Azure 中的 Cloud Volumes ONTAP 的网络要求
设置 Azure 网络,以便 Cloud Volumes ONTAP 系统可以正常运行。
Cloud Volumes ONTAP 的要求
在 Azure 中必须满足以下网络连接要求。
出站 Internet 访问
Cloud Volumes ONTAP系统需要出站Internet访问才能访问外部端点以执行各种功能。如果在安全要求严格的环境中阻止这些端点、则Cloud Volumes ONTAP将无法正常运行。
BlueXP 连接器还会与多个端点联系以执行日常操作、并与BlueXP 基于Web的控制台联系。有关BlueXP 端点的信息,请参阅 "查看从Connector连接的端点"和 "准备网络以使用BlueXP控制台"。
Cloud Volumes ONTAP端点
Cloud Volumes ONTAP使用这些端点与各种服务进行通信。
端点 | 适用于 | 目的 | BlueXP部署模式 | 如果不可用、则会产生影响 |
---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
身份验证 |
用于BlueXP 身份验证。 |
标准模式和受限模式。 |
用户身份验证失败、以下服务仍不可用:
|
密钥库 |
用于在使用客户管理密钥(CMK)时从Azure密钥库检索客户端密钥。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP服务不可用。 |
|
租户 |
用于从BlueXP 租户中检索Cloud Volumes ONTAP资源以授权资源和用户。 |
标准模式和受限模式。 |
Cloud Volumes ONTAP资源和用户未获得授权。 |
|
https://support.NetApp.com/aods/asupmessage https://support.Asupprod/post/1.0/postAsup NetApp |
AutoSupport |
用于将AutoSupport遥测数据发送到NetApp支持。 |
标准模式和受限模式。 |
AutoSupport信息仍然未传送。 |
https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net |
公共区域 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务进行通信以在Azure上执行特定的BlueXP 操作。 |
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn |
中国地区 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务进行通信以在Azure上执行特定的BlueXP 操作。 |
https://management.microsoftazure.de https://login.microsoftonline.de https://blob.core.cloudapi.de https://core.cloudapi.de |
德国地区 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务进行通信以在Azure上执行特定的BlueXP 操作。 |
https://management.usgovcloudapi.net https://login.microsoftonline.us https://blob.core.usgovcloudapi.net https://core.usgovcloudapi.net |
政府地区 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务进行通信以在Azure上执行特定的BlueXP 操作。 |
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud |
政府DoD地区 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务进行通信以在Azure上执行特定的BlueXP 操作。 |
NetApp AutoSupport的出站Internet访问
Cloud Volumes ONTAP 节点需要通过出站Internet访问NetApp AutoSupport 、NetApp会主动监控系统运行状况并向NetApp技术支持发送消息。
路由和防火墙策略必须允许HTTPS流量传输到以下端点、Cloud Volumes ONTAP才能发送AutoSupport消息:
如果无法通过出站Internet连接发送AutoSupport 消息、则BlueXP会自动将您的Cloud Volumes ONTAP 系统配置为使用Connector作为代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行_inbound_连接。部署Connector后、您需要打开此端口。
如果您为Cloud Volumes ONTAP 定义了严格的出站规则、则还需要确保Cloud Volumes ONTAP 安全组允许通过端口3128进行_outout_连接。
确认出站 Internet 访问可用后,您可以测试 AutoSupport 以确保它可以发送消息。有关说明,请参阅 "ONTAP文档:设置AutoSupport"。
如果BlueXP通知您无法发送AutoSupport 消息、 "对AutoSupport 配置进行故障排除"。
IP 地址
BlueXP会自动将所需数量的专用IP地址分配给Azure中的Cloud Volumes ONTAP。您需要确保网络具有足够的可用专用IP地址。
BlueXP为Cloud Volumes ONTAP 分配的LIF数量取决于您部署的是单节点系统还是HA对。LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。
|
iSCSI LIF可通过iSCSI协议提供客户端访问、并由系统用于其他重要的网络工作流。这些LIF是必需的、不应删除。 |
单节点系统的 IP 地址
BlueXP会将5或6个IP地址分配给单节点系统:
-
集群管理IP
-
节点管理IP
-
SnapMirror的集群间IP
-
NFS/CIFS IP
-
iSCSI IP
iSCSI IP可通过iSCSI协议提供客户端访问。系统也会将其用于其他重要的网络工作流。此LIF为必填项、不应删除。 -
SVM管理(可选—默认情况下未配置)
HA 对的 IP 地址
在部署期间、BlueXP会将IP地址分配给4个NIC (每个节点)。
请注意、BlueXP会在HA对上创建SVM管理LIF、但不会在Azure中的单节点系统上创建。
NIC0
-
节点管理IP
-
集群间IP
-
iSCSI IP
iSCSI IP可通过iSCSI协议提供客户端访问。系统也会将其用于其他重要的网络工作流。此LIF为必填项、不应删除。 -
NIC 1*
-
集群网络IP
NIC2
-
集群互连IP (HA IC)
-
NIC 3*
-
Pageblob NIC IP (磁盘访问)
|
NIC3仅适用于使用页面Blob存储的HA部署。 |
上述IP地址不会在发生故障转移事件时迁移。
此外、还配置了4个前端IP (FIPS)、以便在发生故障转移事件时进行迁移。这些前端IP位于负载平衡器中。
-
集群管理IP
-
节点A数据IP (NFS/CIFS)
-
