为Cloud Volumes ONTAP设置Azure网络
建议更改
PDF
设置 Azure 网络,以便 Cloud Volumes ONTAP 系统可以正常运行。
Cloud Volumes ONTAP 的要求
在 Azure 中必须满足以下网络连接要求。
出站 Internet 访问
Cloud Volumes ONTAP系统需要出站Internet访问才能访问外部端点以执行各种功能。如果在安全要求严格的环境中阻止这些端点、则Cloud Volumes ONTAP将无法正常运行。
BlueXP 连接器还会与多个端点联系以执行日常操作、并与BlueXP 基于Web的控制台联系。有关BlueXP 端点的信息,请参阅 "查看从Connector连接的端点"和 "准备网络以使用BlueXP控制台"。
Cloud Volumes ONTAP端点
Cloud Volumes ONTAP使用这些端点与各种服务进行通信。
| 端点 | 适用于 | 目的 | BlueXP部署模式 | 如果不可用、则会产生影响 |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
身份验证 |
用于BlueXP 身份验证。 |
标准模式和受限模式。 |
用户身份验证失败、以下服务仍不可用:
|
密钥库 |
用于在使用客户管理密钥(CMK)时从Azure密钥库检索客户端密钥。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP服务不可用。 |
|
租户 |
用于从BlueXP 租户中检索Cloud Volumes ONTAP资源以授权资源和用户。 |
标准模式和受限模式。 |
Cloud Volumes ONTAP资源和用户未获得授权。 |
|
https://support.NetApp.com/aods/asupmessage https://support.Asupprod/post/1.0/postAsup NetApp |
AutoSupport |
用于将AutoSupport遥测数据发送到NetApp支持。 |
标准模式和受限模式。 |
AutoSupport信息仍然未传送。 |
https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net |
公共区域 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务通信以在Azure中执行特定的BlueXP 操作。 |
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn |
中国地区 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务通信以在Azure中执行特定的BlueXP 操作。 |
https://management.microsoftazure.de https://login.microsoftonline.de https://blob.core.cloudapi.de https://core.cloudapi.de |
德国地区 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务通信以在Azure中执行特定的BlueXP 操作。 |
https://management.usgovcloudapi.net https://login.microsoftonline.us https://blob.core.usgovcloudapi.net https://core.usgovcloudapi.net |
政府地区 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务通信以在Azure中执行特定的BlueXP 操作。 |
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud |
政府DoD地区 |
与Azure服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Azure服务通信以在Azure中执行特定的BlueXP 操作。 |
支持连接器代理的网络配置
您可以使用为BlueXP Connector 配置的代理服务器来启用从Cloud Volumes ONTAP 的出站互联网访问。BlueXPBlueXP两种类型的代理:
-
显式代理:来自Cloud Volumes ONTAP 的出站流量使用在 Connector 代理配置期间指定的代理服务器的 HTTP 地址。Connector管理员可能还配置了用户凭据和根 CA 证书以进行额外的身份验证。如果显式代理有可用的根 CA 证书,请确保使用以下方式获取相同的证书并将其上传到您的Cloud Volumes ONTAP工作环境: "ONTAP CLI:安全证书安装"命令。
-
透明代理:网络配置为自动通过 Connector 代理路由来自Cloud Volumes ONTAP 的出站流量。设置透明代理时,Connector 管理员只需提供用于从Cloud Volumes ONTAP连接的根 CA 证书,而无需提供代理服务器的 HTTP 地址。请确保使用以下方式获取相同的根 CA 证书并将其上传到您的Cloud Volumes ONTAP工作环境: "ONTAP CLI:安全证书安装"命令。
有关为BlueXP Connector 配置代理服务器的信息,请参阅 "配置Connector以使用代理服务器" 。
IP 地址
BlueXP会自动将所需数量的专用IP地址分配给Azure中的Cloud Volumes ONTAP。您需要确保网络具有足够的可用专用IP地址。
BlueXP为Cloud Volumes ONTAP 分配的LIF数量取决于您部署的是单节点系统还是HA对。LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。
|
iSCSI LIF可通过iSCSI协议提供客户端访问、并由系统用于其他重要的网络工作流。这些LIF是必需的、不应删除。 |
单节点系统的 IP 地址
BlueXP会将5或6个IP地址分配给单节点系统:
-
集群管理IP
-
节点管理IP
-
SnapMirror的集群间IP
-
NFS/CIFS IP
-
iSCSI IP
iSCSI IP可通过iSCSI协议提供客户端访问。系统也会将其用于其他重要的网络工作流。此LIF为必填项、不应删除。 -
SVM管理(可选—默认情况下未配置)
HA 对的 IP 地址
在部署期间、BlueXP会将IP地址分配给4个NIC (每个节点)。
请注意、BlueXP会在HA对上创建SVM管理LIF、但不会在Azure中的单节点系统上创建。
NIC0
-
节点管理IP
-
集群间IP
-
iSCSI IP
iSCSI IP可通过iSCSI协议提供客户端访问。系统也会将其用于其他重要的网络工作流。此LIF为必填项、不应删除。 -
NIC 1*
-
集群网络IP
NIC2
-
集群互连IP (HA IC)
-
NIC 3*
-
Pageblob NIC IP (磁盘访问)
|
|
NIC3仅适用于使用页面Blob存储的HA部署。 |
上述IP地址不会在发生故障转移事件时迁移。
此外、还配置了4个前端IP (FIPS)、以便在发生故障转移事件时进行迁移。这些前端IP位于负载平衡器中。
-
集群管理IP
-
节点A数据IP (NFS/CIFS)
-
NodeB数据IP (NFS/CIFS)
-
SVM管理IP
安全连接到 Azure 服务
