Configurare la rete AWS per Cloud Volumes ONTAP
Suggerisci modifiche
PDF
La console NetApp gestisce la configurazione dei componenti di rete per Cloud Volumes ONTAP, come indirizzi IP, maschere di rete e percorsi. È necessario assicurarsi che l'accesso a Internet in uscita sia disponibile, che siano disponibili sufficienti indirizzi IP privati, che siano attive le connessioni giuste e altro ancora.
Requisiti generali
Assicurati di aver soddisfatto i seguenti requisiti in AWS.
Accesso Internet in uscita per i nodi Cloud Volumes ONTAP
I sistemi Cloud Volumes ONTAP necessitano di accesso a Internet in uscita per accedere agli endpoint esterni per varie funzioni. Cloud Volumes ONTAP non può funzionare correttamente se questi endpoint sono bloccati in ambienti con requisiti di sicurezza rigorosi.
L'agente della console contatta diversi endpoint per le operazioni quotidiane. Per informazioni sugli endpoint utilizzati, fare riferimento a "Visualizza gli endpoint contattati dall'agente della console" E "Preparare la rete per l'utilizzo della console" .
Endpoint Cloud Volumes ONTAP
Cloud Volumes ONTAP utilizza questi endpoint per comunicare con vari servizi.
| Punti finali | Applicabile per | Scopo | Modalità di distribuzione | Impatto se l'endpoint non è disponibile |
|---|---|---|---|---|
Autenticazione |
Utilizzato per l'autenticazione nella Console. |
Modalità standard e limitata. |
L'autenticazione dell'utente fallisce e i seguenti servizi rimangono non disponibili:
|
|
Locazione |
Utilizzato per recuperare la risorsa Cloud Volumes ONTAP dalla Console per autorizzare risorse e utenti. |
Modalità standard e limitata. |
Le risorse Cloud Volumes ONTAP e gli utenti non sono autorizzati. |
|
\ https://mysupport.netapp.com/aods/asupmessage \ https://mysupport.netapp.com/asupprod/post/1.0/postAsup |
AutoSupport |
Utilizzato per inviare i dati di telemetria AutoSupport al supporto NetApp . |
Modalità standard e limitata. |
Le informazioni AutoSupport non vengono recapitate. |
L'endpoint commerciale esatto per il servizio AWS (con suffisso |
|
Comunicazione con i servizi AWS. |
Modalità standard e privata. |
Cloud Volumes ONTAP non è in grado di comunicare con il servizio AWS per eseguire operazioni specifiche in AWS. |
L'endpoint governativo esatto per il servizio AWS dipende dalla regione AWS utilizzata. Gli endpoint sono suffissi con |
|
Comunicazione con i servizi AWS. |
Modalità limitata. |
Cloud Volumes ONTAP non è in grado di comunicare con il servizio AWS per eseguire operazioni specifiche in AWS. |
Accesso Internet in uscita per il mediatore HA
L'istanza del mediatore HA deve disporre di una connessione in uscita al servizio AWS EC2 in modo da poter supportare il failover dello storage. Per fornire la connessione, è possibile aggiungere un indirizzo IP pubblico, specificare un server proxy o utilizzare un'opzione manuale.
L'opzione manuale può essere un gateway NAT o un endpoint VPC di interfaccia dalla subnet di destinazione al servizio AWS EC2. Per i dettagli sugli endpoint VPC, fare riferimento a "Documentazione AWS: Endpoint VPC dell'interfaccia (AWS PrivateLink)" .
Configurazione del proxy di rete dell'agente NetApp Console
È possibile utilizzare la configurazione dei server proxy dell'agente NetApp Console per abilitare l'accesso a Internet in uscita da Cloud Volumes ONTAP. La console supporta due tipi di proxy:
-
Proxy esplicito: il traffico in uscita da Cloud Volumes ONTAP utilizza l'indirizzo HTTP del server proxy specificato durante la configurazione del proxy dell'agente della console. L'amministratore potrebbe anche aver configurato le credenziali utente e i certificati CA radice per un'autenticazione aggiuntiva. Se è disponibile un certificato CA radice per il proxy esplicito, assicurarsi di ottenere e caricare lo stesso certificato sul sistema Cloud Volumes ONTAP utilizzando "ONTAP CLI: installazione del certificato di sicurezza" comando.
