日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Azure の Cloud Volumes ONTAP のネットワーク要件

Cloud Volumes ONTAP システムが適切に動作するように Azure ネットワークをセットアップします。これには、コネクタと Cloud Volumes ONTAP のネットワークも含まれます。

Cloud Volumes ONTAP の要件

Azure では、次のネットワーク要件を満たしている必要があります。

アウトバウンドインターネットアクセス

Cloud Volumes ONTAP では、ネットアップ AutoSupport にメッセージを送信するためにアウトバウンドインターネットアクセスが必要です。ネットアップ AutoSupport は、ストレージの健全性をプロアクティブに監視します。

Cloud Volumes ONTAP が AutoSupport メッセージを送信できるように、ルーティングポリシーとファイアウォールポリシーで次のエンドポイントへの HTTP / HTTPS トラフィックを許可する必要があります。

IP アドレス

Cloud Manager が Azure の Cloud Volumes ONTAP に次の数の IP アドレスを割り当てます。

  • シングルノード: 5 つの IP アドレス

  • HA ペア: IP アドレス × 16

Cloud Manager では、 HA ペア上に SVM 管理 LIF が作成されますが、 Azure のシングルノードシステム上には作成されません。

ヒント LIF は、物理ポートに関連付けられた IP アドレスです。SnapCenter などの管理ツールには、 SVM 管理 LIF が必要です。

Azure サービスへのセキュアな接続

Cloud Manager は、 Cloud Volumes ONTAP がプライベートで Azure サービスに接続できるように、 VNet サービスエンドポイントと Azure プライベートリンクエンドポイントを設定します。

サービスエンドポイント

Cloud Manager を使用すると、 VNet サービスエンドポイントはデータ階層化用に Cloud Volumes ONTAP から Azure Blob ストレージへのセキュアな接続を確立できます。Cloud Volumes ONTAP から Azure サービスへの追加のサービスエンドポイントはサポートされません。

Cloud Manager ポリシーに以下の権限が設定されている場合、 Cloud Manager は VNet サービスエンドポイントを有効にします。

"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",

これらの権限は最新のに含まれています "Cloud Manager ポリシー"

データ階層化の設定の詳細については、を参照してください "コールドデータを低コストのオブジェクトストレージに階層化する"

プライベートエンドポイント

デフォルトでは、 Cloud Manager は Cloud Volumes ONTAP とそれに関連付けられたストレージアカウント間の Azure Private Link 接続を有効にします。プライベートリンクは Azure のエンドポイント間の接続を保護し、パフォーマンスを向上させます。ほとんどの場合、実行する必要はありません。 Cloud Manager は Azure Private Link を管理します。ただし、 Azure プライベート DNS を使用している場合は、構成ファイルを編集する必要があります。必要に応じて、プライベートリンク接続を無効にすることもできます。

他の ONTAP システムへの接続

Azure内のCloud Volumes ONTAP システムと他のネットワーク内のONTAP システム間でデータをレプリケートするには、企業ネットワークなど、Azure VNetとその他のネットワーク間にVPN接続が必要です。

HA インターコネクトのポート

Cloud Volumes ONTAP HA ペアには HA インターコネクトが含まれています。 HA インターコネクトを使用すると、各ノードはパートナーが機能しているかどうかを継続的に確認し、パートナーの不揮発性メモリのログデータをミラーリングできます。HA インターコネクトは、通信に TCP ポート 10006 を使用します。

デフォルトでは、 HA インターコネクト LIF 間の通信は開いており、このポートにはセキュリティグループのルールはありません。ただし、 HA インターコネクト LIF の間にファイアウォールを作成する場合は、 HA ペアが適切に動作するように、ポート 10006 の TCP トラフィックが開いていることを確認する必要があります。

Azure リソースグループには HA ペアが 1 つしかありません

Azure に導入する Cloud Volumes ONTAP HA ペアごとに、 _dedicated_resource グループを使用する必要があります。リソースグループでサポートされる HA ペアは 1 つだけです。

Azure リソースグループに 2 つ目の Cloud Volumes ONTAP HA ペアを導入しようとすると、 Cloud Manager で接続の問題が発生します。

