Requisiti di rete per il connettore
Configura la tua rete in modo che il connettore possa gestire risorse e processi all'interno del tuo ambiente di cloud pubblico. Il passaggio più importante è garantire l'accesso a Internet in uscita a vari endpoint.
Se la rete utilizza un server proxy per tutte le comunicazioni a Internet, è possibile specificare il server proxy dalla pagina Impostazioni. Fare riferimento a. "Configurazione del connettore per l'utilizzo di un server proxy". |
Connessione alle reti di destinazione
Un connettore richiede una connessione di rete al tipo di ambiente di lavoro che si sta creando e ai servizi che si intende abilitare.
Ad esempio, se si installa un connettore nella rete aziendale, è necessario impostare una connessione VPN a VPC o VNET in cui si avvia Cloud Volumes ONTAP.
Accesso a Internet in uscita
Il connettore richiede l'accesso a Internet in uscita per gestire risorse e processi all'interno del tuo ambiente di cloud pubblico. L'accesso a Internet in uscita è necessario anche se si desidera installare manualmente il connettore su un host Linux o accedere all'interfaccia utente locale in esecuzione sul connettore.
Le sezioni seguenti identificano gli endpoint specifici.
Endpoint per gestire le risorse in AWS
Un connettore contatta i seguenti endpoint durante la gestione delle risorse in AWS:
Endpoint | Scopo |
---|---|
Servizi AWS (amazonaws.com):
L'endpoint esatto dipende dalla regione in cui viene implementato Cloud Volumes ONTAP. "Per ulteriori informazioni, fare riferimento alla documentazione AWS." |
Consente al connettore di implementare e gestire Cloud Volumes ONTAP in AWS. |
Richieste API a NetApp Cloud Central. |
|
Fornisce l'accesso a immagini, manifesti e modelli software. |
|
Utilizzato per scaricare le dipendenze di Cloud Manager. |
|
Utilizzato per scaricare MySQL. |
|
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
Consente al connettore di accedere e scaricare manifesti, modelli e immagini di aggiornamento Cloud Volumes ONTAP. |
Accesso alle immagini software dei componenti container per un'infrastruttura che esegue Docker e fornisce una soluzione per l'integrazione dei servizi con Cloud Manager. |
|
Consente a NetApp di eseguire lo streaming dei dati dai record di audit. |
|
Comunicazione con il servizio Cloud Manager, che include gli account Cloud Central. |
|
Comunicazione con NetApp Cloud Central per l'autenticazione utente centralizzata. |
|
https://w86yt021u5.execute-api.us-east-1.amazonaws.com/production/whitelist |
Consente di aggiungere l'ID account AWS all'elenco degli utenti autorizzati per Backup in S3. |
https://support.netapp.com/aods/asupmessage https://support.netapp.com/asupprod/post/1.0/postAsup |
Comunicazione con NetApp AutoSupport. |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
Comunicazione con NetApp per la registrazione del supporto e delle licenze di sistema. |
https://client.infra.support.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.us-west-1.amazonaws.com https://trigger.asup.netapp.com.s3.us-west-1.amazonaws.com |
Consente a NetApp di raccogliere le informazioni necessarie per risolvere i problemi di supporto. |
Consente a Cloud Manager di generare licenze (ad esempio, una licenza FlexCache per Cloud Volumes ONTAP) |
|
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
Necessario per connettere i sistemi Cloud Volumes ONTAP a un cluster Kubernetes. Gli endpoint consentono l'installazione di NetApp Trident. |
Varie sedi di terze parti, ad esempio: Le sedi di terze parti sono soggette a modifiche. |
Durante gli aggiornamenti, Cloud Manager scarica i pacchetti più recenti per le dipendenze di terze parti. |
Endpoint per la gestione delle risorse in Azure
Un connettore contatta i seguenti endpoint durante la gestione delle risorse in Azure:
Endpoint | Scopo |
---|---|
https://management.azure.com https://login.microsoftonline.com |
Consente a Cloud Manager di implementare e gestire Cloud Volumes ONTAP nella maggior parte delle regioni Azure. |
https://management.microsoftazure.de https://login.microsoftonline.de |
Consente a Cloud Manager di implementare e gestire Cloud Volumes ONTAP nelle regioni di Azure Germania. |
https://management.usgovcloudapi.net https://login.microsoftonline.com |
Consente a Cloud Manager di implementare e gestire Cloud Volumes ONTAP nelle regioni di Azure US Gov. |
