Requisiti di rete per Cloud Volumes ONTAP in Azure
Suggerisci modifiche
PDF
Configura la tua rete Azure in modo che i sistemi Cloud Volumes ONTAP possano funzionare correttamente.
Requisiti per Cloud Volumes ONTAP
I seguenti requisiti di rete devono essere soddisfatti in Azure.
Accesso a Internet in uscita
I nodi Cloud Volumes ONTAP richiedono l'accesso a Internet in uscita per accedere a endpoint esterni per varie funzioni. Cloud Volumes ONTAP non può funzionare correttamente se questi endpoint sono bloccati in ambienti con severi requisiti di sicurezza.
Endpoint Cloud Volumes ONTAP
Cloud Volumes ONTAP richiede l'accesso a Internet outbound per contattare vari endpoint per le operazioni quotidiane.
I seguenti endpoint sono specifici di Cloud Volumes ONTAP. Inoltre, il connettore contatta diversi endpoint per le operazioni quotidiane e la console basata sul Web di BlueXP . Fare riferimento a "Visualizzare gli endpoint contattati dal connettore" e "Preparazione del networking per l'utilizzo della console BlueXP".
| Endpoint | Applicabile per | Scopo | Modalità di implementazione di BlueXP | Impatto se non disponibile |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
Autenticazione |
Utilizzato per l'autenticazione BlueXP . |
Modalità standard e limitata. |
L'autenticazione dell'utente non riesce e i seguenti servizi rimangono non disponibili:
|
https://keyvault-production-aks.vault.azure.net |
Vault delle chiavi |
Utilizzato per recuperare la chiave segreta client da Azure Key Vault per comunicare con i bucket S3 per la gestione dei metadati. Il servizio Cloud Volumes ONTAP utilizza questo componente internamente. |
Modalità standard, limitata e privata. |
I servizi Cloud Volumes ONTAP non sono disponibili. |
https://cloudmanager.cloud.netapp.com/tenancy |
Locazione |
Utilizzato per recuperare le risorse Cloud Volumes ONTAP dalla tenancy BlueXP per autorizzare risorse e utenti. |
Modalità standard e limitata. |
Le risorse Cloud Volumes ONTAP e gli utenti non sono autorizzati. |
https://support.NetApp.com/aods/asuppmessage https://support.NetApp.com/asupprod/post/1,0/postAsup |
AutoSupport |
Utilizzato per inviare dati telemetrici AutoSupport al supporto NetApp. |
Modalità standard e limitata. |
Le informazioni AutoSupport rimangono non trasmesse. |
https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net |
Regioni pubbliche |
Comunicazione con i servizi Azure. |
Modalità standard, limitata e privata. |
Cloud Volumes ONTAP non può comunicare con il servizio Azure per eseguire operazioni BlueXP specifiche su Azure. |
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn |
Cina |
Comunicazione con i servizi Azure. |
Modalità standard, limitata e privata. |
Cloud Volumes ONTAP non può comunicare con il servizio Azure per eseguire operazioni BlueXP specifiche su Azure. |
https://management.microsoftazure.de https://login.microsoftonline.de https://blob.core.cloudapi.de https://core.cloudapi.de |
Germania |
Comunicazione con i servizi Azure. |
Modalità standard, limitata e privata. |
Cloud Volumes ONTAP non può comunicare con il servizio Azure per eseguire operazioni BlueXP specifiche su Azure. |
https://management.usgovcloudapi.net https://login.microsoftonline.us https://blob.core.usgovcloudapi.net https://core.usgovcloudapi.net |
Degli Stati Uniti |
Comunicazione con i servizi Azure. |
Modalità standard, limitata e privata. |
Cloud Volumes ONTAP non può comunicare con il servizio Azure per eseguire operazioni BlueXP specifiche su Azure. |
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud |
Regioni DoD del governo |
Comunicazione con i servizi Azure. |
Modalità standard, limitata e privata. |
Cloud Volumes ONTAP non può comunicare con il servizio Azure per eseguire operazioni BlueXP specifiche su Azure. |
Accesso a Internet in uscita per NetApp AutoSupport
I nodi Cloud Volumes ONTAP richiedono l'accesso a Internet in uscita per NetApp AutoSupport, che monitora in modo proattivo lo stato di salute del sistema e invia messaggi al supporto tecnico NetApp.
