Azure에서 Cloud Volumes ONTAP를 구축 및 관리하기 위한 네트워킹 요구 사항
변경 제안
PDF
Cloud Volumes ONTAP 시스템이 올바르게 작동할 수 있도록 Azure 네트워킹을 설정합니다. 여기에는 커넥터 및 Cloud Volumes ONTAP에 대한 네트워킹이 포함됩니다.
Cloud Volumes ONTAP에 대한 요구사항
Azure에서 다음 네트워킹 요구사항을 충족해야 합니다.
- Cloud Volumes ONTAP에 대한 아웃바운드 인터넷 액세스
-
Cloud Volumes ONTAP에서 스토리지 상태를 능동적으로 모니터링하는 NetApp AutoSupport에 메시지를 보내려면 아웃바운드 인터넷 액세스가 필요합니다.
라우팅 및 방화벽 정책은 Cloud Volumes ONTAP가 AutoSupport 메시지를 보낼 수 있도록 다음 엔드포인트에 대한 HTTP/HTTPS 트래픽을 허용해야 합니다.
- 보안 그룹
-
Cloud Manager에서 보안 그룹을 생성할 수 있으므로 보안 그룹을 생성할 필요가 없습니다. 직접 사용해야 하는 경우 아래 나열된 보안 그룹 규칙을 참조하십시오.
- IP 주소 수입니다
-
Cloud Manager는 Azure의 Cloud Volumes ONTAP에 다음과 같은 수의 IP 주소를 할당합니다.
-
단일 노드: 5개의 IP 주소
-
HA 쌍: 16개의 IP 주소
Cloud Manager는 HA 쌍에서 SVM 관리 LIF를 생성하지만 Azure의 단일 노드 시스템에는 없습니다.
LIF는 물리적 포트와 연결된 IP 주소입니다. SnapCenter와 같은 관리 툴을 사용하려면 SVM 관리 LIF가 필요합니다.
-
- 데이터 계층화를 위해 Cloud Volumes ONTAP에서 Azure Blob 저장소로 연결
-
콜드 데이터를 Azure Blob 저장소에 계층화하려는 경우 Cloud Manager에 필요한 권한이 있는 경우 성능 계층과 용량 계층 간의 연결을 설정할 필요가 없습니다. Cloud Manager 정책에 다음과 같은 권한이 있는 경우 Cloud Manager를 통해 VNET 서비스 엔드포인트를 사용할 수 있습니다.
"Microsoft.Network/virtualNetworks/subnets/write", "Microsoft.Network/routeTables/join/action",이러한 권한은 최신 에 포함되어 있습니다 "Cloud Manager 정책".
데이터 계층화 설정에 대한 자세한 내용은 을 참조하십시오 "콜드 데이터를 저비용 오브젝트 스토리지로 계층화".
- 다른 네트워크의 ONTAP 시스템에 대한 연결
-
Azure의 Cloud Volumes ONTAP 시스템과 다른 네트워크의 ONTAP 시스템 간에 데이터를 복제하려면 Azure VNET와 다른 네트워크(예: AWS VPC 또는 기업 네트워크) 간에 VPN 연결이 있어야 합니다.
자세한 지침은 을 참조하십시오 "Microsoft Azure 문서: Azure 포털에서 사이트 간 연결을 만듭니다".
커넥터 요구 사항
Connector가 공용 클라우드 환경 내에서 리소스와 프로세스를 관리할 수 있도록 네트워킹을 설정합니다. 가장 중요한 단계는 다양한 엔드포인트에 대한 아웃바운드 인터넷 액세스를 보장하는 것입니다.
|
|
네트워크에서 인터넷에 대한 모든 통신에 프록시 서버를 사용하는 경우 설정 페이지에서 프록시 서버를 지정할 수 있습니다. 을 참조하십시오 "프록시 서버를 사용하도록 Connector 구성". |
대상 네트워크에 대한 연결
커넥터를 사용하려면 Cloud Volumes ONTAP를 배포할 VPC 및 VNets에 대한 네트워크 연결이 필요합니다.
예를 들어 회사 네트워크에 커넥터를 설치하는 경우 Cloud Volumes ONTAP를 실행하는 VPC 또는 VNET에 대한 VPN 연결을 설정해야 합니다.
