Cloud Volumes ONTAP in AWS のネットワーク要件
Cloud Volumes ONTAP システムが適切に動作するように AWS ネットワークをセットアップします。
Cloud Volumes ONTAP の一般的な AWS ネットワーク要件
AWS では、次の要件を満たす必要があります。
- Cloud Volumes ONTAP ノードのアウトバウンドインターネットアクセス
-
Cloud Volumes ONTAP ノードでは、ネットアップ AutoSupport にメッセージを送信するために、アウトバウンドインターネットアクセスが必要です。ネットアップ AutoSupport は、ストレージの健全性をプロアクティブに監視します。
Cloud Volumes ONTAP から AutoSupport メッセージを送信できるように、ルーティングポリシーとファイアウォールポリシーで次のエンドポイントへの AWS HTTP/HTTPS トラフィックを許可する必要があります。
-
\ https://support.netapp.com/asupprod/post/1.0/postAsup
NAT インスタンスがある場合は、プライベートサブネットからインターネットへの HTTPS トラフィックを許可する着信セキュリティグループルールを定義する必要があります。
- HA メディエータのアウトバウンドインターネットアクセス
-
HA メディエータインスタンスは、 AWS EC2 サービスへのアウトバウンド接続を持っている必要があります。これにより、ストレージのフェイルオーバーを支援できます。接続を提供するには、パブリック IP アドレスを追加するか、プロキシサーバを指定するか、または手動オプションを使用します。
手動オプションには、 NAT ゲートウェイまたはターゲットサブネットから AWS EC2 サービスへのインターフェイス VPC エンドポイントを指定できます。VPC エンドポイントの詳細については、を参照してください "AWS ドキュメント:「 Interface VPC Endpoints 」( AWS PrivateLink )"。
- セキュリティグループ
-
Cloud Manager ではセキュリティグループを作成する必要がないため、セキュリティグループを作成する必要はありません。自分で使用する必要がある場合は、を参照してください "セキュリティグループのルール"。
- Cloud Volumes ONTAP から AWS S3 への接続によるデータ階層化
-
EBS をパフォーマンス階層として使用し、 AWS S3 を容量階層として使用する場合は、 Cloud Volumes ONTAP が S3 に接続されていることを確認する必要があります。この接続を提供する最善の方法は、 S3 サービスへの vPC エンドポイントを作成することです。手順については、を参照してください "AWS のドキュメント:「 Creating a Gateway Endpoint"。
vPC エンドポイントを作成するときは、 Cloud Volumes ONTAP インスタンスに対応するリージョン、 vPC 、およびルートテーブルを必ず選択してください。S3 エンドポイントへのトラフィックを有効にする発信 HTTPS ルールを追加するには、セキュリティグループも変更する必要があります。そうしないと、 Cloud Volumes ONTAP は S3 サービスに接続できません。
問題が発生した場合は、を参照してください "AWS のサポートナレッジセンター:ゲートウェイ VPC エンドポイントを使用して S3 バケットに接続できないのはなぜですか。"
- 他のネットワーク内の ONTAP システムへの接続
-
AWS の Cloud Volumes ONTAP システムと他のネットワークの ONTAP システムの間でデータをレプリケートするには、 AWS VPC と他のネットワーク( Azure VNet や企業ネットワークなど)の間に VPN 接続が必要です。手順については、を参照してください "AWS ドキュメント:「 Setting Up an AWS VPN Connection"。
- CIFS 用の DNS と Active Directory
-
CIFS ストレージをプロビジョニングする場合は、 AWS で DNS と Active Directory をセットアップするか、オンプレミスセットアップを AWS に拡張する必要があります。
DNS サーバは、 Active Directory 環境に名前解決サービスを提供する必要があります。デフォルトの EC2 DNS サーバを使用するように DHCP オプションセットを設定できます。このサーバは、 Active Directory 環境で使用される DNS サーバであってはなりません。
複数の AZS での Cloud Volumes ONTAP HA の AWS ネットワーク要件
複数の可用性ゾーン( AZS )を使用する Cloud Volumes ONTAP HA 構成には、 AWS ネットワークの追加要件が適用されます。HA ペアを起動する前に、これらの要件を確認する必要があります。これは、 Cloud Manager でネットワークの詳細を入力する必要があるためです。
HA ペアの仕組みについては、を参照してください "ハイアベイラビリティペア"。
- 可用性ゾーン
-
この HA 導入モデルでは、複数の AZS を使用してデータの高可用性を確保します。各 Cloud Volumes ONTAP インスタンスと、 HA ペア間の通信チャネルを提供するメディエータインスタンスには、専用の AZ を使用する必要があります。
- NAS データおよびクラスタ / SVM 管理用のフローティング IP アドレス
-
複数の AZ に展開された HA configurations では、障害が発生した場合にノード間で移行するフローティング IP アドレスを使用します。VPC の外部からネイティブにアクセスすることはできません。ただし、その場合は除きます "AWS 転送ゲートウェイを設定します"。
フローティング IP アドレスの 1 つはクラスタ管理用、 1 つはノード 1 の NFS/CIFS データ用、もう 1 つはノード 2 の NFS/CIFS データ用です。SVM 管理用の 4 つ目のフローティング IP アドレスはオプションです。
