Configuration du réseau Azure pour Cloud Volumes ONTAP
Suggérer des modifications
PDF
Configurez votre réseau Azure de façon à ce que les systèmes Cloud Volumes ONTAP puissent fonctionner correctement.
Conditions requises pour Cloud Volumes ONTAP
Les exigences réseau suivantes doivent être satisfaites dans Azure.
Accès Internet sortant
Les systèmes Cloud Volumes ONTAP nécessitent un accès Internet sortant pour accéder à des terminaux externes pour diverses fonctions. Cloud Volumes ONTAP ne peut pas fonctionner correctement si ces terminaux sont bloqués dans des environnements soumis à des exigences de sécurité strictes.
Le connecteur BlueXP contacte également plusieurs points de terminaison pour les opérations quotidiennes, ainsi que la console Web BlueXP . Pour plus d'informations sur les noeuds finaux BlueXP , reportez-vous aux sections "Afficher les points d'extrémité contactés depuis le connecteur" et "Préparez la mise en réseau à l'aide de la console BlueXP".
Terminaux Cloud Volumes ONTAP
Cloud Volumes ONTAP utilise ces terminaux pour communiquer avec divers services.
| Terminaux | Applicable à | Objectif | Modes de déploiement BlueXP | Impact si indisponible |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
Authentification |
Utilisé pour l'authentification BlueXP . |
Modes standard et restreint. |
L'authentification de l'utilisateur échoue et les services suivants restent indisponibles :
|
Coffre-fort de clés |
Utilisé pour récupérer les clés secrètes client à partir du coffre-fort de clés Azure lors de l'utilisation de clés gérées par le client (CMK). |
Modes standard, restreint et privé. |
Les services Cloud Volumes ONTAP ne sont pas disponibles. |
|
https://cloudmanager.cloud.netapp.com/tenancy |
Location |
Utilisé pour récupérer les ressources Cloud Volumes ONTAP de la location BlueXP afin d'autoriser les ressources et les utilisateurs. |
Modes standard et restreint. |
Les ressources Cloud Volumes ONTAP et les utilisateurs ne sont pas autorisés. |
https://support.NetApp.com/aods/asupmessage https://support.NetApp.com/asupprod/post/1.0/postAsup |
AutoSupport |
Permet d'envoyer des données de télémétrie AutoSupport à la prise en charge de NetApp. |
Modes standard et restreint. |
Les informations AutoSupport ne sont toujours pas transmises. |
https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net |
Régions publiques |
Communication avec les services Azure. |
Modes standard, restreint et privé. |
Cloud Volumes ONTAP ne peut pas communiquer avec le service Azure pour effectuer des opérations BlueXP spécifiques dans Azure. |
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn |
Région de la Chine |
Communication avec les services Azure. |
Modes standard, restreint et privé. |
Cloud Volumes ONTAP ne peut pas communiquer avec le service Azure pour effectuer des opérations BlueXP spécifiques dans Azure. |
https://management.microsoftazure.de https://login.microsoftonline.de https://blob.core.cloudapi.de https://core.cloudapi.de |
Région Allemagne |
Communication avec les services Azure. |
Modes standard, restreint et privé. |
Cloud Volumes ONTAP ne peut pas communiquer avec le service Azure pour effectuer des opérations BlueXP spécifiques dans Azure. |
https://management.usgovcloudapi.net https://login.microsoftonline.us https://blob.core.usgovcloudapi.net https://core.usgovcloudapi.net |
Des États-Unis |
Communication avec les services Azure. |
Modes standard, restreint et privé. |
Cloud Volumes ONTAP ne peut pas communiquer avec le service Azure pour effectuer des opérations BlueXP spécifiques dans Azure. |
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud |
Régions du ministère de la défense des États-Unis |
Communication avec les services Azure. |
Modes standard, restreint et privé. |
Cloud Volumes ONTAP ne peut pas communiquer avec le service Azure pour effectuer des opérations BlueXP spécifiques dans Azure. |
Configurations réseau pour prendre en charge le proxy Connector
Vous pouvez utiliser les serveurs proxy configurés pour le connecteur BlueXP afin d'activer l'accès Internet sortant depuis Cloud Volumes ONTAP. BlueXP prend en charge deux types de proxys :
-
Proxy explicite : Le trafic sortant de Cloud Volumes ONTAP utilise l'adresse HTTP du serveur proxy spécifié lors de la configuration du proxy du connecteur. L'administrateur du connecteur a peut-être également configuré les informations d'identification utilisateur et les certificats d'autorité de certification racine pour une authentification supplémentaire. Si un certificat d'autorité de certification racine est disponible pour le proxy explicite, assurez-vous de l'obtenir et de le télécharger dans votre environnement Cloud Volumes ONTAP à l'aide de l'outil "ONTAP CLI : installation du certificat de sécurité" commande.