아웃바운드 인터넷 액세스
Connector를 사용하려면 공용 클라우드 환경 내의 리소스와 프로세스를 관리하기 위한 아웃바운드 인터넷 액세스가 필요합니다. Connector는 Azure에서 리소스를 관리할 때 다음 끝점에 연결합니다.
| 엔드포인트 | 목적 |
|---|---|
https://management.azure.com https://login.microsoftonline.com 으로 문의하십시오 |
Cloud Manager를 사용하면 대부분의 Azure 지역에서 Cloud Volumes ONTAP를 구축 및 관리할 수 있습니다. |
https://management.microsoftazure.de https://login.microsoftonline.de 으로 문의하십시오 |
Cloud Manager를 사용하여 Azure 독일 지역에서 Cloud Volumes ONTAP를 구축 및 관리할 수 있습니다. |
https://management.usgovcloudapi.net https://login.microsoftonline.com 으로 문의하십시오 |
Cloud Manager를 사용하여 Azure US Gov 지역에 Cloud Volumes ONTAP를 배포하고 관리할 수 있습니다. |
NetApp Cloud Central에 API 요청 |
|
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com 으로 문의하십시오 |
소프트웨어 이미지, 매니페스트 및 템플릿에 대한 액세스를 제공합니다. |
https://repo.cloud.support.netapp.com 으로 문의하십시오 |
Cloud Manager 종속성을 다운로드하는 데 사용됩니다. |
http://repo.mysql.com/ 으로 문의하십시오 |
MySQL 다운로드에 사용됩니다. |
Cloud Manager에서 매니페스트, 템플릿 및 Cloud Volumes ONTAP 업그레이드 이미지에 액세스하고 다운로드할 수 있습니다. |
|
https://cloudmanagerinfraprod.azurecr.io 으로 문의하십시오 |
Docker를 실행하는 인프라에 대한 컨테이너 구성 요소의 소프트웨어 이미지에 액세스하고 Cloud Manager와의 서비스 통합을 위한 솔루션을 제공합니다. |
https://kinesis.us-east-1.amazonaws.com 으로 문의하십시오 |
NetApp에서 감사 레코드의 데이터를 스트리밍할 수 있습니다. |
https://cloudmanager.cloud.netapp.com 으로 문의하십시오 |
Cloud Central 계정을 포함한 Cloud Manager 서비스와 통신합니다. |
https://netapp-cloud-account.auth0.com 으로 문의하십시오 |
NetApp Cloud Central과 통신하여 중앙 집중식 사용자 인증 제공 |
https://mysupport.netapp.com 으로 문의하십시오 |
NetApp AutoSupport과 커뮤니케이션: |
시스템 라이센스 및 지원 등록을 위해 NetApp과 커뮤니케이션 |
|
Cloud Manager에서 라이센스 생성(예: Cloud Volumes ONTAP용 FlexCache 라이센스) |
|
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ 으로 문의하십시오 |
Cloud Volumes ONTAP 시스템을 Kubernetes 클러스터에 연결하는 데 필요합니다. 엔드포인트를 통해 NetApp Trident를 설치할 수 있습니다. |
.blob.core.windows.net 으로 문의하십시오 |
프록시를 사용할 때 HA 쌍에 필요합니다. |
다음과 같은 다양한 타사 위치:
타사 위치는 변경될 수 있습니다. |
업그레이드하는 동안 Cloud Manager는 타사 종속성을 위한 최신 패키지를 다운로드합니다. |
SaaS 사용자 인터페이스에서 거의 모든 작업을 수행해야 하지만 로컬 사용자 인터페이스는 Connector에서 계속 사용할 수 있습니다. 웹 브라우저를 실행하는 컴퓨터는 다음 끝점에 연결되어 있어야 합니다.
| 엔드포인트 | 목적 |
|---|---|
커넥터 호스트입니다 |
Cloud Manager 콘솔을 로드하려면 웹 브라우저에서 호스트의 IP 주소를 입력해야 합니다. 클라우드 공급자에 대한 연결에 따라 호스트에 할당된 프라이빗 IP 또는 공용 IP를 사용할 수 있습니다.
