Requisiti di rete per Cloud Volumes ONTAP in Google Cloud
Suggerisci modifiche
PDF
Configura il tuo network Google Cloud in modo che i sistemi Cloud Volumes ONTAP possano funzionare correttamente.
Se si desidera implementare una coppia ha, è necessario "Scopri come funzionano le coppie ha in Google Cloud".
Requisiti per Cloud Volumes ONTAP
I seguenti requisiti devono essere soddisfatti in Google Cloud.
Requisiti specifici per i sistemi a nodo singolo
Se si desidera implementare un sistema a nodo singolo, assicurarsi che la rete soddisfi i seguenti requisiti.
Un VPC
Un Virtual Private Cloud (VPC) è richiesto per un sistema a nodo singolo.
Indirizzi IP privati
BlueXP assegna 3 o 4 indirizzi IP privati a un sistema a nodo singolo in Google Cloud.
È possibile saltare la creazione della LIF di gestione delle VM di storage se si implementa Cloud Volumes ONTAP utilizzando l'API e si specifica il seguente flag:
skipSvmManagementLif: true
|
LIF è un indirizzo IP associato a una porta fisica. Per strumenti di gestione come SnapCenter è necessaria una LIF di gestione delle macchine virtuali dello storage (SVM). |
Requisiti specifici delle coppie ha
Se si desidera implementare una coppia ha, assicurarsi che la rete soddisfi i seguenti requisiti.
Una o più zone
È possibile garantire l'elevata disponibilità dei dati implementando una configurazione ha in più zone o in una singola zona. BlueXP richiede di scegliere più zone o una singola zona quando si crea la coppia ha.
-
Zone multiple (consigliato)
L'implementazione di una configurazione ha in tre zone garantisce la disponibilità continua dei dati in caso di guasto all'interno di una zona. Si noti che le prestazioni di scrittura sono leggermente inferiori rispetto all'utilizzo di una singola zona, ma sono minime.
-
Zona singola
Quando viene implementato in una singola zona, una configurazione Cloud Volumes ONTAP ha utilizza una policy di posizionamento distribuita. Questa policy garantisce che una configurazione ha sia protetta da un singolo punto di guasto all'interno della zona, senza dover utilizzare zone separate per ottenere l'isolamento degli errori.
Questo modello di implementazione riduce i costi perché non sono previsti costi di uscita dei dati tra le zone.
Quattro cloud privati virtuali
Per una configurazione ha sono necessari quattro Virtual Private Clouds (VPC). Sono necessari quattro VPC perché Google Cloud richiede che ogni interfaccia di rete risieda in una rete VPC separata.
BlueXP richiede di scegliere quattro VPC quando si crea la coppia ha:
-
VPC-0 per le connessioni in entrata ai dati e ai nodi
-
VPC-1, VPC-2 e VPC-3 per la comunicazione interna tra i nodi e il mediatore ha
Subnet
Per ogni VPC è necessaria una subnet privata.
Se si posiziona il connettore in VPC-0, sarà necessario attivare Private Google Access sulla subnet per accedere alle API e abilitare il tiering dei dati.
Le subnet di questi VPC devono avere intervalli CIDR distinti. Non possono avere intervalli CIDR sovrapposti.
Indirizzi IP privati
BlueXP assegna automaticamente il numero richiesto di indirizzi IP privati a Cloud Volumes ONTAP in Google Cloud. È necessario assicurarsi che la rete disponga di un numero sufficiente di indirizzi privati.
Il numero di LIF allocati da BlueXP per Cloud Volumes ONTAP dipende dalla distribuzione di un sistema a nodo singolo o di una coppia ha. LIF è un indirizzo IP associato a una porta fisica. Per strumenti di gestione come SnapCenter è necessaria una LIF di gestione SVM.
