Requisiti di rete per Cloud Volumes ONTAP in Azure
Configura la tua rete Azure in modo che i sistemi Cloud Volumes ONTAP possano funzionare correttamente.
Requisiti per Cloud Volumes ONTAP
I seguenti requisiti di rete devono essere soddisfatti in Azure.
Accesso a Internet in uscita
I nodi Cloud Volumes ONTAP richiedono l'accesso a Internet in uscita per NetApp AutoSupport, che monitora in modo proattivo lo stato di salute del sistema e invia messaggi al supporto tecnico NetApp.
I criteri di routing e firewall devono consentire il traffico HTTP/HTTPS ai seguenti endpoint in modo che Cloud Volumes ONTAP possa inviare messaggi AutoSupport:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
Se non è disponibile una connessione Internet in uscita per l'invio di messaggi AutoSupport, BlueXP configura automaticamente i sistemi Cloud Volumes ONTAP in modo che utilizzino il connettore come server proxy. L'unico requisito è garantire che il gruppo di sicurezza del connettore consenta connessioni inbound sulla porta 3128. Dopo aver implementato il connettore, aprire questa porta.
Se sono state definite rigide regole in uscita per Cloud Volumes ONTAP, è necessario anche assicurarsi che il gruppo di sicurezza Cloud Volumes ONTAP consenta connessioni in uscita sulla porta 3128.
Dopo aver verificato che l'accesso a Internet in uscita è disponibile, è possibile testare AutoSupport per assicurarsi che sia in grado di inviare messaggi. Per istruzioni, fare riferimento a. "Documenti ONTAP: Configurazione di AutoSupport".
Se BlueXP notifica che non è possibile inviare messaggi AutoSupport, "Risolvere i problemi della configurazione AutoSupport".
Indirizzi IP
BlueXP assegna automaticamente il numero richiesto di indirizzi IP privati a Cloud Volumes ONTAP in Azure. È necessario assicurarsi che la rete disponga di un numero sufficiente di indirizzi IP privati.
Il numero di LIF allocati da BlueXP per Cloud Volumes ONTAP dipende dalla distribuzione di un sistema a nodo singolo o di una coppia ha. LIF è un indirizzo IP associato a una porta fisica. Per strumenti di gestione come SnapCenter è necessaria una LIF di gestione SVM.
|
Un LIF iSCSI fornisce l'accesso client sul protocollo iSCSI e viene utilizzato dal sistema per altri importanti flussi di lavoro di rete. Questi LIF sono obbligatori e non devono essere cancellati. |
Indirizzi IP per un sistema a nodo singolo
BlueXP assegna 5 o 6 indirizzi IP a un sistema a nodo singolo:
-
IP di gestione del cluster
-
IP di gestione dei nodi
-
IP di intercluster per SnapMirror
-
IP NFS/CIFS
-
IP iSCSI
L'IP iSCSI fornisce l'accesso del client sul protocollo iSCSI. Viene inoltre utilizzato dal sistema per altri importanti flussi di lavoro di rete. Questa LIF è obbligatoria e non deve essere eliminata. -
Gestione SVM (opzionale - non configurata per impostazione predefinita)
Indirizzi IP per coppie ha
BlueXP assegna gli indirizzi IP a 4 NIC (per nodo) durante l'implementazione.
Si noti che BlueXP crea una LIF di gestione SVM sulle coppie ha, ma non sui sistemi a nodo singolo in Azure.
NIC0
-
IP di gestione dei nodi
-
Intercluster IP
-
IP iSCSI
L'IP iSCSI fornisce l'accesso del client sul protocollo iSCSI. Viene inoltre utilizzato dal sistema per altri importanti flussi di lavoro di rete. Questa LIF è obbligatoria e non deve essere eliminata.
NIC1
-
IP della rete del cluster
NIC2
-
Cluster Interconnect IP (IC ha)
NIC3
-
IP NIC Pageblob (accesso al disco)
|
NIC3 è applicabile solo alle implementazioni ha che utilizzano lo storage page blob. |
Gli indirizzi IP sopra indicati non migrano in caso di eventi di failover.
