Configuration réseau requise pour Cloud Volumes ONTAP dans AWS
Suggérer des modifications
PDF
BlueXP gère la configuration des composants réseau pour Cloud Volumes ONTAP, tels que les adresses IP, les masques réseau et les routes. Vous devez vous assurer que l'accès Internet sortant est disponible, que suffisamment d'adresses IP privées sont disponibles, que les bonnes connexions sont en place, et bien plus encore.
Exigences générales
Les exigences suivantes doivent être respectées dans AWS.
Accès Internet sortant pour les nœuds Cloud Volumes ONTAP
Les nœuds Cloud Volumes ONTAP requièrent un accès Internet sortant pour contacter les terminaux suivants au quotidien.
Terminaux Cloud Volumes ONTAP
Cloud Volumes ONTAP requiert un accès Internet sortant pour contacter différents terminaux au quotidien.
Les terminaux suivants sont spécifiques à Cloud Volumes ONTAP. Le connecteur contacte également plusieurs points de terminaison pour les opérations quotidiennes, ainsi que la console Web BlueXP . Reportez-vous à "Afficher les points d'extrémité contactés depuis le connecteur" et "Préparez la mise en réseau à l'aide de la console BlueXP".
| Terminaux | Applicable à | Objectif | Modes de déploiement BlueXP | Impact si le point final n'est pas disponible |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
Authentification |
Utilisé pour l'authentification BlueXP . |
Modes standard et restreint. |
L'authentification de l'utilisateur échoue et les services suivants restent indisponibles :
|
https://keyvault-production-aks.vault.azure.net |
Coffre-fort de clés |
Utilisé pour récupérer la clé secrète du client à partir du coffre-fort de clés Azure afin de communiquer avec les compartiments S3 pour la gestion des métadonnées. Le service Cloud Volumes ONTAP utilise ce composant en interne. |
Modes standard, restreint et privé. |
Les services Cloud Volumes ONTAP ne sont pas disponibles. |
https://cloudmanager.cloud.netapp.com/tenancy |
Location |
Utilisé pour récupérer les ressources Cloud Volumes ONTAP de la location BlueXP afin d'autoriser les ressources et les utilisateurs. |
Modes standard et restreint. |
Les ressources Cloud Volumes ONTAP et les utilisateurs ne sont pas autorisés. |
https://support.NetApp.com/aods/asupmessage https://support.NetApp.com/asupprod/post/1.0/postAsup |
AutoSupport |
Permet d'envoyer des données de télémétrie AutoSupport à la prise en charge de NetApp. |
Modes standard et restreint. |
Les informations AutoSupport ne sont toujours pas transmises. |
Le terminal commercial exact pour le service AWS (suffixe |
|
Communication avec les services AWS. |
Modes standard et privé. |
Cloud Volumes ONTAP ne peut pas communiquer avec le service AWS pour effectuer des opérations BlueXP spécifiques sur AWS. |
Le terminal gouvernemental exact pour le service AWS dépend de la région AWS que vous utilisez. Les noeuds finaux sont suffixés avec |
|
Communication avec les services AWS. |
Mode restreint. |
Cloud Volumes ONTAP ne peut pas communiquer avec le service AWS pour effectuer des opérations BlueXP spécifiques sur AWS. |
Accès Internet sortant pour NetApp AutoSupport
Les nœuds Cloud Volumes ONTAP requièrent un accès Internet sortant pour accéder aux terminaux externes pour diverses fonctions. Cloud Volumes ONTAP ne peut pas fonctionner correctement si ces terminaux sont bloqués dans des environnements soumis à des exigences de sécurité strictes.
Les nœuds Cloud Volumes ONTAP nécessitent un accès Internet sortant pour l'AutoSupport, qui surveille de manière proactive l'état de santé de votre système et envoie des messages au support technique de NetApp.
Les règles de routage et de pare-feu doivent autoriser le trafic HTTP/HTTPS vers les terminaux suivants pour que Cloud Volumes ONTAP puisse envoyer les messages AutoSupport :
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
Si vous disposez d'une instance NAT, vous devez définir une règle de groupe de sécurité entrante qui autorise le trafic HTTPS du sous-réseau privé vers Internet.
Si aucune connexion Internet sortante n'est disponible pour envoyer des messages AutoSupport, BlueXP configure automatiquement vos systèmes Cloud Volumes ONTAP pour utiliser le connecteur comme serveur proxy. La seule condition est de s'assurer que le groupe de sécurité du connecteur autorise les connexions entrantes sur le port 3128. Vous devrez ouvrir ce port après le déploiement du connecteur.
Si vous avez défini des règles sortantes strictes pour Cloud Volumes ONTAP, vous devrez également vous assurer que le groupe de sécurité Cloud Volumes ONTAP autorise les connexions sortantes sur le port 3128.
