Azure の Cloud Volumes ONTAP のネットワーク要件
Cloud Volumes ONTAP システムが適切に動作するように Azure ネットワークをセットアップします。これには、コネクタと Cloud Volumes ONTAP のネットワークも含まれます。
Cloud Volumes ONTAP の要件
Azure では、次のネットワーク要件を満たしている必要があります。
アウトバウンドインターネットアクセス
Cloud Volumes ONTAP では、ネットアップ AutoSupport にメッセージを送信するためにアウトバウンドインターネットアクセスが必要です。ネットアップ AutoSupport は、ストレージの健全性をプロアクティブに監視します。
Cloud Volumes ONTAP が AutoSupport メッセージを送信できるように、ルーティングポリシーとファイアウォールポリシーで次のエンドポイントへの HTTP / HTTPS トラフィックを許可する必要があります。
IP アドレス
Cloud Manager が Azure の Cloud Volumes ONTAP に次の数の IP アドレスを割り当てます。
-
シングルノード: 5 つの IP アドレス
-
HA ペア: IP アドレス × 16
Cloud Manager では、 HA ペア上に SVM 管理 LIF が作成されますが、 Azure のシングルノードシステム上には作成されません。
|
LIF は、物理ポートに関連付けられた IP アドレスです。SnapCenter などの管理ツールには、 SVM 管理 LIF が必要です。 |
Azure サービスへのセキュアな接続
Cloud Manager は、 Cloud Volumes ONTAP がプライベートで Azure サービスに接続できるように、 VNet サービスエンドポイントと Azure プライベートリンクエンドポイントを設定します。
サービスエンドポイント
Cloud Manager を使用すると、 VNet サービスエンドポイントはデータ階層化用に Cloud Volumes ONTAP から Azure Blob ストレージへのセキュアな接続を確立できます。Cloud Volumes ONTAP から Azure サービスへの追加のサービスエンドポイントはサポートされません。
Cloud Manager ポリシーに以下の権限が設定されている場合、 Cloud Manager は VNet サービスエンドポイントを有効にします。
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
これらの権限は最新のに含まれています "Cloud Manager ポリシー"。
データ階層化の設定の詳細については、を参照してください "コールドデータを低コストのオブジェクトストレージに階層化する"。
プライベートエンドポイント
デフォルトでは、 Cloud Manager は Cloud Volumes ONTAP とそれに関連付けられたストレージアカウント間の Azure Private Link 接続を有効にします。プライベートリンクは Azure のエンドポイント間の接続を保護し、パフォーマンスを向上させます。ほとんどの場合、実行する必要はありません。 Cloud Manager は Azure Private Link を管理します。ただし、 Azure プライベート DNS を使用している場合は、構成ファイルを編集する必要があります。必要に応じて、プライベートリンク接続を無効にすることもできます。
他の ONTAP システムへの接続
Azure内のCloud Volumes ONTAP システムと他のネットワーク内のONTAP システム間でデータをレプリケートするには、企業ネットワークなど、Azure VNetとその他のネットワーク間にVPN接続が必要です。
HA インターコネクトのポート
Cloud Volumes ONTAP HA ペアには HA インターコネクトが含まれています。 HA インターコネクトを使用すると、各ノードはパートナーが機能しているかどうかを継続的に確認し、パートナーの不揮発性メモリのログデータをミラーリングできます。HA インターコネクトは、通信に TCP ポート 10006 を使用します。
デフォルトでは、 HA インターコネクト LIF 間の通信は開いており、このポートにはセキュリティグループのルールはありません。ただし、 HA インターコネクト LIF の間にファイアウォールを作成する場合は、 HA ペアが適切に動作するように、ポート 10006 の TCP トラフィックが開いていることを確認する必要があります。
Azure リソースグループには HA ペアが 1 つしかありません
Azure に導入する Cloud Volumes ONTAP HA ペアごとに、 _dedicated_resource グループを使用する必要があります。リソースグループでサポートされる HA ペアは 1 つだけです。
Azure リソースグループに 2 つ目の Cloud Volumes ONTAP HA ペアを導入しようとすると、 Cloud Manager で接続の問題が発生します。
セキュリティグループ
セキュリティグループを作成する必要はありません。セキュリティグループは Cloud Manager で自動的に作成されます。独自のルールを使用する必要がある場合は、以下のセキュリティグループルールを参照してください。
セキュリティグループのルール
Cloud Manager で作成される Azure セキュリティグループには、 Cloud Volumes ONTAP が正常に動作するために必要なインバウンドとアウトバウンドのルールが含まれています。テスト目的でポートを参照したり、独自のセキュリティグループを使用したりする場合に使用します。
