クラスタピアリングの前提条件
変更を提案
PDF
クラスタピアリングを設定する前に、接続、ポート、IPアドレス、サブネット、ファイアウォール、およびクラスタの命名要件が満たされていることを確認する必要があります。
|
ONTAP 9 .6以降では、クラスタピアリングでデータレプリケーションに対してTLS 1.2 AES-256 GCM暗号化がデフォルトでサポートされます。暗号化が無効になっていてもクラスタピアリングが機能するには、デフォルトのセキュリティ暗号(「PSK-AES256-GCM-SHA384」)が必要です。 ONTAP 9.11.1以降では、DHE-PSKセキュリティ暗号をデフォルトで使用できます。 ONTAP 9.15.1以降では、クラスタ ピアリングで、データ レプリケーションに対するTLS 1.3暗号化がデフォルトでサポートされます。 |
接続要件
ローカル クラスタのすべてのクラスタ間LIFが、リモート クラスタのすべてのクラスタ間LIFと通信可能であることが必要です。
必須ではありませんが、一般に、クラスタ間LIFには同じサブネットのIPアドレスを使用した方が構成がシンプルになります。使用するIPアドレスは、データLIFと同じサブネットのIPアドレスでも別のサブネットのIPアドレスでもかまいません。各クラスタで使用するサブネットは、次の要件を満たしている必要があります。
-
サブネットがクラスタ間通信で使用するポートを含むブロードキャスト ドメインに属している。
-
1つのノードにつき1つのインタークラスタLIFが割り当てられるよう、サブネットに十分な数のIPアドレスを準備する。
たとえば、4ノード クラスタの場合、クラスタ間通信で使用するサブネットには使用可能なIPアドレスが4つ必要です。
クラスタ間ネットワークでは、ノードごとにインタークラスタLIFとIPアドレスが必要です。
クラスタ間LIFのアドレスにはIPv4またはIPv6のいずれかを使用できます。
|
|
ONTAPでは、必要に応じてIPv4プロトコルとIPv6プロトコルがクラスタ間LIFに共存することを許可し、IPv4からIPv6にピアリング ネットワークを移行できます。以前のリリースでは、クラスタ全体のすべてのクラスタ間関係がIPv4またはIPv6のどちらかだったため、プロトコルの変更はシステム停止を伴うイベントでした。 |
ポートの要件
クラスタ間通信には専用のポートを使用することも、データ ネットワークで使用しているポートを共有することもできます。ポートは、次の要件を満たしている必要があります。
-
特定のリモート クラスタとの通信に使用するすべてのポートのIPspaceが同じである。
複数のクラスタとのピア関係の作成には複数のIPspaceを使用できます。ペアワイズのフルメッシュ接続はIPspace内でのみ必要になります。
-
クラスタ間通信で使用されるブロードキャスト ドメインに、1ノードあたり最低2つのポートがあり、クラスタ間通信で別のポートへのフェイルオーバーが可能になっている。
ブロードキャスト ドメインに追加できるポートは、物理ネットワーク ポート、VLAN、インターフェイス グループ(ifgrps)です。
-
すべてのポートが接続されている。
-
すべてのポートが健全な状態である。
-
ポートのMTU設定が一貫している。
ファイアウォールの要件
|
|
ONTAP 9 10.1以降では、ファイアウォールポリシーが廃止され、LIFのサービスポリシーに全面的に置き換えられました。詳細については、を参照してください "LIFのファイアウォールポリシーを設定する"。 |
ファイアウォールとクラスタ間ファイアウォールポリシーでは、次のプロトコルを許可する必要があります。
-
双方向ICMPトラフィック
-
双方向で開始され、すべてのクラスタ間LIFのIPアドレスを宛先とし、ポート11104および11105経由のTCPトラフィック
-
クラスタ間LIF間の双方向HTTPS
HTTPSはCLIを使用したクラスタ ピアリングのセットアップ時には必要ありませんが、System Managerを使用してデータ保護を設定する場合にはあとで必要になります。
デフォルトのファイアウォールポリシーは、 `intercluster`HTTPSプロトコルによるアクセスとすべてのIPアドレス(0.0.0.0/0)からのアクセスを許可します。必要に応じて、ポリシーを変更または置き換えることができます。
クラスタの要件
クラスタは、次の要件を満たす必要があります。
-
1つのクラスタでピア関係を確立できるクラスタは最大255個です。