Richieste API a NetApp Cloud Central. |
|
Fornisce l'accesso a immagini, manifesti e modelli software. |
|
Utilizzato per scaricare le dipendenze di Cloud Manager. |
|
Utilizzato per scaricare MySQL. |
|
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
Consente al connettore di accedere e scaricare manifesti, modelli e immagini di aggiornamento Cloud Volumes ONTAP. |
Accesso alle immagini software dei componenti container per un'infrastruttura che esegue Docker e fornisce una soluzione per l'integrazione dei servizi con Cloud Manager. |
|
Consente a NetApp di eseguire lo streaming dei dati dai record di audit. |
|
Comunicazione con il servizio Cloud Manager, che include gli account Cloud Central. |
|
Comunicazione con NetApp Cloud Central per l'autenticazione utente centralizzata. |
|
Comunicazione con NetApp AutoSupport. |
|
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
Comunicazione con NetApp per la registrazione del supporto e delle licenze di sistema. |
https://client.infra.support.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.us-west-1.amazonaws.com https://trigger.asup.netapp.com.s3.us-west-1.amazonaws.com |
Consente a NetApp di raccogliere le informazioni necessarie per risolvere i problemi di supporto. |
Consente a Cloud Manager di generare licenze (ad esempio, una licenza FlexCache per Cloud Volumes ONTAP) |
|
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
Necessario per connettere i sistemi Cloud Volumes ONTAP a un cluster Kubernetes. Gli endpoint consentono l'installazione di NetApp Trident. |
*.blob.core.windows.net |
Richiesto per coppie ha quando si utilizza un proxy. |
Varie sedi di terze parti, ad esempio: Le sedi di terze parti sono soggette a modifiche. |
Durante gli aggiornamenti, Cloud Manager scarica i pacchetti più recenti per le dipendenze di terze parti. |
Endpoint per la gestione delle risorse in GCP
Un connettore contatta i seguenti endpoint durante la gestione delle risorse in GCP:
Endpoint | Scopo |
---|---|
Consente al connettore di contattare le API Google per l'implementazione e la gestione di Cloud Volumes ONTAP in GCP. |
|
Richieste API a NetApp Cloud Central. |
|
Fornisce l'accesso a immagini, manifesti e modelli software. |
|
Utilizzato per scaricare le dipendenze di Cloud Manager. |
|
Utilizzato per scaricare MySQL. |
|
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
Consente al connettore di accedere e scaricare manifesti, modelli e immagini di aggiornamento Cloud Volumes ONTAP. |
Accesso alle immagini software dei componenti container per un'infrastruttura che esegue Docker e fornisce una soluzione per l'integrazione dei servizi con Cloud Manager. |
|
Consente a NetApp di eseguire lo streaming dei dati dai record di audit. |
|
Comunicazione con il servizio Cloud Manager, che include gli account Cloud Central. |
|
Comunicazione con NetApp Cloud Central per l'autenticazione utente centralizzata. |
|
Comunicazione con NetApp AutoSupport. |
|
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
Comunicazione con NetApp per la registrazione del supporto e delle licenze di sistema. |
https://client.infra.support.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.us-west-1.amazonaws.com https://trigger.asup.netapp.com.s3.us-west-1.amazonaws.com |
Consente a NetApp di raccogliere le informazioni necessarie per risolvere i problemi di supporto. |
Consente a Cloud Manager di generare licenze (ad esempio, una licenza FlexCache per Cloud Volumes ONTAP) |
|
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
Necessario per connettere i sistemi Cloud Volumes ONTAP a un cluster Kubernetes. Gli endpoint consentono l'installazione di NetApp Trident. |
Varie sedi di terze parti, ad esempio: Le sedi di terze parti sono soggette a modifiche. |
Durante gli aggiornamenti, Cloud Manager scarica i pacchetti più recenti per le dipendenze di terze parti. |
Endpoint per installare il connettore su un host Linux
È possibile installare manualmente il software del connettore sul proprio host Linux. In tal caso, il programma di installazione del connettore deve accedere ai seguenti URL durante il processo di installazione:
L'host potrebbe tentare di aggiornare i pacchetti del sistema operativo durante l'installazione. L'host può contattare diversi siti di mirroring per questi pacchetti di sistemi operativi.