어떤 경우든 보안 그룹 규칙이 승인된 IP 또는 서브넷에서의 액세스만 허용하도록 하여 네트워크 액세스를 보호해야 합니다. |
웹 브라우저는 NetApp Cloud Central을 통해 중앙 집중식 사용자 인증을 위해 이러한 엔드포인트에 연결됩니다. |
|
https://widget.intercom.io 으로 문의하십시오 |
제품 내에서 NetApp 클라우드 전문가와 상담할 수 있는 채팅을 제공합니다. |
Cloud Volumes ONTAP의 보안 그룹 규칙
Cloud Manager는 Cloud Volumes ONTAP가 성공적으로 운영하는 데 필요한 인바운드 및 아웃바운드 규칙을 포함하는 Azure 보안 그룹을 생성합니다. 테스트 목적으로 또는 자체 보안 그룹을 사용하려는 경우 포트를 참조할 수 있습니다.
Cloud Volumes ONTAP의 보안 그룹에는 인바운드 및 아웃바운드 규칙이 모두 필요합니다.
단일 노드 시스템에 대한 인바운드 규칙입니다
아래 나열된 규칙은 특정 인바운드 트래픽을 차단한다는 설명이 없는 한 트래픽을 허용합니다.
| 우선 순위 및 이름 | 포트 및 프로토콜 | 소스 및 대상 | 설명 |
|---|---|---|---|
1000 inbound_ssh |
22 TCP |
모두 해당 |
클러스터 관리 LIF 또는 노드 관리 LIF의 IP 주소에 SSH를 액세스할 수 있습니다 |
1001 인바운드_http |
TCP 80개 |
모두 해당 |
클러스터 관리 LIF의 IP 주소를 사용하여 System Manager 웹 콘솔에 대한 HTTP 액세스 |
1002 inbound_111_tcp |
111 TCP |
모두 해당 |
NFS에 대한 원격 프로시저 호출 |
1003 인바운드_111_UDP |
111 UDP |
모두 해당 |
NFS에 대한 원격 프로시저 호출 |
1004 인바운드_139 |
139 TCP 를 참조하십시오 |
모두 해당 |
CIFS에 대한 NetBIOS 서비스 세션입니다 |
1005 inbound_161-162_tcp |
161-162 TCP |
모두 해당 |
단순한 네트워크 관리 프로토콜 |
1006 inbound_161-162_udp |
161-162 UDP |
모두 해당 |
단순한 네트워크 관리 프로토콜 |
1007 인바운드_443 |
443 TCP |
모두 해당 |
클러스터 관리 LIF의 IP 주소를 사용하여 System Manager 웹 콘솔에 대한 HTTPS 액세스 |
1008 인바운드_445 |
445 TCP |
모두 해당 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
1009 인바운드_635_TCP |
635 TCP |
모두 해당 |
NFS 마운트 |
1010 inbound_635_udp |
635 UDP |
모두 해당 |
NFS 마운트 |
1011 인바운드_749 |
749 TCP |
모두 해당 |
Kerberos |
1012 인바운드_2049_TCP |
2049 TCP |
모두 해당 |
NFS 서버 데몬 |
1013 인바운드_2049_UDP |
2049 UDP |
모두 해당 |
NFS 서버 데몬 |
1014 인바운드_3260 |
3260 TCP |
모두 해당 |
iSCSI 데이터 LIF를 통한 iSCSI 액세스 |
1015 인바운드_4045-4046_TCP |
4045-4046 TCP |
모두 해당 |
NFS 잠금 데몬 및 네트워크 상태 모니터 |
1016 인바운드_4045-4046_UDP |
4045-4046 UDP |
모두 해당 |
NFS 잠금 데몬 및 네트워크 상태 모니터 |
1017 inbound_10000 |
10000 TCP |
모두 해당 |
NDMP를 사용한 백업 |
1018 인바운드_11104-11105 |
11104-11105 TCP |
모두 해당 |
SnapMirror 데이터 전송 |
3000 inbound_deny_all_tcp입니다 |
모든 포트 TCP |
모두 해당 |
다른 모든 TCP 인바운드 트래픽을 차단합니다 |
3001 inbound_deny_all_udp |
모든 포트 UDP |
모두 해당 |
다른 모든 UDP 인바운드 트래픽을 차단합니다 |
65000 AllowVnetInBound |
모든 포트 모든 프로토콜 |
VirtualNetwork - VirtualNetwork |
VNET 내에서 들어오는 인바운드 트래픽입니다 |
65001 AllowAzureLoad BalancerInBound |
모든 포트 모든 프로토콜 |
어느 것이든 AzureLoadBalancer를 사용합니다 |
Azure 표준 로드 밸런서의 데이터 트래픽 |
65500 DenyAllInBound |
모든 포트 모든 프로토콜 |
모두 해당 |
다른 모든 인바운드 트래픽을 차단합니다 |
HA 시스템에 대한 인바운드 규칙
아래 나열된 규칙은 특정 인바운드 트래픽을 차단한다는 설명이 없는 한 트래픽을 허용합니다.