-
Proxy transparent : Le réseau est configuré pour acheminer automatiquement le trafic sortant de Cloud Volumes ONTAP via le proxy du connecteur. Lors de la configuration d'un proxy transparent, l'administrateur du connecteur doit uniquement fournir un certificat d'autorité de certification racine pour la connectivité depuis Cloud Volumes ONTAP, et non l'adresse HTTP du serveur proxy. Assurez-vous d'obtenir et de télécharger le même certificat d'autorité de certification racine dans votre environnement Cloud Volumes ONTAP à l'aide de l'outil "ONTAP CLI : installation du certificat de sécurité" commande.
Pour plus d'informations sur la configuration des serveurs proxy pour le connecteur BlueXP , reportez-vous au "Configurez un connecteur pour utiliser un serveur proxy" .
Adresses IP
BlueXP alloue automatiquement le nombre requis d'adresses IP privées à Cloud Volumes ONTAP dans Azure. Vous devez vous assurer que votre réseau dispose de suffisamment d'adresses IP privées.
Le nombre de LIF alloués par BlueXP pour Cloud Volumes ONTAP dépend du déploiement d'un système à un seul nœud ou d'une paire haute disponibilité. Une LIF est une adresse IP associée à un port physique. Une LIF de gestion SVM est nécessaire pour les outils de gestion tels que SnapCenter.
|
Une LIF iSCSI fournit un accès client via le protocole iSCSI et est utilisée par le système pour d'autres flux de travail réseau importants. Ces LIFs sont requises et ne doivent pas être supprimées. |
Adresses IP d'un système à un seul nœud
BlueXP alloue 5 ou 6 adresses IP à un système à un seul nœud :
-
IP de gestion du cluster
-
IP de gestion de nœuds
-
IP intercluster pour SnapMirror
-
NFS/CIFS IP
-
IP iSCSI
L'IP iSCSI fournit un accès client via le protocole iSCSI. Il est également utilisé par le système pour d'autres flux de travail réseau importants. Cette LIF est requise et ne doit pas être supprimée. -
Gestion des SVM (facultatif - non configuré par défaut)
Adresses IP des paires haute disponibilité
BlueXP alloue des adresses IP à 4 NIC (par nœud) pendant le déploiement.
Notez que BlueXP crée une LIF de gestion SVM sur des paires haute disponibilité, mais pas sur des systèmes à un seul nœud dans Azure.
NIC0
-
IP de gestion de nœuds
-
IP intercluster
-
IP iSCSI
L'IP iSCSI fournit un accès client via le protocole iSCSI. Il est également utilisé par le système pour d'autres flux de travail réseau importants. Cette LIF est requise et ne doit pas être supprimée.
NIC1
-
IP du réseau de cluster
NIC2
-
IP d'interconnexion de cluster (ci haute disponibilité)
NIC3
-
IP de la carte réseau Pageblob (accès au disque)
|
|
NIC3 s'applique uniquement aux déploiements haute disponibilité qui utilisent le stockage d'objets blob de page. |
Les adresses IP ci-dessus ne migrent pas lors des événements de basculement.
En outre, 4 adresses IP front-end (FIPS) sont configurées pour migrer lors des événements de basculement. Ces IP frontales résident dans l'équilibreur de charge.
