Cloud Volumes ONTAP用の Azure ネットワークを設定する
変更を提案
PDF
NetAppコンソールは、IP アドレス、ネットマスク、ルートなどのCloud Volumes ONTAPのネットワーク コンポーネントのセットアップを処理します。アウトバウンドのインターネット アクセスが利用可能であること、十分なプライベート IP アドレスが利用可能であること、適切な接続が確立されていることなどを確認する必要があります。
Cloud Volumes ONTAPの要件
Azure では次のネットワーク要件を満たす必要があります。
アウトバウンドインターネットアクセス
Cloud Volumes ONTAPシステムでは、さまざまな機能の外部エンドポイントにアクセスするために、アウトバウンド インターネット アクセスが必要です。セキュリティ要件が厳しい環境でこれらのエンドポイントがブロックされている場合、 Cloud Volumes ONTAP は正常に動作しません。
コンソール エージェントは、日常的な操作のために複数のエンドポイントにも接続します。エンドポイントの詳細については、以下を参照してください。 "コンソールエージェントから接続されたエンドポイントを表示する"そして "コンソールを使用するためのネットワークの準備"。
Cloud Volumes ONTAPエンドポイント
Cloud Volumes ONTAP はこれらのエンドポイントを使用してさまざまなサービスと通信します。
| エンドポイント | 適用対象 | 目的 | 展開モード | 利用できない場合の影響 |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
認証 |
コンソールでの認証に使用されます。 |
標準モードと制限モード。 |
ユーザー認証が失敗し、次のサービスは利用できなくなります。
|
キーボールト |
カスタマー マネージド キー (CMK) を使用するときに、Azure Key Vault からクライアント シークレット キーを取得するために使用されます。 |
標準、制限、プライベートのモード。 |
Cloud Volumes ONTAPサービスは利用できません。 |
|
https://api.bluexp.netapp.com/tenancy |
賃貸借 |
コンソールからCloud Volumes ONTAPリソースを取得して、リソースとユーザーを承認するために使用されます。 |
標準モードと制限モード。 |
Cloud Volumes ONTAPリソースとユーザーは承認されていません。 |
https://mysupport.netapp.com/aods/asupmessage https://mysupport.netapp.com/asupprod/post/1.0/postAsup |
AutoSupport |
AutoSupportテレメトリ データをNetAppサポートに送信するために使用されます。 |
標準モードと制限モード。 |
AutoSupport情報は未配信のままです。 |
https://management.azure.com https://login.microsoftonline.com https://bluexpinfraprod.eastus2.data.azurecr.io https://core.windows.net |
パブリックリージョン |
Azure サービスとの通信。 |
標準、制限、プライベートのモード。 |
Cloud Volumes ONTAP は、 Azure サービスと通信して Azure のコンソールの特定の操作を実行できません。 |
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn |
中国地域 |
Azure サービスとの通信。 |
標準、制限、プライベートのモード。 |
Cloud Volumes ONTAP は、 Azure サービスと通信して Azure のコンソールの特定の操作を実行できません。 |
https://management.microsoftazure.de https://login.microsoftonline.de https://blob.core.cloudapi.de https://core.cloudapi.de |
ドイツ地域 |
Azure サービスとの通信。 |
標準、制限、プライベートのモード。 |
Cloud Volumes ONTAP は、 Azure サービスと通信して Azure のコンソールの特定の操作を実行できません。 |
https://management.usgovcloudapi.net https://login.microsoftonline.us https://blob.core.usgovcloudapi.net https://core.usgovcloudapi.net |