|
인바운드 데이터 트래픽이 Azure 표준 로드 밸런서를 통과하기 때문에 HA 시스템은 단일 노드 시스템보다 인바운드 규칙이 적습니다. 따라서 "AllowAzureLoadBalancerInBound" 규칙에 나와 있는 것처럼 로드 밸런서의 트래픽이 열려 있어야 합니다. |
| 우선 순위 및 이름 | 포트 및 프로토콜 | 소스 및 대상 | 설명 |
|---|---|---|---|
100 inbound_443 |
443 모든 프로토콜 |
모두 해당 |
클러스터 관리 LIF의 IP 주소를 사용하여 System Manager 웹 콘솔에 대한 HTTPS 액세스 |
101 inbound_111_tcp |
111 모든 프로토콜 |
모두 해당 |
NFS에 대한 원격 프로시저 호출 |
102 inbound_2049_tcp |
2049 모든 프로토콜 |
모두 해당 |
NFS 서버 데몬 |
111 inbound_ssh |
22 모든 프로토콜 |
모두 해당 |
클러스터 관리 LIF 또는 노드 관리 LIF의 IP 주소에 SSH를 액세스할 수 있습니다 |
121 인바운드_53 |
53 모든 프로토콜 |
모두 해당 |
DNS 및 CIFS를 지원합니다 |
65000 AllowVnetInBound |
모든 포트 모든 프로토콜 |
VirtualNetwork - VirtualNetwork |
VNET 내에서 들어오는 인바운드 트래픽입니다 |
65001 AllowAzureLoad BalancerInBound |
모든 포트 모든 프로토콜 |
어느 것이든 AzureLoadBalancer를 사용합니다 |
Azure 표준 로드 밸런서의 데이터 트래픽 |
65500 DenyAllInBound |
모든 포트 모든 프로토콜 |
모두 해당 |
다른 모든 인바운드 트래픽을 차단합니다 |
아웃바운드 규칙
Cloud Volumes ONTAP에 대해 미리 정의된 보안 그룹은 모든 아웃바운드 트래픽을 엽니다. 허용 가능한 경우 기본 아웃바운드 규칙을 따릅니다. 더 엄격한 규칙이 필요한 경우 고급 아웃바운드 규칙을 사용합니다.
기본 아웃바운드 규칙
Cloud Volumes ONTAP에 대해 미리 정의된 보안 그룹에는 다음과 같은 아웃바운드 규칙이 포함됩니다.
| 포트 | 프로토콜 | 목적 |
|---|---|---|
모두 |
모든 TCP |
모든 아웃바운드 트래픽 |
모두 |
모든 UDP |
모든 아웃바운드 트래픽 |
고급 아웃바운드 규칙
아웃바운드 트래픽에 대해 엄격한 규칙이 필요한 경우 다음 정보를 사용하여 Cloud Volumes ONTAP의 아웃바운드 통신에 필요한 포트만 열 수 있습니다.