-
IP de gestion du cluster
-
IP de données NODEA (NFS/CIFS)
-
IP de données du nœud B (NFS/CIFS)
-
IP de gestion SVM
Connexion sécurisée aux services Azure
Par défaut, BlueXP active une liaison privée Azure pour les connexions entre les comptes de stockage d'objets blob de pages Cloud Volumes ONTAP et Azure.
Dans la plupart des cas, rien n'est nécessaire : BlueXP gère l'Azure Private Link pour vous. Cependant, si vous utilisez Azure Private DNS, vous devez modifier un fichier de configuration. Vous devez également connaître une exigence pour l'emplacement du connecteur dans Azure.
Vous pouvez également désactiver la connexion Private Link, si nécessaire par vos besoins. Si vous désactivez le lien, BlueXP configure Cloud Volumes ONTAP pour qu'il utilise un point de terminaison de service à la place.
Connexions à d'autres systèmes ONTAP
Pour répliquer des données entre un système Cloud Volumes ONTAP dans Azure et des systèmes ONTAP d'autres réseaux, vous devez disposer d'une connexion VPN entre Azure vnet et l'autre réseau, par exemple votre réseau d'entreprise.
Pour obtenir des instructions, reportez-vous à la section "Documentation Microsoft Azure : créez une connexion de site à site dans le portail Azure".
Port pour l'interconnexion haute disponibilité
Une paire Cloud Volumes ONTAP HA inclut une interconnexion haute disponibilité qui permet à chaque nœud de vérifier en permanence si son partenaire fonctionne et de mettre en miroir les données de journal pour la mémoire non volatile de l'autre. L'interconnexion haute disponibilité utilise le port TCP 10006 pour la communication.
Par défaut, la communication entre les LIFs d'interconnexion haute disponibilité est ouverte et il n'existe aucune règle de groupe de sécurité pour ce port. Mais si vous créez un pare-feu entre les LIF d'interconnexion haute disponibilité, vous devez vous assurer que le trafic TCP est ouvert pour le port 10006 afin que la paire haute disponibilité puisse fonctionner correctement.
Une seule paire HA dans un groupe de ressources Azure
Vous devez utiliser un groupe de ressources dédié pour chaque paire HA Cloud Volumes ONTAP que vous déployez dans Azure. Une seule paire haute disponibilité est prise en charge dans un groupe de ressources.
BlueXP rencontre des problèmes de connexion si vous essayez de déployer une seconde paire HA Cloud Volumes ONTAP dans un groupe de ressources Azure.
Règles de groupe de sécurité
BlueXP crée des groupes de sécurité Azure qui incluent les règles entrantes et sortantes pour que Cloud Volumes ONTAP fonctionne correctement. "Afficher les règles de groupe de sécurité du connecteur" .
Les groupes de sécurité Azure pour Cloud Volumes ONTAP nécessitent que les ports appropriés soient ouverts pour la communication interne entre les nœuds. "En savoir plus sur les ports internes ONTAP" .
Nous vous déconseillons de modifier les groupes de sécurité prédéfinis ni d'utiliser des groupes de sécurité personnalisés. Cependant, si vous devez le faire, sachez que le processus de déploiement nécessite que le système Cloud Volumes ONTAP dispose d'un accès complet à son propre sous-réseau. Une fois le déploiement terminé, si vous décidez de modifier le groupe de sécurité réseau, veillez à maintenir ouverts les ports du cluster et les ports réseau haute disponibilité. Cela garantit une communication fluide au sein du cluster Cloud Volumes ONTAP (communication omnidirectionnelle entre les nœuds).
Règles entrantes pour les systèmes à nœud unique
Lorsque vous créez un environnement de travail et choisissez un groupe de sécurité prédéfini, vous pouvez choisir d'autoriser le trafic dans l'un des éléments suivants :
-
VNet sélectionné uniquement : la source du trafic entrant est la plage de sous-réseau du réseau virtuel pour le système Cloud Volumes ONTAP et la plage de sous-réseau du réseau virtuel où réside le connecteur. Il s'agit de l'option recommandée.
-
Tous les VNets : la source du trafic entrant est la plage IP 0.0.0.0/0.