Inoltre, 4 IP front-end (FIPS) sono configurati per la migrazione in caso di eventi di failover. Questi IP di frontend risiedono nel bilanciamento del carico.
-
IP di gestione del cluster
-
IP dati NodeA (NFS/CIFS)
-
IP dati NodeB (NFS/CIFS)
-
IP di gestione SVM
Connessioni sicure ai servizi Azure
Per impostazione predefinita, BlueXP attiva un collegamento privato Azure per le connessioni tra gli account di storage blob di pagina Cloud Volumes ONTAP e Azure.
Nella maggior parte dei casi, non c'è nulla da fare: BlueXP gestisce Azure Private link per te. Tuttavia, se si utilizza Azure Private DNS, sarà necessario modificare un file di configurazione. È inoltre necessario conoscere un requisito per la posizione del connettore in Azure.
È inoltre possibile disattivare la connessione Private link, se richiesto dalle esigenze aziendali. Se si disattiva il collegamento, BlueXP configura Cloud Volumes ONTAP in modo che utilizzi un endpoint del servizio.
Connessioni ad altri sistemi ONTAP
Per replicare i dati tra un sistema Cloud Volumes ONTAP in Azure e i sistemi ONTAP in altre reti, è necessario disporre di una connessione VPN tra Azure VNET e l'altra rete, ad esempio la rete aziendale.
Per istruzioni, fare riferimento a. "Documentazione di Microsoft Azure: Crea una connessione Site-to-Site nel portale Azure".
Porta per l'interconnessione ha
Una coppia Cloud Volumes ONTAP ha include un'interconnessione ha, che consente a ciascun nodo di controllare continuamente se il proprio partner funziona e di eseguire il mirroring dei dati di log per la memoria non volatile dell'altro. L'interconnessione ha utilizza la porta TCP 10006 per la comunicazione.
Per impostazione predefinita, la comunicazione tra le LIF di interconnessione ha è aperta e non esistono regole di gruppo di sicurezza per questa porta. Tuttavia, se si crea un firewall tra le LIF di interconnessione ha, è necessario assicurarsi che il traffico TCP sia aperto per la porta 10006 in modo che la coppia ha possa funzionare correttamente.
Solo una coppia ha in un gruppo di risorse Azure
È necessario utilizzare un gruppo di risorse dedicato per ogni coppia di Cloud Volumes ONTAP ha implementata in Azure. In un gruppo di risorse è supportata una sola coppia ha.
BlueXP presenta problemi di connessione se si tenta di implementare una seconda coppia Cloud Volumes ONTAP ha in un gruppo di risorse Azure.
Regole del gruppo di sicurezza
BlueXP crea gruppi di sicurezza Azure che includono le regole in entrata e in uscita di cui Cloud Volumes ONTAP ha bisogno per funzionare correttamente. È possibile fare riferimento alle porte a scopo di test o se si preferisce utilizzare i propri gruppi di protezione.
Il gruppo di sicurezza per Cloud Volumes ONTAP richiede regole sia in entrata che in uscita.
|
Cerchi informazioni sul connettore? "Visualizzare le regole del gruppo di protezione per il connettore" |
Regole in entrata per sistemi a nodo singolo
Quando si crea un ambiente di lavoro e si sceglie un gruppo di protezione predefinito, è possibile scegliere di consentire il traffico all'interno di una delle seguenti opzioni:
-
Selezionato solo VNET: L'origine del traffico in entrata è l'intervallo di sottorete di VNET per il sistema Cloud Volumes ONTAP e l'intervallo di sottorete di VNET in cui si trova il connettore. Questa è l'opzione consigliata.
-
Tutti i VNets: L'origine del traffico in entrata è l'intervallo IP 0.0.0.0/0.
