AWS 中的 Cloud Volumes ONTAP 的网络要求
建议更改
PDF
BlueXP负责为Cloud Volumes ONTAP 设置网络组件、例如IP地址、网络掩码和路由。您需要确保出站 Internet 访问可用,有足够的专用 IP 地址可用,正确的连接到位等。
一般要求
以下要求必须在 AWS 中满足。
Cloud Volumes ONTAP 节点的出站 Internet 访问
Cloud Volumes ONTAP系统需要出站Internet访问才能访问外部端点以执行各种功能。如果在安全要求严格的环境中阻止这些端点、则Cloud Volumes ONTAP将无法正常运行。
BlueXP 连接器还会与多个端点联系以执行日常操作、并与BlueXP 基于Web的控制台联系。有关BlueXP 端点的信息,请参阅 "查看从Connector连接的端点"和 "准备网络以使用BlueXP控制台"。
Cloud Volumes ONTAP端点
Cloud Volumes ONTAP使用这些端点与各种服务进行通信。
| 端点 | 适用于 | 目的 | BlueXP部署模式 | 端点不可用时的影响 |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
身份验证 |
用于BlueXP 身份验证。 |
标准模式和受限模式。 |
用户身份验证失败、以下服务仍不可用:
|
租户 |
用于从BlueXP 租户中检索Cloud Volumes ONTAP资源以授权资源和用户。 |
标准模式和受限模式。 |
Cloud Volumes ONTAP资源和用户未获得授权。 |
|
https://support.NetApp.com/aods/asupmessage https://support.Asupprod/post/1.0/postAsup NetApp |
AutoSupport |
用于将AutoSupport遥测数据发送到NetApp支持。 |
标准模式和受限模式。 |
AutoSupport信息仍然未传送。 |
AWS服务的确切商业端点(后缀为 |
|
与AWS服务通信。 |
标准模式和专用模式。 |
Cloud Volumes ONTAP无法与AWS服务进行通信、以便在AWS上执行特定的BlueXP 操作。 |
AWS服务的确切政府端点取决于您所使用的AWS地区。端点后缀为 |
|
与AWS服务通信。 |
受限模式。 |
Cloud Volumes ONTAP无法与AWS服务进行通信、以便在AWS上执行特定的BlueXP 操作。 |
NetApp AutoSupport的出站Internet访问
Cloud Volumes ONTAP节点需要出站Internet访问才能访问外部端点以执行各种功能。如果在安全要求严格的环境中阻止这些端点、则Cloud Volumes ONTAP将无法正常运行。
Cloud Volumes ONTAP 节点需要通过出站Internet访问NetApp AutoSupport 、NetApp会主动监控系统运行状况并向NetApp技术支持发送消息。
路由和防火墙策略必须允许HTTPS流量传输到以下端点、Cloud Volumes ONTAP才能发送AutoSupport消息:
如果您有 NAT 实例、则必须定义允许 HTTPS 流量从私有子网传输到 Internet 的入站安全组规则。
如果无法通过出站Internet连接发送AutoSupport 消息、则BlueXP会自动将您的Cloud Volumes ONTAP 系统配置为使用Connector作为代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行_inbound_连接。部署Connector后、您需要打开此端口。
如果您为Cloud Volumes ONTAP 定义了严格的出站规则、则还需要确保Cloud Volumes ONTAP 安全组允许通过端口3128进行_outout_连接。
确认出站 Internet 访问可用后,您可以测试 AutoSupport 以确保它可以发送消息。有关说明,请参阅 "ONTAP文档:设置AutoSupport"。
如果BlueXP通知您无法发送AutoSupport 消息、 "对AutoSupport 配置进行故障排除"。
HA 调解器的出站 Internet 访问
HA 调解器实例必须具有与 AWS EC2 服务的出站连接、以便能够帮助进行存储故障转移。要提供连接、可以添加公共 IP 地址、指定代理服务器或使用手动选项。
手动选项可以是 NAT 网关或从目标子网到 AWS EC2 服务的接口 VPC 端点。有关VPC端点的详细信息,请参见 "AWS 文档:接口 VPC 端点( AWS PrivateLink )"。
专用 IP 地址
