Requisitos de red para poner en marcha y gestionar Cloud Volumes ONTAP en GCP
Configure sus redes de Google Cloud Platform para que los sistemas Cloud Volumes ONTAP puedan funcionar correctamente. Esto incluye la conexión a redes para el conector y Cloud Volumes ONTAP.
Requisitos para Cloud Volumes ONTAP
En GCP deben cumplirse los siguientes requisitos.
- Cloud privado virtual
-
Cloud Volumes ONTAP y el conector son compatibles con un VPC compartido de Google Cloud y también en PCs no compartidos.
Un VPC compartido permite configurar y gestionar de forma centralizada las redes virtuales de varios proyectos. Puede configurar redes VPC compartidas en el proyecto host e implementar las instancias de máquina virtual de conector y Cloud Volumes ONTAP en un proyecto de servicio. "Documentación de Google Cloud: Información general sobre VPC compartido".
El único requisito al usar un VPC compartido es a. proporcione el "Rol de usuario de red de computación" A la cuenta de servicio conector. Cloud Manager necesita estos permisos para consultar los firewalls, VPC y subredes del proyecto de host.
- Acceso saliente a Internet para Cloud Volumes ONTAP
-
Cloud Volumes ONTAP requiere acceso saliente a Internet para enviar mensajes a NetApp AutoSupport, que supervisa proactivamente el estado del almacenamiento.
Las políticas de enrutamiento y firewall deben permitir el tráfico HTTP/HTTPS a los siguientes extremos para que Cloud Volumes ONTAP pueda enviar mensajes de AutoSupport:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
-
- Número de direcciones IP
-
Cloud Manager asigna 5 direcciones IP a Cloud Volumes ONTAP en GCP.
Tenga en cuenta que Cloud Manager no crea una LIF de gestión de SVM para Cloud Volumes ONTAP en GCP.
Una LIF es una dirección IP asociada con un puerto físico. Se requiere una LIF de gestión de SVM para herramientas de gestión como SnapCenter. - Reglas del firewall
-
No necesita crear reglas de firewall, ya que Cloud Manager lo hace por usted. Si necesita utilizar el suyo propio, consulte las reglas de firewall que se enumeran a continuación.
- Conexión de Cloud Volumes ONTAP a Google Cloud Storage para organización en niveles de los datos
-
Si desea organizar los datos inactivos en niveles en un bucket de Google Cloud Storage, la subred en la que reside Cloud Volumes ONTAP debe estar configurada para Private Google Access. Para obtener instrucciones, consulte "Documentación de Google Cloud: Configuración de Private Google Access".
Si quiere ver los pasos adicionales necesarios para configurar la organización en niveles de los datos en Cloud Manager, consulte "Organización en niveles de los datos inactivos en almacenamiento de objetos de bajo coste".
- Conexiones a sistemas ONTAP en otras redes
-
Para replicar datos entre un sistema Cloud Volumes ONTAP en GCP y los sistemas ONTAP de otras redes, debe tener una conexión VPN entre el VPC y la otra red, por ejemplo, su red corporativa.
Para obtener instrucciones, consulte "Documentación de Google Cloud: Información general sobre Cloud VPN".
Requisitos para el conector
Configure su red de modo que el conector pueda gestionar recursos y procesos en su entorno de cloud público. El paso más importante es garantizar el acceso saliente a Internet a varios puntos finales.
Si la red utiliza un servidor proxy para toda la comunicación a Internet, puede especificar el servidor proxy en la página Configuración. Consulte "Configuración del conector para utilizar un servidor proxy". |
Conexión a redes de destino
Un conector requiere una conexión de red a los VPC y VNets en los que desea implementar Cloud Volumes ONTAP.
Por ejemplo, si instala un conector en la red corporativa, debe configurar una conexión VPN al VPC o a vnet en el que inicie Cloud Volumes ONTAP.