政府地域 |
Azure サービスとの通信。 |
標準、制限、プライベートのモード。 |
Cloud Volumes ONTAP は、 Azure サービスと通信して Azure のコンソールの特定の操作を実行できません。 |
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud |
政府国防総省地域 |
Azure サービスとの通信。 |
標準、制限、プライベートのモード。 |
Cloud Volumes ONTAP は、 Azure サービスと通信して Azure のコンソールの特定の操作を実行できません。 |
NetAppコンソールエージェントのネットワークプロキシ構成
NetAppコンソール エージェントのプロキシ サーバー構成を使用して、 Cloud Volumes ONTAPからのアウトバウンド インターネット アクセスを有効にすることができます。コンソールは次の 2 種類のプロキシをサポートしています。
-
明示的なプロキシ: Cloud Volumes ONTAPからの送信トラフィックは、コンソール エージェントのプロキシ構成時に指定されたプロキシ サーバーの HTTP アドレスを使用します。管理者は、追加の認証のためにユーザー資格情報とルート CA 証明書を構成している場合もあります。明示的なプロキシにルートCA証明書が利用可能な場合は、必ず同じ証明書を取得して、 Cloud Volumes ONTAPシステムにアップロードしてください。 "ONTAP CLI: セキュリティ証明書のインストール"指示。
-
透過プロキシ: ネットワークは、 Cloud Volumes ONTAPからの送信トラフィックをコンソール エージェントのプロキシを介して自動的にルーティングするように構成されています。透過プロキシを設定する場合、管理者はプロキシ サーバーの HTTP アドレスではなく、 Cloud Volumes ONTAPからの接続用のルート CA 証明書のみを提供する必要があります。同じルートCA証明書を取得し、 Cloud Volumes ONTAPシステムにアップロードしてください。 "ONTAP CLI: セキュリティ証明書のインストール"指示。
プロキシサーバーの設定方法については、 "プロキシサーバーを使用するようにコンソールエージェントを構成する" 。
IPアドレス
コンソールは、Azure のCloud Volumes ONTAPに必要な数のプライベート IP アドレスを自動的に割り当てます。ネットワークに十分なプライベート IP アドレスが利用可能であることを確認する必要があります。
Cloud Volumes ONTAPに割り当てられる LIF の数は、単一ノード システムを展開するか、HA ペアを展開するかによって異なります。 LIF は物理ポートに関連付けられた IP アドレスです。 SnapCenterなどの管理ツールには、SVM 管理 LIF が必要です。
|
iSCSI LIF は、iSCSI プロトコルを介したクライアント アクセスを提供し、システムによって他の重要なネットワーク ワークフローに使用されます。これらの LIF は必須であり、削除しないでください。 |
単一ノードシステムのIPアドレス
コンソールは、単一ノード システムに 5 つまたは 6 つの IP アドレスを割り当てます。
-
クラスタ管理IP
-
ノード管理IP
-
SnapMirrorのクラスタ間 IP
-
NFS/CIFS IP
-
iSCSI IP
iSCSI IP は、iSCSI プロトコルを介したクライアント アクセスを提供します。これは、システムによって他の重要なネットワーク ワークフローにも使用されます。この LIF は必須であり、削除しないでください。 -
SVM 管理 (オプション - デフォルトでは構成されていません)
HAペアのIPアドレス
コンソールは、展開中に 4 つの NIC (ノードあたり) に IP アドレスを割り当てます。
コンソールは HA ペア上に SVM 管理 LIF を作成しますが、Azure の単一ノード システム上には作成しないことに注意してください。
NIC0
-
ノード管理IP
-
クラスタ間IP
-
iSCSI IP
iSCSI IP は、iSCSI プロトコルを介したクライアント アクセスを提供します。これは、システムによって他の重要なネットワーク ワークフローにも使用されます。この LIF は必須であり、削除しないでください。
NIC1
-
クラスターネットワークIP
NIC2
-
クラスタ相互接続 IP (HA IC)
NIC3
-
Pageblob NIC IP (ディスクアクセス)
|