NodeB数据IP (NFS/CIFS)
-
SVM管理IP
安全连接到 Azure 服务
默认情况下、BlueXP会为Cloud Volumes ONTAP 和Azure页面Blob存储帐户之间的连接启用Azure专用链接。
在大多数情况下、您无需执行任何操作—BlueXP为您管理Azure专用链路。但是,如果您使用 Azure 私有 DNS ,则需要编辑配置文件。此外、您还应了解Azure中连接器位置的要求。
如果业务需要、您还可以禁用专用链路连接。如果禁用此链接、则BlueXP会将Cloud Volumes ONTAP 配置为使用服务端点。
连接到其他 ONTAP 系统
要在Azure中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在Azure vNet与其他网络(例如您的企业网络)之间建立VPN连接。
用于 HA 互连的端口
Cloud Volumes ONTAP HA 对包括一个 HA 互连,通过该互连,每个节点可以持续检查其配对节点是否正常运行,并镜像另一节点的非易失性内存的日志数据。HA 互连使用 TCP 端口 10006 进行通信。
默认情况下, HA 互连 LIF 之间的通信处于打开状态,并且此端口没有安全组规则。但是,如果在 HA 互连 LIF 之间创建防火墙,则需要确保端口 10006 的 TCP 流量处于打开状态,以便 HA 对可以正常运行。
一个 Azure 资源组中只有一个 HA 对
您必须为在 Azure 中部署的每个 Cloud Volumes ONTAP HA 对使用 _dedicated 资源组。一个资源组仅支持一个 HA 对。
如果您尝试在Azure资源组中部署第二个Cloud Volumes ONTAP HA对、则BlueXP会遇到连接问题。
安全组规则
BlueXP会创建包含Cloud Volumes ONTAP 成功运行所需入站和出站规则的Azure安全组。您可能需要参考端口进行测试,或者如果您希望使用自己的安全组。
Cloud Volumes ONTAP 的安全组需要入站和出站规则。
|
正在查找有关连接器的信息? "查看Connector的安全组规则" |
单节点系统的入站规则
在创建工作环境并选择预定义的安全组时、您可以选择允许以下其中一个范围内的流量:
-
仅限选定的vNet:入站流量的源是Cloud Volumes ONTAP系统的vNet的子网范围和连接器所在的vNet的子网范围。这是建议的选项。
-
All VSets:入站流量的源IP范围为0.0.0.0/0。
-
已禁用:此选项限制对存储帐户的公共网络访问、并禁用Cloud Volumes ONTAP系统的数据分层。如果由于安全法规和策略的原因,即使在同一个vNet中也不应公开您的专用IP地址,则建议使用此选项。
优先级和名称 | 端口和协议 | 源和目标 | Description |
---|---|---|---|
1000 个 inbound_ssh |
22 TCP |
任意到任意 |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
1001inbound_http |
80/TCP |
任意到任意 |
使用集群管理LIF的IP地址通过HTTP访问ONTAP系统管理器Web控制台 |
1002inbound_111_tcp |
111 TCP |
任意到任意 |
远程过程调用 NFS |
1003 入站 _111_UDP |
111 UDP |
任意到任意 |
远程过程调用 NFS |
1004 inbound_139 |
139 TCP |
任意到任意 |
用于 CIFS 的 NetBIOS 服务会话 |
1005 inbound_161-162_TCP |
161-162 TCP |
任意到任意 |
简单网络管理协议 |
1006 inbound_161-162_UDP |
161-162 UDP |
任意到任意 |
简单网络管理协议 |
1007 inbound_443 |
443/TCP |
任意到任意 |
通过连接器进行连接、并使用集群管理LIF的IP地址通过HTTPS访问ONTAP系统管理器Web控制台 |
1008 inbound_445 |
445 TCP |
任意到任意 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
1009 inbound_635_tcp |
635 TCP |
任意到任意 |
NFS 挂载 |
1010 inbound_635_udp |
635 UDP |
任意到任意 |
NFS 挂载 |
1011 inbound_749 |
749 TCP |
任意到任意 |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
任意到任意 |
NFS 服务器守护进程 |
1013 inbound_2049_udp |
2049 UDP |
任意到任意 |
NFS 服务器守护进程 |
1014 inbound_3260 |
3260 TCP |
任意到任意 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
1015 Inbound_4045-4046_tcp |
4045-4046 TCP |
任意到任意 |
NFS 锁定守护进程和网络状态监控器 |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
任意到任意 |
NFS 锁定守护进程和网络状态监控器 |
1017 inbound_10000 |
10000 TCP |
任意到任意 |
使用 NDMP 备份 |
1018 inbound_11104-11105 |
11104-11105 TCP |
任意到任意 |
SnapMirror 数据传输 |
3000 个 inbound_deny _all_tcp |
任何端口 TCP |
任意到任意 |
阻止所有其他 TCP 入站流量 |
3001 inbound_deny _all_udp |
任何端口 UDP |
任意到任意 |
阻止所有其他 UDP 入站流量 |
65000 个 AllowVnetInBound |
任何端口任何协议 |
VirtualNetwork 到 VirtualNetwork |
vNet 中的入站流量 |
65001 AllowAzureLoad BalancerInBound |
任何端口任何协议 |
AzureLoadBalancer 到任何 |
来自 Azure 标准负载平衡器的数据流量 |
65500 DenyAllInBound |
任何端口任何协议 |
任意到任意 |
阻止所有其他入站流量 |
HA 系统的入站规则
在创建工作环境并选择预定义的安全组时、您可以选择允许以下其中一个范围内的流量:
-
仅限选定的vNet:入站流量的源是Cloud Volumes ONTAP系统的vNet的子网范围和连接器所在的vNet的子网范围。这是建议的选项。
-
All VSets:入站流量的源IP范围为0.0.0.0/0。
|
与单节点系统相比, HA 系统的入站规则更少,因为入站数据流量通过 Azure 标准负载平衡器。因此,来自负载平衡器的流量应处于打开状态,如 "AllowAzureLoadBalancerInBound" 规则中所示。 |
-
已禁用:此选项限制对存储帐户的公共网络访问、并禁用Cloud Volumes ONTAP系统的数据分层。如果由于安全法规和策略的原因,即使在同一个vNet中也不应公开您的专用IP地址,则建议使用此选项。