Endpoint a cui si accede dal browser Web quando si utilizza l'interfaccia utente locale
Sebbene sia necessario eseguire quasi tutte le attività dall'interfaccia utente SaaS, sul connettore è ancora disponibile un'interfaccia utente locale. Il computer che esegue il browser Web deve disporre di connessioni ai seguenti endpoint:
Endpoint | Scopo |
---|---|
L'host del connettore |
Per caricare la console di Cloud Manager, è necessario inserire l'indirizzo IP dell'host da un browser Web. A seconda della connettività con il cloud provider, è possibile utilizzare l'IP privato o un IP pubblico assegnato all'host:
In ogni caso, è necessario proteggere l'accesso alla rete assicurandosi che le regole del gruppo di protezione consentano l'accesso solo da IP o subnet autorizzati. |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
Il browser Web si connette a questi endpoint per un'autenticazione utente centralizzata tramite NetApp Cloud Central. |
Per chat in-product che ti consente di parlare con gli esperti cloud di NetApp. |
Porte e gruppi di sicurezza
Non c'è traffico in entrata verso il connettore, a meno che non venga avviato. HTTP e HTTPS forniscono l'accesso a "UI locale", che utilizzerai in rare circostanze. SSH è necessario solo se è necessario connettersi all'host per la risoluzione dei problemi.
Regole per il connettore in AWS
Il gruppo di protezione per il connettore richiede regole sia in entrata che in uscita.
Regole in entrata
L'origine delle regole in entrata nel gruppo di sicurezza predefinito è 0.0.0.0/0.
Protocollo | Porta | Scopo |
---|---|---|
SSH |
22 |
Fornisce l'accesso SSH all'host del connettore |
HTTP |
80 |
Fornisce l'accesso HTTP dai browser Web client all'interfaccia utente locale e alle connessioni da Cloud Compliance |
HTTPS |
443 |
Fornisce l'accesso HTTPS dai browser Web client all'interfaccia utente locale |
TCP |
3128 |
Fornisce all'istanza Cloud Compliance l'accesso a Internet, se la rete AWS non utilizza un NAT o un proxy |
Regole in uscita
Il gruppo di protezione predefinito per il connettore apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Il gruppo di protezione predefinito per il connettore include le seguenti regole in uscita.
Protocollo | Porta | Scopo |
---|---|---|
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per la comunicazione in uscita dal connettore.
L'indirizzo IP di origine è l'host del connettore. |
Servizio | Protocollo | Porta | Destinazione | Scopo |
---|---|---|---|---|
Active Directory |
TCP |
88 |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
TCP |
139 |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP |
389 |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
TCP |
749 |
Insieme di strutture di Active Directory |
Modifica e impostazione della password Kerberos V di Active Directory (RPCSEC_GSS) |
|
UDP |
137 |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
UDP |
464 |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
Chiamate API e AutoSupport |
HTTPS |
443 |
LIF gestione cluster ONTAP e Internet in uscita |
Chiamate API ad AWS e ONTAP e invio di messaggi AutoSupport a NetApp |
Chiamate API |
TCP |
3000 |
LIF gestione cluster ONTAP |
Chiamate API a ONTAP |
TCP |
8088 |
Backup su S3 |
API chiama il backup in S3 |
|
DNS |
UDP |
53 |
DNS |
Utilizzato per la risoluzione DNS da parte di Cloud Manager |
Conformità al cloud |
HTTP |
80 |
Istanza di Cloud Compliance |
Conformità del cloud per Cloud Volumes ONTAP |
Regole per il connettore in Azure
Il gruppo di protezione per il connettore richiede regole sia in entrata che in uscita.