|
NIC3 は、ページ BLOB ストレージを使用する HA 展開にのみ適用されます。 |
上記の IP アドレスは、フェールオーバー イベントでは移行されません。
さらに、4 つのフロントエンド IP (FIP) がフェイルオーバー イベント時に移行するように構成されています。これらのフロントエンド IP はロードバランサー内に存在します。
-
クラスタ管理IP
-
NodeA データ IP (NFS/CIFS)
-
NodeB データ IP (NFS/CIFS)
-
SVM管理IP
Azure サービスへの安全な接続
デフォルトでは、コンソールは、 Cloud Volumes ONTAPと Azure ページ BLOB ストレージ アカウント間の接続に Azure プライベート リンクを有効にします。
ほとんどの場合、何もする必要はありません。コンソールが Azure Private Link を管理します。ただし、Azure プライベート DNS を使用する場合は、構成ファイルを編集する必要があります。 Azure 内のコンソール エージェントの場所に関する要件にも注意する必要があります。
ビジネスニーズに応じて、プライベートリンク接続を無効にすることもできます。リンクを無効にすると、コンソールは代わりにサービス エンドポイントを使用するようにCloud Volumes ONTAPを構成します。
他のONTAPシステムへの接続
Azure のCloud Volumes ONTAPシステムと他のネットワークのONTAPシステム間でデータをレプリケートするには、Azure VNet と他のネットワーク (企業ネットワークなど) の間に VPN 接続が必要です。
HA相互接続用のポート
Cloud Volumes ONTAP HA ペアには HA 相互接続が含まれており、これにより各ノードはパートナーが機能しているかどうかを継続的に確認し、もう一方の不揮発性メモリのログ データをミラーリングできます。 HA 相互接続は通信に TCP ポート 10006 を使用します。
デフォルトでは、HA 相互接続 LIF 間の通信はオープンであり、このポートにはセキュリティ グループ ルールはありません。ただし、HA 相互接続 LIF 間にファイアウォールを作成する場合は、HA ペアが適切に動作できるように、TCP トラフィックがポート 10006 に対して開いていることを確認する必要があります。
Azure リソース グループには HA ペアが 1 つだけあります
Azure にデプロイするCloud Volumes ONTAP HA ペアごとに専用のリソース グループを使用する必要があります。リソース グループでは 1 つの HA ペアのみがサポートされます。
Azure リソース グループに 2 番目のCloud Volumes ONTAP HA ペアをデプロイしようとすると、コンソールで接続の問題が発生します。
セキュリティグループルール
コンソールは、Cloud Volumes ONTAP が正常に動作するためのインバウンド ルールとアウトバウンド ルールを含む Azure セキュリティ グループを作成します。 "コンソールエージェントのセキュリティグループルールを表示する" 。
Cloud Volumes ONTAPの Azure セキュリティ グループでは、ノード間の内部通信用に適切なポートが開いている必要があります。 "ONTAPの内部ポートについて学ぶ" 。
定義済みのセキュリティ グループを変更したり、カスタム セキュリティ グループを使用することはお勧めしません。ただし、必要な場合は、展開プロセスでCloud Volumes ONTAPシステムが独自のサブネット内でフルアクセス権を持つ必要があることに注意してください。デプロイが完了したら、ネットワーク セキュリティ グループを変更する場合は、クラスター ポートと HA ネットワーク ポートを開いたままにしておいてください。これにより、Cloud Volumes ONTAPクラスター内でのシームレスな通信 (ノード間の any-to-any 通信) が保証されます。
単一ノードシステムの受信ルール
Cloud Volumes ONTAPシステムを追加し、定義済みのセキュリティ グループを選択すると、次のいずれかの範囲内でトラフィックを許可することを選択できます。
-
選択した VNet のみ: 受信トラフィックのソースは、Cloud Volumes ONTAPシステムの VNet のサブネット範囲と、コンソール エージェントが存在する VNet のサブネット範囲です。これは推奨されるオプションです。
-
すべての VNet: 受信トラフィックのソースは、0.0.0.0/0 IP 範囲です。
-