Après avoir vérifié que l'accès Internet sortant est disponible, vous pouvez tester AutoSupport pour vous assurer qu'il peut envoyer des messages. Pour obtenir des instructions, reportez-vous à la section "Documentation ONTAP : configuration d'AutoSupport".
Si BlueXP vous informe que les messages AutoSupport ne peuvent pas être envoyés, "Résoudre les problèmes de configuration AutoSupport".
Accès Internet sortant pour le médiateur haute disponibilité
L'instance de médiateur haute disponibilité doit disposer d'une connexion sortante au service AWS EC2 pour qu'il puisse faciliter le basculement du stockage. Pour fournir la connexion, vous pouvez ajouter une adresse IP publique, spécifier un serveur proxy ou utiliser une option manuelle.
L'option manuelle peut être une passerelle NAT ou un terminal VPC d'interface, du sous-réseau cible au service AWS EC2. Pour plus d'informations sur les terminaux VPC, reportez-vous au "Documentation AWS : terminaux VPC d'interface (AWS PrivateLink)".
Adresses IP privées
BlueXP alloue automatiquement le nombre requis d'adresses IP privées à Cloud Volumes ONTAP. Vous devez vous assurer que votre réseau dispose de suffisamment d'adresses IP privées.
Le nombre de LIF alloués par BlueXP pour Cloud Volumes ONTAP dépend du déploiement d'un système à un seul nœud ou d'une paire haute disponibilité. Une LIF est une adresse IP associée à un port physique.
Adresses IP d'un système à un seul nœud
BlueXP alloue 6 adresses IP à un système à nœud unique.
Le tableau suivant fournit des informations détaillées sur les LIFs associées à chaque adresse IP privée.
| LIF | Objectif |
|---|---|
Gestion du cluster |
Gestion administrative de l'ensemble du cluster (paire HA). |
Gestion de nœuds |
Gestion administrative d'un nœud. |
Intercluster |
Communication, sauvegarde et réplication entre les clusters |
Données NAS |
Accès client via les protocoles NAS. |
Données iSCSI |
Accès client via le protocole iSCSI. Également utilisé par le système pour d'autres flux de travail réseau importants. Cette LIF est requise et ne doit pas être supprimée. |
Gestion des machines virtuelles de stockage |
Une LIF de gestion de machines virtuelles de stockage est utilisée avec des outils de gestion tels que SnapCenter. |
Adresses IP des paires haute disponibilité
Les paires HAUTE DISPONIBILITÉ requièrent plus d'adresses IP qu'un système à un seul nœud. Ces adresses IP sont réparties sur différentes interfaces ethernet, comme illustré dans l'image suivante :
Le nombre d'adresses IP privées requises pour une paire haute disponibilité dépend du modèle de déploiement choisi. Une paire haute disponibilité déployée dans une single AWS Availability zone (AZ) requiert 15 adresses IP privées, tandis qu'une paire haute disponibilité déployée dans multiple AZS nécessite 13 adresses IP privées.
Les tableaux suivants fournissent des informations détaillées sur les LIF associées à chaque adresse IP privée.
LIF pour les paires haute disponibilité dans une même zone de disponibilité
| LIF | Interface | Nœud | Objectif |
|---|---|---|---|
Gestion du cluster |
eth0 |
nœud 1 |
Gestion administrative de l'ensemble du cluster (paire HA). |
Gestion de nœuds |
eth0 |
les nœuds 1 et 2 |
Gestion administrative d'un nœud. |
Intercluster |
eth0 |
les nœuds 1 et 2 |
Communication, sauvegarde et réplication entre les clusters |
Données NAS |
eth0 |
nœud 1 |
Accès client via les protocoles NAS. |
Données iSCSI |
eth0 |
les nœuds 1 et 2 |
Accès client via le protocole iSCSI. Également utilisé par le système pour d'autres flux de travail réseau importants. Ces LIFs sont requises et ne doivent pas être supprimées. |
Connectivité au cluster |
eth1 |
les nœuds 1 et 2 |
Permet aux nœuds de communiquer les uns avec les autres et de déplacer les données au sein du cluster. |
Connectivité HAUTE DISPONIBILITÉ |
eth2 |
les nœuds 1 et 2 |
Communication entre les deux nœuds en cas de basculement. |
Trafic iSCSI RSM |
eth3 |
les nœuds 1 et 2 |
Le trafic iSCSI RAID SyncMirror, ainsi que la communication entre les deux nœuds Cloud Volumes ONTAP et le médiateur. |
Médiateur |
eth0 |
Médiateur |
Canal de communication entre les nœuds et le médiateur pour faciliter les processus de basculement et de rétablissement du stockage. |
LIF pour paires haute disponibilité dans plusieurs systèmes AZS
