Skip to main content
すべてのクラウドプロバイダー
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダー
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cloud Volumes ONTAP用に Google Cloud ネットワークを設定する

共同作成者 netapp-manini

NetAppコンソールは、IP アドレス、ネットマスク、ルートなどのCloud Volumes ONTAPのネットワーク コンポーネントのセットアップを処理します。アウトバウンドのインターネット アクセスが利用可能であること、十分なプライベート IP アドレスが利用可能であること、適切な接続が確立されていることなどを確認する必要があります。

HAペアを導入する場合は、"Google Cloud での HA ペアの仕組みを学ぶ"

Cloud Volumes ONTAPの要件

Google Cloud では次の要件を満たす必要があります。

単一ノードシステムに固有の要件

単一ノード システムを展開する場合は、ネットワークが次の要件を満たしていることを確認してください。

1つのVPC

単一ノード システムには 1 つの仮想プライベート クラウド (VPC) が必要です。

プライベートIPアドレス

Google Cloud の単一ノード システムの場合、コンソールは次のものにプライベート IP アドレスを割り当てます。

  • ノード

  • クラスタ

  • Storage VM

  • データNAS LIF

  • データ iSCSI LIF

API を使用してCloud Volumes ONTAPをデプロイし、次のフラグを指定すると、ストレージ VM (SVM) 管理 LIF の作成をスキップできます。

skipSvmManagementLif: true

メモ LIF は物理ポートに関連付けられた IP アドレスです。 SnapCenterなどの管理ツールには、ストレージ VM (SVM) 管理 LIF が必要です。

HAペア固有の要件

HA ペアを展開する場合は、ネットワークが次の要件を満たしていることを確認してください。

1つまたは複数のゾーン

複数のゾーンまたは単一のゾーンに HA 構成を展開することで、データの高可用性を確保できます。 HA ペアを作成するときに、コンソールで複数のゾーンまたは単一のゾーンを選択するように求められます。

  • 複数のゾーン(推奨)

    3 つのゾーンにわたって HA 構成を展開すると、ゾーン内で障害が発生した場合でも継続的なデータ可用性が確保されます。書き込みパフォーマンスは単一ゾーンを使用する場合と比べてわずかに低下しますが、最小限であることに注意してください。

  • 単一ゾーン

    単一のゾーンにデプロイされる場合、 Cloud Volumes ONTAP HA 構成では、スプレッド配置ポリシーが使用されます。このポリシーにより、障害の分離を実現するために個別のゾーンを使用する必要がなく、ゾーン内の単一障害点から HA 構成が保護されます。

    このデプロイメント モデルでは、ゾーン間のデータ送信料金が発生しないため、コストが削減されます。

4つの仮想プライベートクラウド

HA 構成には 4 つの仮想プライベート クラウド (VPC) が必要です。 Google Cloud では各ネットワーク インターフェースが個別の VPC ネットワークに存在する必要があるため、4 つの VPC が必要です。

HA ペアを作成するときに、コンソールで 4 つの VPC を選択するように求められます。

  • データとノードへのインバウンド接続用の VPC-0

  • ノードと HA メディエーター間の内部通信用の VPC-1、VPC-2、および VPC-3

Cloud Volume HA ペアと構成に必要な 4 つの VPC を示す概念図。

サブネット

各 VPC にはプライベート サブネットが必要です。

コンソール エージェントを VPC-0 に配置する場合は、API にアクセスしてデータ階層化を有効にするために、サブネットでプライベート Google アクセスを有効にする必要があります。

これらの VPC 内のサブネットには、異なる CIDR 範囲が必要です。重複する CIDR 範囲を持つことはできません。

プライベートIPアドレス

コンソールは、Google Cloud のCloud Volumes ONTAPに必要な数のプライベート IP アドレスを自動的に割り当てます。ネットワークに十分なプライベート アドレスが利用可能であることを確認する必要があります。

Cloud Volumes ONTAPに割り当てられる LIF の数は、単一ノード システムを展開するか、HA ペアを展開するかによって異なります。 LIF は物理ポートに関連付けられた IP アドレスです。 SnapCenterなどの管理ツールには、SVM 管理 LIF が必要です。

  • 単一ノード コンソールは単一ノード システムに 4 つの IP アドレスを割り当てます。

    • ノード管理LIF

    • クラスタ管理LIF

    • iSCSI データ LIF

      メモ iSCSI LIF は、iSCSI プロトコルを介したクライアント アクセスを提供し、システムによって他の重要なネットワーク ワークフローに使用されます。これらの LIF は必須であり、削除しないでください。
    • NAS LIF