セキュリティグループ

セキュリティグループを作成する必要はありません。セキュリティグループは Cloud Manager で自動的に作成されます。独自のルールを使用する必要がある場合は、以下のセキュリティグループルールを参照してください。

セキュリティグループのルール

Cloud Manager で作成される Azure セキュリティグループには、 Cloud Volumes ONTAP が正常に動作するために必要なインバウンドとアウトバウンドのルールが含まれています。テスト目的でポートを参照したり、独自のセキュリティグループを使用したりする場合に使用します。

Cloud Volumes ONTAP のセキュリティグループには、インバウンドルールとアウトバウンドルールの両方が必要です。

シングルノードシステムのインバウンドルール

次のルールでは、説明で特定の着信トラフィックがブロックされている場合を除き、トラフィックは許可されます。

優先順位と名前 ポートおよびプロトコル ソースとデスティネーションの 2 つです 説明

1000 inbound_ssh

22 TCP

Any から Any

クラスタ管理 LIF またはノード管理 LIF の IP アドレスへの SSH アクセス

1001 INBOUND _http

80 TCP

Any から Any

クラスタ管理 LIF の IP アドレスを使用した System Manager Web コンソールへの HTTP アクセス

1002 INBOUND _111_TCP

111 TCP

Any から Any

NFS のリモートプロシージャコール

1003 INBONED_111_UDP

111 UDP

Any から Any

NFS のリモートプロシージャコール

1004 INBOUND _139

139 TCP

Any から Any

CIFS の NetBIOS サービスセッション

1005 inbound_161-162_TCP

161-162 TCP

Any から Any

簡易ネットワーク管理プロトコル

1006 INBOUND _161-162_UDP

UDP 161-162

Any から Any

簡易ネットワーク管理プロトコル

1007 INBOUND _443

443 tcp

Any から Any

クラスタ管理 LIF の IP アドレスを使用した System Manager Web コンソールへの HTTPS アクセス

1008 INBOUND _445

445 TCP

Any から Any

NetBIOS フレーム同期を使用した Microsoft SMB over TCP

1009 INBOUND _635_TCP

635 TCP

Any から Any

NFS マウント

1010 INBOUND _635_UDP

635 UDP

Any から Any

NFS マウント

1011 INBOUND _749

749 TCP

Any から Any

Kerberos

1012 INBOUND _2049 _TCP

2049 TCP

Any から Any

NFS サーバデーモン

1013 INBOUND _2049 _UDP

2049 UDP

Any から Any

NFS サーバデーモン

1014 インバウンド _3260

3260 TCP

Any から Any

iSCSI データ LIF を介した iSCSI アクセス

1015 INBOUND _4045-4046_tcp の略

4045-4046 TCP

Any から Any

NFS ロックデーモンとネットワークステータスモニタ

1016 INBOUND _4045-4046_UDP

4045-4046 UDP

Any から Any

NFS ロックデーモンとネットワークステータスモニタ

1017 INBOUND _10000

10000 TCP

Any から Any

NDMP を使用したバックアップ

1018 INBOUND _11104-11105

11104-11105 TCP

Any から Any

SnapMirror によるデータ転送

3000 inbound_deny_all_tcp

任意のポート TCP

Any から Any

他のすべての TCP インバウンドトラフィックをブロックします

3001 INBOUND _DENY_ALL_UDP

任意のポート UDP

Any から Any

他のすべての UDP 着信トラフィックをブロックします

65000 AllowVnetInBound

任意のポート任意のプロトコル

VirtualNetwork

VNet 内からのインバウンドトラフィック

65001 AllowAzureLoad BalancerInBound の略

任意のポート任意のプロトコル

AzureLoadBalancer を任意のに設定します

Azure Standard Load Balancer からのデータトラフィック

65500 DenyAllInBound

任意のポート任意のプロトコル

Any から Any

他のすべてのインバウンドトラフィックをブロックする

HA システムのインバウンドルール

次のルールでは、説明で特定の着信トラフィックがブロックされている場合を除き、トラフィックは許可されます。

注記 HA システムのインバウンドデータトラフィックは Azure Standard Load Balancer を経由するため、シングルノードシステムよりもインバウンドルールが少なくなります。そのため、「 AllowAzureLoadBalancerInBound 」ルールに示されているように、ロードバランサからのトラフィックがオープンである必要があります。
優先順位と名前 ポートおよびプロトコル ソースとデスティネーションの 2 つです 説明

