Requisitos de rede para o Cloud Volumes ONTAP na AWS
Configure sua rede AWS para que os sistemas Cloud Volumes ONTAP possam operar corretamente.
Requisitos gerais para o Cloud Volumes ONTAP
Os requisitos a seguir devem ser atendidos na AWS.
- Acesso de saída à Internet para nós Cloud Volumes ONTAP
-
Os nós do Cloud Volumes ONTAP exigem acesso de saída à Internet para enviar mensagens para o NetApp AutoSupport, que monitora proativamente a integridade do storage.
As políticas de roteamento e firewall devem permitir o tráfego HTTP/HTTPS da AWS para os seguintes endpoints, para que o Cloud Volumes ONTAP possa enviar mensagens do AutoSupport:
-
https://support.NetApp.com/asupprod/post/1,0/postSup
Se você tiver uma instância NAT, deverá definir uma regra de grupo de segurança de entrada que permita o tráfego HTTPS da sub-rede privada para a Internet.
- Acesso de saída à Internet para o mediador HA
-
A instância de mediador de HA precisa ter uma conexão de saída para o serviço AWS EC2 para que a TI possa ajudar no failover de storage. Para fornecer a conexão, você pode adicionar um endereço IP público, especificar um servidor proxy ou usar uma opção manual.
A opção manual pode ser um gateway NAT ou um endpoint de VPC de interface da sub-rede de destino para o serviço AWS EC2. Para obter detalhes sobre endpoints da VPC, "Documentação da AWS: Endpoints da interface VPC (AWS PrivateLink)" consulte .
- Número de endereços IP
-
O Cloud Manager aloca o seguinte número de endereços IP para o Cloud Volumes ONTAP na AWS:
-
Nó único: 6 endereços IP
-
Pares HA em AZs únicos: Endereços 15
-
Pares DE HA em vários AZs: 15 ou 16 endereços IP
Observe que o Cloud Manager cria um LIF de gerenciamento de SVM em sistemas de nó único, mas não em pares de HA em uma única AZ. Você pode escolher se deseja criar um LIF de gerenciamento de SVM em pares de HA em vários AZs.
Um LIF é um endereço IP associado a uma porta física. É necessário um LIF de gerenciamento de SVM para ferramentas de gerenciamento como o SnapCenter.
-
- Grupos de segurança
-
Você não precisa criar grupos de segurança porque o Cloud Manager faz isso por você. Se você precisar usar o seu próprio, "Regras do grupo de segurança"consulte .
- Conexão do Cloud Volumes ONTAP ao AWS S3 para categorização de dados
-
Se você quiser usar o EBS como um nível de desempenho e o AWS S3 como um nível de capacidade, deve garantir que o Cloud Volumes ONTAP tenha uma conexão com o S3. A melhor maneira de fornecer essa conexão é criando um endpoint VPC para o serviço S3. Para obter instruções, "Documentação da AWS: Criando um endpoint do Gateway" consulte .
Ao criar o endpoint VPC, certifique-se de selecionar a tabela região, VPC e rota que corresponde à instância do Cloud Volumes ONTAP. Você também deve modificar o grupo de segurança para adicionar uma regra HTTPS de saída que permita o tráfego para o endpoint S3. Caso contrário, o Cloud Volumes ONTAP não pode se conetar ao serviço S3.
Se tiver algum problema, consulte "AWS Support Knowledge Center: Por que não consigo me conetar a um bucket do S3 usando um endpoint VPC de gateway?"
- Conexões com sistemas ONTAP em outras redes
-
Para replicar dados entre um sistema Cloud Volumes ONTAP na AWS e sistemas ONTAP em outras redes, você precisa ter uma conexão VPN entre a VPC da AWS e a outra rede, por exemplo, um VNet do Azure ou sua rede corporativa. Para obter instruções, "Documentação da AWS: Configurando uma conexão VPN da AWS" consulte .
- DNS e ative Directory para CIFS
-
Se você quiser provisionar o storage CIFS, configure o DNS e o ative Directory na AWS ou estenda sua configuração local para a AWS.
O servidor DNS deve fornecer serviços de resolução de nomes para o ambiente do ative Directory. Você pode configurar conjuntos de opções DHCP para usar o servidor DNS padrão EC2, que não deve ser o servidor DNS usado pelo ambiente ative Directory.
Para obter instruções, "Documentação da AWS: Serviços de domínio do ative Directory na nuvem AWS: Implantação de referência de início rápido" consulte .
