Google Cloud中Cloud Volumes ONTAP 的网络连接要求
建议更改
PDF
设置Google Cloud网络、以便Cloud Volumes ONTAP 系统可以正常运行。
如果要部署 HA 对,则应执行此操作 "了解HA对在Google Cloud中的工作原理"。
Cloud Volumes ONTAP 的要求
必须在Google Cloud中满足以下要求。
单节点系统的特定要求
如果要部署单节点系统、请确保您的网络满足以下要求。
一个VPC
单节点系统需要一个虚拟私有云(Virtual Private Cloud、VPC)。
专用 IP 地址
BlueXP会将3或4个专用IP地址分配给Google Cloud中的单节点系统。
如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :
skipSvmManagementLif : true
|
LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要使用 Storage VM ( SVM )管理 LIF 。 |
HA对的特定要求
如果要部署HA对、请确保您的网络满足以下要求。
一个或多个分区
您可以通过在多个或单个分区中部署 HA 配置来确保数据的高可用性。在创建HA对时、BlueXP将提示您选择多个分区或单个分区。
-
多个分区(建议)
在三个分区之间部署 HA 配置可确保在分区发生故障时持续提供数据。请注意,与使用单个分区相比,写入性能略低,但写入性能极低。
-
单个分区
在单个区域中部署时, Cloud Volumes ONTAP HA 配置会使用分布放置策略。此策略可确保 HA 配置免受分区内单点故障的影响,而无需使用单独的分区来实现故障隔离。
此部署模式确实可以降低成本,因为分区之间没有数据传出费用。
四个虚拟私有云
一个 HA 配置需要四个虚拟私有云( Virtual Private Cloud , vPC )。需要四个VPC、因为Google Cloud要求每个网络接口都驻留在一个单独的VPC网络中。
在创建HA对时、BlueXP将提示您选择四个vPC:
-
vPC-0 ,用于与数据和节点的入站连接
-
VPC-1 , VPC-2 和 VPC-3 ,用于节点与 HA 调解器之间的内部通信
Subnets
每个 VPC 都需要一个专用子网。
如果将 Connector 置于 VPC-0 中,则需要在子网上启用专用 Google 访问才能访问 API 并启用数据分层。
这些 VPC 中的子网必须具有不同的 CIDR 范围。它们不能具有重叠的 CIDR 范围。
专用 IP 地址
BlueXP会自动将所需数量的专用IP地址分配给Google Cloud中的Cloud Volumes ONTAP。您需要确保网络具有足够的可用私有地址。
BlueXP为Cloud Volumes ONTAP 分配的LIF数量取决于您部署的是单节点系统还是HA对。LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。
-
单节点 BlueXP将4个IP地址分配给单节点系统:
-
节点管理 LIF
-
集群管理 LIF
-
iSCSI 数据 LIF
iSCSI LIF可通过iSCSI协议提供客户端访问、并由系统用于其他重要的网络工作流。这些LIF是必需的、不应删除。 -
NAS LIF
如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :
skipSvmManagementLif : true -
-
高可用性对 BlueXP会将12-13个IP地址分配给一个高可用性对:
-
2个节点管理LIF (e0a)
-
1个集群管理LIF (e0a)
-
2个iSCSI LIF (e0a)
iSCSI LIF可通过iSCSI协议提供客户端访问、并由系统用于其他重要的网络工作流。这些LIF是必需的、不应删除。 -
1个或2个NAS LIF (e0a)
-
2个集群LIF (e0b)
-
2个HA互连IP地址(e0c)
-
2个RSM iSCSI IP地址(e0d)
如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :
skipSvmManagementLif : true -
内部负载平衡器
BlueXP会自动创建四个Google Cloud内部负载平衡器(TCP/UDP)、用于管理传入到Cloud Volumes ONTAP HA对的流量。您无需进行任何设置我们将此列为一项要求,只是为了告知您网络流量并缓解任何安全问题。
一个负载平衡器用于集群管理,一个负载平衡器用于 Storage VM ( SVM )管理,一个负载平衡器用于向节点 1 发送 NAS 流量,另一个负载平衡器用于向节点 2 发送 NAS 流量。
每个负载平衡器的设置如下:
-
一个共享专用 IP 地址
-
一次全局运行状况检查
默认情况下,运行状况检查使用的端口为 63001 , 63002 和 63003 。
-
一个区域 TCP 后端服务
-
一个区域 UDP 后端服务
-
一个 TCP 转发规则
-
一个 UDP 转发规则
-
已禁用全局访问
即使默认情况下全局访问处于禁用状态,也支持在部署后启用全局访问。我们禁用了此功能,因为跨区域流量的延迟会显著增加。我们希望确保您不会因意外的跨区域挂载而产生负面体验。启用此选项取决于您的业务需求。
共享 vPC
Cloud Volumes ONTAP 和 Connector 在 Google Cloud 共享 VPC 以及独立 VPC 中均受支持。
对于单节点系统, VPC 可以是共享 VPC ,也可以是独立 VPC 。
对于 HA 对,需要四个 vPC 。其中每个 VPC 都可以是共享的,也可以是独立的。例如, vPC-0 可以是共享 VPC ,而 vPC-1 , vPC-2 和 vPC-3 可以是独立 VPC 。
通过共享 VPC ,您可以跨多个项目配置和集中管理虚拟网络。您可以在 host project 中设置共享 VPC 网络,并在 service project 中部署 Connector 和 Cloud Volumes ONTAP 虚拟机实例。 "Google Cloud 文档:共享 VPC 概述"。
vPC 中的数据包镜像
"数据包镜像" 必须在部署Cloud Volumes ONTAP的Google Cloud子网中禁用。
出站 Internet 访问