I criteri di routing e firewall devono consentire il traffico HTTP/HTTPS ai seguenti endpoint in modo che Cloud Volumes ONTAP possa inviare messaggi AutoSupport:
Se non è disponibile una connessione Internet in uscita per l'invio di messaggi AutoSupport, BlueXP configura automaticamente i sistemi Cloud Volumes ONTAP in modo che utilizzino il connettore come server proxy. L'unico requisito è garantire che il gruppo di sicurezza del connettore consenta connessioni inbound sulla porta 3128. Dopo aver implementato il connettore, aprire questa porta.
Se sono state definite rigide regole in uscita per Cloud Volumes ONTAP, è necessario anche assicurarsi che il gruppo di sicurezza Cloud Volumes ONTAP consenta connessioni in uscita sulla porta 3128.
Dopo aver verificato che l'accesso a Internet in uscita è disponibile, è possibile testare AutoSupport per assicurarsi che sia in grado di inviare messaggi. Per istruzioni, fare riferimento a. "Documenti ONTAP: Configurazione di AutoSupport".
Se BlueXP notifica che non è possibile inviare messaggi AutoSupport, "Risolvere i problemi della configurazione AutoSupport".
Indirizzi IP
BlueXP assegna automaticamente il numero richiesto di indirizzi IP privati a Cloud Volumes ONTAP in Azure. È necessario assicurarsi che la rete disponga di un numero sufficiente di indirizzi IP privati.
Il numero di LIF allocati da BlueXP per Cloud Volumes ONTAP dipende dalla distribuzione di un sistema a nodo singolo o di una coppia ha. LIF è un indirizzo IP associato a una porta fisica. Per strumenti di gestione come SnapCenter è necessaria una LIF di gestione SVM.
|
Un LIF iSCSI fornisce l'accesso client sul protocollo iSCSI e viene utilizzato dal sistema per altri importanti flussi di lavoro di rete. Questi LIF sono obbligatori e non devono essere cancellati. |
Indirizzi IP per un sistema a nodo singolo
BlueXP assegna 5 o 6 indirizzi IP a un sistema a nodo singolo:
-
IP di gestione del cluster
-
IP di gestione dei nodi
-
IP di intercluster per SnapMirror
-
IP NFS/CIFS
-
IP iSCSI
L'IP iSCSI fornisce l'accesso del client sul protocollo iSCSI. Viene inoltre utilizzato dal sistema per altri importanti flussi di lavoro di rete. Questa LIF è obbligatoria e non deve essere eliminata. -
Gestione SVM (opzionale - non configurata per impostazione predefinita)
Indirizzi IP per coppie ha
BlueXP assegna gli indirizzi IP a 4 NIC (per nodo) durante l'implementazione.
Si noti che BlueXP crea una LIF di gestione SVM sulle coppie ha, ma non sui sistemi a nodo singolo in Azure.
NIC0
-
IP di gestione dei nodi
-
IP intercluster
-
IP iSCSI
L'IP iSCSI fornisce l'accesso del client sul protocollo iSCSI. Viene inoltre utilizzato dal sistema per altri importanti flussi di lavoro di rete. Questa LIF è obbligatoria e non deve essere eliminata.
NIC1
-
IP della rete del cluster
NIC2
-
Cluster Interconnect IP (IC ha)
NIC3
-
IP NIC Pageblob (accesso al disco)
|
|
NIC3 è applicabile solo alle implementazioni ha che utilizzano lo storage page blob. |
Gli indirizzi IP sopra indicati non migrano in caso di eventi di failover.
Inoltre, 4 IP front-end (FIPS) sono configurati per la migrazione in caso di eventi di failover. Questi IP di frontend risiedono nel bilanciamento del carico.
-
IP di gestione del cluster
-
IP dati NodeA (NFS/CIFS)
-
IP dati NodeB (NFS/CIFS)
-
IP di gestione SVM
Connessioni sicure ai servizi Azure
Per impostazione predefinita, BlueXP attiva un collegamento privato Azure per le connessioni tra gli account di storage blob di pagina Cloud Volumes ONTAP e Azure.
