Azure의 Cloud Volumes ONTAP에 대한 네트워킹 요구사항
변경 제안
PDF
Cloud Volumes ONTAP 시스템이 올바르게 작동할 수 있도록 Azure 네트워킹을 설정합니다.
Cloud Volumes ONTAP에 대한 요구사항
Azure에서 다음 네트워킹 요구사항을 충족해야 합니다.
아웃바운드 인터넷 액세스
Cloud Volumes ONTAP 노드를 사용하려면 NetApp AutoSupport에 대한 아웃바운드 인터넷 액세스가 필요합니다. 사전 예방적으로 시스템의 상태를 모니터링하고 메시지를 NetApp 기술 지원으로 보냅니다.
라우팅 및 방화벽 정책은 Cloud Volumes ONTAP가 AutoSupport 메시지를 보낼 수 있도록 다음 엔드포인트에 대한 HTTP/HTTPS 트래픽을 허용해야 합니다.
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
AutoSupport 메시지를 보내는 데 아웃바운드 인터넷 연결을 사용할 수 없는 경우 BlueXP는 자동으로 Cloud Volumes ONTAP 시스템에서 커넥터를 프록시 서버로 사용하도록 구성합니다. 유일한 요구 사항은 커넥터의 보안 그룹이 포트 3128을 통한 _IN인바운드_연결을 허용하는지 확인하는 것입니다. Connector를 배포한 후 이 포트를 열어야 합니다.
Cloud Volumes ONTAP에 대해 엄격한 아웃바운드 규칙을 정의한 경우 Cloud Volumes ONTAP 보안 그룹이 포트 3128을 통한 _outbound_connection을 허용하는지 확인해야 합니다.
아웃바운드 인터넷 액세스가 가능한지 확인한 후 AutoSupport를 테스트하여 메시지를 보낼 수 있는지 확인할 수 있습니다. 자세한 지침은 을 참조하십시오 "ONTAP 문서: AutoSupport 설정".
BlueXP에서 AutoSupport 메시지를 보낼 수 없다고 알리는 경우 "AutoSupport 구성 문제를 해결합니다".
IP 주소
BlueXP는 Azure의 Cloud Volumes ONTAP에 필요한 수의 전용 IP 주소를 자동으로 할당합니다. 네트워킹에 사용 가능한 개인 IP 주소가 충분한지 확인해야 합니다.
BlueXP에서 Cloud Volumes ONTAP에 할당하는 LIF 수는 단일 노드 시스템을 배포할지 HA 쌍을 구축하는지에 따라 달라집니다. LIF는 물리적 포트와 연결된 IP 주소입니다. SnapCenter와 같은 관리 툴을 사용하려면 SVM 관리 LIF가 필요합니다.
|
iSCSI LIF는 iSCSI 프로토콜을 통해 클라이언트에 액세스할 수 있도록 지원하며 시스템에서 다른 중요한 네트워킹 워크플로우에 사용됩니다. 이러한 LIF는 필수 항목이므로 삭제할 수 없습니다. |
단일 노드 시스템의 IP 주소입니다
BlueXP는 5개 또는 6개의 IP 주소를 단일 노드 시스템에 할당합니다.
-
클러스터 관리 IP
-
노드 관리 IP
-
SnapMirror에 대한 인터클러스터 IP
-
NFS/CIFS IP입니다
-
iSCSI IP입니다
iSCSI IP는 iSCSI 프로토콜을 통한 클라이언트 액세스를 제공합니다. 또한 시스템에서 다른 중요한 네트워킹 워크플로우에 사용됩니다. 이 LIF는 필수 항목이므로 삭제할 수 없습니다. -
SVM 관리(선택 사항 - 기본적으로 구성되지 않음)
HA 쌍의 IP 주소
BlueXP는 구축하는 동안 노드당 4개의 NIC에 IP 주소를 할당합니다.
BlueXP는 HA 쌍에서 SVM 관리 LIF를 생성하지만 Azure의 단일 노드 시스템에서는 생성한 것이 아닙니다.
-
NIC0 *
-
노드 관리 IP
-
인터클러스터 IP
-
iSCSI IP입니다
iSCSI IP는 iSCSI 프로토콜을 통한 클라이언트 액세스를 제공합니다. 또한 시스템에서 다른 중요한 네트워킹 워크플로우에 사용됩니다. 이 LIF는 필수 항목이므로 삭제할 수 없습니다. -
NIC1 *
-
클러스터 네트워크 IP
-
NIC2 *
-
클러스터 인터커넥트 IP(HA IC)
-
NIC3 *
-
Pageblob NIC IP(디스크 액세스)
|
|
NIC3는 페이지 BLOB 스토리지를 사용하는 HA 구축에만 적용됩니다. |
위의 IP 주소는 페일오버 이벤트에서 마이그레이션되지 않습니다.
