日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cloud Volumes ONTAP in AWS のネットワーク要件

寄稿者 netapp-bcammett このページの PDF をダウンロード

Cloud Manager は、 IP アドレス、ネットマスク、ルートなど、 Cloud Volumes ONTAP 用のネットワークコンポーネントのセットアップを処理します。アウトバウンドのインターネットアクセスが可能であること、十分な数のプライベート IP アドレスを利用できること、適切な接続が確立されていることなどを確認する必要があります。

一般的な要件

AWS では、次の要件を満たす必要があります。

Cloud Volumes ONTAP ノードのアウトバウンドインターネットアクセス

Cloud Volumes ONTAP ノードでは、ネットアップ AutoSupport にメッセージを送信するために、アウトバウンドインターネットアクセスが必要です。ネットアップ AutoSupport は、ストレージの健全性をプロアクティブに監視します。

Cloud Volumes ONTAP から AutoSupport メッセージを送信できるように、ルーティングポリシーとファイアウォールポリシーで次のエンドポイントへの AWS HTTP/HTTPS トラフィックを許可する必要があります。

NAT インスタンスがある場合は、プライベートサブネットからインターネットへの HTTPS トラフィックを許可する着信セキュリティグループルールを定義する必要があります。

HA メディエータのアウトバウンドインターネットアクセス

HA メディエータインスタンスは、 AWS EC2 サービスへのアウトバウンド接続を持っている必要があります。これにより、ストレージのフェイルオーバーを支援できます。接続を提供するには、パブリック IP アドレスを追加するか、プロキシサーバを指定するか、または手動オプションを使用します。

手動オプションには、 NAT ゲートウェイまたはターゲットサブネットから AWS EC2 サービスへのインターフェイス VPC エンドポイントを指定できます。VPC エンドポイントの詳細については、を参照してください "AWS ドキュメント:「 Interface VPC Endpoints 」( AWS PrivateLink )"

プライベート IP アドレス

必要な数のプライベート IP アドレスが Cloud Manager から Cloud Volumes ONTAP に自動的に割り当てられます。ネットワークに十分な数のプライベート IP アドレスがあることを確認する必要があります。

Cloud Volumes ONTAP に対して Cloud Manager が割り当てる LIF の数は、シングルノードシステムと HA ペアのどちらを導入するかによって異なります。LIF は、物理ポートに関連付けられた IP アドレスです。

シングルノードシステムの IP アドレス

Cloud Manager は、 1 つのノードシステムに 6 つの IP アドレスを割り当てます。

  • クラスタ管理 LIF

  • ノード管理 LIF

  • クラスタ間 LIF

  • NAS データ LIF

  • iSCSI データ LIF

  • Storage VM 管理 LIF

    Storage VM 管理 LIF は、 SnapCenter などの管理ツールで使用されます。

HA ペアの IP アドレス

HA ペアには、シングルノードシステムよりも多くの IP アドレスが必要です。次の図に示すように、これらの IP アドレスは異なるイーサネットインターフェイスに分散されています。

AWS の Cloud Volumes ONTAP HA 構成の eth0 、 eth1 、 eth2 を示す図。

HA ペアに必要なプライベート IP アドレスの数は、選択する導入モデルによって異なります。A_SILE_AWS アベイラビリティゾーン( AZ )に導入する HA ペアには 15 個のプライベート IP アドレスが必要です。一方、 _multiple_AZs に導入する HA ペアには、 13 個のプライベート IP アドレスが必要です。