Requisitos para pares de HA em várias AZs
Requisitos adicionais de rede da AWS se aplicam a configurações do Cloud Volumes ONTAP HA que usam várias zonas de disponibilidade (AZs). Você deve analisar esses requisitos antes de iniciar um par de HA, pois deve inserir os detalhes da rede no Cloud Manager.
Para entender como os pares de HA funcionam, "Pares de alta disponibilidade"consulte .
- Zonas de disponibilidade
-
Este modelo de implantação de HA usa vários AZs para garantir alta disponibilidade de seus dados. Você deve usar uma AZ dedicada para cada instância do Cloud Volumes ONTAP e a instância do mediador, que fornece um canal de comunicação entre o par de HA.
- Endereços IP flutuantes para dados nas e gerenciamento de cluster/SVM
-
As configurações DE HA em vários AZs usam endereços IP flutuantes que migram entre nós se ocorrerem falhas. Eles não são diretamente acessíveis de fora da VPC, a menos que você "Configure um gateway de trânsito da AWS".
Um endereço IP flutuante é para gerenciamento de cluster, um para dados NFS/CIFS no nó 1 e outro para dados NFS/CIFS no nó 2. Um quarto endereço IP flutuante para gerenciamento de SVM é opcional.
Um endereço IP flutuante é necessário para o LIF de gerenciamento da SVM se você usar o SnapDrive para Windows ou SnapCenter com o par de HA. Se você não especificar o endereço IP ao implantar o sistema, poderá criar o LIF mais tarde. Para obter detalhes, "Configurar o Cloud Volumes ONTAP"consulte . Você precisa inserir os endereços IP flutuantes no Cloud Manager ao criar um ambiente de trabalho do Cloud Volumes ONTAP HA. O Cloud Manager aloca os endereços IP para o par de HA quando ele inicia o sistema.
Os endereços IP flutuantes devem estar fora dos blocos CIDR para todos os VPCs na região da AWS na qual você implementa a configuração de HA. Pense nos endereços IP flutuantes como uma sub-rede lógica que está fora dos VPCs em sua região.
O exemplo a seguir mostra a relação entre endereços IP flutuantes e os VPCs em uma região da AWS. Enquanto os endereços IP flutuantes estão fora dos blocos CIDR para todos os VPCs, eles são roteáveis para sub-redes através de tabelas de rota.
O Cloud Manager cria automaticamente endereços IP estáticos para o acesso iSCSI e para o acesso nas de clientes fora da VPC. Você não precisa atender a nenhum requisito para esses tipos de endereços IP. - Gateway de trânsito para habilitar o acesso IP flutuante de fora da VPC
-
"Configure um gateway de trânsito da AWS" Para habilitar o acesso aos endereços IP flutuantes de um par de HA de fora da VPC onde o par de HA reside.
- Tabelas de rotas
-
Depois de especificar os endereços IP flutuantes no Cloud Manager, você precisa selecionar as tabelas de rota que devem incluir rotas para os endereços IP flutuantes. Isso permite o acesso do cliente ao par de HA.
Se você tiver apenas uma tabela de rota para as sub-redes na VPC (a tabela de rotas principal), o Cloud Manager adicionará automaticamente os endereços IP flutuantes a essa tabela de rotas. Se tiver mais de uma tabela de rota, é muito importante selecionar as tabelas de rota corretas ao iniciar o par HA. Caso contrário, alguns clientes podem não ter acesso ao Cloud Volumes ONTAP.
Por exemplo, você pode ter duas sub-redes associadas a tabelas de rota diferentes. Se você selecionar a tabela de rota A, mas não a tabela de rota B, os clientes na sub-rede associada à tabela de rota A podem acessar o par de HA, mas os clientes na sub-rede associada à tabela de rota B.
Para obter mais informações sobre tabelas de rotas, "Documentação da AWS: Tabelas de rotas" consulte .
- Conexão com ferramentas de gerenciamento do NetApp
-
Para usar as ferramentas de gerenciamento do NetApp com configurações de HA em vários AZs, você tem duas opções de conexão:
-
Implante as ferramentas de gerenciamento do NetApp em uma VPC diferente e "Configure um gateway de trânsito da AWS"no . O gateway permite o acesso ao endereço IP flutuante para a interface de gerenciamento de cluster de fora da VPC.
-
Implante as ferramentas de gerenciamento do NetApp na mesma VPC com uma configuração de roteamento semelhante aos clientes nas.
-
Exemplo de configuração de HA
A imagem a seguir mostra uma configuração de HA ideal na AWS operando como uma configuração ativo-passivo:
Requisitos para o conetor
Configure sua rede para que o conetor possa gerenciar recursos e processos em seu ambiente de nuvem pública. O passo mais importante é garantir o acesso de saída à Internet a vários endpoints.