优先级和名称 | 端口和协议 | 源和目标 | Description |
---|---|---|---|
100 inbound_443 |
443 任何协议 |
任意到任意 |
通过连接器进行连接、并使用集群管理LIF的IP地址通过HTTPS访问ONTAP系统管理器Web控制台 |
101 inbound_111_tcp |
111 任何协议 |
任意到任意 |
远程过程调用 NFS |
102 inbound_2049_tcp |
2049 任何协议 |
任意到任意 |
NFS 服务器守护进程 |
111 inbound_ssh |
22 任何协议 |
任意到任意 |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
121 inbound_53 |
53 任何协议 |
任意到任意 |
DNS 和 CIFS |
65000 个 AllowVnetInBound |
任何端口任何协议 |
VirtualNetwork 到 VirtualNetwork |
vNet 中的入站流量 |
65001 AllowAzureLoad BalancerInBound |
任何端口任何协议 |
AzureLoadBalancer 到任何 |
来自 Azure 标准负载平衡器的数据流量 |
65500 DenyAllInBound |
任何端口任何协议 |
任意到任意 |
阻止所有其他入站流量 |
出站规则
为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。
Port | 协议 | 目的 |
---|---|---|
全部 |
所有 TCP |
所有出站流量 |
全部 |
所有 UDP |
所有出站流量 |
高级出站规则
如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。
|
源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。 |
服务 | Port | 协议 | 源 | 目标 | 目的 |
---|---|---|---|---|---|
Active Directory |
88 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
137. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
138. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
139. |
TCP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
389. |
TCP 和 UDP |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
445 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
464. |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
464. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
749 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
88 |
TCP |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
137. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
138. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
139. |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
389. |
TCP 和 UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
445 |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
464. |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
464. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
749 |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443. |
节点管理 LIF |
support.netapp.com |
AutoSupport (默认设置为 HTTPS ) |
HTTP |
80 |
节点管理 LIF |
support.netapp.com |
AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时) |
|
TCP |
3128 |
节点管理 LIF |
连接器 |
如果出站Internet连接不可用、则通过Connector上的代理服务器发送AutoSupport 消息 |
|
配置备份 |
HTTP |
80 |
节点管理 LIF |
\http://occm/offboxconfig <connector-IP-address> |
将配置备份发送到Connector。"ONTAP 文档"(英文) |
DHCP |
68 |
UDP |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
67 |
UDP |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
53. |
UDP |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
18600 – 18699 |
TCP |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
25. |
TCP |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
161. |
TCP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
161. |
UDP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
162. |
TCP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
162. |
UDP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
11104. |
TCP |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
11105. |
TCP |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
514. |
UDP |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
连接器的要求
如果尚未创建Connector、则还应查看Connector的网络要求。