次の表に、各プライベート IP アドレスに関連付けられている LIF の詳細を示します。

単一の AZ にある HA ペアの LIF
LIF インターフェイス ノード 目的

クラスタ管理

eth0

ノード 1

クラスタ全体( HA ペア)の管理。

ノード管理

eth0

ノード 1 とノード 2

ノードの管理。

クラスタ間

eth0

ノード 1 とノード 2

クラスタ間の通信、バックアップ、レプリケーション。

NAS データ

eth0

ノード 1

NAS プロトコルを使用したクライアントアクセス。

iSCSI データ

eth0

ノード 1 とノード 2

iSCSI プロトコルを使用したクライアントアクセス。

クラスタ接続

Eth1

ノード 1 とノード 2

ノード間の通信およびクラスタ内でのデータの移動を可能にします。

HA 接続

eth2

ノード 1 とノード 2

フェイルオーバー時の 2 つのノード間の通信。

RSM iSCSI トラフィック

eth3

ノード 1 とノード 2

RAID SyncMirror iSCSI トラフィック、および 2 つの Cloud Volumes ONTAP ノードとメディエーター間の通信。

メディエーター

eth0

メディエーター

ストレージのテイクオーバーとギブバックのプロセスを支援するための、ノードとメディエーターの間の通信チャネル。

複数の AZ にまたがる HA ペア用の LIF です
LIF インターフェイス ノード 目的

ノード管理

eth0

ノード 1 とノード 2

ノードの管理。

クラスタ間

eth0

ノード 1 とノード 2

クラスタ間の通信、バックアップ、レプリケーション。

iSCSI データ

eth0

ノード 1 とノード 2

iSCSI プロトコルを使用したクライアントアクセス。また、ノード間でのフローティング IP アドレスの移行も管理します。

クラスタ接続

Eth1

ノード 1 とノード 2

ノード間の通信およびクラスタ内でのデータの移動を可能にします。

HA 接続

eth2

ノード 1 とノード 2

フェイルオーバー時の 2 つのノード間の通信。

RSM iSCSI トラフィック

eth3

ノード 1 とノード 2

RAID SyncMirror iSCSI トラフィック、および 2 つの Cloud Volumes ONTAP ノードとメディエーター間の通信。

メディエーター

eth0

メディエーター

ストレージのテイクオーバーとギブバックのプロセスを支援するための、ノードとメディエーターの間の通信チャネル。

ヒント 複数のアベイラビリティゾーンに導入すると、いくつかの LIF が関連付けられます "フローティング IP アドレス"AWS のプライベート IP 制限にはカウントされません。

セキュリティグループ

Cloud Manager ではセキュリティグループを作成する必要がないため、セキュリティグループを作成する必要はありません。自分で使用する必要がある場合は、を参照してください "セキュリティグループのルール"

データ階層化のための接続

EBS をパフォーマンス階層として使用し、 AWS S3 を容量階層として使用する場合は、 Cloud Volumes ONTAP が S3 に接続されていることを確認する必要があります。この接続を提供する最善の方法は、 S3 サービスへの vPC エンドポイントを作成することです。手順については、を参照してください "AWS のドキュメント:「 Creating a Gateway Endpoint"

vPC エンドポイントを作成するときは、 Cloud Volumes ONTAP インスタンスに対応するリージョン、 vPC 、およびルートテーブルを必ず選択してください。S3 エンドポイントへのトラフィックを有効にする発信 HTTPS ルールを追加するには、セキュリティグループも変更する必要があります。そうしないと、 Cloud Volumes ONTAP は S3 サービスに接続できません。

ONTAP システムへの接続

AWS の Cloud Volumes ONTAP システムと他のネットワークの ONTAP システムの間でデータをレプリケートするには、 AWS VPC と他のネットワーク( Azure VNet や企業ネットワークなど)の間に VPN 接続が必要です。手順については、を参照してください "AWS ドキュメント:「 Setting Up an AWS VPN Connection"

CIFS 用の DNS と Active Directory

CIFS ストレージをプロビジョニングする場合は、 AWS で DNS と Active Directory をセットアップするか、オンプレミスセットアップを AWS に拡張する必要があります。

DNS サーバは、 Active Directory 環境に名前解決サービスを提供する必要があります。デフォルトの EC2 DNS サーバを使用するように DHCP オプションセットを設定できます。このサーバは、 Active Directory 環境で使用される DNS サーバであってはなりません。

複数の AZ にまたがる HA ペアに関する要件

複数の可用性ゾーン( AZS )を使用する Cloud Volumes ONTAP HA 構成には、 AWS ネットワークの追加要件が適用されます。HA ペアを起動する前に、作業環境の作成時に Cloud Manager でネットワークの詳細を入力する必要があるため、これらの要件を確認しておく必要があります。

HA ペアの仕組みについては、を参照してください "ハイアベイラビリティペア"

可用性ゾーン

この HA 導入モデルでは、複数の AZS を使用してデータの高可用性を確保します。各 Cloud Volumes ONTAP インスタンスと、 HA ペア間の通信チャネルを提供するメディエータインスタンスには、専用の AZ を使用する必要があります。

サブネットが各アベイラビリティゾーンに存在する必要があります。

NAS データおよびクラスタ / SVM 管理用のフローティング IP アドレス

フローティング IP アドレスの 1 つはクラスタ管理用、 1 つはノード 1 の NFS/CIFS データ用、もう 1 つはノード 2 の NFS/CIFS データ用です。SVM 管理用の 4 つ目のフローティング IP アドレスはオプションです。