BlueXP会自动为Cloud Volumes ONTAP 分配所需数量的专用IP地址。您需要确保网络具有足够的可用专用 IP 地址。
BlueXP为Cloud Volumes ONTAP 分配的LIF数量取决于您部署的是单节点系统还是HA对。LIF 是与物理端口关联的 IP 地址。
单节点系统的 IP 地址
BlueXP会将6个IP地址分配给一个节点系统。
下表提供了有关与每个专用IP地址关联的LIF的详细信息。
| LIF | 目的 |
|---|---|
集群管理 |
对整个集群( HA 对)进行管理管理。 |
节点管理 |
节点的管理管理。 |
集群间 |
跨集群通信,备份和复制。 |
NAS 数据 |
通过 NAS 协议进行客户端访问。 |
iSCSI 数据 |
通过 iSCSI 协议进行客户端访问。系统也会将其用于其他重要的网络工作流。此LIF为必填项、不应删除。 |
Storage VM管理 |
Storage VM 管理 LIF 与 SnapCenter 等管理工具结合使用。 |
HA 对的 IP 地址
与单节点系统相比, HA 对所需的 IP 地址更多。这些 IP 地址分布在不同的以太网接口上,如下图所示:
HA 对所需的专用 IP 地址数量取决于您选择的部署模式。部署在 _single AWS 可用性区域( AZ )中的 HA 对需要 15 个专用 IP 地址,而部署在 _Multiple _ AZs 中的 HA 对则需要 13 个专用 IP 地址。
下表提供了有关与每个专用 IP 地址关联的 LIF 的详细信息。
一个 AZ 中的 HA 对的 LIF
| LIF | 接口 | Node | 目的 |
|---|---|---|---|
集群管理 |
eth0 |
节点 1 |
对整个集群( HA 对)进行管理管理。 |
节点管理 |
eth0 |
节点 1 和节点 2 |
节点的管理管理。 |
集群间 |
eth0 |
节点 1 和节点 2 |
跨集群通信,备份和复制。 |
NAS 数据 |
eth0 |
节点 1 |
通过 NAS 协议进行客户端访问。 |
iSCSI 数据 |
eth0 |
节点 1 和节点 2 |
通过 iSCSI 协议进行客户端访问。系统也会将其用于其他重要的网络工作流。这些LIF是必需的、不应删除。 |
集群连接 |
Eth1 |
节点 1 和节点 2 |
使节点可以彼此通信并在集群中移动数据。 |
HA 连接 |
Eth2 |
节点 1 和节点 2 |
发生故障转移时两个节点之间的通信。 |
RSM iSCSI 流量 |
Eth3. |
节点 1 和节点 2 |
RAID SyncMirror iSCSI 流量以及两个 Cloud Volumes ONTAP 节点与调解器之间的通信。 |
调解器 |
eth0 |
调解器 |
节点与调解器之间的通信通道,用于协助存储接管和交还过程。 |
多个 AZs 中 HA 对的 LIF
| LIF | 接口 | Node | 目的 |
|---|---|---|---|
节点管理 |
eth0 |
节点 1 和节点 2 |
节点的管理管理。 |
集群间 |
eth0 |
节点 1 和节点 2 |
跨集群通信,备份和复制。 |
iSCSI 数据 |
eth0 |
节点 1 和节点 2 |
通过 iSCSI 协议进行客户端访问。这些LIF还可管理节点之间浮动IP地址的迁移。这些LIF是必需的、不应删除。 |
集群连接 |
Eth1 |
节点 1 和节点 2 |
使节点可以彼此通信并在集群中移动数据。 |
HA 连接 |
Eth2 |
节点 1 和节点 2 |
发生故障转移时两个节点之间的通信。 |
RSM iSCSI 流量 |
Eth3. |
节点 1 和节点 2 |
RAID SyncMirror iSCSI 流量以及两个 Cloud Volumes ONTAP 节点与调解器之间的通信。 |
调解器 |
eth0 |
调解器 |
节点与调解器之间的通信通道,用于协助存储接管和交还过程。 |
|
如果部署在多个可用性区域中,则会与多个 LIF 关联 "浮动 IP 地址",不计入 AWS 专用 IP 限制。 |
数据分层连接
如果要将 EBS 用作性能层、将 AWS S3 用作容量层、则必须确保 Cloud Volumes ONTAP 与 S3 建立连接。提供该连接的最佳方法是创建到 S3 服务的 VPC 端点。有关说明,请参阅 "AWS 文档:创建网关端点"。
创建 VPC 端点时,请确保选择与 Cloud Volumes ONTAP 实例对应的区域、 VPC 和路由表。您还必须修改安全组才能添加出站 HTTPS 规则、该规则允许通信到 S3 端点。否则, Cloud Volumes ONTAP 无法连接到 S3 服务。
如果遇到任何问题、请参见 "AWS 支持知识中心:为什么我无法使用网关 VPC 端点连接到 S3 存储分段?"