Cloud Volumes ONTAP节点需要出站Internet访问才能访问外部端点以执行各种功能。如果在安全要求严格的环境中阻止这些端点、则Cloud Volumes ONTAP将无法正常运行。
Cloud Volumes ONTAP端点
Cloud Volumes ONTAP需要出站Internet访问才能联系各种端点进行日常操作。
以下端点特定于Cloud Volumes ONTAP。此外、连接器还会与多个端点联系以执行日常操作、并与基于Web的BlueXP 控制台联系。请参阅 "查看从Connector连接的端点" 和 "准备网络以使用BlueXP控制台"。
| 端点 | 适用于 | 目的 | BlueXP 部署模式 | 端点不可用时的影响 |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
身份验证 |
用于BlueXP 身份验证。 |
标准模式和受限模式。 |
用户身份验证失败、以下服务仍不可用:
|
https://keyvault-production-aks.vault.azure.net |
密钥库 |
用于从Azure密钥存储中检索客户端机密密钥、以便与S3存储分段进行通信以处理元数据。Cloud Volumes ONTAP服务在内部使用此组件。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP服务不可用。 |
租户 |
用于从BlueXP 租户中检索Cloud Volumes ONTAP资源以授权资源和用户。 |
标准模式和受限模式。 |
Cloud Volumes ONTAP资源和用户未获得授权。 |
|
https://support.NetApp.com/aods/asupmessage https://support.Asupprod/post/1.0/postAsup NetApp |
AutoSupport |
用于将AutoSupport遥测数据发送到NetApp支持。 |
标准模式和受限模式。 |
AutoSupport信息仍然未传送。 |
https://www.googleapis.com/compute/v1/projects/ https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects https://compute.googleapis.com/compute/v1 |
Google Cloud (商业用途)。 |
与Google Cloud服务通信。 |
标准模式、受限模式和专用模式。 |
Cloud Volumes ONTAP无法与Google Cloud服务进行通信、以便在Google Cloud上执行特定的BlueXP 操作。 |
NetApp AutoSupport的出站Internet访问
Cloud Volumes ONTAP 需要对NetApp AutoSupport 进行出站Internet访问、NetApp会主动监控系统的运行状况并向NetApp技术支持发送消息。
路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:
如果无法通过出站Internet连接发送AutoSupport 消息、则BlueXP会自动将您的Cloud Volumes ONTAP 系统配置为使用Connector作为代理服务器。唯一的要求是确保Connector的防火墙允许通过端口3128进行_inbound_连接。部署Connector后、您需要打开此端口。
如果您为Cloud Volumes ONTAP 定义了严格的出站规则、则还需要确保Cloud Volumes ONTAP 防火墙允许通过端口3128进行_outout_连接。
确认出站 Internet 访问可用后,您可以测试 AutoSupport 以确保它可以发送消息。有关说明,请参见 "ONTAP 文档:设置 AutoSupport"。
|
如果您使用的是 HA 对,则 HA 调解器不需要出站 Internet 访问。 |
如果BlueXP通知您无法发送AutoSupport 消息、 "对AutoSupport 配置进行故障排除"。
连接到其他网络中的 ONTAP 系统
要在Google Cloud中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在VPC与其他网络(例如公司网络)之间建立VPN连接。
有关说明,请参见 "Google Cloud 文档: Cloud VPN 概述"。
防火墙规则
BlueXP会创建Google Cloud防火墙规则、其中包括Cloud Volumes ONTAP 成功运行所需的入站和出站规则。您可能需要引用这些端口来进行测试、或者希望使用自己的防火墙规则。
Cloud Volumes ONTAP 的防火墙规则需要入站和出站规则。如果要部署 HA 配置,这些是 VPC-0 中 Cloud Volumes ONTAP 的防火墙规则。
请注意, HA 配置需要两组防火墙规则:
-
VPC-0 中 HA 组件的一组规则。这些规则允许对 Cloud Volumes ONTAP 进行数据访问。
-
VPC-1 , VPC-2 和 VPC-3 中 HA 组件的另一组规则。这些规则适用于 HA 组件之间的入站和出站通信。 了解更多信息。。
|
|
正在查找有关连接器的信息? "查看Connector的防火墙规则" |
入站规则
在创建工作环境时、您可以在部署期间为预定义的防火墙策略选择源筛选器:
-
仅选定VPC:入站流量的源筛选器是Cloud Volumes ONTAP 系统VPC的子网范围以及连接器所在VPC的子网范围。这是建议的选项。
-
所有VPC*:入站流量的源筛选器为0.0.0.0/0 IP范围。
如果您使用自己的防火墙策略、请确保添加需要与Cloud Volumes ONTAP 通信的所有网络、但同时确保同时添加两个地址范围、以使内部Google负载平衡器正常运行。这些地址为 130.11.0.0/22 和 35.191.0.0/16 。有关详细信息,请参见 "Google Cloud 文档:负载平衡器防火墙规则"。
| 协议 | Port | 目的 |
|---|---|---|
所有 ICMP |
全部 |
Ping 实例 |
HTTP |
80 |
使用集群管理LIF的IP地址通过HTTP访问ONTAP系统管理器Web控制台 |
HTTPS |
443. |
