Requisiti di rete per implementare e gestire Cloud Volumes ONTAP in GCP
Configura la tua rete della piattaforma cloud Google in modo che i sistemi Cloud Volumes ONTAP possano funzionare correttamente. Ciò include il collegamento in rete per il connettore e Cloud Volumes ONTAP.
Requisiti per Cloud Volumes ONTAP
I seguenti requisiti devono essere soddisfatti in GCP.
- Cloud privato virtuale
-
Cloud Volumes ONTAP e il connettore sono supportati in un VPC condiviso Google Cloud e anche in VPC non condivisi.
Un VPC condiviso consente di configurare e gestire centralmente le reti virtuali in più progetti. È possibile configurare reti VPC condivise nel progetto host e implementare le istanze di connettori e macchine virtuali Cloud Volumes ONTAP in un progetto di servizio. "Documentazione di Google Cloud: Panoramica VPC condivisa".
L'unico requisito per l'utilizzo di un VPC condiviso è fornire "Ruolo di Compute Network User" All'account del servizio Connector. Cloud Manager necessita di queste autorizzazioni per eseguire query su firewall, VPC e subnet nel progetto host.
- Accesso a Internet in uscita per Cloud Volumes ONTAP
-
Cloud Volumes ONTAP richiede l'accesso a Internet in uscita per inviare messaggi a NetApp AutoSupport, che monitora in maniera proattiva lo stato dello storage.
I criteri di routing e firewall devono consentire il traffico HTTP/HTTPS ai seguenti endpoint in modo che Cloud Volumes ONTAP possa inviare messaggi AutoSupport:
- Numero di indirizzi IP
-
Cloud Manager assegna 5 indirizzi IP a Cloud Volumes ONTAP in GCP.
Si noti che Cloud Manager non crea una LIF di gestione SVM per Cloud Volumes ONTAP in GCP.
LIF è un indirizzo IP associato a una porta fisica. Per strumenti di gestione come SnapCenter è necessaria una LIF di gestione SVM. - Regole del firewall
-
Non è necessario creare regole firewall perché Cloud Manager fa tutto questo per te. Se è necessario utilizzare il proprio, fare riferimento alle regole del firewall elencate di seguito.
- Connessione da Cloud Volumes ONTAP allo storage cloud Google per il tiering dei dati
-
Se si desidera eseguire il tiering dei dati cold in un bucket di storage cloud Google, la subnet in cui risiede Cloud Volumes ONTAP deve essere configurata per l'accesso privato a Google. Per istruzioni, fare riferimento a. "Documentazione di Google Cloud: Configurazione di Private Google Access".
Per ulteriori passaggi necessari per impostare il tiering dei dati in Cloud Manager, consulta "Tiering dei dati cold su storage a oggetti a basso costo".
- Connessioni a sistemi ONTAP in altre reti
-
Per replicare i dati tra un sistema Cloud Volumes ONTAP in GCP e i sistemi ONTAP in altre reti, è necessario disporre di una connessione VPN tra il VPC e l'altra rete, ad esempio la rete aziendale.
Per istruzioni, fare riferimento a. "Documentazione di Google Cloud: Panoramica di Cloud VPN".
Requisiti per il connettore
Configura la tua rete in modo che il connettore possa gestire risorse e processi all'interno del tuo ambiente di cloud pubblico. Il passaggio più importante è garantire l'accesso a Internet in uscita a vari endpoint.
Se la rete utilizza un server proxy per tutte le comunicazioni a Internet, è possibile specificare il server proxy dalla pagina Impostazioni. Fare riferimento a. "Configurazione del connettore per l'utilizzo di un server proxy". |
Connessione alle reti di destinazione
Un connettore richiede una connessione di rete ai VPC e ai VNet in cui si desidera implementare Cloud Volumes ONTAP.
Ad esempio, se si installa un connettore nella rete aziendale, è necessario impostare una connessione VPN a VPC o VNET in cui si avvia Cloud Volumes ONTAP.