SnapCenter for Windows または SnapDrive を HA ペアで使用する場合は、 SVM 管理 LIF 用にフローティング IP アドレスが必要です。システムの導入時に IP アドレスを指定しなかった場合は、あとで LIF を作成できます。詳細については、を参照してください "Cloud Volumes ONTAP のセットアップ"。 Cloud Volumes ONTAP HA 作業環境を作成するときに、 Cloud Manager でフローティング IP アドレスを入力する必要があります。Cloud Manager は、システムの起動時に IP アドレスを HA ペアに割り当てます。
フローティング IP アドレスは、 HA 構成を導入する AWS リージョン内のどの VPC の CIDR ブロックにも属していない必要があります。フローティング IP アドレスは、リージョン内の VPC の外部にある論理サブネットと考えてください。
次の例は、 AWS リージョンのフローティング IP アドレスと VPC の関係を示しています。フローティング IP アドレスはどの VPC の CIDR ブロックにも属しておらず、ルーティングテーブルを介してサブネットにルーティングできます。
Cloud Manager は、 iSCSI アクセス用と、 VPC 外のクライアントからの NAS アクセス用に、自動的に静的 IP アドレスを作成します。これらの種類の IP アドレスの要件を満たす必要はありません。 - 外部からのフローティング IP アクセスを可能にする中継ゲートウェイ VPC
-
"AWS 転送ゲートウェイを設定します" HA ペアが配置されている VPC の外部から HA ペアのフローティング IP アドレスにアクセスできるようにします。
- ルートテーブル
-
Cloud Manager でフローティング IP アドレスを指定したあと、それらのフローティング IP アドレスへのルートを含むルーティングテーブルを選択する必要があります。これにより、 HA ペアへのクライアントアクセスが可能になります。
vPC (メインルートテーブル)内のサブネットのルートテーブルが 1 つだけの場合、 Cloud Manager はそのルートテーブルにフローティング IP アドレスを自動的に追加します。ルーティングテーブルが複数ある場合は、 HA ペアの起動時に正しいルーティングテーブルを選択することが非常に重要です。そうしないと、一部のクライアントが Cloud Volumes ONTAP にアクセスできない場合があります。
たとえば、異なるルートテーブルに関連付けられた 2 つのサブネットがあるとします。ルーティングテーブル A を選択し、ルーティングテーブル B は選択しなかった場合、ルーティングテーブル A に関連付けられたサブネット内のクライアントは HA ペアにアクセスできますが、ルーティングテーブル B に関連付けられたサブネット内のクライアントはアクセスできません。
ルーティングテーブルの詳細については、を参照してください "AWS のドキュメント:「 Route Tables"。
- ネットアップの管理ツールとの連携
-
複数の AZ に展開された HA 構成でネットアップ管理ツールを使用するには、次の 2 つの接続オプションがあります。
-
ネットアップの管理ツールは、別の VPC とに導入できます "AWS 転送ゲートウェイを設定します"。ゲートウェイを使用すると、 VPC の外部からクラスタ管理インターフェイスのフローティング IP アドレスにアクセスできます。
-
NAS クライアントと同様のルーティング設定を使用して、同じ VPC にネットアップ管理ツールを導入できます。
-
設定例
次の図は、アクティブ / パッシブ構成として動作する AWS の最適な HA 構成を示しています。
vPC 設定の例
Cloud Manager と Cloud Volumes ONTAP を AWS に導入する方法を理解するには、最も一般的な VPC 構成を確認する必要があります。
-
パブリックサブネットとプライベートサブネット、および NAT デバイスを備えた vPC
-
プライベートサブネットとネットワークへの VPN 接続を備えた vPC
パブリックサブネットとプライベートサブネット、および NAT デバイスを備えた vPC
この vPC 設定には、パブリックサブネットとプライベートサブネット、 vPC をインターネットに接続するインターネットゲートウェイ、プライベートサブネットからのアウトバウンドインターネットトラフィックを有効にするパブリックサブネット内の NAT ゲートウェイまたは NAT インスタンスが含まれます。この設定では、パブリックサブネットまたはプライベートサブネットで Cloud Manager を実行できますが、パブリックサブネットは、 vPC 外部のホストからのアクセスを許可するため、推奨されます。その後、プライベートサブネットで Cloud Volumes ONTAP インスタンスを起動できます。
NAT デバイスの代わりに、 HTTP プロキシを使用してインターネット接続を提供できます。 |
このシナリオの詳細については、を参照してください "AWS ドキュメント:シナリオ 2 :「 VPC with Public and Private Subnets ( NAT )」"。
次の図は、プライベートサブネットで実行されているパブリックサブネットおよびシングルノードシステムで実行されている Cloud Manager を示しています。
プライベートサブネットとネットワークへの VPN 接続を備えた vPC
この VPC 構成はハイブリッドクラウド構成で、 Cloud Volumes ONTAP はプライベート環境の拡張機能となります。この設定には、プライベートサブネットと、 VPN 接続を使用してネットワークに接続された仮想プライベートゲートウェイが含まれます。VPN トンネルを介したルーティングにより、 EC2 インスタンスはネットワークとファイアウォールを介してインターネットにアクセスできます。Cloud Manager は、プライベートサブネットまたはデータセンターで実行できます。次に、プライベートサブネットで Cloud Volumes ONTAP を起動します。
また、この構成でプロキシサーバを使用して、インターネットアクセスを許可することもできます。プロキシサーバは、データセンターまたは AWS に配置できます。 |
データセンター内の FAS システムと AWS 内の Cloud Volumes ONTAP システムの間でデータをレプリケートする場合は、リンクをセキュアにするために VPN 接続を使用する必要があります。
このシナリオの詳細については、を参照してください "AWS ドキュメント:シナリオ 4 :プライベートサブネットのみと AWS Managed VPN Access を使用した VPC"。
次の図は、データセンターで実行されている Cloud Manager と、プライベートサブネットで実行されているシングルノードシステムを示しています。