Cloud Volumes ONTAP のセキュリティグループには、インバウンドルールとアウトバウンドルールの両方が必要です。
シングルノードシステムのインバウンドルール
次のルールでは、説明で特定の着信トラフィックがブロックされている場合を除き、トラフィックは許可されます。
優先順位と名前 | ポートおよびプロトコル | ソースとデスティネーションの 2 つです | 説明 |
---|---|---|---|
1000 inbound_ssh |
22 TCP |
Any から Any |
クラスタ管理 LIF またはノード管理 LIF の IP アドレスへの SSH アクセス |
1001 INBOUND _http |
80 TCP |
Any から Any |
クラスタ管理 LIF の IP アドレスを使用した System Manager Web コンソールへの HTTP アクセス |
1002 INBOUND _111_TCP |
111 TCP |
Any から Any |
NFS のリモートプロシージャコール |
1003 INBONED_111_UDP |
111 UDP |
Any から Any |
NFS のリモートプロシージャコール |
1004 INBOUND _139 |
139 TCP |
Any から Any |
CIFS の NetBIOS サービスセッション |
1005 inbound_161-162_TCP |
161-162 TCP |
Any から Any |
簡易ネットワーク管理プロトコル |
1006 INBOUND _161-162_UDP |
UDP 161-162 |
Any から Any |
簡易ネットワーク管理プロトコル |
1007 INBOUND _443 |
443 tcp |
Any から Any |
クラスタ管理 LIF の IP アドレスを使用した System Manager Web コンソールへの HTTPS アクセス |
1008 INBOUND _445 |
445 TCP |
Any から Any |
NetBIOS フレーム同期を使用した Microsoft SMB over TCP |
1009 INBOUND _635_TCP |
635 TCP |
Any から Any |
NFS マウント |
1010 INBOUND _635_UDP |
635 UDP |
Any から Any |
NFS マウント |
1011 INBOUND _749 |
749 TCP |
Any から Any |
Kerberos |
1012 INBOUND _2049 _TCP |
2049 TCP |
Any から Any |
NFS サーバデーモン |
1013 INBOUND _2049 _UDP |
2049 UDP |
Any から Any |
NFS サーバデーモン |
1014 インバウンド _3260 |
3260 TCP |
Any から Any |
iSCSI データ LIF を介した iSCSI アクセス |
1015 INBOUND _4045-4046_tcp の略 |
4045-4046 TCP |
Any から Any |
NFS ロックデーモンとネットワークステータスモニタ |
1016 INBOUND _4045-4046_UDP |
4045-4046 UDP |
Any から Any |
NFS ロックデーモンとネットワークステータスモニタ |
1017 INBOUND _10000 |
10000 TCP |
Any から Any |
NDMP を使用したバックアップ |
1018 INBOUND _11104-11105 |
11104-11105 TCP |
Any から Any |
SnapMirror によるデータ転送 |
3000 inbound_deny_all_tcp |
任意のポート TCP |
Any から Any |
他のすべての TCP インバウンドトラフィックをブロックします |
3001 INBOUND _DENY_ALL_UDP |
任意のポート UDP |
Any から Any |
他のすべての UDP 着信トラフィックをブロックします |
65000 AllowVnetInBound |
任意のポート任意のプロトコル |
VirtualNetwork |
VNet 内からのインバウンドトラフィック |
65001 AllowAzureLoad BalancerInBound の略 |
任意のポート任意のプロトコル |
AzureLoadBalancer を任意のに設定します |
Azure Standard Load Balancer からのデータトラフィック |
65500 DenyAllInBound |
任意のポート任意のプロトコル |
Any から Any |
他のすべてのインバウンドトラフィックをブロックする |
HA システムのインバウンドルール
次のルールでは、説明で特定の着信トラフィックがブロックされている場合を除き、トラフィックは許可されます。
|
HA システムのインバウンドデータトラフィックは Azure Standard Load Balancer を経由するため、シングルノードシステムよりもインバウンドルールが少なくなります。そのため、「 AllowAzureLoadBalancerInBound 」ルールに示されているように、ロードバランサからのトラフィックがオープンである必要があります。 |
優先順位と名前 | ポートおよびプロトコル | ソースとデスティネーションの 2 つです | 説明 |
---|---|---|---|
100 インバウンド _ 443 |
443 :任意のプロトコル |
Any から Any |
クラスタ管理 LIF の IP アドレスを使用した System Manager Web コンソールへの HTTPS アクセス |
101 INBOUND _111_TCP |
111 すべてのプロトコル |
Any から Any |