Accesso a Internet in uscita
Il connettore richiede l'accesso a Internet in uscita per gestire risorse e processi all'interno del tuo ambiente di cloud pubblico. Un connettore contatta i seguenti endpoint durante la gestione delle risorse in GCP:
Endpoint | Scopo |
---|---|
Consente al connettore di contattare le API Google per l'implementazione e la gestione di Cloud Volumes ONTAP in GCP. |
|
Richieste API a NetApp Cloud Central. |
|
Fornisce l'accesso a immagini, manifesti e modelli software. |
|
Utilizzato per scaricare le dipendenze di Cloud Manager. |
|
Utilizzato per scaricare MySQL. |
|
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
Consente al connettore di accedere e scaricare manifesti, modelli e immagini di aggiornamento Cloud Volumes ONTAP. |
Accesso alle immagini software dei componenti container per un'infrastruttura che esegue Docker e fornisce una soluzione per l'integrazione dei servizi con Cloud Manager. |
|
Consente a NetApp di eseguire lo streaming dei dati dai record di audit. |
|
Comunicazione con il servizio Cloud Manager, che include gli account Cloud Central. |
|
Comunicazione con NetApp Cloud Central per l'autenticazione utente centralizzata. |
|
Comunicazione con NetApp AutoSupport. |
|
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
Comunicazione con NetApp per la registrazione del supporto e delle licenze di sistema. |
Consente a Cloud Manager di generare licenze (ad esempio, una licenza FlexCache per Cloud Volumes ONTAP) |
|
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
Necessario per connettere i sistemi Cloud Volumes ONTAP a un cluster Kubernetes. Gli endpoint consentono l'installazione di NetApp Trident. |
Varie sedi di terze parti, ad esempio: Le sedi di terze parti sono soggette a modifiche. |
Durante gli aggiornamenti, Cloud Manager scarica i pacchetti più recenti per le dipendenze di terze parti. |
Sebbene sia necessario eseguire quasi tutte le attività dall'interfaccia utente SaaS, sul connettore è ancora disponibile un'interfaccia utente locale. Il computer che esegue il browser Web deve disporre di connessioni ai seguenti endpoint:
Endpoint | Scopo |
---|---|
L'host del connettore |
Per caricare la console di Cloud Manager, è necessario inserire l'indirizzo IP dell'host da un browser Web. A seconda della connettività con il cloud provider, è possibile utilizzare l'IP privato o un IP pubblico assegnato all'host:
In ogni caso, è necessario proteggere l'accesso alla rete assicurandosi che le regole del gruppo di protezione consentano l'accesso solo da IP o subnet autorizzati. |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
Il browser Web si connette a questi endpoint per un'autenticazione utente centralizzata tramite NetApp Cloud Central. |
Per chat in-product che ti consente di parlare con gli esperti cloud di NetApp. |
Regole firewall per Cloud Volumes ONTAP
Cloud Manager crea regole firewall GCP che includono le regole in entrata e in uscita di cui Cloud Manager e Cloud Volumes ONTAP hanno bisogno per funzionare correttamente. È possibile fare riferimento alle porte a scopo di test o se si preferisce utilizzare i propri gruppi di protezione.
Le regole del firewall per Cloud Volumes ONTAP richiedono regole sia in entrata che in uscita.
Regole in entrata
L'origine delle regole in entrata nel gruppo di sicurezza predefinito è 0.0.0.0/0.
Protocollo | Porta | Scopo |
---|---|---|
Tutti gli ICMP |
Tutto |
Eseguire il ping dell'istanza |
HTTP |
80 |
Accesso HTTP alla console Web di System Manager utilizzando l'indirizzo IP della LIF di gestione del cluster |
HTTPS |
443 |
Accesso HTTPS alla console Web di System Manager utilizzando l'indirizzo IP della LIF di gestione del cluster |
SSH |
22 |
Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
TCP |
111 |
Chiamata a procedura remota per NFS |
TCP |
139 |
Sessione del servizio NetBIOS per CIFS |
TCP |
161-162 |
Protocollo di gestione di rete semplice |
TCP |
445 |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
TCP |
635 |
Montaggio NFS |
TCP |
749 |
Kerberos |
TCP |
2049 |
Daemon del server NFS |
TCP |
3260 |
Accesso iSCSI tramite LIF dei dati iSCSI |
TCP |
4045 |
Daemon di blocco NFS |
TCP |
4046 |
Network status monitor per NFS |
TCP |
10000 |
Backup con NDMP |
TCP |
11104 |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
TCP |
11105 |
Trasferimento dei dati SnapMirror con LIF intercluster |
UDP |
111 |
Chiamata a procedura remota per NFS |
UDP |
161-162 |
Protocollo di gestione di rete semplice |
UDP |
635 |
Montaggio NFS |
UDP |
2049 |
Daemon del server NFS |
UDP |
4045 |
Daemon di blocco NFS |
UDP |
4046 |
Network status monitor per NFS |
UDP |
4049 |
Protocollo NFS rquotad |
Regole in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP include le seguenti regole in uscita.