| LIF | Interface | Nœud | Objectif |
|---|---|---|---|
Gestion de nœuds |
eth0 |
les nœuds 1 et 2 |
Gestion administrative d'un nœud. |
Intercluster |
eth0 |
les nœuds 1 et 2 |
Communication, sauvegarde et réplication entre les clusters |
Données iSCSI |
eth0 |
les nœuds 1 et 2 |
Accès client via le protocole iSCSI. Ces LIFs gèrent également la migration d'adresses IP flottantes entre nœuds. Ces LIFs sont requises et ne doivent pas être supprimées. |
Connectivité au cluster |
eth1 |
les nœuds 1 et 2 |
Permet aux nœuds de communiquer les uns avec les autres et de déplacer les données au sein du cluster. |
Connectivité HAUTE DISPONIBILITÉ |
eth2 |
les nœuds 1 et 2 |
Communication entre les deux nœuds en cas de basculement. |
Trafic iSCSI RSM |
eth3 |
les nœuds 1 et 2 |
Le trafic iSCSI RAID SyncMirror, ainsi que la communication entre les deux nœuds Cloud Volumes ONTAP et le médiateur. |
Médiateur |
eth0 |
Médiateur |
Canal de communication entre les nœuds et le médiateur pour faciliter les processus de basculement et de rétablissement du stockage. |
|
Lorsqu'il est déployé dans plusieurs zones de disponibilité, plusieurs LIF sont associées à "Adresses IP flottantes", Qui ne sont pas pris en compte par rapport à la limite IP privée AWS. |
Groupes de sécurité
Vous n'avez pas besoin de créer des groupes de sécurité car BlueXP le fait pour vous. Si vous devez utiliser votre propre, reportez-vous à la section "Règles de groupe de sécurité".
|
|
Vous recherchez des informations sur le connecteur ? "Afficher les règles de groupe de sécurité du connecteur" |
Connexion pour le Tiering des données
Si vous souhaitez utiliser EBS comme niveau de performance et AWS S3 comme niveau de capacité, vous devez vous assurer que Cloud Volumes ONTAP est connecté à S3. La meilleure façon de fournir cette connexion est de créer un terminal VPC vers le service S3. Pour obtenir des instructions, reportez-vous au "Documentation AWS : création d'un terminal de passerelle".
Lorsque vous créez le terminal VPC, veillez à sélectionner la région, le VPC et la table de routage correspondant à l'instance Cloud Volumes ONTAP. Vous devez également modifier le groupe de sécurité pour ajouter une règle HTTPS sortante qui active le trafic vers le terminal S3. Dans le cas contraire, Cloud Volumes ONTAP ne peut pas se connecter au service S3.
Si vous rencontrez des problèmes, reportez-vous au "Centre de connaissances du support AWS : pourquoi ne puis-je pas me connecter à un compartiment S3 à l'aide d'un terminal VPC de passerelle ?"
Connexions aux systèmes ONTAP
Pour répliquer les données entre un système Cloud Volumes ONTAP dans AWS et des systèmes ONTAP d'autres réseaux, vous devez disposer d'une connexion VPN entre le VPC AWS et l'autre réseau, par exemple votre réseau d'entreprise. Pour obtenir des instructions, reportez-vous au "Documentation AWS : configuration d'une connexion VPN AWS".
DNS et Active Directory pour CIFS
Si vous souhaitez provisionner le stockage CIFS, vous devez configurer DNS et Active Directory dans AWS ou étendre votre configuration sur site à AWS.
Le serveur DNS doit fournir des services de résolution de noms pour l'environnement Active Directory. Vous pouvez configurer les jeux d'options DHCP pour qu'ils utilisent le serveur DNS EC2 par défaut, qui ne doit pas être le serveur DNS utilisé par l'environnement Active Directory.
Pour obtenir des instructions, reportez-vous au "Documentation AWS : active Directory Domain Services sur le cloud AWS : déploiement de référence rapide".
Partage de VPC
Depuis la version 9.11.1, les paires haute disponibilité Cloud Volumes ONTAP sont prises en charge dans AWS avec le partage VPC. Le partage VPC permet à votre entreprise de partager des sous-réseaux avec d'autres comptes AWS. Pour utiliser cette configuration, vous devez configurer votre environnement AWS, puis déployer la paire HA à l'aide de l'API.
Besoins en paires haute disponibilité dans plusieurs AZS
D'autres exigences de mise en réseau AWS s'appliquent aux configurations Cloud Volumes ONTAP HA qui utilisent plusieurs zones de disponibilité (AZS). Vous devez vérifier ces exigences avant de lancer une paire haute disponibilité car vous devez entrer les informations de mise en réseau dans BlueXP lorsque vous créez l'environnement de travail.
