Notas de la versión
Requisitos de red para poner en marcha y gestionar Cloud Volumes ONTAP en Azure
Sugerir cambios
PDF
Configure sus redes de Azure para que los sistemas Cloud Volumes ONTAP funcionen correctamente. Esto incluye la conexión a redes para el conector y Cloud Volumes ONTAP.
Requisitos para Cloud Volumes ONTAP
Los siguientes requisitos de red deben satisfacerse en Azure.
- Acceso saliente a Internet para Cloud Volumes ONTAP
-
Cloud Volumes ONTAP requiere acceso saliente a Internet para enviar mensajes a NetApp AutoSupport, que supervisa proactivamente el estado del almacenamiento.
Las políticas de enrutamiento y firewall deben permitir el tráfico HTTP/HTTPS a los siguientes extremos para que Cloud Volumes ONTAP pueda enviar mensajes de AutoSupport:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
-
- Grupos de seguridad
-
No necesita crear grupos de seguridad porque Cloud Manager lo hace por usted. Si necesita utilizar el suyo propio, consulte las reglas de grupo de seguridad que se enumeran a continuación.
- Número de direcciones IP
-
Cloud Manager asigna el siguiente número de direcciones IP a Cloud Volumes ONTAP en Azure:
-
Nodo único: Direcciones IP de 5
-
Par DE ALTA DISPONIBILIDAD: 16 direcciones IP
Tenga en cuenta que Cloud Manager crea una LIF de gestión de SVM en parejas de alta disponibilidad, pero no en sistemas de un único nodo en Azure.
Una LIF es una dirección IP asociada con un puerto físico. Se requiere una LIF de gestión de SVM para herramientas de gestión como SnapCenter.
-
- Conexión de Cloud Volumes ONTAP a Azure Blob Storage para organización en niveles de los datos
-
Si desea organizar en niveles datos fríos en almacenamiento de Azure Blob, no necesita configurar una conexión entre el nivel de rendimiento y el nivel de capacidad mientras Cloud Manager tenga los permisos necesarios Cloud Manager habilita un extremo de servicio vnet para usted si la política de Cloud Manager tiene estos permisos:
"Microsoft.Network/virtualNetworks/subnets/write", "Microsoft.Network/routeTables/join/action",Estos permisos se incluyen en el último "Política de Cloud Manager".
Para obtener más información sobre la configuración de la organización en niveles de datos, consulte "Organización en niveles de los datos inactivos en almacenamiento de objetos de bajo coste".
- Conexiones a sistemas ONTAP en otras redes
-
Para replicar datos entre un sistema Cloud Volumes ONTAP en Azure y sistemas ONTAP en otras redes, debe tener una conexión VPN entre el vnet de Azure y la otra red, por ejemplo, un VPC de AWS o una red de su empresa.
Para obtener instrucciones, consulte "Documentación de Microsoft Azure: Cree una conexión de sitio a sitio en el portal de Azure".
Requisitos para el conector
Configure su red de modo que el conector pueda gestionar recursos y procesos en su entorno de cloud público. El paso más importante es garantizar el acceso saliente a Internet a varios puntos finales.
|
|
Si la red utiliza un servidor proxy para toda la comunicación a Internet, puede especificar el servidor proxy en la página Configuración. Consulte "Configuración del conector para utilizar un servidor proxy". |
Conexiones a redes de destino
Un conector requiere una conexión de red a los VPC y VNets en los que desea implementar Cloud Volumes ONTAP.
Por ejemplo, si instala un conector en la red corporativa, debe configurar una conexión VPN al VPC o a vnet en el que inicie Cloud Volumes ONTAP.