Protocollo | Porta | Scopo |
---|---|---|
Tutti gli ICMP |
Tutto |
Tutto il traffico in uscita |
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per le comunicazioni in uscita da Cloud Volumes ONTAP.
L'origine è l'interfaccia (indirizzo IP) del sistema Cloud Volumes ONTAP. |
Servizio | Protocollo | Porta | Origine | Destinazione | Scopo |
---|---|---|---|---|---|
Active Directory |
TCP |
88 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
UDP |
137 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
TCP |
139 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP E UDP |
389 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
UDP |
464 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
TCP |
749 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set Password (RPCSEC_GSS) |
|
TCP |
88 |
Data LIF (NFS, CIFS, iSCSI) |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
|
UDP |
137 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
TCP |
139 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP E UDP |
389 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
UDP |
464 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
TCP |
749 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (RPCSEC_GSS) |
|
Cluster |
Tutto il traffico |
Tutto il traffico |
Tutte le LIF su un nodo |
Tutte le LIF sull'altro nodo |
Comunicazioni tra cluster (solo Cloud Volumes ONTAP ha) |
TCP |
3000 |
LIF di gestione dei nodi |
MEDIATORE HA |
Chiamate ZAPI (solo Cloud Volumes ONTAP ha) |
|
ICMP |
1 |
LIF di gestione dei nodi |
MEDIATORE HA |
Mantieni attivo (solo Cloud Volumes ONTAP ha) |
|
DHCP |
UDP |
68 |
LIF di gestione dei nodi |
DHCP |
Client DHCP per la prima installazione |
DHCPS |
UDP |
67 |
LIF di gestione dei nodi |
DHCP |
Server DHCP |
DNS |
UDP |
53 |
LIF di gestione dei nodi e LIF dei dati (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
LIF di gestione dei nodi |
Server di destinazione |
Copia NDMP |
SMTP |
TCP |
25 |
LIF di gestione dei nodi |
Server di posta |
Gli avvisi SMTP possono essere utilizzati per AutoSupport |
SNMP |
TCP |
161 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
UDP |
161 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
TCP |
162 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
UDP |
162 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
SnapMirror |
TCP |
11104 |
LIF intercluster |
ONTAP Intercluster LIF |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
TCP |
11105 |
LIF intercluster |
ONTAP Intercluster LIF |
Trasferimento dei dati SnapMirror |
|
Syslog |
UDP |
514 |
LIF di gestione dei nodi |
Server syslog |
Messaggi di inoltro syslog |
Regole firewall per il connettore
Le regole firewall per il connettore richiedono regole sia in entrata che in uscita.
Regole in entrata
L'origine delle regole in entrata nelle regole firewall predefinite è 0.0.0.0/0.
Protocollo | Porta | Scopo |
---|---|---|
SSH |
22 |
Fornisce l'accesso SSH all'host del connettore |
HTTP |
80 |
Fornisce l'accesso HTTP dai browser Web client all'interfaccia utente locale |
HTTPS |
443 |
Fornisce l'accesso HTTPS dai browser Web client all'interfaccia utente locale |
Regole in uscita
Le regole firewall predefinite per il connettore aprono tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Le regole firewall predefinite per il connettore includono le seguenti regole in uscita.
Protocollo | Porta | Scopo |
---|---|---|
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per la comunicazione in uscita dal connettore.
L'indirizzo IP di origine è l'host del connettore. |
Servizio | Protocollo | Porta | Destinazione | Scopo |
---|---|---|---|---|
Active Directory |
TCP |
88 |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
TCP |
139 |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP |
389 |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
TCP |
749 |
Insieme di strutture di Active Directory |
Modifica e impostazione della password Kerberos V di Active Directory (RPCSEC_GSS) |
|
UDP |
137 |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
UDP |
464 |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
Chiamate API e AutoSupport |
HTTPS |
443 |
LIF gestione cluster ONTAP e Internet in uscita |
Chiamate API a GCP e ONTAP e invio di messaggi AutoSupport a NetApp |
Chiamate API |
TCP |
3000 |
LIF gestione cluster ONTAP |
Chiamate API a ONTAP |
DNS |
UDP |
53 |
DNS |
Utilizzato per la risoluzione DNS da parte di Cloud Manager |