Configuration réseau requise pour Cloud Volumes ONTAP dans AWS
Configurez votre réseau AWS pour que les systèmes Cloud Volumes ONTAP puissent fonctionner correctement.
Configuration réseau AWS générale requise pour Cloud Volumes ONTAP
Les exigences suivantes doivent être respectées dans AWS.
- Accès Internet sortant pour les nœuds Cloud Volumes ONTAP
-
Les nœuds Cloud Volumes ONTAP nécessitent un accès Internet sortant pour envoyer des messages à NetApp AutoSupport, qui surveille de façon proactive l'état de votre stockage.
Les règles de routage et de pare-feu doivent autoriser le trafic AWS HTTP/HTTPS vers les terminaux suivants pour que Cloud Volumes ONTAP puisse envoyer les messages AutoSupport :
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
Si vous disposez d'une instance NAT, vous devez définir une règle de groupe de sécurité entrante qui autorise le trafic HTTPS du sous-réseau privé vers Internet.
-
- Accès Internet sortant pour le médiateur haute disponibilité
-
L'instance de médiateur haute disponibilité doit disposer d'une connexion sortante au service AWS EC2 pour qu'il puisse faciliter le basculement du stockage. Pour fournir la connexion, vous pouvez ajouter une adresse IP publique, spécifier un serveur proxy ou utiliser une option manuelle.
L'option manuelle peut être une passerelle NAT ou un terminal VPC d'interface, du sous-réseau cible au service AWS EC2. Pour plus de détails sur les terminaux VPC, reportez-vous à "Documentation AWS : terminaux VPC d'interface (AWS PrivateLink)".
- Groupes de sécurité
-
Vous n'avez pas besoin de créer de groupes de sécurité car Cloud Manager le fait pour vous. Si vous devez utiliser votre propre, reportez-vous à la section "Règles de groupe de sécurité".
- Connexion de Cloud Volumes ONTAP à AWS S3 pour le hiérarchisation des données
-
Si vous souhaitez utiliser EBS comme niveau de performance et AWS S3 comme niveau de capacité, vous devez vous assurer que Cloud Volumes ONTAP est connecté à S3. La meilleure façon de fournir cette connexion est de créer un terminal VPC vers le service S3. Pour obtenir des instructions, reportez-vous à la section "Documentation AWS : création d'un terminal de passerelle".
Lorsque vous créez le terminal VPC, veillez à sélectionner la région, le VPC et la table de routage correspondant à l'instance Cloud Volumes ONTAP. Vous devez également modifier le groupe de sécurité pour ajouter une règle HTTPS sortante qui active le trafic vers le terminal S3. Dans le cas contraire, Cloud Volumes ONTAP ne peut pas se connecter au service S3.
Si vous rencontrez des problèmes, reportez-vous à la section "Centre de connaissances du support AWS : pourquoi ne puis-je pas me connecter à un compartiment S3 à l'aide d'un terminal VPC de passerelle ?"
- Connexions aux systèmes ONTAP dans d'autres réseaux
-
Pour répliquer des données entre un système Cloud Volumes ONTAP dans AWS et ONTAP sur d'autres réseaux, vous devez disposer d'une connexion VPN entre AWS VPC et l'autre réseau, par exemple Azure VNet ou votre réseau d'entreprise. Pour obtenir des instructions, reportez-vous à la section "Documentation AWS : configuration d'une connexion VPN AWS".
- DNS et Active Directory pour CIFS
-
Si vous souhaitez provisionner le stockage CIFS, vous devez configurer DNS et Active Directory dans AWS ou étendre votre configuration sur site à AWS.
Le serveur DNS doit fournir des services de résolution de noms pour l'environnement Active Directory. Vous pouvez configurer les jeux d'options DHCP pour qu'ils utilisent le serveur DNS EC2 par défaut, qui ne doit pas être le serveur DNS utilisé par l'environnement Active Directory.
