Skip to main content
Tous les fournisseurs de cloud
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tous les fournisseurs de cloud
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Utiliser un lien privé Azure ou des points de terminaison de service pour les systèmes Cloud Volumes ONTAP

Contributeurs netapp-manini
PDF

Cloud Volumes ONTAP utilise un lien privé Azure pour les connexions à ses comptes de stockage associés. Si nécessaire, vous pouvez désactiver Azure Private Links et utiliser des points de terminaison de service à la place.

Aperçu

Par défaut, la console NetApp active une liaison privée Azure pour les connexions entre Cloud Volumes ONTAP et ses comptes de stockage associés. Un lien privé Azure sécurise les connexions entre les points de terminaison dans Azure et offre des avantages en termes de performances.

Si nécessaire, vous pouvez configurer Cloud Volumes ONTAP pour utiliser des points de terminaison de service au lieu d’un lien privé Azure.

Quelle que soit la configuration, la console limite toujours l'accès au réseau pour les connexions entre Cloud Volumes ONTAP et les comptes de stockage. L'accès au réseau est limité au réseau virtuel sur lequel Cloud Volumes ONTAP est déployé et au réseau virtuel sur lequel l'agent de console est déployé.

Désactiver les liens privés Azure et utiliser des points de terminaison de service à la place

Si votre entreprise l’exige, vous pouvez modifier un paramètre dans la console afin qu’il configure Cloud Volumes ONTAP pour utiliser des points de terminaison de service au lieu d’un lien privé Azure. La modification de ce paramètre s'applique aux nouveaux systèmes Cloud Volumes ONTAP que vous créez. Les points de terminaison de service ne sont pris en charge que dans"Paires de régions Azure" entre l'agent de console et les réseaux virtuels Cloud Volumes ONTAP .

L'agent de console doit être déployé dans la même région Azure que les systèmes Cloud Volumes ONTAP qu'il gère, ou dans la "Paire de régions Azure" pour les systèmes Cloud Volumes ONTAP .

Étapes

  1. Dans le volet de navigation de gauche, accédez à Administration > Agents.

  2. Cliquez sur le icône pour l'agent de console qui gère votre système Cloud Volumes ONTAP .

  3. Sélectionnez * Paramètres Cloud Volumes ONTAP *.

    Une capture d’écran de l’option Paramètres Cloud Volumes ONTAP sous l’icône Paramètres.

  4. Sous Azure, cliquez sur Utiliser Azure Private Link.

  5. Désélectionnez Connexion par lien privé entre Cloud Volumes ONTAP et les comptes de stockage.

  6. Cliquez sur Enregistrer.

Après avoir terminé

Si vous avez désactivé Azure Private Links et que l’agent de la console utilise un serveur proxy, vous devez activer le trafic API direct.

"Découvrez comment activer le trafic API direct sur l'agent de la console"

Dans la plupart des cas, vous n’avez rien à faire pour configurer des liaisons privées Azure avec Cloud Volumes ONTAP. La console gère les liens privés Azure pour vous. Mais si vous utilisez une zone DNS privée Azure existante, vous devrez modifier un fichier de configuration.

Exigence pour un DNS personnalisé

En option, si vous travaillez avec un DNS personnalisé, vous devez créer un redirecteur conditionnel vers la zone DNS privée Azure à partir de vos serveurs DNS personnalisés. Pour en savoir plus, consultez"Documentation d'Azure sur l'utilisation d'un redirecteur DNS" .

Lorsque la console déploie Cloud Volumes ONTAP dans Azure, elle crée un point de terminaison privé dans le groupe de ressources. Le point de terminaison privé est associé aux comptes de stockage pour Cloud Volumes ONTAP. Par conséquent, l’accès au stockage Cloud Volumes ONTAP transite par le réseau principal de Microsoft.

L'accès client passe par la liaison privée lorsque les clients se trouvent dans le même réseau virtuel que Cloud Volumes ONTAP, dans des réseaux virtuels homologues ou dans votre réseau local lorsque vous utilisez une connexion VPN privée ou ExpressRoute au réseau virtuel.

Voici un exemple qui montre l’accès client via une liaison privée à partir du même réseau virtuel et à partir d’un réseau local doté d’une connexion VPN privée ou ExpressRoute.

Une image conceptuelle qui montre l'accès aux données vers Cloud Volumes ONTAP et via un point de terminaison privé et un lien privé vers le compte de stockage.

Remarque Si l'agent de console et les systèmes Cloud Volumes ONTAP sont déployés dans des réseaux virtuels différents, vous devez configurer l'appairage de réseaux virtuels entre le réseau virtuel sur lequel l'agent de console est déployé et le réseau virtuel sur lequel les systèmes Cloud Volumes ONTAP sont déployés.

Fournissez des détails sur votre DNS privé Azure

Si vous utilisez "DNS privé Azure" , vous devez alors modifier un fichier de configuration sur chaque agent de console. Sinon, la console ne peut pas définir la connexion Azure Private Link entre Cloud Volumes ONTAP et ses comptes de stockage associés.

Notez que le nom DNS doit correspondre aux exigences de dénomination DNS Azure "comme indiqué dans la documentation Azure" .

Étapes

  1. Connectez-vous en SSH à l'hôte de l'agent de la console et connectez-vous.

  2. Accédez au /opt/application/netapp/cloudmanager/docker_occm/data annuaire.

  3. Modifier app.conf en ajoutant le user-private-dns-zone-settings paramètre avec les paires mot-clé-valeur suivantes :

     "user-private-dns-zone-settings" : {
    "resource-group" : "<resource group name of the DNS zone>",
    "subscription" : "<subscription ID>",
    "use-existing" : true,
    "create-private-dns-zone-link" : true
 }

    Le subscription Le mot clé n'est requis que si la zone DNS privée se trouve dans un abonnement différent de celui de l'agent de la console.

  4. Enregistrez le fichier et déconnectez-vous de l’agent de la console.

    Un redémarrage n'est pas nécessaire.

Activer la restauration en cas d'échec

Si la console ne parvient pas à créer un lien privé Azure dans le cadre d’actions spécifiques, elle termine l’action sans la connexion au lien privé Azure. Cela peut se produire lors de la création d'un nouveau système (nœud unique ou paire HA), ou lorsque les actions suivantes se produisent sur une paire HA : création d'un nouvel agrégat, ajout de disques à un agrégat existant ou création d'un nouveau compte de stockage lorsque l'on dépasse 32 Tio.

Vous pouvez modifier ce comportement par défaut en activant la restauration si la console ne parvient pas à créer le lien privé Azure. Cela peut vous aider à garantir que vous êtes entièrement conforme aux réglementations de sécurité de votre entreprise.

Si vous activez la restauration, la console arrête l'action et restaure toutes les ressources créées dans le cadre de l'action.

Vous pouvez activer la restauration via l'API ou en mettant à jour le fichier app.conf.

Activer la restauration via l'API

Étape

  1. Utilisez le PUT /occm/config Appel d'API avec le corps de requête suivant :

    { "rollbackOnAzurePrivateLinkFailure": true }

Activer la restauration en mettant à jour app.conf

Étapes

  1. Connectez-vous en SSH à l'hôte de l'agent de la console et connectez-vous.

  2. Accédez au répertoire suivant : /opt/application/netapp/cloudmanager/docker_occm/data

  3. Modifiez app.conf en ajoutant le paramètre et la valeur suivants :

     "rollback-on-private-link-failure": true
. Enregistrez le fichier et déconnectez-vous de l’agent de la console.

    Un redémarrage n'est pas nécessaire.