AWS 中的 Cloud Volumes ONTAP 的网络要求
BlueXP负责为Cloud Volumes ONTAP 设置网络组件、例如IP地址、网络掩码和路由。您需要确保出站 Internet 访问可用,有足够的专用 IP 地址可用,正确的连接到位等。
一般要求
以下要求必须在 AWS 中满足。
Cloud Volumes ONTAP 节点的出站 Internet 访问
Cloud Volumes ONTAP节点需要出站Internet访问才能联系以下端点进行日常操作。
Cloud Volumes ONTAP端点
Cloud Volumes ONTAP需要出站Internet访问才能联系各种端点进行日常操作。
以下端点特定于Cloud Volumes ONTAP。此外、连接器还会与多个端点联系以执行日常操作、并与基于Web的BlueXP 控制台联系。请参阅 "查看从Connector连接的端点" 和 "准备网络以使用BlueXP控制台"。
端点 | 适用于 | 目的 | BlueXP部署模式 | 端点不可用时的影响 |
---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
身份验证 |
用于BlueXP 身份验证。 |
标准模式和受限模式。 |
用户身份验证失败、以下服务仍不可用:
|
https://keyvault-production-aks.vault.azure.net |
密钥库 |
用于从Azure密钥存储中检索客户端机密密钥、以便与S3存储分段进行通信以处理元数据。Cloud Volumes ONTAP服务在内部使用此组件。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP服务不可用。 |
租户 |
用于从BlueXP 租户中检索Cloud Volumes ONTAP资源以授权资源和用户。 |
标准模式和受限模式。 |
Cloud Volumes ONTAP资源和用户未获得授权。 |
|
https://support.NetApp.com/aods/asupmessage https://support.Asupprod/post/1.0/postAsup NetApp |
AutoSupport |
用于将AutoSupport遥测数据发送到NetApp支持。 |
标准模式和受限模式。 |
AutoSupport信息仍然未传送。 |
AWS服务的确切商业端点(后缀为 |
|
与AWS服务通信。 |
标准模式和专用模式。 |
Cloud Volumes ONTAP无法与AWS服务进行通信、以便在AWS上执行特定的BlueXP 操作。 |
AWS服务的确切政府端点取决于您所使用的AWS地区。端点后缀为 |
|
与AWS服务通信。 |
受限模式。 |
Cloud Volumes ONTAP无法与AWS服务进行通信、以便在AWS上执行特定的BlueXP 操作。 |
NetApp AutoSupport的出站Internet访问
Cloud Volumes ONTAP节点需要出站Internet访问才能访问外部端点以执行各种功能。如果在安全要求严格的环境中阻止这些端点、则Cloud Volumes ONTAP将无法正常运行。
Cloud Volumes ONTAP 节点需要通过出站Internet访问NetApp AutoSupport 、NetApp会主动监控系统运行状况并向NetApp技术支持发送消息。
路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:
如果您有 NAT 实例、则必须定义允许 HTTPS 流量从私有子网传输到 Internet 的入站安全组规则。
如果无法通过出站Internet连接发送AutoSupport 消息、则BlueXP会自动将您的Cloud Volumes ONTAP 系统配置为使用Connector作为代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行_inbound_连接。部署Connector后、您需要打开此端口。
如果您为Cloud Volumes ONTAP 定义了严格的出站规则、则还需要确保Cloud Volumes ONTAP 安全组允许通过端口3128进行_outout_连接。
确认出站 Internet 访问可用后,您可以测试 AutoSupport 以确保它可以发送消息。有关说明,请参见 "ONTAP 文档:设置 AutoSupport"。
如果BlueXP通知您无法发送AutoSupport 消息、 "对AutoSupport 配置进行故障排除"。
HA 调解器的出站 Internet 访问
HA 调解器实例必须具有与 AWS EC2 服务的出站连接、以便能够帮助进行存储故障转移。要提供连接、可以添加公共 IP 地址、指定代理服务器或使用手动选项。