Se a rede utilizar um servidor proxy para toda a comunicação com a Internet, pode especificar o servidor proxy a partir da página Definições. "Configurando o conetor para usar um servidor proxy"Consulte a . |
Conexão com redes de destino
Um conetor requer uma conexão de rede com os VPCs e VNets nos quais você deseja implantar o Cloud Volumes ONTAP.
Por exemplo, se você instalar um conetor em sua rede corporativa, deverá configurar uma conexão VPN com a VPC ou a VNet no qual você inicia o Cloud Volumes ONTAP.
Acesso de saída à Internet
O conetor requer acesso de saída à Internet para gerenciar recursos e processos em seu ambiente de nuvem pública. Um conetor entra em Contato com os seguintes endpoints ao gerenciar recursos na AWS:
Endpoints | Finalidade |
---|---|
Serviços da AWS (amazonaws.com):
O endpoint exato depende da região em que você implementa o Cloud Volumes ONTAP. "Consulte a documentação da AWS para obter detalhes." |
Permite que o Cloud Manager implante e gerencie o Cloud Volumes ONTAP na AWS. |
Solicitações de API para o NetApp Cloud Central. |
|
Fornece acesso a imagens de software, manifestos e modelos. |
|
Usado para baixar dependências do Cloud Manager. |
|
http://repo.mysql.com/ |
Usado para baixar MySQL. |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-NetApp-com-accelerated.s3.amazonaws.com |
Permite que o Cloud Manager acesse e baixe manifestos, modelos e imagens de atualização do Cloud Volumes ONTAP. |
https://cloudmanagerinfraprod.azurecr.io |
Acesso a imagens de software de componentes de contentor para uma infraestrutura que esteja executando o Docker e fornece uma solução para integrações de serviços com o Cloud Manager. |
https://kinesis.us-east-1.amazonaws.com |
Permite que o NetApp transmita dados de Registros de auditoria. |
Comunicação com o serviço Cloud Manager, que inclui contas do Cloud Central. |
|
Comunicação com o NetApp Cloud Central para autenticação centralizada de usuários. |
|
https://w86yt021u5.execute-api.us-east-1.amazonaws.com/production/whitelist |
Usado para adicionar seu ID de conta da AWS à lista de usuários permitidos para Backup em S3. |
https://support.NetApp.com/aods/asupmessage https://support.NetApp.com/asupprod/post/1,0/postAsup |
Comunicação com NetApp AutoSupport. |
https://support.NetApp.com/svcgw - https://support.NetApp.com/ServiceGW/Entitlement - https://eval.lic.NetApp.com.s3.us-west-1.amazonaws.com - https://cloud-support-NetApp-com.s3.us-west-1.amazonaws.com |
Comunicação com o NetApp para licenciamento de sistema e Registro de suporte. |
Permite que o Cloud Manager gere licenças (por exemplo, uma licença FlexCache para Cloud Volumes ONTAP) |
|
https://packages.cloud.google.com/yum https://github.com/NetApp/Trident/Releases/download/ |
Necessário para conectar sistemas Cloud Volumes ONTAP a um cluster Kubernetes. Os endpoints permitem a instalação do NetApp Trident. |
Vários locais de terceiros, por exemplo:
Locais de terceiros estão sujeitos a alterações. |
Durante as atualizações, o Cloud Manager baixa os pacotes mais recentes para dependências de terceiros. |
Embora você deva executar quase todas as tarefas a partir da interface de usuário SaaS, uma interface de usuário local ainda está disponível no conetor. A máquina que executa o navegador da Web deve ter conexões com os seguintes endpoints:
Endpoints | Finalidade |
---|---|
O host do conetor |
Você deve inserir o endereço IP do host de um navegador da Web para carregar o console do Cloud Manager. Dependendo da sua conetividade com o seu provedor de nuvem, você pode usar o IP privado ou um IP público atribuído ao host:
Em qualquer caso, você deve proteger o acesso à rede, garantindo que as regras do grupo de segurança permitam o acesso somente de IPs ou sub-redes autorizados. |
https://auth0.com https://cdn.auth0.com://NetApp-cloud-account.auth0.com https://services.cloud.NetApp.com |
Seu navegador da Web se coneta a esses endpoints para autenticação de usuário centralizada por meio do NetApp Cloud Central. |
https://widget.intercom.io |
Para um bate-papo no produto que permite conversar com especialistas em nuvem da NetApp. |