-
Proxy trasparente: la rete è configurata per instradare automaticamente il traffico in uscita da Cloud Volumes ONTAP tramite il proxy per l'agente della console. Quando si configura un proxy trasparente, l'amministratore deve fornire solo un certificato CA radice per la connettività da Cloud Volumes ONTAP, non l'indirizzo HTTP del server proxy. Assicurati di ottenere e caricare lo stesso certificato CA radice sul tuo sistema Cloud Volumes ONTAP utilizzando "ONTAP CLI: installazione del certificato di sicurezza" comando.
Per informazioni sulla configurazione dei server proxy, fare riferimento a "Configurare l'agente della console per utilizzare un server proxy" .
Indirizzi IP privati
La console assegna automaticamente il numero richiesto di indirizzi IP privati a Cloud Volumes ONTAP. È necessario assicurarsi che la rete disponga di un numero sufficiente di indirizzi IP privati.
Il numero di LIF che la Console alloca per Cloud Volumes ONTAP varia a seconda che si distribuisca un sistema a nodo singolo o una coppia HA. Un LIF è un indirizzo IP associato a una porta fisica.
Indirizzi IP per un sistema a nodo singolo
La console assegna 6 indirizzi IP a un singolo sistema di nodi.
La tabella seguente fornisce dettagli sui LIF associati a ciascun indirizzo IP privato.
| VITA | Scopo |
|---|---|
Gestione dei cluster |
Gestione amministrativa dell'intero cluster (coppia HA). |
Gestione dei nodi |
Gestione amministrativa di un nodo. |
Intercluster |
Comunicazione, backup e replica tra cluster. |
Dati NAS |
Accesso client tramite protocolli NAS. |
dati iSCSI |
Accesso client tramite protocollo iSCSI. Utilizzato dal sistema anche per altri importanti flussi di lavoro di rete. Questo LIF è obbligatorio e non deve essere eliminato. |
Gestione delle VM di archiviazione |
Un LIF di gestione delle VM di archiviazione viene utilizzato con strumenti di gestione come SnapCenter. |
Indirizzi IP per coppie HA
Le coppie HA richiedono più indirizzi IP rispetto a un sistema a nodo singolo. Questi indirizzi IP sono distribuiti su diverse interfacce Ethernet, come mostrato nell'immagine seguente:
Il numero di indirizzi IP privati richiesti per una coppia HA dipende dal modello di distribuzione scelto. Una coppia HA distribuita in una singola zona di disponibilità (AZ) AWS richiede 15 indirizzi IP privati, mentre una coppia HA distribuita in più AZ richiede 13 indirizzi IP privati.
Le tabelle seguenti forniscono dettagli sui LIF associati a ciascun indirizzo IP privato.
| VITA | Interfaccia | Nodo | Scopo |
|---|---|---|---|
Gestione dei cluster |
eth0 |
nodo 1 |
Gestione amministrativa dell'intero cluster (coppia HA). |
Gestione dei nodi |
eth0 |
nodo 1 e nodo 2 |
Gestione amministrativa di un nodo. |
Intercluster |
eth0 |
nodo 1 e nodo 2 |
Comunicazione, backup e replica tra cluster. |
Dati NAS |
eth0 |
nodo 1 |
Accesso client tramite protocolli NAS. |
dati iSCSI |
eth0 |
nodo 1 e nodo 2 |
Accesso client tramite protocollo iSCSI. Utilizzato dal sistema anche per altri importanti flussi di lavoro di rete. Questi LIF sono obbligatori e non devono essere eliminati. |
Connettività del cluster |
eth1 |
nodo 1 e nodo 2 |
Consente ai nodi di comunicare tra loro e di spostare i dati all'interno del cluster. |
Connettività HA |
eth2 |
nodo 1 e nodo 2 |
Comunicazione tra i due nodi in caso di failover. |
Traffico iSCSI RSM |
eth3 |
nodo 1 e nodo 2 |
Traffico iSCSI RAID SyncMirror , nonché comunicazione tra i due nodi Cloud Volumes ONTAP e il mediatore. |
Mediatore |
eth0 |
Mediatore |
Un canale di comunicazione tra i nodi e il mediatore per facilitare i processi di acquisizione e restituzione dello storage. |
| VITA | Interfaccia | Nodo | Scopo |
|---|---|---|---|
Gestione dei nodi |
eth0 |
nodo 1 e nodo 2 |
Gestione amministrativa di un nodo. |
Intercluster |
eth0 |
nodo 1 e nodo 2 |
