes al soporte técnico de NetApp.
Las políticas de enrutamiento y firewall deben permitir el tráfico HTTP/HTTPS a los siguientes extremos para que Cloud Volumes ONTAP pueda enviar mensajes de AutoSupport:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
Si una conexión a Internet saliente no está disponible para enviar mensajes AutoSupport, BlueXP configura automáticamente sus sistemas Cloud Volumes ONTAP para utilizar el conector como servidor proxy. El único requisito es asegurarse de que el firewall del conector permite conexiones entrante a través del puerto 3128. Tendrá que abrir este puerto después de desplegar el conector.
Si ha definido reglas de salida estrictas para Cloud Volumes ONTAP, también tendrá que asegurarse de que el firewall de Cloud Volumes ONTAP permita conexiones saliente a través del puerto 3128.
Una vez que haya comprobado que el acceso saliente a Internet está disponible, puede probar AutoSupport para asegurarse de que puede enviar mensajes. Para obtener instrucciones, consulte "Documentos de ONTAP: Configure AutoSupport".
|
Si utiliza un par de alta disponibilidad, el mediador de alta disponibilidad no requiere acceso saliente a Internet. |
Si BlueXP notifica que los mensajes de AutoSupport no se pueden enviar, "Solucione problemas de configuración de AutoSupport".
Conexiones a sistemas ONTAP en otras redes
Para replicar datos entre un sistema Cloud Volumes ONTAP en Google Cloud y sistemas ONTAP en otras redes, debe tener una conexión VPN entre el VPC y la otra red, por ejemplo, su red corporativa.
Para obtener instrucciones, consulte "Documentación de Google Cloud: Información general sobre Cloud VPN".
Reglas del firewall
BlueXP crea reglas de firewall de Google Cloud que incluyen las reglas entrantes y salientes que Cloud Volumes ONTAP necesita para funcionar correctamente. Puede que desee consultar los puertos para fines de prueba o si prefiere utilizar sus propias reglas de firewall.
Las reglas de firewall para Cloud Volumes ONTAP requieren reglas tanto entrantes como salientes. Si va a implementar una configuración de alta disponibilidad, estas son las reglas del firewall para Cloud Volumes ONTAP en VPC-0.
Tenga en cuenta que se necesitan dos conjuntos de reglas de firewall para una configuración de alta disponibilidad:
-
Un conjunto de reglas para los componentes de alta disponibilidad en VPC-0. Estas reglas permiten el acceso a Cloud Volumes ONTAP a los datos.
-
Otro conjunto de reglas para los componentes de alta disponibilidad en VPC-1, VPC-2 y VPC-3. Estas reglas están abiertas para la comunicación entrante y saliente entre los componentes ha. Leer más.
|
|
¿Busca información sobre el conector? "Ver reglas de firewall para el conector" |
Reglas de entrada
Al crear un entorno de trabajo, puede elegir el filtro de origen para la directiva de firewall predefinida durante la implementación:
-
VPC seleccionado sólo: El filtro de origen para el tráfico entrante es el rango de subred del VPC para el sistema Cloud Volumes ONTAP y el rango de subred del VPC donde reside el conector. Esta es la opción recomendada.
-
Todos los VPC: El filtro de fuente para el tráfico entrante es el rango IP 0.0.0.0/0.
Si utiliza su propia política de firewall, asegúrese de añadir todas las redes que necesitan comunicarse con Cloud Volumes ONTAP, pero también de agregar ambos rangos de direcciones para permitir que el equilibrador de carga de Google interno funcione correctamente. Estas direcciones son 130.211.0.0/22 y 35.191.0.0/16. Para obtener más información, consulte "Documentación de Google Cloud: Reglas de firewall de equilibrio de carga".
| Protocolo | Puerto | Específico |
|---|---|---|
Todos los ICMP |
Todo |
Hacer ping a la instancia |
HTTP |
80 |
Acceso HTTP a la consola web de ONTAP System Manager mediante la dirección IP de la LIF de gestión de clúster |
HTTPS |
443 |
Conectividad con el acceso de conector y HTTPS a la consola web de ONTAP System Manager mediante la dirección IP de la LIF de gestión del clúster |
SSH |
22 |
Acceso SSH a la dirección IP de administración del clúster LIF o una LIF de gestión de nodos |
TCP |
111 |
Llamada a procedimiento remoto para NFS |
TCP |
139 |
Sesión de servicio NetBIOS para CIFS |
TCP |
161-162 |
Protocolo simple de gestión de red |
TCP |
445 |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
TCP |
635 |
Montaje NFS |
TCP |
749 |
Kerberos |
TCP |
2049 |
Daemon del servidor NFS |
TCP |
3260 |
Acceso iSCSI mediante la LIF de datos iSCSI |
TCP |
4045 |
Daemon de bloqueo NFS |
TCP |
4046 |
Supervisor de estado de red para NFS |
TCP |
10000 |
Backup con NDMP |
TCP |
11104 |
Gestión de sesiones de comunicación de interconexión de clústeres para SnapMirror |
TCP |
11105 |
Transferencia de datos de SnapMirror mediante LIF de interconexión de clústeres |
TCP |
63001-63050 |
Puertos de sonda de equilibrio de carga para determinar qué nodo está en buen estado (Solo para pares de alta disponibilidad) |
UDP |
111 |
Llamada a procedimiento remoto para NFS |
UDP |
161-162 |
Protocolo simple de gestión de red |
UDP |
635 |
Montaje NFS |
UDP |
2049 |
Daemon del servidor NFS |
UDP |
4045 |
Daemon de bloqueo NFS |
UDP |
4046 |
Supervisor de estado de red para NFS |
UDP |
4049 |
Protocolo rquotad NFS |
Reglas de salida
El grupo de seguridad predefinido para Cloud Volumes ONTAP abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
El grupo de seguridad predefinido para Cloud Volumes ONTAP incluye las siguientes reglas de salida.