注記 SnapCenter for Windows または SnapDrive を HA ペアで使用する場合は、 SVM 管理 LIF 用にフローティング IP アドレスが必要です。システムの導入時に IP アドレスを指定しなかった場合は、あとで LIF を作成できます。詳細については、を参照してください "Cloud Volumes ONTAP のセットアップ"

Cloud Volumes ONTAP HA 作業環境を作成するときに、 Cloud Manager でフローティング IP アドレスを入力する必要があります。Cloud Manager は、システムの起動時に IP アドレスを HA ペアに割り当てます。

フローティング IP アドレスは、 HA 構成を導入する AWS リージョン内のどの VPC の CIDR ブロックにも属していない必要があります。フローティング IP アドレスは、リージョン内の VPC の外部にある論理サブネットと考えてください。

次の例は、 AWS リージョンのフローティング IP アドレスと VPC の関係を示しています。フローティング IP アドレスはどの VPC の CIDR ブロックにも属しておらず、ルーティングテーブルを介してサブネットにルーティングできます。

この概念図は、 AWS リージョン内の 5 つの VPC の CIDR ブロックと、それらの VPC の CIDR ブロックに属さない 3 つのフローティング IP アドレスを示しています。

注記 Cloud Manager は、 iSCSI アクセス用と、 VPC 外のクライアントからの NAS アクセス用に、自動的に静的 IP アドレスを作成します。これらの種類の IP アドレスの要件を満たす必要はありません。
外部からのフローティング IP アクセスを可能にする中継ゲートウェイ VPC

必要に応じて、 "AWS 転送ゲートウェイを設定します" HA ペアが配置されている VPC の外部から HA ペアのフローティング IP アドレスにアクセスできるようにします。

ルートテーブル

vPC (メインルートテーブル)内のサブネットのルートテーブルが 1 つだけの場合、 Cloud Manager はそのルートテーブルにフローティング IP アドレスを自動的に追加します。ルーティングテーブルが複数ある場合は、 HA ペアの起動時に正しいルーティングテーブルを選択することが非常に重要です。そうしないと、一部のクライアントが Cloud Volumes ONTAP にアクセスできない場合があります。

たとえば、異なるルートテーブルに関連付けられた 2 つのサブネットがあるとします。ルーティングテーブル A を選択し、ルーティングテーブル B は選択しなかった場合、ルーティングテーブル A に関連付けられたサブネット内のクライアントは HA ペアにアクセスできますが、ルーティングテーブル B に関連付けられたサブネット内のクライアントはアクセスできません。

ルーティングテーブルの詳細については、を参照してください "AWS のドキュメント:「 Route Tables"

ネットアップの管理ツールとの連携
  1. ネットアップの管理ツールは、別の VPC とに導入できます "AWS 転送ゲートウェイを設定します"。ゲートウェイを使用すると、 VPC の外部からクラスタ管理インターフェイスのフローティング IP アドレスにアクセスできます。

  2. NAS クライアントと同様のルーティング設定を使用して、同じ VPC にネットアップ管理ツールを導入できます。

HA 構成の例

次の図は、複数の AZ にまたがる HA ペアに固有のネットワークコンポーネントを示しています。 3 つのアベイラビリティゾーン、 3 つのサブネット、フローティング IP アドレス、およびルートテーブルです。

この概念図は、 Cloud Volumes ONTAP HA アーキテクチャのコンポーネントを示しています。 2 つの Cloud Volumes ONTAP ノードと 1 つのメディエーターインスタンスが、それぞれ別々のアベイラビリティゾーンに配置されています。

コネクタの要件

コネクタがパブリッククラウド環境内のリソースやプロセスを管理できるように、ネットワークを設定します。最も重要なステップは、さまざまなエンドポイントへのアウトバウンドインターネットアクセスを確保することです。

ヒント ネットワークでインターネットへのすべての通信にプロキシサーバを使用している場合は、 [ 設定 ] ページでプロキシサーバを指定できます。を参照してください "プロキシサーバを使用するようにコネクタを設定します"

ターゲットネットワークへの接続

コネクタには、 Cloud Volumes ONTAP を導入する VPC および VNet へのネットワーク接続が必要です。

たとえば、企業ネットワークにコネクタを設置する場合は、 Cloud Volumes ONTAP を起動する VPC または VNet への VPN 接続を設定する必要があります。

アウトバウンドインターネットアクセス

Connector では、パブリッククラウド環境内のリソースとプロセスを管理するためにアウトバウンドインターネットアクセスが必要です。コネクタは、 AWS でリソースを管理する際に次のエンドポイントに接続します。