Pour obtenir des instructions, reportez-vous à la section "Documentation AWS : active Directory Domain Services sur le cloud AWS Quick Start Reference Deployment".
Configuration réseau AWS requise pour Cloud Volumes ONTAP HA dans plusieurs AZS
D'autres exigences de mise en réseau AWS s'appliquent aux configurations Cloud Volumes ONTAP HA qui utilisent plusieurs zones de disponibilité (AZS). Avant de lancer une paire haute disponibilité, vous devez consulter ces exigences car vous devez saisir les informations de mise en réseau dans Cloud Manager.
Pour comprendre le fonctionnement des paires haute disponibilité, voir "Paires haute disponibilité".
- Zones de disponibilité
-
Ce modèle de déploiement haute disponibilité utilise plusieurs AZS pour assurer la haute disponibilité de vos données. Vous devez utiliser un système AZ dédié pour chaque instance Cloud Volumes ONTAP et l'instance médiateur, qui fournit un canal de communication entre la paire HA.
- Adresses IP flottantes pour les données NAS et la gestion de cluster/SVM
-
Les configurations HAUTE DISPONIBILITÉ de plusieurs AZS utilisent des adresses IP flottantes qui migrent entre les nœuds en cas de défaillance. Sauf vous, ils ne sont pas accessibles de manière native depuis l'extérieur du VPC "Configuration d'une passerelle de transit AWS".
Une adresse IP flottante concerne la gestion du cluster, l'une concerne les données NFS/CIFS sur le nœud 1 et l'autre les données NFS/CIFS sur le nœud 2. Une quatrième adresse IP flottante est facultative pour la gestion des SVM.
Une adresse IP flottante est requise pour la LIF de management du SVM si vous utilisez SnapDrive pour Windows ou SnapCenter avec la paire haute disponibilité. Si vous ne spécifiez pas l'adresse IP lors du déploiement du système, vous pouvez créer la LIF plus tard. Pour plus de détails, voir "Configuration de Cloud Volumes ONTAP". Vous devez saisir les adresses IP flottantes dans Cloud Manager lors de la création d'un environnement de travail Cloud Volumes ONTAP HA. Cloud Manager alloue les adresses IP à la paire HA lors du lancement du système.
Les adresses IP flottantes doivent être en dehors des blocs CIDR sur tous les VPC de la région AWS dans laquelle vous déployez la configuration HA. Considérez les adresses IP flottantes comme un sous-réseau logique en dehors des VPC de votre région.
L'exemple suivant illustre la relation entre les adresses IP flottantes et les VPC d'une région AWS. Alors que les adresses IP flottantes sont en dehors des blocs CIDR pour tous les VPC, elles sont routables vers les sous-réseaux via des tables de routage.
Cloud Manager crée automatiquement des adresses IP statiques pour l'accès iSCSI et pour l'accès NAS des clients en dehors du VPC. Vous n'avez pas besoin de répondre à des exigences relatives à ces types d'adresses IP. - Passerelle de transport pour activer l'accès IP flottant depuis l'extérieur du VPC
-
"Configuration d'une passerelle de transit AWS" Pour permettre l'accès aux adresses IP flottantes d'une paire haute disponibilité de l'extérieur du VPC où réside la paire haute disponibilité.
- Tables de routage
-
Une fois que vous avez spécifié les adresses IP flottantes dans Cloud Manager, vous devez sélectionner les tables de route qui doivent inclure des routes vers les adresses IP flottantes. Cela permet au client d'accéder à la paire haute disponibilité.
Si vous n'avez qu'une seule table de routage pour les sous-réseaux dans votre VPC (la table de routage principale), Cloud Manager ajoute automatiquement les adresses IP flottantes à cette table de routage. Si vous avez plusieurs tables de routage, il est très important de sélectionner les tables de routage appropriées au lancement de la paire haute disponibilité. Dans le cas contraire, certains clients n'ont peut-être pas accès à Cloud Volumes ONTAP.