手动选项可以是 NAT 网关或从目标子网到 AWS EC2 服务的接口 VPC 端点。有关VPC端点的详细信息,请参见 "AWS 文档:接口 VPC 端点( AWS PrivateLink )"。
专用 IP 地址
BlueXP会自动为Cloud Volumes ONTAP 分配所需数量的专用IP地址。您需要确保网络具有足够的可用专用 IP 地址。
BlueXP为Cloud Volumes ONTAP 分配的LIF数量取决于您部署的是单节点系统还是HA对。LIF 是与物理端口关联的 IP 地址。
单节点系统的 IP 地址
BlueXP会将6个IP地址分配给一个节点系统。
下表提供了有关与每个专用IP地址关联的LIF的详细信息。
LIF | 目的 |
---|---|
集群管理 |
对整个集群( HA 对)进行管理管理。 |
节点管理 |
节点的管理管理。 |
集群间 |
跨集群通信,备份和复制。 |
NAS 数据 |
通过 NAS 协议进行客户端访问。 |
iSCSI 数据 |
通过 iSCSI 协议进行客户端访问。系统也会将其用于其他重要的网络工作流。此LIF为必填项、不应删除。 |
Storage VM管理 |
Storage VM 管理 LIF 与 SnapCenter 等管理工具结合使用。 |
HA 对的 IP 地址
与单节点系统相比, HA 对所需的 IP 地址更多。这些 IP 地址分布在不同的以太网接口上,如下图所示:
HA 对所需的专用 IP 地址数量取决于您选择的部署模式。部署在 _single AWS 可用性区域( AZ )中的 HA 对需要 15 个专用 IP 地址,而部署在 _Multiple _ AZs 中的 HA 对则需要 13 个专用 IP 地址。
下表提供了有关与每个专用 IP 地址关联的 LIF 的详细信息。
一个 AZ 中的 HA 对的 LIF
LIF | 接口 | Node | 目的 |
---|---|---|---|
集群管理 |
eth0 |
节点 1 |
对整个集群( HA 对)进行管理管理。 |
节点管理 |
eth0 |
节点 1 和节点 2 |
节点的管理管理。 |
集群间 |
eth0 |
节点 1 和节点 2 |
跨集群通信,备份和复制。 |
NAS 数据 |
eth0 |
节点 1 |
通过 NAS 协议进行客户端访问。 |
iSCSI 数据 |
eth0 |
节点 1 和节点 2 |
通过 iSCSI 协议进行客户端访问。系统也会将其用于其他重要的网络工作流。这些LIF是必需的、不应删除。 |
集群连接 |
Eth1 |
节点 1 和节点 2 |
使节点可以彼此通信并在集群中移动数据。 |
HA 连接 |
Eth2 |
节点 1 和节点 2 |
发生故障转移时两个节点之间的通信。 |
RSM iSCSI 流量 |
Eth3. |
节点 1 和节点 2 |
RAID SyncMirror iSCSI 流量以及两个 Cloud Volumes ONTAP 节点与调解器之间的通信。 |
调解器 |
eth0 |
调解器 |
节点与调解器之间的通信通道,用于协助存储接管和交还过程。 |
多个 AZs 中 HA 对的 LIF
LIF | 接口 | Node | 目的 |
---|---|---|---|
节点管理 |
eth0 |
节点 1 和节点 2 |
节点的管理管理。 |
集群间 |
eth0 |
节点 1 和节点 2 |
跨集群通信,备份和复制。 |
iSCSI 数据 |
eth0 |
节点 1 和节点 2 |
通过 iSCSI 协议进行客户端访问。这些LIF还可管理节点之间浮动IP地址的迁移。这些LIF是必需的、不应删除。 |
集群连接 |
Eth1 |
节点 1 和节点 2 |
使节点可以彼此通信并在集群中移动数据。 |
HA 连接 |
Eth2 |
节点 1 和节点 2 |
发生故障转移时两个节点之间的通信。 |
RSM iSCSI 流量 |
Eth3. |
节点 1 和节点 2 |
RAID SyncMirror iSCSI 流量以及两个 Cloud Volumes ONTAP 节点与调解器之间的通信。 |
调解器 |
eth0 |
调解器 |
节点与调解器之间的通信通道,用于协助存储接管和交还过程。 |
如果部署在多个可用性区域中,则会与多个 LIF 关联 "浮动 IP 地址",不计入 AWS 专用 IP 限制。 |
数据分层连接
如果要将 EBS 用作性能层、将 AWS S3 用作容量层、则必须确保 Cloud Volumes ONTAP 与 S3 建立连接。提供该连接的最佳方法是创建到 S3 服务的 VPC 端点。有关说明,请参阅 "AWS 文档:创建网关端点"。
创建 VPC 端点时,请确保选择与 Cloud Volumes ONTAP 实例对应的区域、 VPC 和路由表。您还必须修改安全组才能添加出站 HTTPS 规则、该规则允许通信到 S3 端点。否则, Cloud Volumes ONTAP 无法连接到 S3 服务。
如果遇到任何问题、请参见 "AWS 支持知识中心:为什么我无法使用网关 VPC 端点连接到 S3 存储分段?"