通过连接器进行连接、并使用集群管理LIF的IP地址通过HTTPS访问ONTAP系统管理器Web控制台 |
SSH |
22. |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
TCP |
111. |
远程过程调用 NFS |
TCP |
139. |
用于 CIFS 的 NetBIOS 服务会话 |
TCP |
161-162. |
简单网络管理协议 |
TCP |
445 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
TCP |
635 |
NFS 挂载 |
TCP |
749 |
Kerberos |
TCP |
2049. |
NFS 服务器守护进程 |
TCP |
3260 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
TCP |
4045 |
NFS 锁定守护进程 |
TCP |
4046 |
NFS 的网络状态监视器 |
TCP |
10000 |
使用 NDMP 备份 |
TCP |
11104. |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
使用集群间 LIF 进行 SnapMirror 数据传输 |
TCP |
63001-63050 |
负载平衡探测端口,用于确定哪个节点运行状况良好(仅 HA 对需要) |
UDP |
111. |
远程过程调用 NFS |
UDP |
161-162. |
简单网络管理协议 |
UDP |
635 |
NFS 挂载 |
UDP |
2049. |
NFS 服务器守护进程 |
UDP |
4045 |
NFS 锁定守护进程 |
UDP |
4046 |
NFS 的网络状态监视器 |
UDP |
4049. |
NFS Rquotad 协议 |
出站规则
为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有 ICMP |
全部 |
所有出站流量 |
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。
|
|
源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。 |
| 服务 | 协议 | Port | 源 | 目标 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
UDP |
137. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
TCP |
88 |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
UDP |
137. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443. |
节点管理 LIF |
support.netapp.com |
AutoSupport (默认设置为 HTTPS ) |
HTTP |
80 |
节点管理 LIF |
support.netapp.com |
AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时) |
|
TCP |
3128 |
节点管理 LIF |
连接器 |
如果出站Internet连接不可用、则通过Connector上的代理服务器发送AutoSupport 消息 |
|
集群 |
所有流量 |
所有流量 |
一个节点上的所有 LIF |
其它节点上的所有 LIF |
集群间通信(仅限 Cloud Volumes ONTAP HA ) |
配置备份 |
HTTP |
80 |
节点管理 LIF |
\http://occm/offboxconfig <connector-IP-address> |
将配置备份发送到Connector。 "了解配置备份文件"。 |
DHCP |
UDP |
68 |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
UDP |
67 |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
UDP |
53. |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
TCP |
25. |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
TCP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
UDP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
TCP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
UDP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
TCP |
11104. |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
UDP |
514. |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
VPC-1、VPC-2和VPC-3的规则
在Google Cloud中、HA配置部署在四个VPC上。VPC-0 中的 HA 配置所需的防火墙规则为 上面列出的 Cloud Volumes ONTAP。
同时、BlueXP为VPC-1、VPC-2和VPC-3中的实例创建的预定义防火墙规则可以通过_all_协议和端口进行传入通信。这些规则允许 HA 节点之间进行通信。
从 HA 节点到 HA 调解器的通信通过端口 3260 ( iSCSI )进行。
|
|
要为新的Google Cloud HA对部署启用高写入速度、VPC-1、VPC-2和VPC-3需要至少8、896字节的最大传输单元(MTU)。如果选择将现有VPC-1、VPC-2和VPC-3升级到8、896字节的MTU、则必须在配置过程中使用这些VPC关闭所有现有HA系统。 |
连接器的要求
如果尚未创建Connector、则还应查看Connector的网络要求。