Priorità e nome | Porta e protocollo | Origine e destinazione | Descrizione |
---|---|---|---|
1000 |
22 |
Qualsiasi a qualsiasi |
Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
1001 |
80 |
Qualsiasi a qualsiasi |
Accesso HTTP alla console Web di System Manager utilizzando l'indirizzo IP della LIF di gestione del cluster |
1002 |
111 |
Qualsiasi a qualsiasi |
Chiamata a procedura remota per NFS |
1003 |
111 |
Qualsiasi a qualsiasi |
Chiamata a procedura remota per NFS |
1004 |
139 |
Qualsiasi a qualsiasi |
Sessione del servizio NetBIOS per CIFS |
1005 |
161-162 |
Qualsiasi a qualsiasi |
Protocollo di gestione di rete semplice |
1006 |
161-162 |
Qualsiasi a qualsiasi |
Protocollo di gestione di rete semplice |
1007 |
443 |
Qualsiasi a qualsiasi |
Connettività con il connettore e accesso HTTPS alla console Web di System Manager utilizzando l'indirizzo IP della LIF di gestione del cluster |
1008 |
445 |
Qualsiasi a qualsiasi |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
1009 |
635 |
Qualsiasi a qualsiasi |
Montaggio NFS |
1010 |
635 |
Qualsiasi a qualsiasi |
Montaggio NFS |
1011 |
749 |
Qualsiasi a qualsiasi |
Kerberos |
1012 |
2049 |
Qualsiasi a qualsiasi |
Daemon del server NFS |
1013 |
2049 |
Qualsiasi a qualsiasi |
Daemon del server NFS |
1014 |
3260 |
Qualsiasi a qualsiasi |
Accesso iSCSI tramite LIF dei dati iSCSI |
1015 |
4045-4046 |
Qualsiasi a qualsiasi |
NFS lock daemon e network status monitor |
1016 |
4045-4046 |
Qualsiasi a qualsiasi |
NFS lock daemon e network status monitor |
1017 |
10000 |
Qualsiasi a qualsiasi |
Backup con NDMP |
1018 |
11104-11105 |
Qualsiasi a qualsiasi |
Trasferimento dei dati SnapMirror |
3000 |
Qualsiasi porta |
Qualsiasi a qualsiasi |
Blocca tutto il traffico TCP in entrata |
3001 |
Qualsiasi porta |
Qualsiasi a qualsiasi |
Bloccare tutto l'altro traffico UDP in entrata |
65000 |
Qualsiasi porta |
Da VirtualNetwork a VirtualNetwork |
Traffico in entrata dall'interno di VNET |
65001 |
Qualsiasi porta |
AzureLoadBalancer a qualsiasi |
Traffico di dati dal bilanciamento del carico standard di Azure |
65500 |
Qualsiasi porta |
Qualsiasi a qualsiasi |
Bloccare tutto il traffico in entrata |
Regole in entrata per i sistemi ha
Quando si crea un ambiente di lavoro e si sceglie un gruppo di protezione predefinito, è possibile scegliere di consentire il traffico all'interno di una delle seguenti opzioni:
-
Selezionato solo VNET: L'origine del traffico in entrata è l'intervallo di sottorete di VNET per il sistema Cloud Volumes ONTAP e l'intervallo di sottorete di VNET in cui si trova il connettore. Questa è l'opzione consigliata.
-
Tutti i VNets: L'origine del traffico in entrata è l'intervallo IP 0.0.0.0/0.