连接到 ONTAP 系统
要在AWS中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在AWS VPC与其他网络(例如企业网络)之间建立VPN连接。有关说明,请参阅 "AWS 文档:设置 AWS VPN 连接"。
用于 CIFS 的 DNS 和 Active Directory
如果要配置 CIFS 存储、必须在 AWS 中设置 DNS 和 Active Directory 或将内部设置扩展到 AWS 。
DNS 服务器必须为 Active Directory 环境提供名称解析服务。您可以将 DHCP 选项集配置为使用默认的 EC2 DNS 服务器、该服务器不能是 Active Directory 环境使用的 DNS 服务器。
VPC共享
从9.11.1版开始、具有VPC共享的AWS支持Cloud Volumes ONTAP HA对。通过VPC共享、您的组织可以与其他AWS帐户共享子网。要使用此配置、您必须设置AWS环境、然后使用API部署HA对。
多个 AZs 中 HA 对的要求
其他 AWS 网络要求适用于使用多可用性区域( Azs )的 Cloud Volumes ONTAP HA 配置。在启动HA对之前、您应查看这些要求、因为在创建工作环境时、您必须在BlueXP中输入网络详细信息。
要了解HA对的工作原理,请参见"高可用性对"。
- 可用性区域
-
此 HA 部署模型使用多个 AUS 来确保数据的高可用性。您应该为每个 Cloud Volumes ONTAP 实例和调解器实例使用专用的 AZ ,该实例在 HA 对之间提供通信通道。
每个可用性区域都应有一个子网。
- 用于 NAS 数据和集群 /SVM 管理的浮动 IP 地址
-
多个 AZs 中的 HA 配置使用浮动 IP 地址,如果发生故障,这些地址会在节点之间迁移。除非您自己,否则它们不能从 VPC 外部本机访问 "设置 AWS 传输网关"。
一个浮动 IP 地址用于集群管理、一个用于节点 1 上的 NFS/CIFS 数据、一个用于节点 2 上的 NFS/CIFS 数据。SVM 管理的第四个浮动 IP 地址是可选的。
如果将 SnapDrive for Windows 或 SnapCenter 与 HA 对结合使用,则 SVM 管理 LIF 需要浮动 IP 地址。 创建Cloud Volumes ONTAP HA工作环境时、您需要在BlueXP中输入浮动IP地址。BlueXP在启动系统时会将IP地址分配给HA对。
对于部署 HA 配置的 AWS 区域中的所有 vPC ,浮动 IP 地址必须不在 CIDR 块的范围内。将浮动 IP 地址视为您所在地区 VPC 之外的逻辑子网。
以下示例显示了 AWS 区域中浮动 IP 地址与 VPC 之间的关系。虽然浮动 IP 地址不在所有 VPC 的 CIDR 块之外,但它们可以通过路由表路由到子网。
BlueXP会自动创建静态IP地址、用于从VPC外部的客户端进行iSCSI访问和NAS访问。您无需满足这些类型的 IP 地址的任何要求。 - 传输网关,用于从 VPC 外部启用浮动 IP 访问
-
如果需要, "设置 AWS 传输网关" 允许从 HA 对所在的 VPC 外部访问 HA 对的浮动 IP 地址。
- 路由表
-
在BlueXP中指定浮动IP地址后、系统将提示您选择应包含浮动IP地址路由的路由表。这将启用客户端对 HA 对的访问。
如果VPC中的子网只有一个路由表(主路由表)、则BlueXP会自动将浮动IP地址添加到该路由表中。如果您有多个路由表,则在启动 HA 对时选择正确的路由表非常重要。否则,某些客户端可能无法访问 Cloud Volumes ONTAP 。
例如,您可能有两个子网与不同的路由表相关联。如果选择路由表 A ,而不选择路由表 B ,则与路由表 A 关联的子网中的客户端可以访问 HA 对,但与路由表 B 关联的子网中的客户端无法访问。
有关路由表的详细信息,请参阅 "AWS 文档:路由表"。
- 与 NetApp 管理工具的连接
-
要对多个 AZs 中的 HA 配置使用 NetApp 管理工具,您可以选择两种连接方式:
-
在其他 VPC 和中部署 NetApp 管理工具 "设置 AWS 传输网关"。通过网关,可以从 VPC 外部访问集群管理接口的浮动 IP 地址。
-
在与 NAS 客户端具有类似路由配置的同一 VPC 中部署 NetApp 管理工具。
-
HA 配置示例
下图显示了多个 AZs 中特定于 HA 对的网络组件:三个可用性区域,三个子网,浮动 IP 地址和路由表。
连接器的要求
如果尚未创建Connector、则还应查看Connector的网络要求。