100 インバウンド _ 443

443 :任意のプロトコル

Any から Any

クラスタ管理 LIF の IP アドレスを使用した System Manager Web コンソールへの HTTPS アクセス

101 INBOUND _111_TCP

111 すべてのプロトコル

Any から Any

NFS のリモートプロシージャコール

102 インバウンド _2049 _TCP

2049 任意のプロトコル

Any から Any

NFS サーバデーモン

111 inbound_ssh

22 すべてのプロトコル

Any から Any

クラスタ管理 LIF またはノード管理 LIF の IP アドレスへの SSH アクセス

121 INBOUND _53

53 任意のプロトコル

Any から Any

DNS と CIFS

65000 AllowVnetInBound

任意のポート任意のプロトコル

VirtualNetwork

VNet 内からのインバウンドトラフィック

65001 AllowAzureLoad BalancerInBound の略

任意のポート任意のプロトコル

AzureLoadBalancer を任意のに設定します

Azure Standard Load Balancer からのデータトラフィック

65500 DenyAllInBound

任意のポート任意のプロトコル

Any から Any

他のすべてのインバウンドトラフィックをブロックする

アウトバウンドルール

Cloud Volumes 用の事前定義済みセキュリティグループ ONTAP は、すべての発信トラフィックをオープンします。これが可能な場合は、基本的なアウトバウンドルールに従います。より厳格なルールが必要な場合は、高度なアウトバウンドルールを使用します。

基本的なアウトバウンドルール

Cloud Volumes ONTAP 用の定義済みセキュリティグループには、次のアウトバウンドルールが含まれています。

ポート プロトコル 目的

すべて

すべての TCP

すべての発信トラフィック

すべて

すべての UDP

すべての発信トラフィック

高度なアウトバウンドルール

発信トラフィックに厳格なルールが必要な場合は、次の情報を使用して、 Cloud Volumes ONTAP による発信通信に必要なポートのみを開くことができます。

注記 source は、 Cloud Volumes ONTAP システムのインターフェイス( IP アドレス)です。
サービス ポート プロトコル ソース 宛先 目的

Active Directory

88

TCP

ノード管理 LIF

Active Directory フォレスト

Kerberos V 認証

137

UDP

ノード管理 LIF

Active Directory フォレスト

NetBIOS ネームサービス

138

UDP

ノード管理 LIF

Active Directory フォレスト

NetBIOS データグラムサービス

139

TCP

ノード管理 LIF

Active Directory フォレスト

NetBIOS サービスセッション

389

TCP および UDP

ノード管理 LIF

Active Directory フォレスト

LDAP

445

TCP

ノード管理 LIF

Active Directory フォレスト

NetBIOS フレーム同期を使用した Microsoft SMB over TCP

464

TCP

ノード管理 LIF

Active Directory フォレスト

Kerberos V パスワードの変更と設定( SET_CHANGE )

464

UDP

ノード管理 LIF

Active Directory フォレスト

Kerberos キー管理

749

TCP

ノード管理 LIF

Active Directory フォレスト

Kerberos V Change & Set Password ( RPCSEC_GSS )

88

TCP

データ LIF ( NFS 、 CIFS 、 iSCSI )

Active Directory フォレスト

Kerberos V 認証

137

UDP

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

NetBIOS ネームサービス

138

UDP

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

NetBIOS データグラムサービス

139

TCP

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

NetBIOS サービスセッション

389

TCP および UDP

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

LDAP

445

TCP

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

NetBIOS フレーム同期を使用した Microsoft SMB over TCP

464

TCP

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

Kerberos V パスワードの変更と設定( SET_CHANGE )

464

UDP

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

Kerberos キー管理

749

TCP

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

Kerberos V Change & Set Password ( RPCSEC_GSS )

AutoSupport

HTTPS

443

ノード管理 LIF

support.netapp.com

AutoSupport (デフォルトは HTTPS )

HTTP

80

ノード管理 LIF

support.netapp.com

AutoSupport (転送プロトコルが HTTPS から HTTP に変更された場合のみ)