Pour comprendre le fonctionnement des paires HA, reportez-vous à "Paires haute disponibilité"la .
- Zones de disponibilité
-
Ce modèle de déploiement haute disponibilité utilise plusieurs AZS pour assurer la haute disponibilité de vos données. Vous devez utiliser un système AZ dédié pour chaque instance Cloud Volumes ONTAP et l'instance médiateur, qui fournit un canal de communication entre la paire HA.
Un sous-réseau doit être disponible dans chaque zone de disponibilité.
- Adresses IP flottantes pour les données NAS et la gestion de cluster/SVM
-
Les configurations HAUTE DISPONIBILITÉ de plusieurs AZS utilisent des adresses IP flottantes qui migrent entre les nœuds en cas de défaillance. Sauf vous, ils ne sont pas accessibles de manière native depuis l'extérieur du VPC "Configuration d'une passerelle de transit AWS".
Une adresse IP flottante concerne la gestion du cluster, l'une concerne les données NFS/CIFS sur le nœud 1 et l'autre les données NFS/CIFS sur le nœud 2. Une quatrième adresse IP flottante est facultative pour la gestion des SVM.
Une adresse IP flottante est requise pour la LIF de management du SVM si vous utilisez SnapDrive pour Windows ou SnapCenter avec la paire haute disponibilité. Vous devez entrer les adresses IP flottantes dans BlueXP lorsque vous créez un environnement de travail Cloud Volumes ONTAP HA. BlueXP alloue les adresses IP à la paire HA lors du lancement du système.
Les adresses IP flottantes doivent être en dehors des blocs CIDR sur tous les VPC de la région AWS dans laquelle vous déployez la configuration HA. Considérez les adresses IP flottantes comme un sous-réseau logique en dehors des VPC de votre région.
L'exemple suivant illustre la relation entre les adresses IP flottantes et les VPC d'une région AWS. Alors que les adresses IP flottantes sont en dehors des blocs CIDR pour tous les VPC, elles sont routables vers les sous-réseaux via des tables de routage.
BlueXP crée automatiquement des adresses IP statiques pour l'accès iSCSI et pour l'accès NAS à partir de clients externes au VPC. Vous n'avez pas besoin de répondre à des exigences relatives à ces types d'adresses IP. - Passerelle de transport pour activer l'accès IP flottant depuis l'extérieur du VPC
-
Si besoin, "Configuration d'une passerelle de transit AWS" Pour permettre l'accès aux adresses IP flottantes d'une paire haute disponibilité de l'extérieur du VPC où réside la paire haute disponibilité.
- Tables de routage
-
Après avoir spécifié les adresses IP flottantes dans BlueXP, vous êtes invité à sélectionner les tables de routage qui doivent inclure des routes vers les adresses IP flottantes. Cela permet au client d'accéder à la paire haute disponibilité.
Si vous ne disposez que d'une seule table de routage pour les sous-réseaux de votre VPC (la table de routage principale), BlueXP ajoute automatiquement les adresses IP flottantes à cette table de routage. Si vous avez plusieurs tables de routage, il est très important de sélectionner les tables de routage appropriées au lancement de la paire haute disponibilité. Dans le cas contraire, certains clients n'ont peut-être pas accès à Cloud Volumes ONTAP.
Par exemple, vous pouvez avoir deux sous-réseaux associés à différentes tables de routage. Si vous sélectionnez la table de routage A, mais pas la table de routage B, les clients du sous-réseau associé à la table de routage A peuvent accéder à la paire HA, mais les clients du sous-réseau associé à la table de routage B ne peuvent pas.
Pour plus d'informations sur les tables de routage, reportez-vous au "Documentation AWS : tables de routage".
- Connexion aux outils de gestion NetApp
-
Pour utiliser les outils de gestion NetApp avec des configurations haute disponibilité figurant dans plusieurs modèles AZS, vous disposez de deux options de connexion :
-
Déployez les outils de gestion NetApp sur un autre VPC et "Configuration d'une passerelle de transit AWS". La passerelle permet d'accéder à l'adresse IP flottante de l'interface de gestion du cluster à partir de l'extérieur du VPC.
-
Déployez les outils de gestion NetApp sur le même VPC avec une configuration de routage similaire à celle des clients NAS.
-
Exemple de configuration haute disponibilité
L'image suivante illustre les composants réseau propres à une paire HA dans plusieurs AZS : trois zones de disponibilité, trois sous-réseaux, des adresses IP flottantes et une table de routage.
Configuration requise pour le connecteur
Si vous n'avez pas encore créé de connecteur, vous devez également consulter les exigences de mise en réseau pour le connecteur.