Comunicazione, backup e replica tra cluster. |
dati iSCSI |
eth0 |
nodo 1 e nodo 2 |
Accesso client tramite protocollo iSCSI. Questi LIF gestiscono anche la migrazione degli indirizzi IP flottanti tra i nodi. Questi LIF sono obbligatori e non devono essere eliminati. |
Connettività del cluster |
eth1 |
nodo 1 e nodo 2 |
Consente ai nodi di comunicare tra loro e di spostare i dati all'interno del cluster. |
Connettività HA |
eth2 |
nodo 1 e nodo 2 |
Comunicazione tra i due nodi in caso di failover. |
Traffico iSCSI RSM |
eth3 |
nodo 1 e nodo 2 |
Traffico iSCSI RAID SyncMirror , nonché comunicazione tra i due nodi Cloud Volumes ONTAP e il mediatore. |
Mediatore |
eth0 |
Mediatore |
Un canale di comunicazione tra i nodi e il mediatore per facilitare i processi di acquisizione e restituzione dello storage. |
|
Quando distribuiti in più zone di disponibilità, diversi LIF sono associati a"indirizzi IP flottanti" , che non vengono conteggiati nel limite IP privato di AWS. |
Gruppi di sicurezza
Non è necessario creare gruppi di sicurezza perché la Console lo fa per te. Se devi usare il tuo, fai riferimento a"Regole del gruppo di sicurezza" .
|
|
Cerchi informazioni sull'agente Console? "Visualizza le regole del gruppo di sicurezza per l'agente della console" |
Connessione per la suddivisione in livelli dei dati
Se si desidera utilizzare EBS come livello di prestazioni e AWS S3 come livello di capacità, è necessario assicurarsi che Cloud Volumes ONTAP disponga di una connessione a S3. Il modo migliore per fornire tale connessione è creare un endpoint VPC per il servizio S3. Per le istruzioni, fare riferimento al "Documentazione AWS: creazione di un endpoint gateway" .
Quando crei l'endpoint VPC, assicurati di selezionare la regione, la VPC e la tabella di routing che corrispondono all'istanza Cloud Volumes ONTAP . È inoltre necessario modificare il gruppo di sicurezza per aggiungere una regola HTTPS in uscita che consenta il traffico verso l'endpoint S3. In caso contrario, Cloud Volumes ONTAP non potrà connettersi al servizio S3.
Se riscontri problemi, fai riferimento a "AWS Support Knowledge Center: perché non riesco a connettermi a un bucket S3 tramite un endpoint VPC gateway?"
Collegamenti ai sistemi ONTAP
Per replicare i dati tra un sistema Cloud Volumes ONTAP in AWS e sistemi ONTAP in altre reti, è necessario disporre di una connessione VPN tra AWS VPC e l'altra rete, ad esempio la rete aziendale. Per le istruzioni, fare riferimento al "Documentazione AWS: configurazione di una connessione VPN AWS" .
DNS e Active Directory per CIFS
Se si desidera eseguire il provisioning di storage CIFS, è necessario configurare DNS e Active Directory in AWS oppure estendere la configurazione locale ad AWS.
Il server DNS deve fornire servizi di risoluzione dei nomi per l'ambiente Active Directory. È possibile configurare i set di opzioni DHCP in modo che utilizzino il server DNS EC2 predefinito, che non deve essere il server DNS utilizzato dall'ambiente Active Directory.
Per le istruzioni, fare riferimento al "Documentazione AWS: Servizi di dominio Active Directory sul cloud AWS: distribuzione di riferimento rapido" .
Condivisione VPC
A partire dalla versione 9.11.1, le coppie Cloud Volumes ONTAP HA sono supportate in AWS con condivisione VPC. La condivisione VPC consente alla tua organizzazione di condividere subnet con altri account AWS. Per utilizzare questa configurazione, è necessario impostare l'ambiente AWS e quindi distribuire la coppia HA tramite l'API.
Requisiti per coppie HA in più AZ
Ulteriori requisiti di rete AWS si applicano alle configurazioni Cloud Volumes ONTAP HA che utilizzano più zone di disponibilità (AZ). È opportuno esaminare questi requisiti prima di avviare una coppia HA, poiché è necessario immettere i dettagli di rete nella Console quando si aggiunge un sistema Cloud Volumes ONTAP .