Nella maggior parte dei casi, non c'è nulla da fare: BlueXP gestisce Azure Private link per te. Tuttavia, se si utilizza Azure Private DNS, sarà necessario modificare un file di configurazione. È inoltre necessario conoscere un requisito per la posizione del connettore in Azure.
È inoltre possibile disattivare la connessione Private link, se richiesto dalle esigenze aziendali. Se si disattiva il collegamento, BlueXP configura Cloud Volumes ONTAP in modo che utilizzi un endpoint del servizio.
Connessioni ad altri sistemi ONTAP
Per replicare i dati tra un sistema Cloud Volumes ONTAP in Azure e i sistemi ONTAP in altre reti, è necessario disporre di una connessione VPN tra Azure VNET e l'altra rete, ad esempio la rete aziendale.
Per istruzioni, fare riferimento a. "Documentazione di Microsoft Azure: Crea una connessione Site-to-Site nel portale Azure".
Porta per l'interconnessione ha
Una coppia Cloud Volumes ONTAP ha include un'interconnessione ha, che consente a ciascun nodo di controllare continuamente se il proprio partner funziona e di eseguire il mirroring dei dati di log per la memoria non volatile dell'altro. L'interconnessione ha utilizza la porta TCP 10006 per la comunicazione.
Per impostazione predefinita, la comunicazione tra le LIF di interconnessione ha è aperta e non esistono regole di gruppo di sicurezza per questa porta. Tuttavia, se si crea un firewall tra le LIF di interconnessione ha, è necessario assicurarsi che il traffico TCP sia aperto per la porta 10006 in modo che la coppia ha possa funzionare correttamente.
Solo una coppia ha in un gruppo di risorse Azure
È necessario utilizzare un gruppo di risorse dedicato per ogni coppia di Cloud Volumes ONTAP ha implementata in Azure. In un gruppo di risorse è supportata una sola coppia ha.
BlueXP presenta problemi di connessione se si tenta di implementare una seconda coppia Cloud Volumes ONTAP ha in un gruppo di risorse Azure.
Regole del gruppo di sicurezza
BlueXP crea gruppi di sicurezza Azure che includono le regole in entrata e in uscita di cui Cloud Volumes ONTAP ha bisogno per funzionare correttamente. Si consiglia di fare riferimento alle porte a scopo di test o se si preferisce utilizzare i propri gruppi di protezione.
Il gruppo di sicurezza per Cloud Volumes ONTAP richiede regole sia in entrata che in uscita.
|
Cerchi informazioni sul connettore? "Visualizzare le regole del gruppo di protezione per il connettore" |
Regole in entrata per sistemi a nodo singolo
Quando si crea un ambiente di lavoro e si sceglie un gruppo di protezione predefinito, è possibile scegliere di consentire il traffico all'interno di una delle seguenti opzioni:
-
Solo VNET selezionato: L'origine del traffico in entrata è l'intervallo di sottorete del VNET per il sistema Cloud Volumes ONTAP e l'intervallo di sottorete del VNET in cui risiede il connettore. Questa è l'opzione consigliata.
-
All VNets: La fonte del traffico in entrata è l'intervallo IP 0,0.0.0/0.
-
Disabilitato: Questa opzione limita l'accesso alla rete pubblica all'account di storage e disattiva il tiering dei dati per i sistemi Cloud Volumes ONTAP. Questa è un'opzione consigliata se gli indirizzi IP privati non devono essere esposti anche all'interno dello stesso VNET a causa di norme e criteri di sicurezza.