Acceso a Internet de salida
El conector requiere acceso saliente a Internet para gestionar recursos y procesos dentro de su entorno de nube pública. Un conector se pone en contacto con los siguientes extremos al gestionar recursos en Azure:
| Puntos finales | Específico |
|---|---|
https://management.azure.com https://login.microsoftonline.com |
Permite que Cloud Manager ponga en marcha y gestione Cloud Volumes ONTAP en la mayoría de las regiones de Azure. |
https://management.microsoftazure.de https://login.microsoftonline.de |
Permite que Cloud Manager ponga en marcha y gestione Cloud Volumes ONTAP en las regiones de Azure Alemania. |
https://management.usgovcloudapi.net https://login.microsoftonline.com |
Permite a Cloud Manager implementar y gestionar Cloud Volumes ONTAP en las regiones de Azure US Gov. |
https://api.services.cloud.netapp.com:443 |
Solicitudes de API a Cloud Central de NetApp. |
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com |
Proporciona acceso a imágenes, manifiestos y plantillas de software. |
https://repo.cloud.support.netapp.com |
Se utiliza para descargar las dependencias de Cloud Manager. |
http://repo.mysql.com/ |
Se utiliza para descargar MySQL. |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
Permite a Cloud Manager acceder y descargar manifiestos, plantillas e imágenes de actualización de Cloud Volumes ONTAP. |
https://cloudmanagerinfraprod.azurecr.io |
Acceso a imágenes de software de componentes de contenedor para una infraestructura que ejecuta Docker y proporciona una solución para las integraciones de servicios con Cloud Manager. |
https://kinesis.us-east-1.amazonaws.com |
Permite a NetApp transmitir datos desde registros de auditoría. |
https://cloudmanager.cloud.netapp.com |
Comunicación con el servicio Cloud Manager, que incluye cuentas de Cloud Central. |
https://netapp-cloud-account.auth0.com |
Comunicación con Cloud Central de NetApp para la autenticación de usuario centralizada. |
https://mysupport.netapp.com |
Comunicación con AutoSupport de NetApp. |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
Comunicación con NetApp para la licencia del sistema y el registro de soporte. |
https://ipa-signer.cloudmanager.netapp.com |
Permite que Cloud Manager genere licencias (por ejemplo, una licencia de FlexCache para Cloud Volumes ONTAP). |
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
Necesario para conectar los sistemas Cloud Volumes ONTAP con un clúster de Kubernetes. Los extremos permiten la instalación de Trident de NetApp. |
*.blob.core.windows.net |
Necesario para pares de alta disponibilidad cuando se utiliza un proxy. |
Diversas ubicaciones de terceros, por ejemplo:
Las ubicaciones de terceros están sujetas a cambios. |
Durante las actualizaciones, Cloud Manager descarga los paquetes más recientes para dependencias de terceros. |
Aunque debe realizar casi todas las tareas desde la interfaz de usuario de SaaS, todavía hay disponible una interfaz de usuario local en el conector. La máquina que ejecuta el explorador Web debe tener conexiones con los siguientes puntos finales:
| Puntos finales | Específico |
|---|---|
El host del conector |
Debe introducir la dirección IP del host desde un explorador web para cargar la consola de Cloud Manager. Según su conectividad con el proveedor de cloud, puede usar la IP privada o una IP pública asignada al host:
En cualquier caso, debe proteger el acceso a la red garantizando que las reglas de grupo de seguridad permiten el acceso sólo desde IP o subredes autorizadas. |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
El explorador web se conecta con estos extremos para conseguir una autenticación de usuario centralizada mediante NetApp Cloud Central. |
https://widget.intercom.io |
Si busca un chat integrado en los productos que le permita hablar con expertos en cloud de NetApp. |
Reglas de grupo de seguridad para Cloud Volumes ONTAP
Cloud Manager crea grupos de seguridad de Azure que incluyen las reglas de entrada y salida que Cloud Volumes ONTAP necesita para funcionar correctamente. Tal vez desee consultar los puertos para fines de prueba o si prefiere utilizar sus propios grupos de seguridad.
El grupo de seguridad para Cloud Volumes ONTAP requiere reglas tanto entrantes como salientes.
Reglas de entrada para sistemas de un solo nodo
Las reglas que se enumeran a continuación permiten el tráfico, a menos que la descripción indique que bloquea el tráfico entrante específico.