또한 페일오버 이벤트에 마이그레이션하도록 4개의 프런트엔드 IP(FIPS)가 구성됩니다. 이러한 프런트엔드 IP는 로드 밸런서에 있습니다.
-
클러스터 관리 IP
-
NodeA 데이터 IP(NFS/CIFS)
-
NodeB 데이터 IP(NFS/CIFS)
-
SVM 관리 IP
Azure 서비스에 대한 보안 연결
기본적으로 BlueXP는 Cloud Volumes ONTAP 및 Azure 페이지 blob 저장소 계정 간의 연결에 Azure 프라이빗 링크를 활성화합니다.
대부분의 경우 BlueXP는 Azure Private Link를 관리합니다. 그러나 Azure Private DNS를 사용하는 경우에는 구성 파일을 편집해야 합니다. Azure의 커넥터 위치에 대한 요구 사항도 알고 있어야 합니다.
비즈니스 요구 사항에 따라 필요한 경우 비공개 링크 연결을 비활성화할 수도 있습니다. 링크를 사용하지 않도록 설정하면 BlueXP는 서비스 끝점을 사용하도록 Cloud Volumes ONTAP를 구성합니다.
다른 ONTAP 시스템에 대한 연결
Azure의 Cloud Volumes ONTAP 시스템과 다른 네트워크의 ONTAP 시스템 간에 데이터를 복제하려면 Azure VNET와 다른 네트워크(예: 기업 네트워크) 간에 VPN 연결이 있어야 합니다.
자세한 지침은 을 참조하십시오 "Microsoft Azure 문서: Azure 포털에서 사이트 간 연결을 만듭니다".
HA 인터커넥트용 포트입니다
Cloud Volumes ONTAP HA 쌍에는 HA 인터커넥트가 포함되어 있어 각 노드가 해당 파트너의 작동 여부를 지속적으로 확인하고 다른 노드의 비휘발성 메모리에 대한 로그 데이터를 미러링할 수 있습니다. HA 인터커넥트에서는 통신에 TCP 포트 10006을 사용합니다.
기본적으로 HA 인터커넥트 LIF 간 통신은 열려 있으며 이 포트에 대한 보안 그룹 규칙이 없습니다. 하지만 HA 인터커넥트 LIF 간에 방화벽을 생성하는 경우, HA 쌍이 제대로 작동할 수 있도록 TCP 트래픽이 포트 10006에 대해 열려 있는지 확인해야 합니다.
Azure 리소스 그룹에서는 하나의 HA 쌍만 제공됩니다
Azure에 구축하는 각 Cloud Volumes ONTAP HA 쌍에 대해 _Dedicated_resource 그룹을 사용해야 합니다. 리소스 그룹에서는 하나의 HA 쌍만 지원됩니다.
Azure 리소스 그룹에 두 번째 Cloud Volumes ONTAP HA 쌍을 배포하려고 하면 BlueXP에서 연결 문제가 발생합니다.
보안 그룹 규칙
BlueXP는 Cloud Volumes ONTAP가 성공적으로 운영하는 데 필요한 인바운드 및 아웃바운드 규칙을 포함하는 Azure 보안 그룹을 만듭니다. 테스트 목적으로 또는 자체 보안 그룹을 사용하려는 경우 포트를 참조할 수 있습니다.
Cloud Volumes ONTAP의 보안 그룹에는 인바운드 및 아웃바운드 규칙이 모두 필요합니다.
|
커넥터에 대한 정보를 찾고 계십니까? "Connector에 대한 보안 그룹 규칙을 봅니다" |
단일 노드 시스템에 대한 인바운드 규칙입니다
작업 환경을 만들고 미리 정의된 보안 그룹을 선택할 때 다음 중 한 가지 내에서 트래픽을 허용하도록 선택할 수 있습니다.
-
* 선택한 VNET만 해당 *: 인바운드 트래픽의 소스는 Cloud Volumes ONTAP 시스템에 대한 VNET의 서브넷 범위와 커넥터가 상주하는 VNET의 서브넷 범위입니다. 이 옵션을 선택하는 것이 좋습니다.