無効: このオプションは、ストレージ アカウントへのパブリック ネットワーク アクセスを制限し、 Cloud Volumes ONTAPシステムのデータ階層化を無効にします。セキュリティ規制やポリシーにより、同じ VNet 内であってもプライベート IP アドレスを公開しない場合は、このオプションが推奨されます。
| 優先順位と名前 | ポートとプロトコル | 送信元と送信先 | 説明 |
|---|---|---|---|
1000 受信SSH |
22 TCP |
任意対任意 |
クラスタ管理LIFまたはノード管理LIFのIPアドレスへのSSHアクセス |
1001 インバウンド_http |
80 TCP |
任意対任意 |
クラスタ管理LIFのIPアドレスを使用してONTAP System Manager WebコンソールにHTTPアクセスする |
1002 inbound_111_tcp |
111 TCP |
任意対任意 |
NFS のリモート プロシージャ コール |
1003 inbound_111_udp |
111 UDP |
任意対任意 |
NFS のリモート プロシージャ コール |
1004 inbound_139 |
139 TCP |
任意対任意 |
CIFSのNetBIOSサービスセッション |
1005 受信_161-162 _tcp |
161-162 TCP |
任意対任意 |
簡易ネットワーク管理プロトコル |
1006 受信_161-162 _udp |
161-162 UDP |
任意対任意 |
簡易ネットワーク管理プロトコル |
1007 inbound_443 |
443 TCP |
任意対任意 |
コンソールエージェントとの接続と、クラスタ管理LIFのIPアドレスを使用したONTAP System Manager WebコンソールへのHTTPSアクセス |
1008 inbound_445 |
445 TCP |
任意対任意 |
NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS |
1009 inbound_635_tcp |
635 TCP |
任意対任意 |
NFSマウント |
1010 inbound_635_udp |
635 UDP |
任意対任意 |
NFSマウント |
1011 inbound_749 |
749 TCP |
任意対任意 |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
任意対任意 |
NFSサーバ デーモン |
1013 inbound_2049_udp |
2049 UDP |
任意対任意 |
NFSサーバ デーモン |
1014 inbound_3260 |
3260 TCP |
任意対任意 |
iSCSI データ LIF を介した iSCSI アクセス |
1015 受信_4045-4046_tcp |
4045-4046 TCP |
任意対任意 |
NFS ロックデーモンとネットワークステータスモニター |
1016 受信_4045-4046_udp |
4045-4046 UDP |
任意対任意 |
NFS ロックデーモンとネットワークステータスモニター |
1017 inbound_10000 |
10000 TCP |
任意対任意 |
NDMPを使用したバックアップ |
1018 着信_11104-11105 |
11104-11105 TCP |
任意対任意 |
SnapMirrorデータ転送 |
3000 受信拒否 _all_tcp |
任意のポート TCP |
任意対任意 |
その他のTCP受信トラフィックをすべてブロックする |
3001 受信拒否 _all_udp |
任意のポートUDP |
任意対任意 |
その他のUDP受信トラフィックをすべてブロックする |
65000 VnetInBound を許可する |
任意のポート 任意のプロトコル |
仮想ネットワークから仮想ネットワークへ |
VNet 内からの受信トラフィック |
65001 Azureロードバランサーの受信を許可する |
任意のポート 任意のプロトコル |
AzureLoadBalancer から Any |
Azure Standard Load Balancer からのデータ トラフィック |
65500 全受信拒否 |
任意のポート 任意のプロトコル |
任意対任意 |
その他のすべての受信トラフィックをブロックする |
HAシステムの受信ルール
Cloud Volumes ONTAPシステムを追加し、定義済みのセキュリティ グループを選択すると、次のいずれかの範囲内でトラフィックを許可することを選択できます。
-
選択した VNet のみ: 受信トラフィックのソースは、Cloud Volumes ONTAPシステムの VNet のサブネット範囲と、コンソール エージェントが存在する VNet のサブネット範囲です。これは推奨されるオプションです。
