Azure Private Linkまたはサービスエンドポイントを使用する
変更を提案
PDF
Cloud Volumes ONTAP は、関連付けられたストレージアカウントへの接続にAzure Private Linkを使用します。必要に応じて、Azure Private Linkを無効にし、サービスエンドポイントを使用することができます。
概要
BlueXPでは、Cloud Volumes ONTAP とそれに関連付けられたストレージアカウント間の接続用にAzure Private Linkがデフォルトで有効になっています。Azure Private Linkは、Azureのエンドポイント間の接続を保護し、パフォーマンスを向上させます。
必要に応じて、Azureプライベートリンクの代わりにサービスエンドポイントを使用するようにCloud Volumes ONTAP を設定できます。
どちらの構成でも、BlueXPは常にCloud Volumes ONTAP とストレージアカウント間の接続に対するネットワークアクセスを制限します。ネットワークアクセスは、Cloud Volumes ONTAP が導入されているVNetおよびコネクタが導入されているVNetに限定されます。
代わりにAzure Private Linkを無効にし、サービスエンドポイントを使用してください
ビジネスで必要な場合は、BlueXPの設定を変更して、Azureプライベートリンクの代わりにサービスエンドポイントを使用するようにCloud Volumes ONTAP を設定できます。この設定を変更すると、新しく作成した環境 Cloud Volumes ONTAP システムに変更が適用されます。サービスエンドポイントは、でのみサポートされます "Azureリージョンペア" コネクタとCloud Volumes ONTAP VNetの間。
コネクタは、管理対象の Cloud Volumes ONTAP システムまたはにある Azure リージョンと同じ Azure リージョンに導入する必要があります "Azure リージョンペア" Cloud Volumes ONTAP システム用。
-
BlueXPコンソールの右上にある[設定]アイコンをクリックし、*[ Cloud Volumes ONTAP設定]*を選択します。
-
[Azure ] で、 [* Azure プライベートリンクを使用する *] をクリックします。
-
Cloud Volumes ONTAP とストレージアカウント間のプライベートリンク接続 * の選択を解除します。
-
[ 保存( Save ) ] をクリックします。
Azure Private Linksを無効にし、コネクタがプロキシサーバーを使用している場合は、ダイレクトAPIトラフィックを有効にする必要があります。
Azureプライベートリンクを使用する
ほとんどの場合、Cloud Volumes ONTAP でAzureプライベートリンクを設定するために必要な作業はありません。BlueXPはAzureプライベートリンクを管理しています。ただし、既存のAzureプライベートDNSゾーンを使用する場合は、構成ファイルを編集する必要があります。
カスタムDNSの要件
必要に応じて、カスタムDNSを使用する場合は、カスタムDNSサーバからAzureプライベートDNSゾーンに対する条件付きフォワーダを作成する必要があります。詳細については、を参照してください "DNSフォワーダを使用するAzureのドキュメント"。
プライベートリンク接続の仕組み
BlueXPがAzureにCloud Volumes ONTAP を導入すると、リソースグループにプライベートエンドポイントが作成されます。プライベートエンドポイントは、Cloud Volumes ONTAP のストレージアカウントに関連付けられます。その結果、 Cloud Volumes ONTAP ストレージへのアクセスは、 Microsoft バックボーンネットワークを経由します。
VNet へのプライベート VPN 接続または ExpressRoute 接続を使用する場合、クライアントが Cloud Volumes ONTAP と同じ VNet 内、ピア VNet 内、またはオンプレミスネットワーク内にある場合、クライアントアクセスはプライベートリンクを経由します。
次の例は、同じ VNet 内およびプライベート VPN 接続または ExpressRoute 接続が確立されたオンプレミスネットワークから、プライベートリンクを介したクライアントアクセスを示しています。
|
コネクタシステムとCloud Volumes ONTAP システムが異なるVNetに導入されている場合は、コネクタが導入されているVNetとCloud Volumes ONTAP システムが導入されているVNet間にVNetピアリングを設定する必要があります。 |
AzureプライベートDNSの詳細をBlueXPに提供します
を使用する場合 "Azure プライベート DNS"では、各コネクタの構成ファイルを変更する必要があります。それ以外の場合、Cloud Volumes ONTAP とそれに関連付けられたストレージアカウント間のAzure Private Link接続を有効にすることはできません。
DNS 名は Azure DNS の命名規則と一致している必要があります 要件 "Azure のドキュメントを参照"。
-
コネクタホストに SSH 接続してログインします。
-
次のディレクトリに移動します。 /opt/application/NetApp/cloudmanager/docx_occm/data
-
「user-private-dns-zone-settings」パラメータに次のキーワードと値のペアを追加して、app.confを編集します。
"user-private-dns-zone-settings" : { "resource-group" : "<resource group name of the DNS zone>", "subscription" : "<subscription ID>", "use-existing" : true, "create-private-dns-zone-link" : true }パラメータは、「system-id」と同じレベルで入力する必要があります。
"system-id" : "<system ID>", "user-private-dns-zone-settings" : {subscriptionKeywordは、プライベートDNSゾーンがコネクタとは異なるサブスクリプションに存在する場合にのみ必要です。
-
ファイルを保存し、コネクタからログオフします。
再起動は必要ありません。
障害発生時のロールバックを有効にする
BlueXPが特定のアクションの一部としてAzure Private Linkを作成できない場合、Azure Private Link接続なしで処理を完了します。このエラーは、新しい作業環境(シングルノードまたは HA ペア)の作成時、または HA ペアで次の操作が行われた場合に発生します。新しいアグリゲートの作成、既存のアグリゲートへのディスクの追加、 32TiB を超える場合の新しいストレージアカウントの作成。
このデフォルトの動作は、BlueXPでAzure Private Linkの作成に失敗した場合にロールバックを有効にすることで変更できます。これにより、企業のセキュリティ規制を完全に遵守することができます。
ロールバックを有効にすると、アクションが停止し、アクションの一部として作成されたすべてのリソースがロールバックされます。
ロールバックは、APIまたはapp.confファイルを更新することで有効にできます。
-
APIを使用したロールバックを有効にします。*
-
次の要求本文で 'put/occm/config'API 呼び出しを使用します
{ "rollbackOnAzurePrivateLinkFailure": true }-
app.confを更新してロールバックを有効にします*
-
-
コネクタホストに SSH 接続してログインします。
-
次のディレクトリに移動します。 /opt/application/NetApp/cloudmanager/docx_occm/data
-
次のパラメータと値を追加してapp.confを編集します。
"rollback-on-private-link-failure": true . ファイルを保存し、コネクタからログオフします。
再起動は必要ありません。