Déploiement d'une paire haute disponibilité dans un sous-réseau partagé
Depuis la version 9.11.1, les paires haute disponibilité Cloud Volumes ONTAP sont prises en charge dans AWS avec le partage VPC. Le partage VPC permet à votre entreprise de partager des sous-réseaux avec d'autres comptes AWS. Pour utiliser cette configuration, vous devez configurer votre environnement AWS, puis déployer la paire HA à l'aide de l'API.
Avec "Partage de VPC", Une configuration Cloud Volumes ONTAP HA est répartie sur deux comptes :
-
Le compte propriétaire du VPC, qui détient le réseau (le VPC, les sous-réseaux, les tables de routage et le groupe de sécurité Cloud Volumes ONTAP)
-
Le compte participant, où les instances EC2 sont déployées dans des sous-réseaux partagés (incluant les deux nœuds HA et le médiateur)
Dans le cas d'une configuration Cloud Volumes ONTAP HA déployée sur plusieurs zones de disponibilité, le médiateur HA a besoin d'autorisations spécifiques pour écrire dans les tables de routage du compte propriétaire VPC. Vous devez fournir ces autorisations en configurant un rôle IAM que le médiateur peut assumer.
L'image suivante montre les composants impliqués dans ce déploiement :
Comme décrit dans les étapes ci-dessous, vous devrez partager les sous-réseaux avec le compte du participant, puis créer le rôle IAM et le groupe de sécurité dans le compte propriétaire VPC.
Lorsque vous créez l'environnement de travail Cloud Volumes ONTAP, BlueXP crée et attache automatiquement un rôle IAM au médiateur. Il part du rôle IAM que vous avez créé dans le compte propriétaire VPC afin de modifier les tables de routage associées à la paire haute disponibilité.
-
Partagez les sous-réseaux du compte propriétaire VPC avec le compte du participant.
Cette étape est requise pour déployer la paire haute disponibilité dans les sous-réseaux partagés.
-
Dans le compte propriétaire VPC, créez un groupe de sécurité pour Cloud Volumes ONTAP.
"Voir les règles de groupe de sécurité pour Cloud Volumes ONTAP". Sachez que vous n'avez pas besoin de créer un groupe de sécurité pour le médiateur HA. BlueXP le fait pour vous.
-
Dans le compte propriétaire VPC, créez un rôle IAM qui inclut les autorisations suivantes :
Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses"
-
Utilisez l'API BlueXP pour créer un nouvel environnement de travail Cloud Volumes ONTAP.
Notez que vous devez spécifier les champs suivants :
-
« SecurityGroupId »
Le champ « securityGroupId » doit spécifier le groupe de sécurité que vous avez créé dans le compte propriétaire VPC (voir étape 2 ci-dessus).
-
"AssumeRoleArn" dans l'objet "haParams"
Le champ "assumeRoleArn" doit inclure l'ARN du rôle IAM que vous avez créé dans le compte propriétaire VPC (voir l'étape 3 ci-dessus).
Par exemple :
"haParams": { "assumeRoleArn": "arn:aws:iam::642991768967:role/mediator_role_assume_fromdev" }
-