| Prioridad y nombre | Puerto y protocolo | Origen y destino | Descripción |
|---|---|---|---|
1000 inbound_ssh |
22 TCP |
De cualquiera a cualquiera |
Acceso SSH a la dirección IP de administración del clúster LIF o una LIF de gestión de nodos |
1001 inbound_http |
80 TCP |
De cualquiera a cualquiera |
Acceso HTTP a la consola web de System Manager mediante el La dirección IP de la LIF de gestión del clúster |
1002 inbound_111_tcp |
111 TCP |
De cualquiera a cualquiera |
Llamada a procedimiento remoto para NFS |
1003 inbound_111_udp |
111 UDP |
De cualquiera a cualquiera |
Llamada a procedimiento remoto para NFS |
1004 inbound_139 |
139 TCP |
De cualquiera a cualquiera |
Sesión de servicio NetBIOS para CIFS |
1005 inbound_161-162 _tcp |
161-162 TCP |
De cualquiera a cualquiera |
Protocolo simple de gestión de red |
1006 inbound_161-162 _udp |
161-162 UDP |
De cualquiera a cualquiera |
Protocolo simple de gestión de red |
1007 inbound_443 |
443 TCP |
De cualquiera a cualquiera |
Acceso HTTPS a la consola web de System Manager mediante el La dirección IP de la LIF de gestión del clúster |
1008 inbound_445 |
445 TCP |
De cualquiera a cualquiera |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
1009 inbound_635_tcp |
635 TCP |
De cualquiera a cualquiera |
Montaje NFS |
1010 inbound_635_udp |
635 UDP |
De cualquiera a cualquiera |
Montaje NFS |
1011 inbound_749 |
749 TCP |
De cualquiera a cualquiera |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
De cualquiera a cualquiera |
Daemon del servidor NFS |
1013 inbound_2049_udp |
2049 UDP |
De cualquiera a cualquiera |
Daemon del servidor NFS |
1014 inbound_3260 |
3260 TCP |
De cualquiera a cualquiera |
Acceso iSCSI mediante la LIF de datos iSCSI |
1015 inbound_4045-4046_tcp |
4045-4046 TCP |
De cualquiera a cualquiera |
Daemon de bloqueo NFS y monitor de estado de red |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
De cualquiera a cualquiera |
Daemon de bloqueo NFS y monitor de estado de red |
1017 inbound_10000 |
10000 TCP |
De cualquiera a cualquiera |
Backup con NDMP |
1018 inbound_11104-11105 |
11104-11105 TCP |
De cualquiera a cualquiera |
Transferencia de datos de SnapMirror |
3000 inbound_deny _all_tcp |
Cualquier puerto TCP |
De cualquiera a cualquiera |
Bloquear el resto del tráfico entrante TCP |
3001 inbound_deny _all_udp |
Cualquier puerto UDP |
De cualquiera a cualquiera |
Bloquee el resto del tráfico de entrada UDP |
65000 AllowVnetInBound |
Cualquier protocolo |
VirtualNetwork para VirtualNetwork |
Tráfico entrante desde dentro del vnet |
65001 AllowAzureLoad Balance InBound |
Cualquier protocolo |
AzureLoadBalancer a cualquiera |
Tráfico de datos del balanceador de carga estándar de Azure |
65500 DenyAllInBound |
Cualquier protocolo |
De cualquiera a cualquiera |
Bloquear el resto del tráfico entrante |
Reglas de entrada para sistemas de alta disponibilidad
Las reglas que se enumeran a continuación permiten el tráfico, a menos que la descripción indique que bloquea el tráfico entrante específico.
|
Los sistemas de ALTA DISPONIBILIDAD tienen menos reglas entrantes que los sistemas de un solo nodo, porque el tráfico de datos entrantes pasa por el balanceador de carga estándar de Azure. Debido a esto, el tráfico del equilibrador de carga debe estar abierto, como se muestra en la regla "AllowAzureLoadBalance InBound". |
| Prioridad y nombre | Puerto y protocolo | Origen y destino | Descripción |
|---|---|---|---|
100 inbound_443 |
443 cualquier protocolo |
De cualquiera a cualquiera |
Acceso HTTPS a la consola web de System Manager mediante el La dirección IP de la LIF de gestión del clúster |
101 inbound_111_tcp |
111 cualquier protocolo |
De cualquiera a cualquiera |
Llamada a procedimiento remoto para NFS |
102 inbound_2049_tcp |
2049 cualquier protocolo |
De cualquiera a cualquiera |
Daemon del servidor NFS |
111 inbound_ssh |
22 cualquier protocolo |
De cualquiera a cualquiera |
Acceso SSH a la dirección IP de administración del clúster LIF o una LIF de gestión de nodos |
121 inbound_53 |
53 cualquier protocolo |
De cualquiera a cualquiera |
DNS y CIFS |
65000 AllowVnetInBound |
Cualquier protocolo |
VirtualNetwork para VirtualNetwork |
Tráfico entrante desde dentro del vnet |
65001 AllowAzureLoad Balance InBound |
Cualquier protocolo |
AzureLoadBalancer a cualquiera |
Tráfico de datos del balanceador de carga estándar de Azure |
65500 DenyAllInBound |
Cualquier protocolo |
De cualquiera a cualquiera |
Bloquear el resto del tráfico entrante |
Reglas de salida
El grupo de seguridad predefinido para Cloud Volumes ONTAP abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
El grupo de seguridad predefinido para Cloud Volumes ONTAP incluye las siguientes reglas de salida.