      API を使用してCloud Volumes ONTAPをデプロイし、次のフラグを指定すると、ストレージ VM (SVM) 管理 LIF の作成をスキップできます。

    skipSvmManagementLif: true

  • HA ペア コンソールは HA ペアに 12 ~ 13 個の IP アドレスを割り当てます。

    • 2つのノード管理LIF(e0a)

    • 1 クラスタ管理LIF(e0a)

    • 2 つの iSCSI LIF (e0a)

      メモ iSCSI LIF は、iSCSI プロトコルを介したクライアント アクセスを提供し、システムによって他の重要なネットワーク ワークフローに使用されます。これらの LIF は必須であり、削除しないでください。
    • 1 個または 2 個の NAS LIF (e0a)

    • 2 つのクラスタ LIF (e0b)

    • 2 つの HA 相互接続 IP アドレス (e0c)

    • 2つのRSM iSCSI IPアドレス(e0d)

      API を使用してCloud Volumes ONTAPをデプロイし、次のフラグを指定すると、ストレージ VM (SVM) 管理 LIF の作成をスキップできます。

    skipSvmManagementLif: true

内部ロードバランサ

コンソールは、Cloud Volumes ONTAP HA ペアへの受信トラフィックを管理する 4 つの Google Cloud 内部ロードバランサ(TCP/UDP)を作成します。お客様側での設定は必要ありません。これを要件としてリストしたのは、ネットワーク トラフィックを通知し、セキュリティ上の懸念を軽減するためだけです。

1 つのロード バランサはクラスタ管理用、1 つはストレージ VM (SVM) 管理用、1 つはノード 1 への NAS トラフィック用、最後の 1 つはノード 2 への NAS トラフィック用です。

各ロードバランサーの設定は次のとおりです。

  • 1つの共有プライベートIPアドレス

  • グローバルな健康診断

    デフォルトでは、ヘルスチェックで使用されるポートは 63001、63002、および 63003 です。

  • 1つの地域TCPバックエンドサービス

  • 1つの地域UDPバックエンドサービス

  • 1つのTCP転送ルール

  • 1つのUDP転送ルール

  • グローバルアクセスが無効になっています

    グローバル アクセスはデフォルトで無効になっていますが、デプロイ後に有効にすることはサポートされています。リージョン間のトラフィックのレイテンシが大幅に増加するため、これを無効にしました。誤ってリージョンをまたいでマウントすることによって、ネガティブな体験をすることがないようにしたいと考えました。このオプションを有効にするかどうかは、ビジネス ニーズによって異なります。

共有VPC

Cloud Volumes ONTAPとコンソール エージェントは、Google Cloud 共有 VPC とスタンドアロン VPC でもサポートされています。

単一ノード システムの場合、VPC は共有 VPC またはスタンドアロン VPC のいずれかになります。

HA ペアの場合、4 つの VPC が必要です。これらの各 VPC は、共有またはスタンドアロンのいずれかになります。たとえば、VPC-0 は共有 VPC であり、VPC-1、VPC-2、VPC-3 はスタンドアロン VPC である可能性があります。

共有 VPC を使用すると、複数のプロジェクトにわたって仮想ネットワークを構成し、一元管理できます。 ホスト プロジェクト で共有 VPC ネットワークを設定し、サービス プロジェクト でコンソール エージェントとCloud Volumes ONTAP仮想マシン インスタンスをデプロイできます。

VPC でのパケットミラーリング

"パケットミラーリング"Cloud Volumes ONTAPをデプロイする Google Cloud サブネットで無効にする必要があります。

アウトバウンドインターネットアクセス

Cloud Volumes ONTAPシステムでは、さまざまな機能の外部エンドポイントにアクセスするために、アウトバウンド インターネット アクセスが必要です。セキュリティ要件が厳しい環境でこれらのエンドポイントがブロックされている場合、 Cloud Volumes ONTAP は正常に動作しません。

コンソール エージェントは、日常的な操作のために複数のエンドポイントにも接続します。エンドポイントの詳細については、以下を参照してください。 "コンソールエージェントから接続されたエンドポイントを表示する"そして "コンソールを使用するためのネットワークの準備"