-
Nodo singolo BlueXP assegna 4 indirizzi IP a un sistema a nodo singolo:
-
LIF di gestione dei nodi
-
LIF gestione cluster
-
LIF dati iSCSI
Un LIF iSCSI fornisce l'accesso client sul protocollo iSCSI e viene utilizzato dal sistema per altri importanti flussi di lavoro di rete. Questi LIF sono obbligatori e non devono essere cancellati. -
LIF NAS
È possibile saltare la creazione della LIF di gestione delle VM di storage se si implementa Cloud Volumes ONTAP utilizzando l'API e si specifica il seguente flag:
skipSvmManagementLif: true -
-
Coppia ha BlueXP assegna 12-13 indirizzi IP a una coppia ha:
-
2 LIF di gestione dei nodi (e0a)
-
1 LIF di gestione del cluster (e0a)
-
2 LIF iSCSI (e0a)
Un LIF iSCSI fornisce l'accesso client sul protocollo iSCSI e viene utilizzato dal sistema per altri importanti flussi di lavoro di rete. Questi LIF sono obbligatori e non devono essere cancellati. -
1 o 2 LIF NAS (e0a)
-
2 LIF cluster (e0b)
-
2 indirizzi IP ha Interconnect (e0c)
-
2 indirizzi IP iSCSI RSM (e0d)
È possibile saltare la creazione della LIF di gestione delle VM di storage se si implementa Cloud Volumes ONTAP utilizzando l'API e si specifica il seguente flag:
skipSvmManagementLif: true -
Bilanciatori di carico interni
BlueXP crea automaticamente quattro bilanciatori di carico interni di Google Cloud (TCP/UDP) che gestiscono il traffico in entrata verso la coppia ha di Cloud Volumes ONTAP. Non è richiesta alcuna configurazione Questo requisito è stato elencato semplicemente per informarti del traffico di rete e per mitigare eventuali problemi di sicurezza.
Un bilanciamento del carico è per la gestione del cluster, uno per la gestione delle macchine virtuali di storage (SVM), uno per il traffico NAS al nodo 1 e l'altro per il traffico NAS al nodo 2.
La configurazione per ciascun bilanciamento del carico è la seguente:
-
Un indirizzo IP privato condiviso
-
Un controllo globale dello stato di salute
Per impostazione predefinita, le porte utilizzate dal controllo dello stato di salute sono 63001, 63002 e 63003.
-
Un servizio backend TCP regionale
-
Un servizio backend UDP regionale
-
Una regola di inoltro TCP
-
Una regola di inoltro UDP
-
L'accesso globale è disattivato
Anche se l'accesso globale è disattivato per impostazione predefinita, è supportata l'abilitazione dell'IT post-implementazione. L'abbiamo disattivata perché il traffico tra regioni avrà latenze significativamente più elevate. Volevamo assicurarci che non avessi avuto un'esperienza negativa a causa di montaggi incrociati accidentali. L'attivazione di questa opzione è specifica per le esigenze aziendali.
VPC condivisi
Cloud Volumes ONTAP e il connettore sono supportati in un VPC condiviso Google Cloud e anche in VPC standalone.
Per un sistema a nodo singolo, il VPC può essere un VPC condiviso o un VPC standalone.
Per una coppia ha, sono necessari quattro VPC. Ciascuno di questi VPC può essere condiviso o standalone. Ad esempio, VPC-0 potrebbe essere un VPC condiviso, mentre VPC-1, VPC-2 e VPC-3 potrebbero essere VPC standalone.
Un VPC condiviso consente di configurare e gestire centralmente le reti virtuali in più progetti. È possibile configurare reti VPC condivise nel progetto host e implementare le istanze di connettori e macchine virtuali Cloud Volumes ONTAP in un progetto di servizio. "Documentazione di Google Cloud: Panoramica VPC condivisa".
Mirroring dei pacchetti in VPC
"Mirroring dei pacchetti" Deve essere disattivato nella subnet Google Cloud in cui si implementa Cloud Volumes ONTAP.
Accesso a Internet in uscita
I nodi Cloud Volumes ONTAP richiedono l'accesso a Internet in uscita per accedere a endpoint esterni per varie funzioni. Cloud Volumes ONTAP non può funzionare correttamente se questi endpoint sono bloccati in ambienti con severi requisiti di sicurezza.