-
すべての VNet: 受信トラフィックのソースは、0.0.0.0/0 IP 範囲です。
|
|
HA システムでは、受信データ トラフィックが Azure Standard Load Balancer を経由するため、単一ノード システムよりも受信ルールが少なくなります。このため、「AllowAzureLoadBalancerInBound」ルールに示されているように、ロード バランサーからのトラフィックは開いている必要があります。 |
-
無効: このオプションは、ストレージ アカウントへのパブリック ネットワーク アクセスを制限し、 Cloud Volumes ONTAPシステムのデータ階層化を無効にします。セキュリティ規制やポリシーにより、同じ VNet 内であってもプライベート IP アドレスを公開しない場合は、このオプションが推奨されます。
| 優先順位と名前 | ポートとプロトコル | 送信元と送信先 | 説明 |
|---|---|---|---|
100 inbound_443 |
443 任意のプロトコル |
任意対任意 |
コンソールエージェントとの接続と、クラスタ管理LIFのIPアドレスを使用したONTAP System Manager WebコンソールへのHTTPSアクセス |
101 inbound_111_tcp |
111 任意のプロトコル |
任意対任意 |
NFS のリモート プロシージャ コール |
102 inbound_2049_tcp |
2049 あらゆるプロトコル |
任意対任意 |
NFSサーバ デーモン |
111 受信SSH |
22 あらゆるプロトコル |
任意対任意 |
クラスタ管理LIFまたはノード管理LIFのIPアドレスへのSSHアクセス |
121 inbound_53 |
53 あらゆるプロトコル |
任意対任意 |
DNSとCIFS |
65000 VnetInBound を許可する |
任意のポート 任意のプロトコル |
仮想ネットワークから仮想ネットワークへ |
VNet 内からの受信トラフィック |
65001 Azureロードバランサーの受信を許可する |
任意のポート 任意のプロトコル |
AzureLoadBalancer から Any |
Azure Standard Load Balancer からのデータ トラフィック |
65500 全受信拒否 |
任意のポート 任意のプロトコル |
任意対任意 |
その他のすべての受信トラフィックをブロックする |
アウトバウンドルール
Cloud Volumes ONTAPの定義済みセキュリティ グループは、すべての送信トラフィックを開きます。それが許容できる場合は、基本的な送信ルールに従ってください。より厳格なルールが必要な場合は、高度な送信ルールを使用します。
基本的なアウトバウンドルール
Cloud Volumes ONTAPの定義済みセキュリティ グループには、次の送信ルールが含まれています。
| ポート | プロトコル | 目的 |
|---|---|---|
全て |
すべてTCP |
すべての送信トラフィック |
全て |
すべてUDP |
すべての送信トラフィック |
高度なアウトバウンドルール
送信トラフィックに厳格なルールが必要な場合は、次の情報を使用して、 Cloud Volumes ONTAPによる送信通信に必要なポートのみを開くことができます。
|
|
ソースは、Cloud Volumes ONTAPシステム上のインターフェース (IP アドレス) です。 |
| サービス | ポート | プロトコル | ソース | デスティネーション | 目的 |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
ノード管理LIF |
アクティブディレクトリフォレスト |
Kerberos V認証 |
137 |
UDP |
ノード管理LIF |
アクティブディレクトリフォレスト |
NetBIOSネーム サービス |
|
138 |
UDP |
ノード管理LIF |
アクティブディレクトリフォレスト |
NetBIOSデータグラムサービス |
|
139 |
TCP |
ノード管理LIF |
アクティブディレクトリフォレスト |
NetBIOSサービス セッション |
|
389 |
TCPとUDP |
ノード管理LIF |
アクティブディレクトリフォレスト |
LDAP |
|
445 |
TCP |
ノード管理LIF |
アクティブディレクトリフォレスト |
NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS |
|
464 |
TCP |
ノード管理LIF |
アクティブディレクトリフォレスト |
Kerberos V パスワードの変更と設定 (SET_CHANGE) |