Acceso a Internet de salida
El conector requiere acceso saliente a Internet para gestionar recursos y procesos dentro de su entorno de nube pública. Un conector se pone en contacto con los siguientes extremos al gestionar recursos en GCP:
Puntos finales | Específico |
---|---|
https://www.googleapis.com |
Permite que el conector se ponga en contacto con las API de Google para poner en marcha y gestionar Cloud Volumes ONTAP en GCP. |
https://api.services.cloud.netapp.com:443 |
Solicitudes de API a Cloud Central de NetApp. |
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com |
Proporciona acceso a imágenes, manifiestos y plantillas de software. |
https://repo.cloud.support.netapp.com |
Se utiliza para descargar las dependencias de Cloud Manager. |
http://repo.mysql.com/ |
Se utiliza para descargar MySQL. |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
Permite al conector acceder y descargar manifiestos, plantillas e imágenes de actualización de Cloud Volumes ONTAP. |
https://cloudmanagerinfraprod.azurecr.io |
Acceso a imágenes de software de componentes de contenedor para una infraestructura que ejecuta Docker y proporciona una solución para las integraciones de servicios con Cloud Manager. |
https://kinesis.us-east-1.amazonaws.com |
Permite a NetApp transmitir datos desde registros de auditoría. |
https://cloudmanager.cloud.netapp.com |
Comunicación con el servicio Cloud Manager, que incluye cuentas de Cloud Central. |
https://netapp-cloud-account.auth0.com |
Comunicación con Cloud Central de NetApp para la autenticación de usuario centralizada. |
https://mysupport.netapp.com |
Comunicación con AutoSupport de NetApp. |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
Comunicación con NetApp para la licencia del sistema y el registro de soporte. |
https://ipa-signer.cloudmanager.netapp.com |
Permite que Cloud Manager genere licencias (por ejemplo, una licencia de FlexCache para Cloud Volumes ONTAP). |
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
Necesario para conectar los sistemas Cloud Volumes ONTAP con un clúster de Kubernetes. Los extremos permiten la instalación de Trident de NetApp. |
Diversas ubicaciones de terceros, por ejemplo:
Las ubicaciones de terceros están sujetas a cambios. |
Durante las actualizaciones, Cloud Manager descarga los paquetes más recientes para dependencias de terceros. |
Aunque debe realizar casi todas las tareas desde la interfaz de usuario de SaaS, todavía hay disponible una interfaz de usuario local en el conector. La máquina que ejecuta el explorador Web debe tener conexiones con los siguientes puntos finales:
Puntos finales | Específico |
---|---|
El host del conector |
Debe introducir la dirección IP del host desde un explorador web para cargar la consola de Cloud Manager. Según su conectividad con el proveedor de cloud, puede usar la IP privada o una IP pública asignada al host:
En cualquier caso, debe proteger el acceso a la red garantizando que las reglas de grupo de seguridad permiten el acceso sólo desde IP o subredes autorizadas. |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
El explorador web se conecta con estos extremos para conseguir una autenticación de usuario centralizada mediante NetApp Cloud Central. |
https://widget.intercom.io |
Si busca un chat integrado en los productos que le permita hablar con expertos en cloud de NetApp. |
Reglas de firewall para Cloud Volumes ONTAP
Cloud Manager crea reglas de firewall de GCP que incluyen las reglas entrantes y salientes que Cloud Manager y Cloud Volumes ONTAP necesitan para funcionar correctamente. Tal vez desee consultar los puertos para fines de prueba o si prefiere utilizar sus propios grupos de seguridad.
Las reglas de firewall para Cloud Volumes ONTAP requieren reglas tanto entrantes como salientes.
Reglas de entrada
El origen de las reglas entrantes en el grupo de seguridad predefinido es 0.0.0.0/0.
Protocolo | Puerto | Específico |
---|---|---|
Todos los ICMP |
Todo |
Hacer ping a la instancia |
HTTP |
80 |
Acceso HTTP a la consola web de System Manager mediante el La dirección IP de la LIF de gestión del clúster |
HTTPS |
443 |
Acceso HTTPS a la consola web de System Manager mediante el La dirección IP de la LIF de gestión del clúster |
SSH |
22 |
Acceso SSH a la dirección IP de administración del clúster LIF o una LIF de gestión de nodos |
TCP |
111 |
Llamada a procedimiento remoto para NFS |
TCP |
139 |
Sesión de servicio NetBIOS para CIFS |
TCP |
161-162 |
Protocolo simple de gestión de red |
TCP |
445 |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
TCP |
635 |
Montaje NFS |
TCP |
749 |
Kerberos |
TCP |
2049 |
Daemon del servidor NFS |
TCP |
3260 |
Acceso iSCSI mediante la LIF de datos iSCSI |
TCP |
4045 |
Daemon de bloqueo NFS |
TCP |
4046 |
Supervisor de estado de red para NFS |
TCP |
10000 |
Backup con NDMP |
TCP |
11104 |
Gestión de sesiones de comunicación de interconexión de clústeres para SnapMirror |
TCP |
11105 |
Transferencia de datos de SnapMirror mediante LIF de interconexión de clústeres |
UDP |
111 |
Llamada a procedimiento remoto para NFS |
UDP |
161-162 |
Protocolo simple de gestión de red |
UDP |
635 |
Montaje NFS |
UDP |
2049 |
Daemon del servidor NFS |
UDP |
4045 |
Daemon de bloqueo NFS |
UDP |
4046 |
Supervisor de estado de red para NFS |
UDP |
4049 |
Protocolo rquotad NFS |
Reglas de salida
El grupo de seguridad predefinido para Cloud Volumes ONTAP abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
El grupo de seguridad predefinido para Cloud Volumes ONTAP incluye las siguientes reglas de salida.
Protocolo | Puerto | Específico |
---|---|---|
Todos los ICMP |
Todo |
Todo el tráfico saliente |
Todos los TCP |
Todo |
Todo el tráfico saliente |
Todas las UDP |
Todo |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por Cloud Volumes ONTAP.