| Protocolo | Puerto | Específico |
|---|---|---|
Todos los ICMP |
Todo |
Todo el tráfico saliente |
Todos los TCP |
Todo |
Todo el tráfico saliente |
Todas las UDP |
Todo |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por Cloud Volumes ONTAP.
|
|
El origen es la interfaz (dirección IP) en el sistema Cloud Volumes ONTAP. |
| Servicio | Protocolo | Puerto | Origen | Destino | Específico |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
LIF de gestión de nodos |
Bosque de Active Directory |
Autenticación Kerberos V. |
UDP |
137 |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
TCP |
139 |
LIF de gestión de nodos |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP Y UDP |
389 |
LIF de gestión de nodos |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
LIF de gestión de nodos |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
LIF de gestión de nodos |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
UDP |
464 |
LIF de gestión de nodos |
Bosque de Active Directory |
Administración de claves Kerberos |
|
TCP |
749 |
LIF de gestión de nodos |
Bosque de Active Directory |
Contraseña de Kerberos V Change & Set (RPCSEC_GSS) |
|
TCP |
88 |
LIF de datos (NFS, CIFS e iSCSI) |
Bosque de Active Directory |
Autenticación Kerberos V. |
|
UDP |
137 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
TCP |
139 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP Y UDP |
389 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
UDP |
464 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Administración de claves Kerberos |
|
TCP |
749 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Contraseña de Kerberos V change & set (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
LIF de gestión de nodos |
support.netapp.com |
AutoSupport (HTTPS es la predeterminada) |
HTTP |
80 |
LIF de gestión de nodos |
support.netapp.com |
AutoSupport (solo si el protocolo de transporte cambia de HTTPS a HTTP) |
|
TCP |
3128 |
LIF de gestión de nodos |
Conector |
Envío de mensajes AutoSupport a través de un servidor proxy en el conector, si no hay disponible una conexión a Internet saliente |
|
Clúster |
Todo el tráfico |
Todo el tráfico |
Todos los LIF de un nodo |
Todas las LIF del otro nodo |
Comunicaciones de interconexión de clústeres (solo Cloud Volumes ONTAP de alta disponibilidad) |
Backups de configuración |
HTTP |
80 |
LIF de gestión de nodos |
\Http://<connector-IP-address>/occm/offboxconfig |
Enviar copias de seguridad de configuración al conector. "Obtener información acerca de los archivos de copia de seguridad de configuración". |
DHCP |
UDP |
68 |
LIF de gestión de nodos |
DHCP |
Cliente DHCP para la configuración inicial |
DHCPS |
UDP |
67 |
LIF de gestión de nodos |
DHCP |
Servidor DHCP |
DNS |
UDP |
53 |
LIF de gestión de nodos y LIF de datos (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
LIF de gestión de nodos |
Servidores de destino |
Copia NDMP |
SMTP |
TCP |
25 |
LIF de gestión de nodos |
Servidor de correo |
Alertas SMTP, que se pueden utilizar para AutoSupport |
SNMP |
TCP |
161 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
UDP |
161 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
TCP |
162 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
UDP |
162 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
SnapMirror |
TCP |
11104 |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Gestión de sesiones de comunicación de interconexión de clústeres para SnapMirror |
TCP |
11105 |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Transferencia de datos de SnapMirror |
|
Syslog |
UDP |
514 |
LIF de gestión de nodos |
Servidor de syslog |
Mensajes de syslog Reenviar |
Reglas para VPC-1, VPC-2 y VPC-3
En Google Cloud, se pone en marcha una configuración de alta disponibilidad en cuatro PCs. Las reglas de firewall necesarias para la configuración de alta disponibilidad en VPC-0 son Anteriormente indicado para Cloud Volumes ONTAP.
Mientras tanto, las reglas de firewall predefinidas que BlueXP crea para instancias en VPC-1, VPC-2 y VPC-3 permiten la entrada de comunicación a través de protocolos y puertos all. Estas reglas permiten la comunicación entre los nodos de alta disponibilidad.
La comunicación de los nodos de alta disponibilidad al mediador de alta disponibilidad se realiza a través del puerto 3260 (iSCSI).
|
|
Para permitir una alta velocidad de escritura para las nuevas puestas en marcha de parejas de alta disponibilidad de Google Cloud, se requiere una unidad de transmisión máxima (MTU) de al menos 8,896 bytes para VPC-1, VPC-2 y VPC-3. Si decide actualizar VPC-1, VPC-2 y VPC-3 existentes a un MTU de 8,896 bytes, deberá apagar todos los sistemas de alta disponibilidad existentes con estos VPC durante el proceso de configuración. |
Requisitos para el conector
Si aún no ha creado un conector, debe revisar los requisitos de red para el conector también.