| Puerto | Protocolo | Específico |
|---|---|---|
Todo |
Todos los TCP |
Todo el tráfico saliente |
Todo |
Todas las UDP |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por Cloud Volumes ONTAP.
|
|
El origen es la interfaz (dirección IP) en el sistema Cloud Volumes ONTAP. |
| Servicio | Puerto | Protocolo | Origen | Destino | Específico |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Autenticación Kerberos V. |
137 |
UDP |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
138 |
UDP |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
139 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
389 |
TCP Y UDP |
LIF de gestión de nodos |
Bosque de Active Directory |
LDAP |
|
445 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
464 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
464 |
UDP |
LIF de gestión de nodos |
Bosque de Active Directory |
Administración de claves Kerberos |
|
749 |
TCP |
LIF de gestión de nodos |
Bosque de Active Directory |
Contraseña de Kerberos V Change & Set (RPCSEC_GSS) |
|
88 |
TCP |
LIF de datos (NFS, CIFS e iSCSI) |
Bosque de Active Directory |
Autenticación Kerberos V. |
|
137 |
UDP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
138 |
UDP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
139 |
TCP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
389 |
TCP Y UDP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
LDAP |
|
445 |
TCP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
464 |
TCP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
464 |
UDP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Administración de claves Kerberos |
|
749 |
TCP |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Contraseña de Kerberos V change & set (RPCSEC_GSS) |
|
DHCP |
68 |
UDP |
LIF de gestión de nodos |
DHCP |
Cliente DHCP para la configuración inicial |
DHCPS |
67 |
UDP |
LIF de gestión de nodos |
DHCP |
Servidor DHCP |
DNS |
53 |
UDP |
LIF de gestión de nodos y LIF de datos (NFS, CIFS) |
DNS |
DNS |
NDMP |
18600–18699 |
TCP |
LIF de gestión de nodos |
Servidores de destino |
Copia NDMP |
SMTP |
25 |
TCP |
LIF de gestión de nodos |
Servidor de correo |
Alertas SMTP, que se pueden utilizar para AutoSupport |
SNMP |
161 |
TCP |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
161 |
UDP |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
162 |
TCP |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
162 |
UDP |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
SnapMirror |
11104 |
TCP |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Gestión de sesiones de comunicación de interconexión de clústeres para SnapMirror |
11105 |
TCP |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Transferencia de datos de SnapMirror |
|
Syslog |
514 |
UDP |
LIF de gestión de nodos |
Servidor de syslog |
Mensajes de syslog Reenviar |
Reglas de grupo de seguridad para el conector
El grupo de seguridad del conector requiere reglas entrantes y salientes.
Reglas de entrada
El origen de las reglas entrantes en el grupo de seguridad predefinido es 0.0.0.0/0.
| Puerto | Protocolo | Específico |
|---|---|---|
22 |
SSH |
Proporciona acceso SSH al host de Connector |
80 |
HTTP |
Proporciona acceso HTTP desde navegadores web de cliente al local interfaz de usuario |
443 |
HTTPS |
Proporciona acceso HTTPS desde exploradores web de cliente al local interfaz de usuario |
Reglas de salida
El grupo de seguridad predefinido para el conector abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
El grupo de seguridad predefinido para el conector incluye las siguientes reglas de salida.
| Puerto | Protocolo | Específico |
|---|---|---|
Todo |
Todos los TCP |
Todo el tráfico saliente |
Todo |
Todas las UDP |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por parte del conector.
|
|
La dirección IP de origen es el host del conector. |
| Servicio | Puerto | Protocolo | Destino | Específico |
|---|---|---|---|---|
Active Directory |
88 |
TCP |
Bosque de Active Directory |
Autenticación Kerberos V. |
139 |
TCP |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
389 |
TCP |
Bosque de Active Directory |
LDAP |
|
445 |
TCP |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
464 |
TCP |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
749 |
TCP |
Bosque de Active Directory |
Contraseña de modificación y definición de Kerberos V de Active Directory (RPCSEC_GSS) |
|
137 |
UDP |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
138 |
UDP |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
464 |
UDP |
Bosque de Active Directory |
Administración de claves Kerberos |
|
Llamadas API y AutoSupport |
443 |
HTTPS |
LIF de gestión de clústeres de ONTAP y Internet saliente |
API llama a AWS y ONTAP y envía mensajes de AutoSupport a NetApp |
Llamadas API |
3000 |
TCP |
LIF de gestión de clústeres de ONTAP |
Llamadas API a ONTAP |
DNS |
53 |
UDP |
DNS |
Utilizado para resolver DNS por Cloud Manager |