-
Désactivé : cette option restreint l'accès du réseau public à votre compte de stockage et désactive le Tiering des données pour les systèmes Cloud Volumes ONTAP. Cette option est recommandée si vos adresses IP privées ne doivent pas être exposées, même dans le même réseau virtuel, en raison des réglementations et politiques de sécurité.
| Priorité et nom | Port et protocole | Source et destination | Description |
|---|---|---|---|
1000 inbound_ssh |
22 TCP |
De tous les types à tous |
Accès SSH à l'adresse IP du LIF de gestion de cluster ou d'un LIF de gestion de nœud |
1001 inbound_http |
80 TCP |
De tous les types à tous |
Accès HTTP à la console web ONTAP System Manager en utilisant l'adresse IP du LIF de cluster management |
1002 inbound_111_tcp |
111 TCP |
De tous les types à tous |
Appel de procédure à distance pour NFS |
1003 inbound_111_udp |
111 UDP |
De tous les types à tous |
Appel de procédure à distance pour NFS |
1004 entrant_139 |
139 TCP |
De tous les types à tous |
Session de service NetBIOS pour CIFS |
1005 inbound_161-162 _tcp |
161-162 TCP |
De tous les types à tous |
Protocole de gestion de réseau simple |
1006 inbound_161-162 _udp |
161-162 UDP |
De tous les types à tous |
Protocole de gestion de réseau simple |
1007 entrant_443 |
443 TCP |
De tous les types à tous |
Connectivité avec le connecteur et accès HTTPS à la console web ONTAP System Manager via l'adresse IP du LIF de cluster management |
1008 entrant_445 |
445 TCP |
De tous les types à tous |
Microsoft SMB/CIFS sur TCP avec encadrement NetBIOS |
1009 inbound_635_tcp |
635 TCP |
De tous les types à tous |
Montage NFS |
1010 inbound_635_udp |
635 UDP |
De tous les types à tous |
Montage NFS |
1011 entrant_749 |
749 TCP |
De tous les types à tous |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
De tous les types à tous |
Démon du serveur NFS |
1013 inbound_2049_udp |
2049 UDP |
De tous les types à tous |
Démon du serveur NFS |
1014 entrant_3260 |
3260 TCP |
De tous les types à tous |
Accès iSCSI via le LIF de données iSCSI |
1015 inbound_4045-4046_tcp |
4045-4046 TCP |
De tous les types à tous |
Démon de verrouillage NFS et contrôle de l'état du réseau |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
De tous les types à tous |
Démon de verrouillage NFS et contrôle de l'état du réseau |
1017 entrant_10000 |
10000 TCP |
De tous les types à tous |
Sauvegarde avec NDMP |
1018 entrant_11104-11105 |
11104-11105 TCP |
De tous les types à tous |
Transfert de données SnapMirror |
3000 inbound_deny _all_tcp |
Tout port TCP |
De tous les types à tous |
Bloquer tout autre trafic TCP entrant |
3001 inbound_deny _all_udp |
Tout port UDP |
De tous les types à tous |
Bloquer tout autre trafic entrant UDP |
65000 AllowVnetInBound |
N'importe quel protocole |
VirtualNetwork à VirtualNetwork |
Trafic entrant depuis le réseau VNet |
65001 AllowAzureLoad BalancerInBound |
N'importe quel protocole |
AzureLoadBalancer à tout |
Le trafic de données à partir d'Azure Standard Load Balancer |
65500 DenyAllInBound |
N'importe quel protocole |
De tous les types à tous |
Bloquer tout autre trafic entrant |
Règles entrantes pour les systèmes HA
Lorsque vous créez un environnement de travail et choisissez un groupe de sécurité prédéfini, vous pouvez choisir d'autoriser le trafic dans l'un des éléments suivants :
-
VNet sélectionné uniquement : la source du trafic entrant est la plage de sous-réseau du réseau virtuel pour le système Cloud Volumes ONTAP et la plage de sous-réseau du réseau virtuel où réside le connecteur. Il s'agit de l'option recommandée.