Par exemple, vous pouvez avoir deux sous-réseaux associés à différentes tables de routage. Si vous sélectionnez la table de routage A, mais pas la table de routage B, les clients du sous-réseau associé à la table de routage A peuvent accéder à la paire HA, mais les clients du sous-réseau associé à la table de routage B ne peuvent pas.
Pour plus d'informations sur les tables de routage, voir "Documentation AWS : tables de routage".
- Connexion aux outils de gestion NetApp
-
Pour utiliser les outils de gestion NetApp avec des configurations haute disponibilité figurant dans plusieurs modèles AZS, vous disposez de deux options de connexion :
-
Déployez les outils de gestion NetApp sur un autre VPC et "Configuration d'une passerelle de transit AWS". La passerelle permet d'accéder à l'adresse IP flottante de l'interface de gestion du cluster à partir de l'extérieur du VPC.
-
Déployez les outils de gestion NetApp sur le même VPC avec une configuration de routage similaire à celle des clients NAS.
-
Exemple de configuration
L'image suivante montre une configuration HA optimale dans AWS fonctionnant comme une configuration active-passive :
Exemples de configurations VPC
Pour mieux comprendre comment déployer Cloud Manager et Cloud Volumes ONTAP dans AWS, vous devez consulter les configurations VPC les plus courantes.
-
Un VPC avec des sous-réseaux publics et privés et un périphérique NAT
-
Un VPC avec un sous-réseau privé et une connexion VPN avec votre réseau
Un VPC avec des sous-réseaux publics et privés et un périphérique NAT
Cette configuration VPC inclut des sous-réseaux publics et privés, une passerelle Internet qui connecte le VPC à Internet et une passerelle NAT ou une instance NAT dans le sous-réseau public qui active le trafic Internet sortant à partir du sous-réseau privé. Dans cette configuration, vous pouvez exécuter Cloud Manager dans un sous-réseau public ou privé, mais le sous-réseau public est recommandé car il permet l'accès à partir d'hôtes en dehors du VPC. Vous pouvez ensuite lancer des instances Cloud Volumes ONTAP dans le sous-réseau privé.
Au lieu d'un périphérique NAT, vous pouvez utiliser un proxy HTTP pour fournir une connectivité Internet. |
Pour plus de détails sur ce scénario, voir "Documentation AWS : scénario 2 : VPC avec sous-réseaux publics et privés (NAT)".
Le graphique ci-dessous présente Cloud Manager s'exécutant dans un sous-réseau public et des systèmes à nœud unique s'exécutant dans un sous-réseau privé :
Un VPC avec un sous-réseau privé et une connexion VPN avec votre réseau
Cette configuration VPC est une configuration de cloud hybride dans laquelle Cloud Volumes ONTAP devient une extension de votre environnement privé. La configuration inclut un sous-réseau privé et une passerelle privée virtuelle avec une connexion VPN à votre réseau. Le routage à travers le tunnel VPN permet aux instances EC2 d'accéder à Internet via votre réseau et vos pare-feu. Vous pouvez exécuter Cloud Manager dans le sous-réseau privé ou dans votre data center. Vous lancez ensuite Cloud Volumes ONTAP dans le sous-réseau privé.
Vous pouvez également utiliser un serveur proxy dans cette configuration pour autoriser l'accès à Internet. Le serveur proxy peut se trouver dans votre data center ou dans AWS. |
Si vous souhaitez répliquer des données entre les systèmes FAS de votre data center et les systèmes Cloud Volumes ONTAP d'AWS, vous devez utiliser une connexion VPN pour sécuriser la liaison.
Pour plus de détails sur ce scénario, voir "Documentation AWS : scénario 4 : VPC avec un sous-réseau privé uniquement et accès VPN géré par AWS".
Le graphique ci-dessous présente Cloud Manager exécuté dans votre data center et les systèmes à nœud unique s'exécutant dans un sous-réseau privé :