Cloud Volumes ONTAPエンドポイント

Cloud Volumes ONTAP はこれらのエンドポイントを使用してさまざまなサービスと通信します。

エンドポイント 適用対象 目的 展開モード エンドポイントが利用できない場合の影響

https://netapp-cloud-account.auth0.com

認証

コンソールでの認証に使用されます。

標準モードと制限モード。

ユーザー認証が失敗し、次のサービスは利用できなくなります。

  • Cloud Volumes ONTAPサービス

  • ONTAPサービス

  • プロトコルとプロキシサービス

https://api.bluexp.netapp.com/tenancy

賃貸借

コンソールからCloud Volumes ONTAPリソースを取得して、リソースとユーザーを承認するために使用されます。

標準モードと制限モード。

Cloud Volumes ONTAPリソースとユーザーは承認されていません。

https://mysupport.netapp.com/aods/asupmessage https://mysupport.netapp.com/asupprod/post/1.0/postAsup

AutoSupport

AutoSupportテレメトリ データをNetAppサポートに送信するために使用されます。

標準モードと制限モード。

AutoSupport情報は未配信のままです。

https://www.googleapis.com/compute/v1/projects/ https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects https://compute.googleapis.com/compute/v1

Google Cloud(商用利用)。

Google Cloud サービスとの通信。

標準、制限、プライベートのモード。

Cloud Volumes ONTAP は、 Google Cloud サービスと通信して、Google Cloud のコンソールの特定の操作を実行できません。

他のネットワーク内のONTAPシステムへの接続

Google Cloud のCloud Volumes ONTAPシステムと他のネットワークのONTAPシステム間でデータを複製するには、VPC と他のネットワーク(企業ネットワークなど)の間に VPN 接続が必要です。

ファイアウォールルール

コンソールは、Cloud Volumes ONTAP が正常に動作するために必要な受信ルールと送信ルールを含む Google Cloud ファイアウォール ルールを作成します。テスト目的の場合、または独自のファイアウォール ルールを使用する場合は、ポートを参照することをお勧めします。

Cloud Volumes ONTAPのファイアウォール ルールには、インバウンド ルールとアウトバウンド ルールの両方が必要です。 HA 構成を展開する場合、これらは VPC-0 のCloud Volumes ONTAPのファイアウォール ルールです。

HA 構成には 2 セットのファイアウォール ルールが必要であることに注意してください。

  • VPC-0 の HA コンポーネントに対する 1 セットのルール。これらのルールにより、Cloud Volumes ONTAPへのデータ アクセスが可能になります。

  • VPC-1、VPC-2、VPC-3 の HA コンポーネントに対する別のルール セット。これらのルールは、HA コンポーネント間の受信および送信通信に対して有効です。詳細情報

ヒント コンソール エージェントに関する情報をお探しですか? "コンソールエージェントのファイアウォールルールを表示する"

インバウンドルール

Cloud Volumes ONTAPシステムを追加する場合、展開時に事前定義されたファイアウォール ポリシーのソース フィルターを選択できます。

  • 選択した VPC のみ: 受信トラフィックのソース フィルターは、Cloud Volumes ONTAPシステムの VPC のサブネット範囲と、コンソール エージェントが存在する VPC のサブネット範囲です。これは推奨されるオプションです。

  • すべての VPC: 受信トラフィックのソース フィルターは 0.0.0.0/0 IP 範囲です。

独自のファイアウォール ポリシーを使用する場合は、 Cloud Volumes ONTAPと通信する必要があるすべてのネットワークを追加するだけでなく、内部 Google ロードバランサが正しく機能できるように両方のアドレス範囲も追加してください。これらのアドレスは 130.211.0.0/22 と 35.191.0.0/16 です。詳細については、 "Google Cloud ドキュメント: ロードバランサのファイアウォール ルール"

プロトコル ポート 目的

すべてのICMP

全て

インスタンスにpingを実行する

HTTP

80

クラスタ管理LIFのIPアドレスを使用してONTAP System Manager WebコンソールにHTTPアクセスする

HTTPS

443

コンソールエージェントとの接続と、クラスタ管理LIFのIPアドレスを使用したONTAP System Manager WebコンソールへのHTTPSアクセス

SSH

22

クラスタ管理LIFまたはノード管理LIFのIPアドレスへのSSHアクセス

TCP

111

NFS のリモート プロシージャ コール

TCP

139

CIFSのNetBIOSサービスセッション

TCP

161-162

簡易ネットワーク管理プロトコル

TCP

445

NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS

TCP

635

NFSマウント

TCP

749

Kerberos

TCP

2049

NFSサーバ デーモン

TCP

3260

iSCSI データ LIF を介した iSCSI アクセス

TCP

4045

NFSロック デーモン

TCP

4046

NFS のネットワーク ステータス モニター

TCP

10000

NDMPを使用したバックアップ

TCP

11104

SnapMirrorのクラスタ間通信セッションの管理

TCP

11105

クラスタ間LIFを使用したSnapMirrorデータ転送

TCP

63001-63050

どのノードが正常であるかを判断するためにプローブ ポートをロード バランシングします (HA ペアの場合のみ必要)