|
464 |
UDP |
ノード管理LIF |
アクティブディレクトリフォレスト |
Kerberos鍵管理 |
|
749 |
TCP |
ノード管理LIF |
アクティブディレクトリフォレスト |
Kerberos V パスワードの変更と設定 (RPCSEC_GSS) |
|
88 |
TCP |
データ LIF (NFS、CIFS、iSCSI) |
アクティブディレクトリフォレスト |
Kerberos V認証 |
|
137 |
UDP |
データ LIF (NFS、CIFS) |
アクティブディレクトリフォレスト |
NetBIOSネーム サービス |
|
138 |
UDP |
データ LIF (NFS、CIFS) |
アクティブディレクトリフォレスト |
NetBIOSデータグラムサービス |
|
139 |
TCP |
データ LIF (NFS、CIFS) |
アクティブディレクトリフォレスト |
NetBIOSサービス セッション |
|
389 |
TCPとUDP |
データ LIF (NFS、CIFS) |
アクティブディレクトリフォレスト |
LDAP |
|
445 |
TCP |
データ LIF (NFS、CIFS) |
アクティブディレクトリフォレスト |
NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS |
|
464 |
TCP |
データ LIF (NFS、CIFS) |
アクティブディレクトリフォレスト |
Kerberos V パスワードの変更と設定 (SET_CHANGE) |
|
464 |
UDP |
データ LIF (NFS、CIFS) |
アクティブディレクトリフォレスト |
Kerberos鍵管理 |
|
749 |
TCP |
データ LIF (NFS、CIFS) |
アクティブディレクトリフォレスト |
Kerberos V パスワードの変更と設定 (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
ノード管理LIF |
mysupport.netapp.com |
AutoSupport (HTTPSがデフォルト) |
HTTP |
80 |
ノード管理LIF |
mysupport.netapp.com |
AutoSupport (トランスポート プロトコルが HTTPS から HTTP に変更された場合のみ) |
|
TCP |
3128 |
ノード管理LIF |
コンソールエージェント |
アウトバウンドインターネット接続が利用できない場合、コンソールエージェント上のプロキシサーバーを介してAutoSupportメッセージを送信する |
|
構成のバックアップ |
HTTP |
80 |
ノード管理LIF |
http://<コンソールエージェントのIPアドレス>/occm/offboxconfig |
構成のバックアップをコンソール エージェントに送信します。"ONTAPのドキュメント" 。 |
DHCP |
68 |
UDP |
ノード管理LIF |
DHCP |
初回セットアップ用のDHCPクライアント |
DHCP |
67 |
UDP |
ノード管理LIF |
DHCP |
DHCP サーバ |
DNS |
53 |
UDP |
ノード管理LIFとデータLIF(NFS、CIFS) |
DNS |
DNS |
NDMP |
18600~18699 |
TCP |
ノード管理LIF |
宛先サーバー |
NDMPコピー |
SMTP |
25 |
TCP |
ノード管理LIF |
メール サーバ |
SMTPアラートはAutoSupportに使用できます |
SNMP |
161 |
TCP |
ノード管理LIF |
監視サーバー |
SNMPトラップによる監視 |
161 |
UDP |
ノード管理LIF |
監視サーバー |
SNMPトラップによる監視 |
|
162 |
TCP |
ノード管理LIF |
監視サーバー |
SNMPトラップによる監視 |
|
162 |
UDP |
ノード管理LIF |
監視サーバー |
SNMPトラップによる監視 |
|
SnapMirror |
11104 |
TCP |
クラスタ間LIF |
ONTAPクラスタ間LIF |
SnapMirrorのクラスタ間通信セッションの管理 |
11105 |
TCP |
クラスタ間LIF |
ONTAPクラスタ間LIF |
SnapMirrorデータ転送 |
|
syslog |
514 |
UDP |
ノード管理LIF |
syslogサーバ |
Syslog転送メッセージ |
コンソールエージェントの要件
コンソール エージェントをまだ作成していない場合は、コンソール エージェントのネットワーク要件も確認する必要があります。