Endpoint Cloud Volumes ONTAP
Cloud Volumes ONTAP richiede l'accesso a Internet outbound per contattare vari endpoint per le operazioni quotidiane.
I seguenti endpoint sono specifici di Cloud Volumes ONTAP. Inoltre, il connettore contatta diversi endpoint per le operazioni quotidiane e la console basata sul Web di BlueXP . Fare riferimento a "Visualizzare gli endpoint contattati dal connettore" e "Preparazione del networking per l'utilizzo della console BlueXP".
| Endpoint | Applicabile per | Scopo | Modalità di distribuzione BlueXP | Impatto se l'endpoint non è disponibile |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
Autenticazione |
Utilizzato per l'autenticazione BlueXP . |
Modalità standard e limitata. |
L'autenticazione dell'utente non riesce e i seguenti servizi rimangono non disponibili:
|
https://keyvault-production-aks.vault.azure.net |
Vault delle chiavi |
Utilizzato per recuperare la chiave segreta client da Azure Key Vault per comunicare con il bucket S3 per la gestione dei metadati. Il servizio Cloud Volumes ONTAP utilizza questo componente internamente. |
Modalità standard, limitata e privata. |
I servizi Cloud Volumes ONTAP non sono disponibili. |
https://cloudmanager.cloud.netapp.com/tenancy |
Locazione |
Utilizzato per recuperare le risorse Cloud Volumes ONTAP dalla tenancy BlueXP per autorizzare risorse e utenti. |
Modalità standard e limitata. |
Le risorse Cloud Volumes ONTAP e gli utenti non sono autorizzati. |
https://support.NetApp.com/aods/asuppmessage https://support.NetApp.com/asupprod/post/1,0/postAsup |
AutoSupport |
Utilizzato per inviare dati telemetrici AutoSupport al supporto NetApp. |
Modalità standard e limitata. |
Le informazioni AutoSupport rimangono non trasmesse. |
https://www.googleapis.com/compute/v1/projects/ https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects https://compute.googleapis.com/compute/v1 |
Google Cloud (uso commerciale). |
Comunicazioni con i servizi Google Cloud. |
Modalità standard, limitata e privata. |
Cloud Volumes ONTAP non può comunicare con il servizio Google Cloud per eseguire specifiche operazioni BlueXP in Google Cloud. |
Accesso a Internet in uscita per NetApp AutoSupport
Cloud Volumes ONTAP richiede l'accesso a Internet in uscita per NetApp AutoSupport, che monitora in modo proattivo lo stato di salute del sistema e invia messaggi al supporto tecnico di NetApp.
I criteri di routing e firewall devono consentire il traffico HTTP/HTTPS ai seguenti endpoint in modo che Cloud Volumes ONTAP possa inviare messaggi AutoSupport:
Se non è disponibile una connessione Internet in uscita per l'invio di messaggi AutoSupport, BlueXP configura automaticamente i sistemi Cloud Volumes ONTAP in modo che utilizzino il connettore come server proxy. L'unico requisito è garantire che il firewall del connettore consenta connessioni inbound sulla porta 3128. Dopo aver implementato il connettore, aprire questa porta.
Se sono state definite rigide regole in uscita per Cloud Volumes ONTAP, è necessario anche assicurarsi che il firewall Cloud Volumes ONTAP consenta connessioni in uscita sulla porta 3128.
Dopo aver verificato che l'accesso a Internet in uscita è disponibile, è possibile testare AutoSupport per assicurarsi che sia in grado di inviare messaggi. Per istruzioni, fare riferimento a. "Documenti ONTAP: Configurazione di AutoSupport".
|
Se si utilizza una coppia ha, il mediatore ha non richiede l'accesso a Internet in uscita. |
Se BlueXP notifica che non è possibile inviare messaggi AutoSupport, "Risolvere i problemi della configurazione AutoSupport".
Connessioni a sistemi ONTAP in altre reti
Per replicare i dati tra un sistema Cloud Volumes ONTAP in Google Cloud e i sistemi ONTAP in altre reti, è necessario disporre di una connessione VPN tra il VPC e l'altra rete, ad esempio la rete aziendale.