Regole in entrata
L'origine delle regole in entrata nel gruppo di sicurezza predefinito è 0.0.0.0/0.
Porta | Protocollo | Scopo |
---|---|---|
22 |
SSH |
Fornisce l'accesso SSH all'host del connettore |
80 |
HTTP |
Fornisce l'accesso HTTP dai browser Web client all'interfaccia utente locale |
443 |
HTTPS |
Fornisce l'accesso HTTPS dai browser Web client all'interfaccia utente locale |
Regole in uscita
Il gruppo di protezione predefinito per il connettore apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Il gruppo di protezione predefinito per il connettore include le seguenti regole in uscita.
Porta | Protocollo | Scopo |
---|---|---|
Tutto |
Tutti i TCP |
Tutto il traffico in uscita |
Tutto |
Tutti gli UDP |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per la comunicazione in uscita dal connettore.
L'indirizzo IP di origine è l'host del connettore. |
Servizio | Porta | Protocollo | Destinazione | Scopo |
---|---|---|---|---|
Active Directory |
88 |
TCP |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
139 |
TCP |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
389 |
TCP |
Insieme di strutture di Active Directory |
LDAP |
|
445 |
TCP |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
464 |
TCP |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
749 |
TCP |
Insieme di strutture di Active Directory |
Modifica e impostazione della password Kerberos V di Active Directory (RPCSEC_GSS) |
|
137 |
UDP |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
138 |
UDP |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
464 |
UDP |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
Chiamate API e AutoSupport |
443 |
HTTPS |
LIF gestione cluster ONTAP e Internet in uscita |
Chiamate API ad AWS e ONTAP e invio di messaggi AutoSupport a NetApp |
Chiamate API |
3000 |
TCP |
LIF gestione cluster ONTAP |
Chiamate API a ONTAP |
DNS |
53 |
UDP |
DNS |
Utilizzato per la risoluzione DNS da parte di Cloud Manager |
Regole per il connettore in GCP
Le regole firewall per il connettore richiedono regole sia in entrata che in uscita.
Regole in entrata
L'origine delle regole in entrata nelle regole firewall predefinite è 0.0.0.0/0.
Protocollo | Porta | Scopo |
---|---|---|
SSH |
22 |
Fornisce l'accesso SSH all'host del connettore |
HTTP |
80 |
Fornisce l'accesso HTTP dai browser Web client all'interfaccia utente locale |
HTTPS |
443 |
Fornisce l'accesso HTTPS dai browser Web client all'interfaccia utente locale |
Regole in uscita
Le regole firewall predefinite per il connettore aprono tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Le regole firewall predefinite per il connettore includono le seguenti regole in uscita.
Protocollo | Porta | Scopo |
---|---|---|
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per la comunicazione in uscita dal connettore.
L'indirizzo IP di origine è l'host del connettore. |
Servizio | Protocollo | Porta | Destinazione | Scopo |
---|---|---|---|---|
Active Directory |
TCP |
88 |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
TCP |
139 |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP |
389 |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
TCP |
749 |
Insieme di strutture di Active Directory |
Modifica e impostazione della password Kerberos V di Active Directory (RPCSEC_GSS) |
|
UDP |
137 |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
UDP |
464 |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
Chiamate API e AutoSupport |
HTTPS |
443 |
LIF gestione cluster ONTAP e Internet in uscita |
Chiamate API a GCP e ONTAP e invio di messaggi AutoSupport a NetApp |
Chiamate API |
TCP |
3000 |
LIF gestione cluster ONTAP |
Chiamate API a ONTAP |
DNS |
UDP |
53 |
DNS |
Utilizzato per la risoluzione DNS da parte di Cloud Manager |