| Priorità e nome | Porta e protocollo | Origine e destinazione | Descrizione |
|---|---|---|---|
1000 inbound_ssh |
22 TCP |
Qualsiasi a qualsiasi |
Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
1001 inbound_http |
80 TCP |
Qualsiasi a qualsiasi |
Accesso HTTP alla console web di ONTAP System Manager usando l'indirizzo IP della LIF di gestione cluster |
1002 inbound_111_tcp |
111 TCP |
Qualsiasi a qualsiasi |
Chiamata a procedura remota per NFS |
1003 inbound_111_udp |
111 UDP |
Qualsiasi a qualsiasi |
Chiamata a procedura remota per NFS |
1004 inbound_139 |
139 TCP |
Qualsiasi a qualsiasi |
Sessione del servizio NetBIOS per CIFS |
1005 inbound_161-162 _tcp |
161-162 TCP |
Qualsiasi a qualsiasi |
Protocollo di gestione di rete semplice |
1006 inbound_161-162 _udp |
161-162 UDP |
Qualsiasi a qualsiasi |
Protocollo di gestione di rete semplice |
1007 inbound_443 |
443 TCP |
Qualsiasi a qualsiasi |
Connettività con il connettore e accesso HTTPS alla console web di ONTAP System Manager usando l'indirizzo IP della LIF di gestione del cluster |
1008 inbound_445 |
445 TCP |
Qualsiasi a qualsiasi |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
1009 inbound_635_tcp |
635 TCP |
Qualsiasi a qualsiasi |
Montaggio NFS |
1010 inbound_635_udp |
635 UDP |
Qualsiasi a qualsiasi |
Montaggio NFS |
1011 inbound_749 |
749 TCP |
Qualsiasi a qualsiasi |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
Qualsiasi a qualsiasi |
Daemon del server NFS |
1013 inbound_2049_udp |
2049 UDP |
Qualsiasi a qualsiasi |
Daemon del server NFS |
1014 inbound_3260 |
3260 TCP |
Qualsiasi a qualsiasi |
Accesso iSCSI tramite LIF dei dati iSCSI |
1015 inbound_4045-4046_tcp |
4045-4046 TCP |
Qualsiasi a qualsiasi |
NFS lock daemon e network status monitor |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
Qualsiasi a qualsiasi |
NFS lock daemon e network status monitor |
1017 inbound_10000 |
10000 TCP |
Qualsiasi a qualsiasi |
Backup con NDMP |
1018 inbound_11104-11105 |
11104-11105 TCP |
Qualsiasi a qualsiasi |
Trasferimento dei dati SnapMirror |
3000 inbound_deny _all_tcp |
Qualsiasi porta TCP |
Qualsiasi a qualsiasi |
Blocca tutto il traffico TCP in entrata |
3001 inbound_deny _all_udp |
Qualsiasi porta UDP |
Qualsiasi a qualsiasi |
Blocca tutto il traffico UDP in entrata |
65000 AllowVnetInBound |
Qualsiasi porta qualsiasi protocollo |
Da VirtualNetwork a VirtualNetwork |
Traffico in entrata dall'interno di VNET |
65001 AllowAzureLoad BalancerInBound |
Qualsiasi porta qualsiasi protocollo |
AzureLoadBalancer a qualsiasi |
Traffico di dati dal bilanciamento del carico standard di Azure |
65500 DenyAllInBound |
Qualsiasi porta qualsiasi protocollo |
Qualsiasi a qualsiasi |
Bloccare tutto il traffico in entrata |
Regole in entrata per i sistemi ha
Quando si crea un ambiente di lavoro e si sceglie un gruppo di protezione predefinito, è possibile scegliere di consentire il traffico all'interno di una delle seguenti opzioni:
-
Solo VNET selezionato: L'origine del traffico in entrata è l'intervallo di sottorete del VNET per il sistema Cloud Volumes ONTAP e l'intervallo di sottorete del VNET in cui risiede il connettore. Questa è l'opzione consigliata.
-
All VNets: La fonte del traffico in entrata è l'intervallo IP 0,0.0.0/0.
|
|
I sistemi HA hanno meno regole in entrata rispetto ai sistemi a nodo singolo perché il traffico dati in entrata passa attraverso il bilanciamento del carico standard di Azure. Per questo motivo, il traffico proveniente dal bilanciamento del carico deve essere aperto, come mostrato nella regola "AllowAzureLoadBalancerInBound". |
-
Disabilitato: Questa opzione limita l'accesso alla rete pubblica all'account di storage e disattiva il tiering dei dati per i sistemi Cloud Volumes ONTAP. Questa è un'opzione consigliata se gli indirizzi IP privati non devono essere esposti anche all'interno dello stesso VNET a causa di norme e criteri di sicurezza.