-
* All VNets *: 인바운드 트래픽의 소스는 0.0.0.0/0 IP 범위입니다.
| 우선 순위 및 이름 | 포트 및 프로토콜 | 소스 및 대상 | 설명 |
|---|---|---|---|
1000입니다 |
22 |
모두 해당 |
클러스터 관리 LIF 또는 노드 관리 LIF의 IP 주소에 SSH를 액세스할 수 있습니다 |
1001 |
80 |
모두 해당 |
클러스터 관리 LIF의 IP 주소를 사용하여 System Manager 웹 콘솔에 대한 HTTP 액세스 |
1002 |
111 |
모두 해당 |
NFS에 대한 원격 프로시저 호출 |
1003 |
111 |
모두 해당 |
NFS에 대한 원격 프로시저 호출 |
1004 |
139 |
모두 해당 |
CIFS에 대한 NetBIOS 서비스 세션입니다 |
1005 |
161-162 |
모두 해당 |
단순한 네트워크 관리 프로토콜 |
1006 |
161-162 |
모두 해당 |
단순한 네트워크 관리 프로토콜 |
1007 |
443 |
모두 해당 |
클러스터 관리 LIF의 IP 주소를 사용하여 System Manager 웹 콘솔에 대한 커넥터 및 HTTPS 액세스와의 연결 |
1008년 |
445 |
모두 해당 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
1009입니다 |
635 |
모두 해당 |
NFS 마운트 |
1010 |
635 |
모두 해당 |
NFS 마운트 |
1011 |
749 |
모두 해당 |
Kerberos |
1012입니다 |
2049년 |
모두 해당 |
NFS 서버 데몬 |
1013 |
2049년 |
모두 해당 |
NFS 서버 데몬 |
1014 |
3260입니다 |
모두 해당 |
iSCSI 데이터 LIF를 통한 iSCSI 액세스 |
1015 |
4045-4046 을 참조하십시오 |
모두 해당 |
NFS 잠금 데몬 및 네트워크 상태 모니터 |
1016 |
4045-4046 을 참조하십시오 |
모두 해당 |
NFS 잠금 데몬 및 네트워크 상태 모니터 |
1017 |
10000 |
모두 해당 |
NDMP를 사용한 백업 |
1018세 |
11104-11105 를 참조하십시오 |
모두 해당 |
SnapMirror 데이터 전송 |
3000입니다 |
모든 포트 |
모두 해당 |
다른 모든 TCP 인바운드 트래픽을 차단합니다 |
3001입니다 |
모든 포트 |
모두 해당 |
다른 모든 UDP 인바운드 트래픽을 차단합니다 |
65000입니다 |
모든 포트 |
VirtualNetwork - VirtualNetwork |
VNET 내에서 들어오는 인바운드 트래픽입니다 |
65001 |
모든 포트 |
어느 것이든 AzureLoadBalancer를 사용합니다 |
Azure 표준 로드 밸런서의 데이터 트래픽 |
6,5005 |
모든 포트 |
모두 해당 |
다른 모든 인바운드 트래픽을 차단합니다 |
HA 시스템에 대한 인바운드 규칙
작업 환경을 만들고 미리 정의된 보안 그룹을 선택할 때 다음 중 한 가지 내에서 트래픽을 허용하도록 선택할 수 있습니다.
-
* 선택한 VNET만 해당 *: 인바운드 트래픽의 소스는 Cloud Volumes ONTAP 시스템에 대한 VNET의 서브넷 범위와 커넥터가 상주하는 VNET의 서브넷 범위입니다. 이 옵션을 선택하는 것이 좋습니다.
-
* All VNets *: 인바운드 트래픽의 소스는 0.0.0.0/0 IP 범위입니다.
|
|
인바운드 데이터 트래픽이 Azure 표준 로드 밸런서를 통과하기 때문에 HA 시스템은 단일 노드 시스템보다 인바운드 규칙이 적습니다. 따라서 "AllowAzureLoadBalancerInBound" 규칙에 나와 있는 것처럼 로드 밸런서의 트래픽이 열려 있어야 합니다. |
| 우선 순위 및 이름 | 포트 및 프로토콜 | 소스 및 대상 | 설명 |
|---|---|---|---|
100 |
443 |
모두 해당 |
클러스터 관리 LIF의 IP 주소를 사용하여 System Manager 웹 콘솔에 대한 커넥터 및 HTTPS 액세스와의 연결 |
101 |
111 |
모두 해당 |
NFS에 대한 원격 프로시저 호출 |
102 |
2049년 |
모두 해당 |
NFS 서버 데몬 |
111 |
22 |
모두 해당 |
클러스터 관리 LIF 또는 노드 관리 LIF의 IP 주소에 SSH를 액세스할 수 있습니다 |
121 |
53 |
모두 해당 |
DNS 및 CIFS를 지원합니다 |
65000입니다 |
모든 포트 |
VirtualNetwork - VirtualNetwork |
VNET 내에서 들어오는 인바운드 트래픽입니다 |
65001 |
모든 포트 |
어느 것이든 AzureLoadBalancer를 사용합니다 |
Azure 표준 로드 밸런서의 데이터 트래픽 |
6,5005 |
모든 포트 |
모두 해당 |
다른 모든 인바운드 트래픽을 차단합니다 |
아웃바운드 규칙
Cloud Volumes ONTAP에 대해 미리 정의된 보안 그룹은 모든 아웃바운드 트래픽을 엽니다. 허용 가능한 경우 기본 아웃바운드 규칙을 따릅니다. 더 엄격한 규칙이 필요한 경우 고급 아웃바운드 규칙을 사용합니다.