DHCP

68

UDP

ノード管理 LIF

DHCP

初回セットアップ用の DHCP クライアント

DHCP

67

UDP

ノード管理 LIF

DHCP

DHCP サーバ

DNS

53

UDP

ノード管理 LIF とデータ LIF ( NFS 、 CIFS )

DNS

DNS

NDMP

18600 ~ 18699

TCP

ノード管理 LIF

宛先サーバ

NDMP コピー

SMTP

25

TCP

ノード管理 LIF

メールサーバ

SMTP アラート。 AutoSupport に使用できます

SNMP

161

TCP

ノード管理 LIF

サーバを監視します

SNMP トラップによる監視

161

UDP

ノード管理 LIF

サーバを監視します

SNMP トラップによる監視

162

TCP

ノード管理 LIF

サーバを監視します

SNMP トラップによる監視

162

UDP

ノード管理 LIF

サーバを監視します

SNMP トラップによる監視

SnapMirror

11104

TCP

クラスタ間 LIF

ONTAP クラスタ間 LIF

SnapMirror のクラスタ間通信セッションの管理

11105

TCP

クラスタ間 LIF

ONTAP クラスタ間 LIF

SnapMirror によるデータ転送

syslog

514

UDP

ノード管理 LIF

syslog サーバ

syslog 転送メッセージ

コネクタの要件

コネクタがパブリッククラウド環境内のリソースやプロセスを管理できるように、ネットワークを設定します。最も重要なステップは、さまざまなエンドポイントへのアウトバウンドインターネットアクセスを確保することです。

ヒント ネットワークでインターネットへのすべての通信にプロキシサーバを使用している場合は、 [ 設定 ] ページでプロキシサーバを指定できます。を参照してください "プロキシサーバを使用するようにコネクタを設定します"

ターゲットネットワークへの接続

コネクタには、 Cloud Volumes ONTAP を導入する VPC および VNet へのネットワーク接続が必要です。

たとえば、企業ネットワークにコネクタを設置する場合は、 Cloud Volumes ONTAP を起動する VPC または VNet への VPN 接続を設定する必要があります。

アウトバウンドインターネットアクセス

Connector では、パブリッククラウド環境内のリソースとプロセスを管理するためにアウトバウンドインターネットアクセスが必要です。

エンドポイント 目的

\ https://support.netapp.com

ライセンス情報を取得し、ネットアップサポートに AutoSupport メッセージを送信するため。

\ https://*.cloudmanager.cloud.netapp.com

Cloud Manager 内で SaaS の機能やサービスを提供できます。

¥ https://cloudmanagerinfraprod.azurecr.io ¥ https://*.blob.core.windows.net

をクリックして、 Connector と Docker コンポーネントをアップグレードします。

セキュリティグループのルール

コネクタのセキュリティグループには、インバウンドとアウトバウンドの両方のルールが必要です。

インバウンドルール

ポート プロトコル 目的

22

SSH

コネクタホストへの SSH アクセスを提供します

80

HTTP

クライアント Web ブラウザからローカルへの HTTP アクセスを提供します ユーザインターフェイス

443

HTTPS

クライアント Web ブラウザからローカルへの HTTPS アクセスを提供します ユーザインターフェイス

アウトバウンドルール

コネクタの事前定義されたセキュリティグループは、すべての発信トラフィックを開きます。これが可能な場合は、基本的なアウトバウンドルールに従います。より厳格なルールが必要な場合は、高度なアウトバウンドルールを使用します。

基本的なアウトバウンドルール

コネクタの事前定義されたセキュリティグループには、次のアウトバウンドルールが含まれています。

ポート プロトコル 目的

すべて

すべての TCP

すべての発信トラフィック

すべて

すべての UDP

すべての発信トラフィック

高度なアウトバウンドルール

発信トラフィックに固定ルールが必要な場合は、次の情報を使用して、コネクタによる発信通信に必要なポートだけを開くことができます。

注記 送信元 IP アドレスは、コネクタホストです。
サービス ポート プロトコル 宛先 目的

API コールと AutoSupport

443

HTTPS

アウトバウンドインターネットおよび ONTAP クラスタ管理 LIF

APIがAzureとONTAP にコールし、クラウドデータを検知してランサムウェアサービスに感染し、AutoSupport メッセージをネットアップに送信

DNS

53

UDP

DNS

Cloud Manager による DNS 解決に使用されます