| Priorità e nome | Porta e protocollo | Origine e destinazione | Descrizione |
|---|---|---|---|
100 inbound_443 |
443 qualsiasi protocollo |
Qualsiasi a qualsiasi |
Connettività con il connettore e accesso HTTPS alla console web di ONTAP System Manager usando l'indirizzo IP della LIF di gestione del cluster |
101 inbound_111_tcp |
111 qualsiasi protocollo |
Qualsiasi a qualsiasi |
Chiamata a procedura remota per NFS |
102 inbound_2049_tcp |
2049 qualsiasi protocollo |
Qualsiasi a qualsiasi |
Daemon del server NFS |
111 inbound_ssh |
22 qualsiasi protocollo |
Qualsiasi a qualsiasi |
Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
121 inbound_53 |
53 qualsiasi protocollo |
Qualsiasi a qualsiasi |
DNS e CIFS |
65000 AllowVnetInBound |
Qualsiasi porta qualsiasi protocollo |
Da VirtualNetwork a VirtualNetwork |
Traffico in entrata dall'interno di VNET |
65001 AllowAzureLoad BalancerInBound |
Qualsiasi porta qualsiasi protocollo |
AzureLoadBalancer a qualsiasi |
Traffico di dati dal bilanciamento del carico standard di Azure |
65500 DenyAllInBound |
Qualsiasi porta qualsiasi protocollo |
Qualsiasi a qualsiasi |
Bloccare tutto il traffico in entrata |
Regole in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP include le seguenti regole in uscita.
| Porta | Protocollo | Scopo |
|---|---|---|
Tutto |
Tutti i TCP |
Tutto il traffico in uscita |
Tutto |
Tutti gli UDP |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per le comunicazioni in uscita da Cloud Volumes ONTAP.
|
|
L'origine è l'interfaccia (indirizzo IP) del sistema Cloud Volumes ONTAP. |
| Servizio | Porta | Protocollo | Origine | Destinazione | Scopo |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
137 |
UDP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
138 |
UDP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
139 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
389 |
TCP E UDP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
LDAP |
|
445 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
464 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
464 |
UDP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
749 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set Password (RPCSEC_GSS) |
|
88 |
TCP |
Data LIF (NFS, CIFS, iSCSI) |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
|
137 |
UDP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
138 |
UDP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
139 |
TCP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
389 |
TCP E UDP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
LDAP |
|
445 |
TCP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
464 |
TCP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
464 |
UDP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
749 |
TCP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
LIF di gestione dei nodi |
support.netapp.com |
AutoSupport (HTTPS è l'impostazione predefinita) |
HTTP |
80 |
LIF di gestione dei nodi |
support.netapp.com |
AutoSupport (solo se il protocollo di trasporto viene modificato da HTTPS a HTTP) |
|
TCP |
3128 |
LIF di gestione dei nodi |
Connettore |
Invio di messaggi AutoSupport tramite un server proxy sul connettore, se non è disponibile una connessione Internet in uscita |
|
Backup della configurazione |
HTTP |
80 |
LIF di gestione dei nodi |
Http://<connector-IP-address>/occm/offboxconfig |
Inviare i backup della configurazione al connettore. "Informazioni sui file di backup della configurazione". |
DHCP |
68 |
UDP |
LIF di gestione dei nodi |
DHCP |
Client DHCP per la prima installazione |
DHCPS |
67 |
UDP |
LIF di gestione dei nodi |
DHCP |
Server DHCP |
DNS |
53 |
UDP |
LIF di gestione dei nodi e LIF dei dati (NFS, CIFS) |
DNS |
DNS |
NDMP |
18600–18699 |
TCP |
LIF di gestione dei nodi |
Server di destinazione |
Copia NDMP |
SMTP |
25 |
TCP |
LIF di gestione dei nodi |
Server di posta |
Gli avvisi SMTP possono essere utilizzati per AutoSupport |
SNMP |
161 |
TCP |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
161 |
UDP |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
162 |
TCP |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
162 |
UDP |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
SnapMirror |
11104 |
TCP |
LIF intercluster |
ONTAP Intercluster LIF |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
11105 |
TCP |
LIF intercluster |
ONTAP Intercluster LIF |
Trasferimento dei dati SnapMirror |
|
Syslog |
514 |
UDP |
LIF di gestione dei nodi |
Server syslog |
Messaggi di inoltro syslog |
Requisiti per il connettore
Se non hai ancora creato un connettore, dovresti rivedere anche i requisiti di rete per il connettore.