NFS のリモートプロシージャコール |
102 インバウンド _2049 _TCP |
2049 任意のプロトコル |
Any から Any |
NFS サーバデーモン |
111 inbound_ssh |
22 すべてのプロトコル |
Any から Any |
クラスタ管理 LIF またはノード管理 LIF の IP アドレスへの SSH アクセス |
121 INBOUND _53 |
53 任意のプロトコル |
Any から Any |
DNS と CIFS |
65000 AllowVnetInBound |
任意のポート任意のプロトコル |
VirtualNetwork |
VNet 内からのインバウンドトラフィック |
65001 AllowAzureLoad BalancerInBound の略 |
任意のポート任意のプロトコル |
AzureLoadBalancer を任意のに設定します |
Azure Standard Load Balancer からのデータトラフィック |
65500 DenyAllInBound |
任意のポート任意のプロトコル |
Any から Any |
他のすべてのインバウンドトラフィックをブロックする |
アウトバウンドルール
Cloud Volumes 用の事前定義済みセキュリティグループ ONTAP は、すべての発信トラフィックをオープンします。これが可能な場合は、基本的なアウトバウンドルールに従います。より厳格なルールが必要な場合は、高度なアウトバウンドルールを使用します。
基本的なアウトバウンドルール
Cloud Volumes ONTAP 用の定義済みセキュリティグループには、次のアウトバウンドルールが含まれています。
ポート | プロトコル | 目的 |
---|---|---|
すべて |
すべての TCP |
すべての発信トラフィック |
すべて |
すべての UDP |
すべての発信トラフィック |
高度なアウトバウンドルール
発信トラフィックに厳格なルールが必要な場合は、次の情報を使用して、 Cloud Volumes ONTAP による発信通信に必要なポートのみを開くことができます。
|
source は、 Cloud Volumes ONTAP システムのインターフェイス( IP アドレス)です。 |
サービス | ポート | プロトコル | ソース | 宛先 | 目的 |
---|---|---|---|---|---|
Active Directory |
88 |
TCP |
ノード管理 LIF |
Active Directory フォレスト |
Kerberos V 認証 |
137 |
UDP |
ノード管理 LIF |
Active Directory フォレスト |
NetBIOS ネームサービス |
|
138 |
UDP |
ノード管理 LIF |
Active Directory フォレスト |
NetBIOS データグラムサービス |
|
139 |
TCP |
ノード管理 LIF |
Active Directory フォレスト |
NetBIOS サービスセッション |
|
389 |
TCP および UDP |
ノード管理 LIF |
Active Directory フォレスト |
LDAP |
|
445 |
TCP |
ノード管理 LIF |
Active Directory フォレスト |
NetBIOS フレーム同期を使用した Microsoft SMB over TCP |
|
464 |
TCP |
ノード管理 LIF |
Active Directory フォレスト |
Kerberos V パスワードの変更と設定( SET_CHANGE ) |
|
464 |
UDP |
ノード管理 LIF |
Active Directory フォレスト |
Kerberos キー管理 |
|
749 |
TCP |
ノード管理 LIF |
Active Directory フォレスト |
Kerberos V Change & Set Password ( RPCSEC_GSS ) |
|
88 |
TCP |
データ LIF ( NFS 、 CIFS 、 iSCSI ) |
Active Directory フォレスト |
Kerberos V 認証 |
|
137 |
UDP |
データ LIF ( NFS 、 CIFS ) |
Active Directory フォレスト |
NetBIOS ネームサービス |
|
138 |
UDP |
データ LIF ( NFS 、 CIFS ) |
Active Directory フォレスト |
NetBIOS データグラムサービス |
|
139 |
TCP |
データ LIF ( NFS 、 CIFS ) |
Active Directory フォレスト |
NetBIOS サービスセッション |
|
389 |
TCP および UDP |
データ LIF ( NFS 、 CIFS ) |
Active Directory フォレスト |
LDAP |
|
445 |
TCP |
データ LIF ( NFS 、 CIFS ) |
Active Directory フォレスト |
NetBIOS フレーム同期を使用した Microsoft SMB over TCP |
|
464 |
TCP |
データ LIF ( NFS 、 CIFS ) |
Active Directory フォレスト |
Kerberos V パスワードの変更と設定( SET_CHANGE ) |
|
464 |
UDP |
データ LIF ( NFS 、 CIFS ) |
Active Directory フォレスト |
Kerberos キー管理 |
|
749 |
TCP |
データ LIF ( NFS 、 CIFS ) |
Active Directory フォレスト |
Kerberos V Change & Set Password ( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443 |