|
|
소스는 Cloud Volumes ONTAP 시스템의 인터페이스(IP 주소)입니다. |
| 서비스 | 포트 | 프로토콜 | 출처 | 목적지 | 목적 |
|---|---|---|---|---|---|
Active Directory를 클릭합니다 |
88 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
137 |
UDP입니다 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
138 |
UDP입니다 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
139 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
389 |
TCP 및 UDP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
445 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
464 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
464 |
UDP입니다 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
749 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
88 |
TCP |
데이터 LIF(NFS, CIFS, iSCSI) |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
|
137 |
UDP입니다 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
138 |
UDP입니다 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
139 |
TCP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
389 |
TCP 및 UDP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
445 |
TCP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
464 |
TCP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
464 |
UDP입니다 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
749 |
TCP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
DHCP를 선택합니다 |
68 |
UDP입니다 |
노드 관리 LIF |
DHCP를 선택합니다 |
처음으로 설정하는 DHCP 클라이언트 |
DHCPS |
67 |
UDP입니다 |
노드 관리 LIF |
DHCP를 선택합니다 |
DHCP 서버 |
DNS |
53 |
UDP입니다 |
노드 관리 LIF 및 데이터 LIF(NFS, CIFS) |
DNS |
DNS |
NDMP |
18600–18699 |
TCP |
노드 관리 LIF |
대상 서버 |
NDMP 복제 |
SMTP |
25 |
TCP |
노드 관리 LIF |
메일 서버 |
AutoSupport에 사용할 수 있는 SMTP 경고 |
SNMP를 선택합니다 |
161 |
TCP |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
161 |
UDP입니다 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
162 |
TCP |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
162 |
UDP입니다 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
SnapMirror를 참조하십시오 |
11104 |
TCP |
인터클러스터 LIF |
ONTAP 인터클러스터 LIF |
SnapMirror에 대한 인터클러스터 통신 세션의 관리 |
11105 |
TCP |
인터클러스터 LIF |
ONTAP 인터클러스터 LIF |
SnapMirror 데이터 전송 |
|
Syslog를 클릭합니다 |
514 |
UDP입니다 |
노드 관리 LIF |
Syslog 서버 |
Syslog 메시지를 전달합니다 |
Connector에 대한 보안 그룹 규칙입니다
Connector의 보안 그룹에는 인바운드 및 아웃바운드 규칙이 모두 필요합니다.
인바운드 규칙
미리 정의된 보안 그룹의 인바운드 규칙 소스는 0.0.0.0/0입니다.
| 포트 | 프로토콜 | 목적 |
|---|---|---|
22 |
SSH를 클릭합니다 |
커넥터 호스트에 대한 SSH 액세스를 제공합니다 |
80 |
HTTP |
클라이언트 웹 브라우저에서 로컬 사용자 인터페이스로 HTTP 액세스를 제공합니다 |
443 |
HTTPS |
클라이언트 웹 브라우저에서 로컬 사용자 인터페이스로 HTTPS 액세스를 제공합니다 |
아웃바운드 규칙
Connector에 대해 미리 정의된 보안 그룹은 모든 아웃바운드 트래픽을 엽니다. 허용 가능한 경우 기본 아웃바운드 규칙을 따릅니다. 더 엄격한 규칙이 필요한 경우 고급 아웃바운드 규칙을 사용합니다.
기본 아웃바운드 규칙
Connector에 대해 미리 정의된 보안 그룹에는 다음과 같은 아웃바운드 규칙이 포함됩니다.
| 포트 | 프로토콜 | 목적 |
|---|---|---|
모두 |
모든 TCP |
모든 아웃바운드 트래픽 |
모두 |
모든 UDP |
모든 아웃바운드 트래픽 |
고급 아웃바운드 규칙
아웃바운드 트래픽에 대해 엄격한 규칙이 필요한 경우 다음 정보를 사용하여 Connector의 아웃바운드 통신에 필요한 포트만 열 수 있습니다.
|
|
소스 IP 주소는 커넥터 호스트입니다. |
| 서비스 | 포트 | 프로토콜 | 목적지 | 목적 |
|---|---|---|---|---|
Active Directory를 클릭합니다 |
88 |
TCP |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
139 |
TCP |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
389 |
TCP |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
445 |
TCP |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
464 |
TCP |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
749 |
TCP |
Active Directory 포리스트입니다 |
Active Directory Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
137 |
UDP입니다 |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
138 |
UDP입니다 |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
464 |
UDP입니다 |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
API 호출 및 AutoSupport |
443 |
HTTPS |
아웃바운드 인터넷 및 ONTAP 클러스터 관리 LIF |
API는 AWS 및 ONTAP를 호출하고 AutoSupport 메시지를 NetApp에 보냅니다 |
API 호출 |
3000입니다 |
TCP |
ONTAP 클러스터 관리 LIF |
ONTAP에 대한 API 호출 |
DNS |
53 |
UDP입니다 |
DNS |
Cloud Manager에서 DNS Resolve에 사용됩니다 |