Per istruzioni, fare riferimento a. "Documentazione di Google Cloud: Panoramica di Cloud VPN".
Regole del firewall
BlueXP crea regole di Google Cloud Firewall che includono le regole in entrata e in uscita di cui Cloud Volumes ONTAP ha bisogno per funzionare correttamente. Si consiglia di fare riferimento alle porte per scopi di test o se si preferisce utilizzare le proprie regole firewall.
Le regole del firewall per Cloud Volumes ONTAP richiedono regole sia in entrata che in uscita. Se si sta implementando una configurazione ha, queste sono le regole firewall per Cloud Volumes ONTAP in VPC-0.
Tenere presente che per una configurazione ha sono necessari due set di regole firewall:
-
Un set di regole per i componenti ha in VPC-0. Queste regole consentono l'accesso ai dati a Cloud Volumes ONTAP.
-
Un altro insieme di regole per i componenti ha in VPC-1, VPC-2 e VPC-3. Queste regole sono aperte per le comunicazioni in entrata e in uscita tra i componenti ha. Scopri di più.
|
|
Cerchi informazioni sul connettore? "Visualizzare le regole del firewall per il connettore" |
Regole in entrata
Quando si crea un ambiente di lavoro, è possibile scegliere il filtro di origine per la policy firewall predefinita durante l'implementazione:
-
Selezionato solo VPC: Il filtro di origine per il traffico in entrata è l'intervallo di sottorete del VPC per il sistema Cloud Volumes ONTAP e l'intervallo di sottorete del VPC in cui si trova il connettore. Questa è l'opzione consigliata.
-
Tutti i VPC: Il filtro di origine per il traffico in entrata corrisponde all'intervallo IP 0.0.0.0/0.
Se si utilizza una policy firewall personalizzata, assicurarsi di aggiungere tutte le reti che devono comunicare con Cloud Volumes ONTAP, ma anche di aggiungere entrambi gli intervalli di indirizzi per consentire al bilanciamento del carico interno di Google di funzionare correttamente. Questi indirizzi sono 130.211.0.0/22 e 35.191.0.0/16. Per ulteriori informazioni, fare riferimento a. "Documentazione di Google Cloud: Regole del firewall per il bilanciamento del carico".
| Protocollo | Porta | Scopo |
|---|---|---|
Tutti gli ICMP |
Tutto |
Eseguire il ping dell'istanza |
HTTP |
80 |
Accesso HTTP alla console web di ONTAP System Manager usando l'indirizzo IP della LIF di gestione cluster |
HTTPS |
443 |
Connettività con il connettore e accesso HTTPS alla console web di ONTAP System Manager usando l'indirizzo IP della LIF di gestione del cluster |
SSH |
22 |
Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
TCP |
111 |
Chiamata a procedura remota per NFS |
TCP |
139 |
Sessione del servizio NetBIOS per CIFS |
TCP |
161-162 |
Protocollo di gestione di rete semplice |
TCP |
445 |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
TCP |
635 |
Montaggio NFS |
TCP |
749 |
Kerberos |
TCP |
2049 |
Daemon del server NFS |
TCP |
3260 |
Accesso iSCSI tramite LIF dei dati iSCSI |
TCP |
4045 |
Daemon di blocco NFS |
TCP |
4046 |
Network status monitor per NFS |
TCP |
10000 |
Backup con NDMP |
TCP |
11104 |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
TCP |
11105 |
Trasferimento dei dati SnapMirror con LIF intercluster |
TCP |
63001-63050 |
Bilanciamento del carico delle porte delle sonde per determinare quale nodo è integro (richiesto solo per coppie ha) |
UDP |
111 |
Chiamata a procedura remota per NFS |
UDP |
161-162 |
Protocollo di gestione di rete semplice |
UDP |
635 |
Montaggio NFS |
UDP |
2049 |
Daemon del server NFS |
UDP |
4045 |
Daemon di blocco NFS |
UDP |
4046 |
Network status monitor per NFS |
UDP |
4049 |
Protocollo NFS rquotad |
Regole in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP include le seguenti regole in uscita.