默认情况下、BlueXP会为Cloud Volumes ONTAP 和Azure页面Blob存储帐户之间的连接启用Azure专用链接。
在大多数情况下、您无需执行任何操作—BlueXP为您管理Azure专用链路。但是,如果您使用 Azure 私有 DNS ,则需要编辑配置文件。此外、您还应了解Azure中连接器位置的要求。
如果业务需要、您还可以禁用专用链路连接。如果禁用此链接、则BlueXP会将Cloud Volumes ONTAP 配置为使用服务端点。
连接到其他 ONTAP 系统
要在Azure中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在Azure vNet与其他网络(例如您的企业网络)之间建立VPN连接。
用于 HA 互连的端口
Cloud Volumes ONTAP HA 对包括一个 HA 互连,通过该互连,每个节点可以持续检查其配对节点是否正常运行,并镜像另一节点的非易失性内存的日志数据。HA 互连使用 TCP 端口 10006 进行通信。
默认情况下, HA 互连 LIF 之间的通信处于打开状态,并且此端口没有安全组规则。但是,如果在 HA 互连 LIF 之间创建防火墙,则需要确保端口 10006 的 TCP 流量处于打开状态,以便 HA 对可以正常运行。
一个 Azure 资源组中只有一个 HA 对
您必须为在 Azure 中部署的每个 Cloud Volumes ONTAP HA 对使用 _dedicated 资源组。一个资源组仅支持一个 HA 对。
如果您尝试在Azure资源组中部署第二个Cloud Volumes ONTAP HA对、则BlueXP会遇到连接问题。
安全组规则
BlueXP 创建 Azure 安全组,其中包括 Cloud Volumes ONTAP 成功运行的入站和出站规则。 "查看Connector的安全组规则" 。
Cloud Volumes ONTAP 的 Azure 安全组需要打开适当的端口以供节点之间进行内部通信。 "了解ONTAP内部端口" 。
我们不建议修改预定义安全组或使用自定义安全组。但是,如果您必须这样做,请注意,部署过程要求 Cloud Volumes ONTAP 系统在其自己的子网内拥有完全访问权限。部署完成后,如果您决定修改网络安全组,请确保保持集群端口和 HA 网络端口开放。这可确保 Cloud Volumes ONTAP 集群内的无缝通信(节点之间的任意对任意通信)。
单节点系统的入站规则
在创建工作环境并选择预定义的安全组时、您可以选择允许以下其中一个范围内的流量:
-
仅限选定的vNet:入站流量的源是Cloud Volumes ONTAP系统的vNet的子网范围和连接器所在的vNet的子网范围。这是建议的选项。
-
All VSets:入站流量的源IP范围为0.0.0.0/0。
-
已禁用:此选项限制对存储帐户的公共网络访问、并禁用Cloud Volumes ONTAP系统的数据分层。如果由于安全法规和策略的原因,即使在同一个vNet中也不应公开您的专用IP地址,则建议使用此选项。
| 优先级和名称 | 端口和协议 | 源和目标 | Description |
|---|---|---|---|
1000 个 inbound_ssh |
22 TCP |
任意到任意 |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
1001inbound_http |
80/TCP |
任意到任意 |
使用集群管理LIF的IP地址通过HTTP访问ONTAP系统管理器Web控制台 |
1002inbound_111_tcp |
111 TCP |
任意到任意 |
远程过程调用 NFS |
1003 入站 _111_UDP |
111 UDP |
任意到任意 |
远程过程调用 NFS |
1004 inbound_139 |
139 TCP |
任意到任意 |
用于 CIFS 的 NetBIOS 服务会话 |
1005 inbound_161-162_TCP |
161-162 TCP |
任意到任意 |
简单网络管理协议 |
1006 inbound_161-162_UDP |
161-162 UDP |
任意到任意 |
简单网络管理协议 |
1007 inbound_443 |
443/TCP |
任意到任意 |
通过连接器进行连接、并使用集群管理LIF的IP地址通过HTTPS访问ONTAP系统管理器Web控制台 |
1008 inbound_445 |
445 TCP |
任意到任意 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
1009 inbound_635_tcp |
635 TCP |
任意到任意 |
NFS 挂载 |
1010 inbound_635_udp |
635 UDP |
任意到任意 |
NFS 挂载 |
1011 inbound_749 |
749 TCP |
任意到任意 |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
任意到任意 |
NFS 服务器守护进程 |
1013 inbound_2049_udp |
2049 UDP |
任意到任意 |
NFS 服务器守护进程 |
1014 inbound_3260 |
3260 TCP |
任意到任意 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
1015 Inbound_4045-4046_tcp |
4045-4046 TCP |
任意到任意 |
NFS 锁定守护进程和网络状态监控器 |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
任意到任意 |
NFS 锁定守护进程和网络状态监控器 |
1017 inbound_10000 |
10000 TCP |
任意到任意 |
使用 NDMP 备份 |
1018 inbound_11104-11105 |
11104-11105 TCP |
任意到任意 |
SnapMirror 数据传输 |
3000 个 inbound_deny _all_tcp |
任何端口 TCP |
任意到任意 |
阻止所有其他 TCP 入站流量 |
3001 inbound_deny _all_udp |
任何端口 UDP |
任意到任意 |
阻止所有其他 UDP 入站流量 |
65000 个 AllowVnetInBound |
任何端口任何协议 |
VirtualNetwork 到 VirtualNetwork |
vNet 中的入站流量 |
65001 AllowAzureLoad BalancerInBound |
任何端口任何协议 |
AzureLoadBalancer 到任何 |
来自 Azure 标准负载平衡器的数据流量 |
65500 DenyAllInBound |
任何端口任何协议 |
任意到任意 |
阻止所有其他入站流量 |
HA 系统的入站规则
在创建工作环境并选择预定义的安全组时、您可以选择允许以下其中一个范围内的流量:
-
仅限选定的vNet:入站流量的源是Cloud Volumes ONTAP系统的vNet的子网范围和连接器所在的vNet的子网范围。这是建议的选项。
-
All VSets:入站流量的源IP范围为0.0.0.0/0。
|
|
与单节点系统相比, HA 系统的入站规则更少,因为入站数据流量通过 Azure 标准负载平衡器。因此,来自负载平衡器的流量应处于打开状态,如 "AllowAzureLoadBalancerInBound" 规则中所示。 |
-