기본 아웃바운드 규칙
Cloud Volumes ONTAP에 대해 미리 정의된 보안 그룹에는 다음과 같은 아웃바운드 규칙이 포함됩니다.
| 포트 | 프로토콜 | 목적 |
|---|---|---|
모두 |
모든 TCP |
모든 아웃바운드 트래픽 |
모두 |
모든 UDP |
모든 아웃바운드 트래픽 |
고급 아웃바운드 규칙
아웃바운드 트래픽에 대해 엄격한 규칙이 필요한 경우 다음 정보를 사용하여 Cloud Volumes ONTAP의 아웃바운드 통신에 필요한 포트만 열 수 있습니다.
|
|
소스는 Cloud Volumes ONTAP 시스템의 인터페이스(IP 주소)입니다. |
| 서비스 | 포트 | 프로토콜 | 출처 | 목적지 | 목적 |
|---|---|---|---|---|---|
Active Directory를 클릭합니다 |
88을 참조하십시오 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
137입니다 |
UDP입니다 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
138 |
UDP입니다 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
139 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
389 |
TCP 및 UDP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
445 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
464 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
464 |
UDP입니다 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
749 |
TCP |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
88을 참조하십시오 |
TCP |
데이터 LIF(NFS, CIFS, iSCSI) |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
|
137입니다 |
UDP입니다 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
138 |
UDP입니다 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
139 |
TCP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
389 |
TCP 및 UDP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
445 |
TCP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
464 |
TCP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
464 |
UDP입니다 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
749 |
TCP |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
노드 관리 LIF |
support.netapp.com |
AutoSupport(기본값은 HTTPS) |
HTTP |
80 |
노드 관리 LIF |
support.netapp.com |
AutoSupport(전송 프로토콜이 HTTPS에서 HTTP로 변경된 경우에만 해당) |
|
TCP |
3128 |
노드 관리 LIF |
커넥터 |
아웃바운드 인터넷 연결을 사용할 수 없는 경우 커넥터의 프록시 서버를 통해 AutoSupport 메시지 보내기 |
|
구성 백업 |
HTTP |
80 |
노드 관리 LIF |
http://<connector-IP-address>/occm/offboxconfig입니다 |
Connector로 구성 백업을 보냅니다. "구성 백업 파일에 대해 자세히 알아보십시오". |
DHCP를 선택합니다 |
68 |
UDP입니다 |
노드 관리 LIF |
DHCP를 선택합니다 |
처음으로 설정하는 DHCP 클라이언트 |
DHCPS |
67 |
UDP입니다 |
노드 관리 LIF |
DHCP를 선택합니다 |
DHCP 서버 |
DNS |
53 |
UDP입니다 |
노드 관리 LIF 및 데이터 LIF(NFS, CIFS) |
DNS |
DNS |
NDMP |
18600–18699 |
TCP |
노드 관리 LIF |
대상 서버 |
NDMP 복제 |
SMTP |
25 |
TCP |
노드 관리 LIF |
메일 서버 |
AutoSupport에 사용할 수 있는 SMTP 경고 |
SNMP를 선택합니다 |
161 |
TCP |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
161 |
UDP입니다 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
162 |
TCP |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
162 |
UDP입니다 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
SnapMirror를 참조하십시오 |
11104를 참조하십시오 |
TCP |
인터클러스터 LIF |
ONTAP 인터클러스터 LIF |
SnapMirror에 대한 인터클러스터 통신 세션의 관리 |
11105를 참조하십시오 |
TCP |
인터클러스터 LIF |
ONTAP 인터클러스터 LIF |
SnapMirror 데이터 전송 |
|
Syslog를 클릭합니다 |
514 |
UDP입니다 |
노드 관리 LIF |
Syslog 서버 |
Syslog 메시지를 전달합니다 |
커넥터 요구 사항
아직 Connector를 만들지 않은 경우 Connector에 대한 네트워킹 요구 사항도 검토해야 합니다.