UDP

111

NFS のリモート プロシージャ コール

UDP

161-162

簡易ネットワーク管理プロトコル

UDP

635

NFSマウント

UDP

2049

NFSサーバ デーモン

UDP

4045

NFSロック デーモン

UDP

4046

NFS のネットワーク ステータス モニター

UDP

4049

NFS rquotadプロトコル

アウトバウンドルール

Cloud Volumes ONTAPの定義済みセキュリティ グループは、すべての送信トラフィックを開きます。それが許容できる場合は、基本的な送信ルールに従ってください。より厳格なルールが必要な場合は、高度な送信ルールを使用します。

基本的なアウトバウンドルール

Cloud Volumes ONTAPの定義済みセキュリティ グループには、次の送信ルールが含まれています。

プロトコル ポート 目的

すべてのICMP

全て

すべての送信トラフィック

すべてTCP

全て

すべての送信トラフィック

すべてUDP

全て

すべての送信トラフィック

高度なアウトバウンドルール

送信トラフィックに厳格なルールが必要な場合は、次の情報を使用して、 Cloud Volumes ONTAPによる送信通信に必要なポートのみを開くことができます。 Cloud Volumes ONTAPクラスターは、ノード トラフィックを制御するために次のポートを使用します。

メモ ソースは、Cloud Volumes ONTAPシステムのインターフェース (IP アドレス) です。
サービス プロトコル ポート ソース デスティネーション 目的

Active Directory

TCP

88

ノード管理LIF

アクティブディレクトリフォレスト

Kerberos V認証

UDP

137

ノード管理LIF

アクティブディレクトリフォレスト

NetBIOSネーム サービス

UDP

138

ノード管理LIF

アクティブディレクトリフォレスト

NetBIOSデータグラムサービス

TCP

139

ノード管理LIF

アクティブディレクトリフォレスト

NetBIOSサービス セッション

TCPとUDP

389

ノード管理LIF

アクティブディレクトリフォレスト

LDAP

TCP

445

ノード管理LIF

アクティブディレクトリフォレスト

NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS

TCP

464

ノード管理LIF

アクティブディレクトリフォレスト

Kerberos V パスワードの変更と設定 (SET_CHANGE)

UDP

464

ノード管理LIF

アクティブディレクトリフォレスト

Kerberos鍵管理

TCP

749

ノード管理LIF

アクティブディレクトリフォレスト

Kerberos V パスワードの変更と設定 (RPCSEC_GSS)

TCP

88

データ LIF (NFS、CIFS、iSCSI)

アクティブディレクトリフォレスト

Kerberos V認証

UDP

137

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

NetBIOSネーム サービス

UDP

138

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

NetBIOSデータグラムサービス

TCP

139

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

NetBIOSサービス セッション

TCPとUDP

389

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

LDAP

TCP

445

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS

TCP

464

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

Kerberos V パスワードの変更と設定 (SET_CHANGE)

UDP

464

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

Kerberos鍵管理

TCP

749

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

Kerberos V パスワードの変更と設定 (RPCSEC_GSS)

AutoSupport

HTTPS

443

ノード管理LIF

mysupport.netapp.com

AutoSupport (HTTPSがデフォルト)

HTTP

80

ノード管理LIF

mysupport.netapp.com

AutoSupport (トランスポート プロトコルが HTTPS から HTTP に変更された場合のみ)

TCP

3128

ノード管理LIF

コンソールエージェント

アウトバウンドインターネット接続が利用できない場合、コンソールエージェント上のプロキシサーバーを介してAutoSupportメッセージを送信する

構成のバックアップ

HTTP

80

ノード管理LIF

http://<コンソールエージェントのIPアドレス>/occm/offboxconfig

構成のバックアップをコンソール エージェントに送信します。"ONTAPのドキュメント"

DHCP

UDP

68

ノード管理LIF

DHCP

初回セットアップ用のDHCPクライアント

DHCP

UDP

67

ノード管理LIF

DHCP

DHCP サーバ

DNS

UDP

53

ノード管理LIFとデータLIF(NFS、CIFS)