已禁用:此选项限制对存储帐户的公共网络访问、并禁用Cloud Volumes ONTAP系统的数据分层。如果由于安全法规和策略的原因,即使在同一个vNet中也不应公开您的专用IP地址,则建议使用此选项。
| 优先级和名称 | 端口和协议 | 源和目标 | Description |
|---|---|---|---|
100 inbound_443 |
443 任何协议 |
任意到任意 |
通过连接器进行连接、并使用集群管理LIF的IP地址通过HTTPS访问ONTAP系统管理器Web控制台 |
101 inbound_111_tcp |
111 任何协议 |
任意到任意 |
远程过程调用 NFS |
102 inbound_2049_tcp |
2049 任何协议 |
任意到任意 |
NFS 服务器守护进程 |
111 inbound_ssh |
22 任何协议 |
任意到任意 |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
121 inbound_53 |
53 任何协议 |
任意到任意 |
DNS 和 CIFS |
65000 个 AllowVnetInBound |
任何端口任何协议 |
VirtualNetwork 到 VirtualNetwork |
vNet 中的入站流量 |
65001 AllowAzureLoad BalancerInBound |
任何端口任何协议 |
AzureLoadBalancer 到任何 |
来自 Azure 标准负载平衡器的数据流量 |
65500 DenyAllInBound |
任何端口任何协议 |
任意到任意 |
阻止所有其他入站流量 |
出站规则
为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。
| Port | 协议 | 目的 |
|---|---|---|
全部 |
所有 TCP |
所有出站流量 |
全部 |
所有 UDP |
所有出站流量 |
高级出站规则
如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。
|
|
源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。 |
| 服务 | Port | 协议 | 源 | 目标 | 目的 |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
137. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
138. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
139. |
TCP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
389. |
TCP 和 UDP |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
445 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
464. |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
464. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
749 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
88 |
TCP |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
137. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
138. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
139. |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
389. |
TCP 和 UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
445 |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
464. |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
464. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
749 |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443. |
节点管理 LIF |
support.netapp.com |
AutoSupport (默认设置为 HTTPS ) |
HTTP |
80 |
节点管理 LIF |
support.netapp.com |
AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时) |
|
TCP |
3128 |
节点管理 LIF |
连接器 |
如果出站Internet连接不可用、则通过Connector上的代理服务器发送AutoSupport 消息 |
|
配置备份 |
HTTP |
80 |
节点管理 LIF |
\http://occm/offboxconfig <connector-IP-address> |
将配置备份发送到Connector。"ONTAP 文档"(英文) |
DHCP |
68 |
UDP |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
67 |
UDP |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
53. |
UDP |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
18600 – 18699 |
TCP |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
25. |
TCP |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
161. |
TCP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
161. |
UDP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
162. |
TCP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
162. |
UDP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
11104. |
TCP |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
11105. |
TCP |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
514. |
UDP |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
连接器的要求
如果尚未创建Connector、则还应查看Connector的网络要求。