Ponga en marcha un par de alta disponibilidad en una subred compartida
A partir del lanzamiento de la versión 9.11.1, se admiten los pares de alta disponibilidad de Cloud Volumes ONTAP en AWS con el uso compartido de VPC. El uso compartido de VPC permite a la organización compartir subredes con otras cuentas de AWS. Para utilizar esta configuración, debe configurar su entorno AWS y después implementar el par de alta disponibilidad mediante la API.
Con "Uso compartido de VPC", Una configuración de alta disponibilidad de Cloud Volumes ONTAP se distribuye entre dos cuentas:
-
La cuenta de propietario de VPC, que posee las redes (el VPC, subredes, tablas de rutas y grupo de seguridad Cloud Volumes ONTAP).
-
La cuenta de participante, donde las instancias de EC2 se ponen en marcha en subredes compartidas (esto incluye los dos nodos de alta disponibilidad y el mediador).
En el caso de una configuración de alta disponibilidad de Cloud Volumes ONTAP que se ponga en marcha en varias zonas de disponibilidad, el mediador de alta disponibilidad necesita permisos específicos para escribir en las tablas de rutas de la cuenta de propietario de VPC. Debe proporcionar estos permisos configurando una función de IAM que el mediador puede asumir.
La siguiente imagen muestra los componentes implicados en esta implementación:
Como se describe en los pasos siguientes, deberá compartir las subredes con la cuenta de participante y, a continuación, crear la función IAM y el grupo de seguridad en la cuenta de propietario de VPC.
Al crear el entorno de trabajo de Cloud Volumes ONTAP, BlueXP crea y adjunta automáticamente una función de IAM al mediador. Este rol asume la función IAM que se creó en la cuenta de propietario de VPC con el fin de realizar cambios en las tablas de ruta asociadas con el par de alta disponibilidad.
-
Comparta las subredes en la cuenta de propietario de VPC con la cuenta de participante.
Este paso es necesario para poner en marcha el par de alta disponibilidad en subredes compartidas.
-
En la cuenta de propietario de VPC, cree un grupo de seguridad para Cloud Volumes ONTAP.
"Consulte las reglas del grupo de seguridad para Cloud Volumes ONTAP". Tenga en cuenta que no tiene que crear un grupo de seguridad para el mediador de alta disponibilidad. BlueXP lo hace por ti.
-
En la cuenta de propietario de VPC, cree un rol de IAM que incluya los siguientes permisos:
Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses"
-
Use la API de BlueXP para crear un nuevo entorno de trabajo de Cloud Volumes ONTAP.
Tenga en cuenta que debe especificar los siguientes campos:
-
"SecurityGroupId"
El campo "securityGroupId" debe especificar el grupo de seguridad que ha creado en la cuenta de propietario de VPC (consulte el paso 2 anterior).
-
"AssumeRoleArn" en el objeto "haParams"
El campo "assumeRoleARN" debe incluir el ARN del rol de IAM que creó en la cuenta de propietario de VPC (consulte el paso 3 anterior).
Por ejemplo:
"haParams": { "assumeRoleArn": "arn:aws:iam::642991768967:role/mediator_role_assume_fromdev" }
-