-
Tous les VNets : la source du trafic entrant est la plage IP 0.0.0.0/0.
|
|
Les systèmes HAUTE DISPONIBILITÉ disposent de règles entrantes moins strictes que les systèmes à un seul nœud, car le trafic des données entrantes transite par Azure Standard Load Balancer. Pour cette raison, le trafic provenant du Load Balancer doit être ouvert, comme indiqué dans la règle AllowAzureLoadBalancerInBound. |
-
Désactivé : cette option restreint l'accès du réseau public à votre compte de stockage et désactive le Tiering des données pour les systèmes Cloud Volumes ONTAP. Cette option est recommandée si vos adresses IP privées ne doivent pas être exposées, même dans le même réseau virtuel, en raison des réglementations et politiques de sécurité.
| Priorité et nom | Port et protocole | Source et destination | Description |
|---|---|---|---|
100 entrant_443 |
443 tout protocole |
De tous les types à tous |
Connectivité avec le connecteur et accès HTTPS à la console web ONTAP System Manager via l'adresse IP du LIF de cluster management |
101 inbound_111_tcp |
111 tout protocole |
De tous les types à tous |
Appel de procédure à distance pour NFS |
102 inbound_2049_tcp |
2049 tout protocole |
De tous les types à tous |
Démon du serveur NFS |
111 inbound_ssh |
22 tout protocole |
De tous les types à tous |
Accès SSH à l'adresse IP du LIF de gestion de cluster ou d'un LIF de gestion de nœud |
121 entrant_53 |
53 tout protocole |
De tous les types à tous |
DNS et CIFS |
65000 AllowVnetInBound |
N'importe quel protocole |
VirtualNetwork à VirtualNetwork |
Trafic entrant depuis le réseau VNet |
65001 AllowAzureLoad BalancerInBound |
N'importe quel protocole |
AzureLoadBalancer à tout |
Le trafic de données à partir d'Azure Standard Load Balancer |
65500 DenyAllInBound |
N'importe quel protocole |
De tous les types à tous |
Bloquer tout autre trafic entrant |
Règles de sortie
Le groupe de sécurité prédéfini pour Cloud Volumes ONTAP ouvre tout le trafic sortant. Si cela est acceptable, suivez les règles de base de l'appel sortant. Si vous avez besoin de règles plus rigides, utilisez les règles de sortie avancées.
Règles de base pour les appels sortants
Le groupe de sécurité prédéfini pour Cloud Volumes ONTAP inclut les règles de sortie suivantes.
| Port | Protocole | Objectif |
|---|---|---|
Tout |
Tous les protocoles TCP |
Tout le trafic sortant |
Tout |
Tous les protocoles UDP |
Tout le trafic sortant |
Règles de sortie avancées
Si vous avez besoin de règles rigides pour le trafic sortant, vous pouvez utiliser les informations suivantes pour ouvrir uniquement les ports requis pour la communication sortante par Cloud Volumes ONTAP.