| Protocollo | Porta | Scopo |
|---|---|---|
Tutti gli ICMP |
Tutto |
Tutto il traffico in uscita |
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per le comunicazioni in uscita da Cloud Volumes ONTAP.
|
|
L'origine è l'interfaccia (indirizzo IP) del sistema Cloud Volumes ONTAP. |
| Servizio | Protocollo | Porta | Origine | Destinazione | Scopo |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
UDP |
137 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
TCP |
139 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP E UDP |
389 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
UDP |
464 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
TCP |
749 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set Password (RPCSEC_GSS) |
|
TCP |
88 |
Data LIF (NFS, CIFS, iSCSI) |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
|
UDP |
137 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
TCP |
139 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP E UDP |
389 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
UDP |
464 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
TCP |
749 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
LIF di gestione dei nodi |
support.netapp.com |
AutoSupport (HTTPS è l'impostazione predefinita) |
HTTP |
80 |
LIF di gestione dei nodi |
support.netapp.com |
AutoSupport (solo se il protocollo di trasporto viene modificato da HTTPS a HTTP) |
|
TCP |
3128 |
LIF di gestione dei nodi |
Connettore |
Invio di messaggi AutoSupport tramite un server proxy sul connettore, se non è disponibile una connessione Internet in uscita |
|
Cluster |
Tutto il traffico |
Tutto il traffico |
Tutte le LIF su un nodo |
Tutte le LIF sull'altro nodo |
Comunicazioni tra cluster (solo Cloud Volumes ONTAP ha) |
Backup della configurazione |
HTTP |
80 |
LIF di gestione dei nodi |
Http://<connector-IP-address>/occm/offboxconfig |
Inviare i backup della configurazione al connettore. "Informazioni sui file di backup della configurazione". |
DHCP |
UDP |
68 |
LIF di gestione dei nodi |
DHCP |
Client DHCP per la prima installazione |
DHCPS |
UDP |
67 |
LIF di gestione dei nodi |
DHCP |
Server DHCP |
DNS |
UDP |
53 |
LIF di gestione dei nodi e LIF dei dati (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
LIF di gestione dei nodi |
Server di destinazione |
Copia NDMP |
SMTP |
TCP |
25 |
LIF di gestione dei nodi |
Server di posta |
Gli avvisi SMTP possono essere utilizzati per AutoSupport |
SNMP |
TCP |
161 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
UDP |
161 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
TCP |
162 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
UDP |
162 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
SnapMirror |
TCP |
11104 |
LIF intercluster |
ONTAP Intercluster LIF |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
TCP |
11105 |
LIF intercluster |
ONTAP Intercluster LIF |
Trasferimento dei dati SnapMirror |
|
Syslog |
UDP |
514 |
LIF di gestione dei nodi |
Server syslog |
Messaggi di inoltro syslog |
Regole per VPC-1, VPC-2 e VPC-3
In Google Cloud, una configurazione ha viene implementata in quattro VPC. Le regole del firewall necessarie per la configurazione ha in VPC-0 sono Elencato sopra per Cloud Volumes ONTAP.
Nel frattempo, le regole predefinite del firewall create da BlueXP per le istanze in VPC-1, VPC-2 e VPC-3 consentono la comunicazione in ingresso su tutti protocolli e porte. Queste regole consentono la comunicazione tra i nodi ha.
La comunicazione dai nodi ha al mediatore ha avviene sulla porta 3260 (iSCSI).
|
|
Per consentire un'elevata velocità di scrittura per le nuove implementazioni di coppie Google Cloud ha, è necessaria un'unità di trasmissione massima (MTU) di almeno 8,896 byte per VPC-1, VPC-2 e VPC-3. Se si sceglie di aggiornare VPC-1, VPC-2 e VPC-3 esistenti a una MTU di 8,896 byte, è necessario arrestare tutti i sistemi ha esistenti che utilizzano questi VPC durante il processo di configurazione. |
Requisiti per il connettore
Se non hai ancora creato un connettore, dovresti rivedere anche i requisiti di rete per il connettore.