공유 서브넷에 HA 쌍 구축
변경 제안
PDF
9.11.1 릴리즈부터 VPC 공유를 지원하는 AWS에서 Cloud Volumes ONTAP HA 쌍이 지원됩니다. VPC 공유를 사용하면 서브넷을 다른 AWS 계정과 공유할 수 있습니다. 이 구성을 사용하려면 AWS 환경을 설정한 다음 API를 사용하여 HA 쌍을 구축해야 합니다.
와 함께 "VPC 공유"Cloud Volumes ONTAP HA 구성은 다음 두 계정에 분산됩니다.
-
네트워킹을 소유하는 VPC 소유자 계정(VPC, 서브넷, 라우팅 테이블 및 Cloud Volumes ONTAP 보안 그룹)
-
참가자 계정으로, EC2 인스턴스가 공유 서브넷에 구축됩니다(여기에는 2개의 HA 노드와 중재자가 포함됨).
여러 가용성 영역에 배포된 Cloud Volumes ONTAP HA 구성의 경우 HA 중재자가 VPC 소유자 계정의 라우트 테이블에 쓸 수 있는 특정 권한이 필요합니다. 중재자가 추정할 수 있는 IAM 역할을 설정하여 이러한 권한을 제공해야 합니다.
다음 이미지는 이 구축과 관련된 구성 요소를 보여줍니다.
아래 단계에 설명된 대로 참가자 계정과 서브넷을 공유하고 VPC 소유자 계정에서 IAM 역할 및 보안 그룹을 만들어야 합니다.
Cloud Volumes ONTAP 작업 환경을 만들면 BlueXP는 자동으로 IAM 역할을 생성하여 중재자에 연결합니다. 이 역할은 HA 쌍과 연결된 경로 테이블을 변경하기 위해 VPC 소유자 계정에서 생성한 IAM 역할을 가정합니다.
-
VPC 소유자 계정의 서브넷을 참가자 계정과 공유합니다.
이 단계는 공유 서브넷에 HA 쌍을 구축하는 데 필요합니다.
-
VPC 소유자 계정에서 Cloud Volumes ONTAP용 보안 그룹을 생성합니다.
"Cloud Volumes ONTAP의 보안 그룹 규칙을 참조하십시오". HA 중재자를 위한 보안 그룹을 만들 필요는 없습니다. BlueXP가 이러한 작업을 수행합니다.
-
VPC 소유자 계정에서 다음 권한이 포함된 IAM 역할을 생성합니다.
Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses" -
BlueXP API를 사용하여 새로운 Cloud Volumes ONTAP 작업 환경을 만듭니다.
다음 필드를 지정해야 합니다.
-
"보안 그룹 ID"
"securityGroupId" 필드는 VPC 소유자 계정에서 만든 보안 그룹을 지정해야 합니다(위의 2단계 참조).
-
"haParams" 개체의 "assumeRoleArn
"assumeRoleArn" 필드에는 VPC 소유자 계정에서 만든 IAM 역할의 ARN이 포함되어야 합니다(위의 3단계 참조).
예를 들면 다음과 같습니다.
"haParams": { "assumeRoleArn": "arn:aws:iam::642991768967:role/mediator_role_assume_fromdev" } -