Per comprendere come funzionano le coppie HA, fare riferimento a"Coppie ad alta disponibilità" .
- Zone di disponibilità
-
Questo modello di distribuzione HA utilizza più AZ per garantire un'elevata disponibilità dei dati. È necessario utilizzare una AZ dedicata per ogni istanza Cloud Volumes ONTAP e per l'istanza mediatrice, che fornisce un canale di comunicazione tra la coppia HA.
In ogni zona di disponibilità dovrebbe essere disponibile una subnet.
- Indirizzi IP flottanti per dati NAS e gestione cluster/SVM
-
Le configurazioni HA in più AZ utilizzano indirizzi IP mobili che migrano tra i nodi in caso di guasti. Non sono accessibili in modo nativo dall'esterno della VPC, a meno che tu non"configurare un gateway di transito AWS" .
Un indirizzo IP mobile è per la gestione del cluster, uno è per i dati NFS/CIFS sul nodo 1 e uno è per i dati NFS/CIFS sul nodo 2. Un quarto indirizzo IP mobile per la gestione SVM è facoltativo.
Se si utilizza SnapDrive per Windows o SnapCenter con la coppia HA, è necessario un indirizzo IP mobile per la gestione SVM LIF. Quando si aggiunge un sistema Cloud Volumes ONTAP HA, è necessario immettere gli indirizzi IP mobili. La console assegna gli indirizzi IP alla coppia HA quando avvia il sistema.
Gli indirizzi IP mobili devono essere esterni ai blocchi CIDR per tutte le VPC nella regione AWS in cui si distribuisce la configurazione HA. Considera gli indirizzi IP mobili come una subnet logica esterna alle VPC nella tua regione.
L'esempio seguente mostra la relazione tra indirizzi IP mobili e VPC in una regione AWS. Sebbene gli indirizzi IP mobili siano al di fuori dei blocchi CIDR per tutte le VPC, sono instradabili verso le subnet tramite tabelle di routing.
La console crea automaticamente indirizzi IP statici per l'accesso iSCSI e per l'accesso NAS da client esterni alla VPC. Per questi tipi di indirizzi IP non è necessario soddisfare alcun requisito. - Gateway di transito per abilitare l'accesso IP flottante dall'esterno della VPC
-
Se necessario,"configurare un gateway di transito AWS" per consentire l'accesso agli indirizzi IP mobili di una coppia HA dall'esterno della VPC in cui risiede la coppia HA.
- Tabelle di routing
-
Dopo aver specificato gli indirizzi IP mobili, ti verrà chiesto di selezionare le tabelle di routing che devono includere i percorsi verso gli indirizzi IP mobili. Ciò consente al client di accedere alla coppia HA.
Se si dispone di una sola tabella di routing per le subnet nella VPC (la tabella di routing principale), la Console aggiunge automaticamente gli indirizzi IP mobili a tale tabella di routing. Se si dispone di più di una tabella di routing, è molto importante selezionare le tabelle di routing corrette quando si avvia la coppia HA. In caso contrario, alcuni client potrebbero non avere accesso a Cloud Volumes ONTAP.
Ad esempio, potresti avere due subnet associate a tabelle di routing diverse. Se si seleziona la tabella di routing A, ma non la tabella di routing B, i client nella subnet associata alla tabella di routing A possono accedere alla coppia HA, ma i client nella subnet associata alla tabella di routing B non possono.
Per ulteriori informazioni sulle tabelle di routing, fare riferimento a "Documentazione AWS: tabelle di routing" .
- Connessione agli strumenti di gestione NetApp
-
Per utilizzare gli strumenti di gestione NetApp con configurazioni HA presenti in più AZ, sono disponibili due opzioni di connessione:
-
Distribuire gli strumenti di gestione NetApp in una VPC diversa e"configurare un gateway di transito AWS" . Il gateway consente l'accesso all'indirizzo IP flottante per l'interfaccia di gestione del cluster dall'esterno della VPC.
-
Distribuire gli strumenti di gestione NetApp nella stessa VPC con una configurazione di routing simile a quella dei client NAS.
-
Esempio di configurazione HA
L'immagine seguente illustra i componenti di rete specifici di una coppia HA in più AZ: tre zone di disponibilità, tre subnet, indirizzi IP mobili e una tabella di routing.
Requisiti per l'agente della console
Se non hai ancora creato un agente Console, dovresti rivedere i requisiti di rete.