|
I sistemi HA hanno meno regole in entrata rispetto ai sistemi a nodo singolo perché il traffico dati in entrata passa attraverso il bilanciamento del carico standard di Azure. Per questo motivo, il traffico proveniente dal bilanciamento del carico deve essere aperto, come mostrato nella regola "AllowAzureLoadBalancerInBound". |
Priorità e nome | Porta e protocollo | Origine e destinazione | Descrizione |
---|---|---|---|
100 |
443 |
Qualsiasi a qualsiasi |
Connettività con il connettore e accesso HTTPS alla console Web di System Manager utilizzando l'indirizzo IP della LIF di gestione del cluster |
101 |
111 |
Qualsiasi a qualsiasi |
Chiamata a procedura remota per NFS |
102 |
2049 |
Qualsiasi a qualsiasi |
Daemon del server NFS |
111 |
22 |
Qualsiasi a qualsiasi |
Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
121 |
53 |
Qualsiasi a qualsiasi |
DNS e CIFS |
65000 |
Qualsiasi porta |
Da VirtualNetwork a VirtualNetwork |
Traffico in entrata dall'interno di VNET |
65001 |
Qualsiasi porta |
AzureLoadBalancer a qualsiasi |
Traffico di dati dal bilanciamento del carico standard di Azure |
65500 |
Qualsiasi porta |
Qualsiasi a qualsiasi |
Bloccare tutto il traffico in entrata |
Regole in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP include le seguenti regole in uscita.
Porta | Protocollo | Scopo |
---|---|---|
Tutto |
Tutti i TCP |
Tutto il traffico in uscita |
Tutto |
Tutti gli UDP |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per le comunicazioni in uscita da Cloud Volumes ONTAP.
|
L'origine è l'interfaccia (indirizzo IP) del sistema Cloud Volumes ONTAP. |
Servizio | Porta | Protocollo | Origine | Destinazione | Scopo |
---|---|---|---|---|---|
Active Directory |
88 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
137 |
UDP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
138 |
UDP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
139 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
389 |
TCP E UDP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
LDAP |
|
445 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
464 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
464 |
UDP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
749 |
TCP |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set Password (RPCSEC_GSS) |
|
88 |
TCP |
Data LIF (NFS, CIFS, iSCSI) |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
|
137 |
UDP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
138 |
UDP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
139 |
TCP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
389 |
TCP E UDP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
LDAP |
|
445 |
TCP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
464 |
TCP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
464 |
UDP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
749 |
TCP |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
LIF di gestione dei nodi |
support.netapp.com |
AutoSupport (HTTPS è l'impostazione predefinita) |
HTTP |
80 |
LIF di gestione dei nodi |
support.netapp.com |
AutoSupport (solo se il protocollo di trasporto viene modificato da HTTPS a HTTP) |
|
TCP |
3128 |
LIF di gestione dei nodi |
Connettore |
Invio di messaggi AutoSupport tramite un server proxy sul connettore, se non è disponibile una connessione Internet in uscita |
|
Backup della configurazione |
HTTP |
80 |
LIF di gestione dei nodi |
\Http://<connector-IP-address>/occm/offboxconfig |
Inviare i backup della configurazione al connettore. "Informazioni sui file di backup della configurazione". |
DHCP |
68 |
UDP |
LIF di gestione dei nodi |
DHCP |
Client DHCP per la prima installazione |
DHCPS |
67 |
UDP |
LIF di gestione dei nodi |
DHCP |
DHCP server (Server DHCP) |
DNS |
53 |
UDP |
LIF di gestione dei nodi e LIF dei dati (NFS, CIFS) |
DNS |
DNS |
NDMP |
18600–18699 |
TCP |
LIF di gestione dei nodi |
Server di destinazione |
Copia NDMP |
SMTP |
25 |
TCP |
LIF di gestione dei nodi |
Server di posta |
Gli avvisi SMTP possono essere utilizzati per AutoSupport |
SNMP |
161 |
TCP |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
161 |
UDP |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
162 |
TCP |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
162 |
UDP |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
SnapMirror |
11104 |
TCP |
LIF intercluster |
ONTAP Intercluster LIF |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
11105 |
TCP |
LIF intercluster |
ONTAP Intercluster LIF |
Trasferimento dei dati SnapMirror |
|
Syslog |
514 |
UDP |
LIF di gestione dei nodi |
Server syslog |
Messaggi di inoltro syslog |
Requisiti per il connettore
Se non hai ancora creato un connettore, dovresti rivedere anche i requisiti di rete per il connettore.