El origen es la interfaz (dirección IP) en el sistema Cloud Volumes ONTAP. |
Servicio | Protocolo | Puerto | Origen | Destino | Específico |
---|---|---|---|---|---|
Active Directory |
TCP |
88 |
LIF de gestión de nodos |
Bosque de Active Directory |
Autenticación Kerberos V. |
UDP |
137 |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
TCP |
139 |
LIF de gestión de nodos |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP Y UDP |
389 |
LIF de gestión de nodos |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
LIF de gestión de nodos |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
LIF de gestión de nodos |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
UDP |
464 |
LIF de gestión de nodos |
Bosque de Active Directory |
Administración de claves Kerberos |
|
TCP |
749 |
LIF de gestión de nodos |
Bosque de Active Directory |
Contraseña de Kerberos V Change & Set (RPCSEC_GSS) |
|
TCP |
88 |
LIF de datos (NFS, CIFS e iSCSI) |
Bosque de Active Directory |
Autenticación Kerberos V. |
|
UDP |
137 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
TCP |
139 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP Y UDP |
389 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
UDP |
464 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Administración de claves Kerberos |
|
TCP |
749 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Contraseña de Kerberos V change & set (RPCSEC_GSS) |
|
Clúster |
Todo el tráfico |
Todo el tráfico |
Todos los LIF de un nodo |
Todas las LIF del otro nodo |
Comunicaciones de interconexión de clústeres (solo Cloud Volumes ONTAP de alta disponibilidad) |
TCP |
3000 |
LIF de gestión de nodos |
Mediador DE ALTA DISPONIBILIDAD |
Llamadas ZAPI (solo alta disponibilidad de Cloud Volumes ONTAP) |
|
ICMP |
1 |
LIF de gestión de nodos |
Mediador DE ALTA DISPONIBILIDAD |
Mantener activos (solo alta disponibilidad de Cloud Volumes ONTAP) |
|
DHCP |
UDP |
68 |
LIF de gestión de nodos |
DHCP |
Cliente DHCP para la configuración inicial |
DHCPS |
UDP |
67 |
LIF de gestión de nodos |
DHCP |
Servidor DHCP |
DNS |
UDP |
53 |
LIF de gestión de nodos y LIF de datos (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
LIF de gestión de nodos |
Servidores de destino |
Copia NDMP |
SMTP |
TCP |
25 |
LIF de gestión de nodos |
Servidor de correo |
Alertas SMTP, que se pueden utilizar para AutoSupport |
SNMP |
TCP |
161 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
UDP |
161 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
TCP |
162 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
UDP |
162 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
SnapMirror |
TCP |
11104 |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Gestión de sesiones de comunicación de interconexión de clústeres para SnapMirror |
TCP |
11105 |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Transferencia de datos de SnapMirror |
|
Syslog |
UDP |
514 |
LIF de gestión de nodos |
Servidor de syslog |
Mensajes de syslog Reenviar |
Reglas de firewall para el conector
Las reglas de firewall para el conector requieren reglas de entrada y salida.
Reglas de entrada
El origen de las reglas de entrada en las reglas de firewall predefinidas es 0.0.0.0/0.
Protocolo | Puerto | Específico |
---|---|---|
SSH |
22 |
Proporciona acceso SSH al host de Connector |
HTTP |
80 |
Proporciona acceso HTTP desde navegadores web de cliente al local interfaz de usuario |
HTTPS |
443 |
Proporciona acceso HTTPS desde exploradores web de cliente al local interfaz de usuario |
Reglas de salida
Las reglas de firewall predefinidas para el conector abren todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
Las reglas de firewall predefinidas para el conector incluyen las siguientes reglas de salida.
Protocolo | Puerto | Específico |
---|---|---|
Todos los TCP |
Todo |
Todo el tráfico saliente |
Todas las UDP |
Todo |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por parte del conector.
La dirección IP de origen es el host del conector. |
Servicio | Protocolo | Puerto | Destino | Específico |
---|---|---|---|---|
Active Directory |
TCP |
88 |
Bosque de Active Directory |
Autenticación Kerberos V. |
TCP |
139 |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP |
389 |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
TCP |
749 |
Bosque de Active Directory |
Contraseña de modificación y definición de Kerberos V de Active Directory (RPCSEC_GSS) |
|
UDP |
137 |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
UDP |
464 |
Bosque de Active Directory |
Administración de claves Kerberos |
|
Llamadas API y AutoSupport |
HTTPS |
443 |
LIF de gestión de clústeres de ONTAP y Internet saliente |
API llama a GCP y ONTAP, y envía mensajes de AutoSupport a NetApp |
Llamadas API |
TCP |
3000 |
LIF de gestión de clústeres de ONTAP |
Llamadas API a ONTAP |
DNS |
UDP |
53 |
DNS |
Utilizado para resolver DNS por Cloud Manager |