ノード管理 LIF |
support.netapp.com |
AutoSupport (デフォルトは HTTPS ) |
HTTP |
80 |
ノード管理 LIF |
support.netapp.com |
AutoSupport (転送プロトコルが HTTPS から HTTP に変更された場合のみ) |
|
DHCP |
68 |
UDP |
ノード管理 LIF |
DHCP |
初回セットアップ用の DHCP クライアント |
DHCP |
67 |
UDP |
ノード管理 LIF |
DHCP |
DHCP サーバ |
DNS |
53 |
UDP |
ノード管理 LIF とデータ LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
18600 ~ 18699 |
TCP |
ノード管理 LIF |
宛先サーバ |
NDMP コピー |
SMTP |
25 |
TCP |
ノード管理 LIF |
メールサーバ |
SMTP アラート。 AutoSupport に使用できます |
SNMP |
161 |
TCP |
ノード管理 LIF |
サーバを監視します |
SNMP トラップによる監視 |
161 |
UDP |
ノード管理 LIF |
サーバを監視します |
SNMP トラップによる監視 |
|
162 |
TCP |
ノード管理 LIF |
サーバを監視します |
SNMP トラップによる監視 |
|
162 |
UDP |
ノード管理 LIF |
サーバを監視します |
SNMP トラップによる監視 |
|
SnapMirror |
11104 |
TCP |
クラスタ間 LIF |
ONTAP クラスタ間 LIF |
SnapMirror のクラスタ間通信セッションの管理 |
11105 |
TCP |
クラスタ間 LIF |
ONTAP クラスタ間 LIF |
SnapMirror によるデータ転送 |
|
syslog |
514 |
UDP |
ノード管理 LIF |
syslog サーバ |
syslog 転送メッセージ |
コネクタの要件
コネクタがパブリッククラウド環境内のリソースやプロセスを管理できるように、ネットワークを設定します。最も重要なステップは、さまざまなエンドポイントへのアウトバウンドインターネットアクセスを確保することです。
|
ネットワークでインターネットへのすべての通信にプロキシサーバを使用している場合は、 [ 設定 ] ページでプロキシサーバを指定できます。を参照してください "プロキシサーバを使用するようにコネクタを設定します"。 |
ターゲットネットワークへの接続
コネクタには、 Cloud Volumes ONTAP を導入する VPC および VNet へのネットワーク接続が必要です。
たとえば、企業ネットワークにコネクタを設置する場合は、 Cloud Volumes ONTAP を起動する VPC または VNet への VPN 接続を設定する必要があります。
アウトバウンドインターネットアクセス
Connector では、パブリッククラウド環境内のリソースとプロセスを管理するためにアウトバウンドインターネットアクセスが必要です。
エンドポイント | 目的 |
---|---|
ライセンス情報を取得し、ネットアップサポートに AutoSupport メッセージを送信するため。 |
|
Cloud Manager 内で SaaS の機能やサービスを提供できます。 |
|
¥ https://cloudmanagerinfraprod.azurecr.io ¥ https://*.blob.core.windows.net |
をクリックして、 Connector と Docker コンポーネントをアップグレードします。 |
セキュリティグループのルール
コネクタのセキュリティグループには、インバウンドとアウトバウンドの両方のルールが必要です。
インバウンドルール
ポート | プロトコル | 目的 |
---|---|---|
22 |
SSH |
コネクタホストへの SSH アクセスを提供します |
80 |
HTTP |
クライアント Web ブラウザからローカルへの HTTP アクセスを提供します ユーザインターフェイス |
443 |
HTTPS |
クライアント Web ブラウザからローカルへの HTTPS アクセスを提供します ユーザインターフェイス |
アウトバウンドルール
コネクタの事前定義されたセキュリティグループは、すべての発信トラフィックを開きます。これが可能な場合は、基本的なアウトバウンドルールに従います。より厳格なルールが必要な場合は、高度なアウトバウンドルールを使用します。
基本的なアウトバウンドルール
コネクタの事前定義されたセキュリティグループには、次のアウトバウンドルールが含まれています。
ポート | プロトコル | 目的 |
---|---|---|
すべて |
すべての TCP |
すべての発信トラフィック |
すべて |
すべての UDP |
すべての発信トラフィック |
高度なアウトバウンドルール
発信トラフィックに固定ルールが必要な場合は、次の情報を使用して、コネクタによる発信通信に必要なポートだけを開くことができます。
|
送信元 IP アドレスは、コネクタホストです。 |
サービス | ポート | プロトコル | 宛先 | 目的 |
---|---|---|---|---|
API コールと AutoSupport |
443 |
HTTPS |
アウトバウンドインターネットおよび ONTAP クラスタ管理 LIF |
APIがAzureとONTAP にコールし、クラウドデータを検知してランサムウェアサービスに感染し、AutoSupport メッセージをネットアップに送信 |
DNS |
53 |
UDP |
DNS |
Cloud Manager による DNS 解決に使用されます |