|
|
La source est l'interface (adresse IP) du système Cloud Volumes ONTAP. |
| Service | Port | Protocole | Source | Destination | Objectif |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
FRV de gestion des nœuds |
Forêt Active Directory |
Authentification Kerberos V. |
137 |
UDP |
FRV de gestion des nœuds |
Forêt Active Directory |
Service de noms NetBIOS |
|
138 |
UDP |
FRV de gestion des nœuds |
Forêt Active Directory |
Service de datagrammes NetBIOS |
|
139 |
TCP |
FRV de gestion des nœuds |
Forêt Active Directory |
Session de service NetBIOS |
|
389 |
TCP ET UDP |
FRV de gestion des nœuds |
Forêt Active Directory |
LDAP |
|
445 |
TCP |
FRV de gestion des nœuds |
Forêt Active Directory |
Microsoft SMB/CIFS sur TCP avec encadrement NetBIOS |
|
464 |
TCP |
FRV de gestion des nœuds |
Forêt Active Directory |
Modification et définition du mot de passe Kerberos V (SET_CHANGE) |
|
464 |
UDP |
FRV de gestion des nœuds |
Forêt Active Directory |
Administration des clés Kerberos |
|
749 |
TCP |
FRV de gestion des nœuds |
Forêt Active Directory |
Modification et définition du mot de passe Kerberos V (RPCSEC_GSS) |
|
88 |
TCP |
LIF de données (NFS, CIFS, iSCSI) |
Forêt Active Directory |
Authentification Kerberos V. |
|
137 |
UDP |
FRV de données (NFS, CIFS) |
Forêt Active Directory |
Service de noms NetBIOS |
|
138 |
UDP |
FRV de données (NFS, CIFS) |
Forêt Active Directory |
Service de datagrammes NetBIOS |
|
139 |
TCP |
FRV de données (NFS, CIFS) |
Forêt Active Directory |
Session de service NetBIOS |
|
389 |
TCP ET UDP |
FRV de données (NFS, CIFS) |
Forêt Active Directory |
LDAP |
|
445 |
TCP |
FRV de données (NFS, CIFS) |
Forêt Active Directory |
Microsoft SMB/CIFS sur TCP avec encadrement NetBIOS |
|
464 |
TCP |
FRV de données (NFS, CIFS) |
Forêt Active Directory |
Modification et définition du mot de passe Kerberos V (SET_CHANGE) |
|
464 |
UDP |
FRV de données (NFS, CIFS) |
Forêt Active Directory |
Administration des clés Kerberos |
|
749 |
TCP |
FRV de données (NFS, CIFS) |
Forêt Active Directory |
Modification et définition du mot de passe Kerberos V (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
FRV de gestion des nœuds |
support.netapp.com |
AutoSupport (HTTPS est le protocole par défaut) |
HTTP |
80 |
FRV de gestion des nœuds |
support.netapp.com |
AutoSupport (uniquement si le protocole de transport est passé de HTTPS à HTTP) |
|
TCP |
3128 |
FRV de gestion des nœuds |
Connecteur |
Envoi de messages AutoSupport via un serveur proxy sur le connecteur, si aucune connexion Internet sortante n'est disponible |
|
Sauvegardes de la configuration |
HTTP |
80 |
FRV de gestion des nœuds |
\Http://<connector-IP-address>/occm/offboxconfig |
Envoyer des sauvegardes de configuration au connecteur. "Documentation ONTAP". |
DHCP |
68 |
UDP |
FRV de gestion des nœuds |
DHCP |
Client DHCP pour la première configuration |
DHCPS |
67 |
UDP |
FRV de gestion des nœuds |
DHCP |
Serveur DHCP |
DNS |
53 |
UDP |
FRV de gestion des nœuds et FRV de données (NFS, CIFS) |
DNS |
DNS |
NDMP |
18600-18699 |
TCP |
FRV de gestion des nœuds |
Serveurs de destination |
Copie NDMP |
SMTP |
25 |
TCP |
FRV de gestion des nœuds |
Serveur de messagerie |
Les alertes SMTP peuvent être utilisées pour AutoSupport |
SNMP |
161 |
TCP |
FRV de gestion des nœuds |
Serveur de surveillance |
Surveillance par des interruptions SNMP |
161 |
UDP |
FRV de gestion des nœuds |
Serveur de surveillance |
Surveillance par des interruptions SNMP |
|
162 |
TCP |
FRV de gestion des nœuds |
Serveur de surveillance |
Surveillance par des interruptions SNMP |
|
162 |
UDP |
FRV de gestion des nœuds |
Serveur de surveillance |
Surveillance par des interruptions SNMP |
|
SnapMirror |
11104 |
TCP |
FRV InterCluster |
Baies de stockage inter-clusters ONTAP |
Gestion des sessions de communication intercluster pour SnapMirror |
11105 |
TCP |
FRV InterCluster |
Baies de stockage inter-clusters ONTAP |
Transfert de données SnapMirror |
|
Syslog |
514 |
UDP |
FRV de gestion des nœuds |
Serveur Syslog |
Messages de transfert syslog |
Configuration requise pour le connecteur
Si vous n'avez pas encore créé de connecteur, vous devez également consulter les exigences de mise en réseau pour le connecteur.