注記 VPC がネットワークアクセス制御リスト( ACL )を使用してトラフィックをフィルタリングする場合は、アウトバウンドとインバウンドの両方のトラフィックに対してこれらのエンドポイントを有効にしてください。
エンドポイント 目的

AWS サービス( amazonaws.com ):

  • クラウド形成

  • 柔軟なコンピューティングクラウド( EC2 )

  • キー管理サービス( KMS )

  • セキュリティトークンサービス( STS )

  • シンプルなストレージサービス( S3 )

正確なエンドポイントは、 Cloud Volumes ONTAP を導入する地域によって異なります。 "詳細については、 AWS のマニュアルを参照してください。"

AWS に Cloud Volumes ONTAP を導入して管理できるようにします。

\ https://api.services.cloud.netapp.com:443

NetApp Cloud Central への API 要求。

\ https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com

ソフトウェアイメージ、マニフェスト、およびテンプレートにアクセスできます。

¥ https://cognito-idp.us-east-1.amazonaws.com ¥ https://cognito-identity.us-east-1.amazonaws.com ¥ https://sts.amazonaws.com ¥ https://cloud-support-netapp-com-accelerated.s3.amazonaws.com

コネクタがマニフェスト、テンプレート、および Cloud Volumes ONTAP アップグレードイメージにアクセスしてダウンロードできるようにします。

\ https://cloudmanagerinfraprod.azurecr.io * .blob.core.windows.net

Docker を実行しているインフラのコンテナコンポーネントのソフトウェアイメージにアクセスでき、 Cloud Manager とのサービス統合のためのソリューションを提供します。

\ https://kinesis.us-east-1.amazonaws.com

ネットアップが監査レコードからデータをストリーミングできるようにします。

\ https://cloudmanager.cloud.netapp.com

Cloud Central アカウントを含む Cloud Manager サービスとの通信。

https://netapp-cloud-account.auth0.com

NetApp Cloud Central との通信により、ユーザ認証を一元的に行うことができます。

support.netapp.com:443 https://mysupport.netapp.com

ネットアップ AutoSupport との通信:コネクタは support.netapp.com:443 と通信し、 https://mysupport.netapp.com にリダイレクトされます。

¥ https://support.netapp.com/svcgw ¥ https://support.netapp.com/ServiceGW/entitlement ¥ https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com ¥ https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com

システムライセンスとサポート登録を行うためのネットアップとの通信

¥ https://client.infra.support.netapp.com.s3.us-west-1.amazonaws.com ¥ https://cloud-support-netapp-com-accelerated.s3.us-west-1.amazonaws.com ¥ https://trigger.asup.netapp.com.s3.us-west-1.amazonaws.com

ネットアップがサポートの問題のトラブルシューティングに必要な情報を収集できるようにします。

\ https://ipa-signer.cloudmanager.netapp.com

Cloud Manager でライセンスを生成できます( Cloud Volumes ONTAP 用の FlexCache ライセンスなど)。

次のようなさまざまなサードパーティの場所があります。

サードパーティの所在地は変更される可能性があります。

アップグレード時に、 Cloud Manager はサードパーティの依存関係に対応する最新のパッケージをダウンロードします。

SaaS ユーザインターフェイスからほとんどのタスクを実行する必要がありますが、ローカルユーザインターフェイスは引き続きコネクタで使用できます。Web ブラウザを実行するマシンは、次のエンドポイントに接続する必要があります。

エンドポイント 目的

コネクタホスト

Cloud Manager コンソールをロードするには、 Web ブラウザでホストの IP アドレスを入力する必要があります。

クラウドプロバイダへの接続に応じて、ホストに割り当てられたプライベート IP またはパブリック IP を使用できます。

  • プライベート IP は、 VPN とがある場合に機能します 仮想ネットワークへの直接アクセス

  • パブリック IP は、あらゆるネットワークシナリオで機能します

いずれの場合も、セキュリティグループのルールで許可された IP またはサブネットからのアクセスのみを許可することで、ネットワークアクセスを保護する必要があります。

¥ https://auth0.com ¥ https://cdn.auth0.com ¥ https://netapp-cloud-account.auth0.com ¥ https://services.cloud.netapp.com

Web ブラウザはこれらのエンドポイントに接続し、 NetApp Cloud Central を介してユーザ認証を一元化します。

\ https://widget.intercom.io

製品内でのチャットにより、ネットアップのクラウドエキスパートと会話できます。