连接到 ONTAP 系统
要在AWS中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在AWS VPC与其他网络(例如企业网络)之间建立VPN连接。有关说明,请参阅 "AWS 文档:设置 AWS VPN 连接"。
用于 CIFS 的 DNS 和 Active Directory
如果要配置 CIFS 存储、必须在 AWS 中设置 DNS 和 Active Directory 或将内部设置扩展到 AWS 。
DNS 服务器必须为 Active Directory 环境提供名称解析服务。您可以将 DHCP 选项集配置为使用默认的 EC2 DNS 服务器、该服务器不能是 Active Directory 环境使用的 DNS 服务器。
VPC共享
从9.11.1版开始、具有VPC共享的AWS支持Cloud Volumes ONTAP HA对。通过VPC共享、您的组织可以与其他AWS帐户共享子网。要使用此配置、您必须设置AWS环境、然后使用API部署HA对。
多个 AZs 中 HA 对的要求
其他 AWS 网络要求适用于使用多可用性区域( Azs )的 Cloud Volumes ONTAP HA 配置。在启动HA对之前、您应查看这些要求、因为在创建工作环境时、您必须在BlueXP中输入网络详细信息。
要了解HA对的工作原理,请参见"高可用性对"。
- 可用性区域
-
此 HA 部署模型使用多个 AUS 来确保数据的高可用性。您应该为每个 Cloud Volumes ONTAP 实例和调解器实例使用专用的 AZ ,该实例在 HA 对之间提供通信通道。
每个可用性区域都应有一个子网。
- 用于 NAS 数据和集群 /SVM 管理的浮动 IP 地址
-
多个 AZs 中的 HA 配置使用浮动 IP 地址,如果发生故障,这些地址会在节点之间迁移。除非您自己,否则它们不能从 VPC 外部本机访问 "设置 AWS 传输网关"。
一个浮动 IP 地址用于集群管理、一个用于节点 1 上的 NFS/CIFS 数据、一个用于节点 2 上的 NFS/CIFS 数据。SVM 管理的第四个浮动 IP 地址是可选的。
如果将 SnapDrive for Windows 或 SnapCenter 与 HA 对结合使用,则 SVM 管理 LIF 需要浮动 IP 地址。 创建Cloud Volumes ONTAP HA工作环境时、您需要在BlueXP中输入浮动IP地址。BlueXP在启动系统时会将IP地址分配给HA对。
对于部署 HA 配置的 AWS 区域中的所有 vPC ,浮动 IP 地址必须不在 CIDR 块的范围内。将浮动 IP 地址视为您所在地区 VPC 之外的逻辑子网。
以下示例显示了 AWS 区域中浮动 IP 地址与 VPC 之间的关系。虽然浮动 IP 地址不在所有 VPC 的 CIDR 块之外,但它们可以通过路由表路由到子网。
BlueXP会自动创建静态IP地址、用于从VPC外部的客户端进行iSCSI访问和NAS访问。您无需满足这些类型的 IP 地址的任何要求。 - 传输网关,用于从 VPC 外部启用浮动 IP 访问
-
如果需要, "设置 AWS 传输网关" 允许从 HA 对所在的 VPC 外部访问 HA 对的浮动 IP 地址。
- 路由表
-
在BlueXP中指定浮动IP地址后、系统将提示您选择应包含浮动IP地址路由的路由表。这将启用客户端对 HA 对的访问。
如果VPC中的子网只有一个路由表(主路由表)、则BlueXP会自动将浮动IP地址添加到该路由表中。如果您有多个路由表,则在启动 HA 对时选择正确的路由表非常重要。否则,某些客户端可能无法访问 Cloud Volumes ONTAP 。
例如,您可能有两个子网与不同的路由表相关联。如果选择路由表 A ,而不选择路由表 B ,则与路由表 A 关联的子网中的客户端可以访问 HA 对,但与路由表 B 关联的子网中的客户端无法访问。
有关路由表的详细信息,请参阅 "AWS 文档:路由表"。
- 与 NetApp 管理工具的连接
-
要对多个 AZs 中的 HA 配置使用 NetApp 管理工具,您可以选择两种连接方式:
-
在其他 VPC 和中部署 NetApp 管理工具 "设置 AWS 传输网关"。通过网关,可以从 VPC 外部访问集群管理接口的浮动 IP 地址。
-
在与 NAS 客户端具有类似路由配置的同一 VPC 中部署 NetApp 管理工具。
-
HA 配置示例
下图显示了多个 AZs 中特定于 HA 对的网络组件:三个可用性区域,三个子网,浮动 IP 地址和路由表。
连接器的要求
如果尚未创建Connector、则还应查看Connector的网络要求。