Azure Private Link 또는 서비스 끝점을 사용합니다
Cloud Volumes ONTAP는 Azure 프라이빗 링크를 사용하여 연결된 저장소 계정에 연결합니다. 필요한 경우 Azure Private Links를 비활성화하고 서비스 끝점을 대신 사용할 수 있습니다.
개요
기본적으로 BlueXP는 Cloud Volumes ONTAP과 관련 저장소 계정 간의 연결을 위해 Azure 개인 링크를 활성화합니다. Azure Private Link는 Azure의 엔드포인트 간 연결을 보호하고 성능상의 이점을 제공합니다.
필요한 경우 Azure 프라이빗 링크 대신 서비스 끝점을 사용하도록 Cloud Volumes ONTAP를 구성할 수 있습니다.
BlueXP는 두 가지 구성 모두 Cloud Volumes ONTAP 및 스토리지 계정 간의 연결을 위해 항상 네트워크 액세스를 제한합니다. 네트워크 액세스는 Cloud Volumes ONTAP가 배포된 VNET와 커넥터가 배포된 VNET로 제한됩니다.
대신 Azure 전용 링크를 비활성화하고 서비스 끝점을 사용합니다
회사에서 요구하는 경우, BlueXP에서 Azure Private Link 대신 서비스 끝점을 사용하도록 Cloud Volumes ONTAP를 구성하도록 설정을 변경할 수 있습니다. 이 설정을 변경하면 새로 만든 Cloud Volumes ONTAP 시스템에 적용됩니다. 서비스 끝점은 에서만 지원됩니다 "Azure 지역 쌍" 커넥터와 Cloud Volumes ONTAP VNets 사이.
커넥터는 해당 커넥터가 관리하는 Cloud Volumes ONTAP 시스템과 동일한 Azure 영역에 배포하거나 에 배포되어야 합니다 "Azure 지역 쌍" Cloud Volumes ONTAP 시스템의 경우
-
BlueXP 콘솔의 오른쪽 상단에서 설정 아이콘을 클릭하고 * 커넥터 설정 * 을 선택합니다.
-
Azure * 에서 * Azure Private Link * 를 클릭합니다.
-
Cloud Volumes ONTAP 및 스토리지 계정 간 * 프라이빗 링크 연결을 선택 취소합니다.
-
저장 * 을 클릭합니다.
Azure Private Links를 사용하지 않도록 설정하고 Connector가 프록시 서버를 사용하는 경우 직접 API 트래픽을 활성화해야 합니다.
Azure 개인 링크 사용
대부분의 경우 Cloud Volumes ONTAP로 Azure Private 링크를 설정할 필요가 없습니다. BlueXP는 Azure 프라이빗 링크를 관리합니다. 그러나 기존 Azure Private DNS 영역을 사용하는 경우에는 구성 파일을 편집해야 합니다.
사용자 지정 DNS 요구 사항
필요에 따라 사용자 지정 DNS로 작업하는 경우 사용자 지정 DNS 서버에서 Azure 개인 DNS 영역에 조건부 전달자를 만들어야 합니다. 자세한 내용은 을 참조하십시오 "DNS 전달자 사용에 대한 Azure의 설명서".
개별 링크 연결의 작동 방식
BlueXP는 Azure에 Cloud Volumes ONTAP를 배포할 때 리소스 그룹에 개인 끝점을 만듭니다. 프라이빗 엔드포인트는 Cloud Volumes ONTAP의 스토리지 계정과 연결되어 있습니다. 따라서 Cloud Volumes ONTAP 스토리지에 대한 액세스는 Microsoft 백본 네트워크를 통해 이루어집니다.
클라이언트가 Cloud Volumes ONTAP와 동일한 VNET 내에 있거나, 피어링된 VNets 내에 있거나, VNET에 대한 전용 VPN 또는 ExpressRoute 연결을 사용할 때 사내 네트워크에 있는 경우 클라이언트 액세스는 개인 링크를 통해 이루어집니다.
이 예에서는 동일한 VNET 내의 전용 링크와 전용 VPN 또는 ExpressRoute 연결이 있는 온프레미스 네트워크에서 클라이언트 액세스를 보여 줍니다.
커넥터 및 Cloud Volumes ONTAP 시스템이 다른 VNets에 구축된 경우 커넥터가 배포된 VNET와 Cloud Volumes ONTAP 시스템이 배포된 VNET 간에 VNET 피어링을 설정해야 합니다. |
Azure 프라이빗 DNS에 대한 자세한 내용은 BlueXP를 참조하십시오
를 사용하는 경우 "Azure 프라이빗 DNS"그런 다음 각 Connector에서 설정 파일을 수정해야 합니다. 그렇지 않으면 BlueXP에서 Cloud Volumes ONTAP 및 관련 저장소 계정 간에 Azure Private Link 연결을 활성화할 수 없습니다.
DNS 이름은 Azure DNS 명명 요구 사항과 일치해야 합니다 "Azure 설명서에 나와 있는 대로 적용됩니다".
-
커넥터 호스트에 SSH로 접속하고 로그인합니다.
-
/opt/application/netapp/cloudmanager/docker_occm/data 디렉토리로 이동합니다
-
"user-private-dns-zone-settings" 매개 변수를 다음 키워드 값 쌍으로 추가하여 app.conf를 편집합니다.
"user-private-dns-zone-settings" : { "resource-group" : "<resource group name of the DNS zone>", "subscription" : "<subscription ID>", "use-existing" : true, "create-private-dns-zone-link" : true }
아래와 같이 "system-id"와 동일한 수준으로 매개 변수를 입력해야 합니다.
"system-id" : "<system ID>", "user-private-dns-zone-settings" : {
전용 DNS 영역이 Connector와 다른 구독에 있는 경우에만 subscription 키워드가 필요합니다.
-
파일을 저장하고 Connector를 로그오프합니다.
재부팅할 필요는 없습니다.
장애 시 롤백 사용
BlueXP가 특정 작업의 일부로 Azure Private Link를 생성하지 못할 경우 Azure Private Link 연결이 없어도 작업이 완료됩니다. 이는 새 작업 환경(단일 노드 또는 HA 쌍)을 생성하거나 HA 쌍에서 다음 작업이 발생하는 경우, 즉 새 애그리게이트 생성, 기존 애그리게이트에 디스크 추가, 32TiB 이상으로 진행할 때 발생할 수 있습니다.
BlueXP에서 Azure Private Link를 생성하지 못할 경우 롤백을 활성화하여 이 기본 동작을 변경할 수 있습니다. 이를 통해 회사의 보안 규정을 완벽하게 준수할 수 있습니다.
롤백을 활성화하면 BlueXP는 작업을 중지하고 작업의 일부로 생성된 모든 리소스를 롤백합니다.
API를 통해 또는 app.conf 파일을 업데이트하여 롤백을 활성화할 수 있습니다.
-
API를 통한 롤백 활성화 *
-
를 사용합니다
PUT /occm/config
다음 요청 본문이 있는 API 호출:{ "rollbackOnAzurePrivateLinkFailure": true }
-
app.conf * 를 업데이트하여 롤백 기능을 활성화합니다
-
-
커넥터 호스트에 SSH로 접속하고 로그인합니다.
-
/opt/application/netapp/cloudmanager/docker_occm/data 디렉토리로 이동합니다
-
다음 매개 변수와 값을 추가하여 app.conf를 편집합니다.
"rollback-on-private-link-failure": true . 파일을 저장하고 Connector를 로그오프합니다.
재부팅할 필요는 없습니다.