DNS

DNS

NDMP

TCP

18600~18699

ノード管理LIF

宛先サーバー

NDMPコピー

SMTP

TCP

25

ノード管理LIF

メール サーバ

SMTPアラートはAutoSupportに使用できます

SNMP

TCP

161

ノード管理LIF

監視サーバー

SNMPトラップによる監視

UDP

161

ノード管理LIF

監視サーバー

SNMPトラップによる監視

TCP

162

ノード管理LIF

監視サーバー

SNMPトラップによる監視

UDP

162

ノード管理LIF

監視サーバー

SNMPトラップによる監視

SnapMirror

TCP

11104

クラスタ間LIF

ONTAPクラスタ間LIF

SnapMirrorのクラスタ間通信セッションの管理

TCP

11105

クラスタ間LIF

ONTAPクラスタ間LIF

SnapMirrorデータ転送

syslog

UDP

514

ノード管理LIF

syslogサーバ

Syslog転送メッセージ

VPC-1、VPC-2、VPC-3のルール

Google Cloud では、HA 構成が 4 つの VPC にデプロイされます。 VPC-0のHA構成に必要なファイアウォールルールはCloud Volumes ONTAPについては上記に記載されています

一方、VPC-1、VPC-2、VPC-3 のインスタンスに作成された定義済みのファイアウォール ルールにより、すべてのプロトコルとポートを介した受信通信が可能になります。これらのルールにより、HA ノード間の通信が可能になります。

HA ノードから HA メディエーターへの通信は、ポート 3260 (iSCSI) を介して行われます。

メモ 新しい Google Cloud HA ペアのデプロイメントで高速書き込みを有効にするには、VPC-1、VPC-2、VPC-3 に少なくとも 8,896 バイトの最大転送単位 (MTU) が必要です。既存の VPC-1、VPC-2、および VPC-3 を 8,896 バイトの MTU にアップグレードすることを選択した場合は、設定プロセス中にこれらの VPC を使用している既存の HA システムをすべてシャットダウンする必要があります。

コンソールエージェントの要件

コンソール エージェントをまだ作成していない場合は、ネットワーク要件を確認する必要があります。

コンソールエージェントプロキシをサポートするためのネットワーク構成

コンソール エージェント用に設定されたプロキシ サーバーを使用して、 Cloud Volumes ONTAPからのアウトバウンド インターネット アクセスを有効にすることができます。コンソールは次の 2 種類のプロキシをサポートしています。

  • 明示的なプロキシ: Cloud Volumes ONTAPからの送信トラフィックは、コンソール エージェントのプロキシ構成時に指定されたプロキシ サーバーの HTTP アドレスを使用します。コンソール エージェント管理者は、追加の認証のためにユーザー資格情報とルート CA 証明書を構成している場合もあります。明示的なプロキシにルートCA証明書が利用可能な場合は、必ず同じ証明書を取得して、 Cloud Volumes ONTAPシステムにアップロードしてください。 "ONTAP CLI: セキュリティ証明書のインストール"指示。

  • 透過プロキシ: ネットワークは、 Cloud Volumes ONTAPからの送信トラフィックをコンソール エージェント プロキシ経由で自動的にルーティングするように構成されています。透過プロキシを設定する場合、コンソール エージェント管理者は、プロキシ サーバーの HTTP アドレスではなく、 Cloud Volumes ONTAPからの接続用のルート CA 証明書のみを提供する必要があります。同じルートCA証明書を取得し、 Cloud Volumes ONTAPシステムにアップロードしてください。 "ONTAP CLI: セキュリティ証明書のインストール"指示。

コンソールエージェントのプロキシサーバーの構成については、 "プロキシサーバーを使用するようにコンソールエージェントを構成する"

Google Cloud でCloud Volumes ONTAPのネットワーク タグを構成する

コンソール エージェントの透過プロキシ構成中に、管理者は Google Cloud のネットワーク タグを追加します。 Cloud Volumes ONTAP構成に同じネットワーク タグを取得して手動で追加する必要があります。このタグは、プロキシ サーバーが正しく機能するために必要です。

  1. Google Cloud コンソールで、 Cloud Volumes ONTAPシステムを見つけます。

  2. 詳細 > ネットワーク > ネットワーク タグ に移動します。

  3. コンソール エージェントに使用するタグを追加し、構成を保存します。