在共享子网中部署HA对
从9.11.1版开始、具有VPC共享的AWS支持Cloud Volumes ONTAP HA对。通过VPC共享、您的组织可以与其他AWS帐户共享子网。要使用此配置、您必须设置AWS环境、然后使用API部署HA对。
使用 "VPC共享"、一个Cloud Volumes ONTAP HA配置分布在两个帐户中:
-
拥有网络(VPC、子网、路由表和Cloud Volumes ONTAP 安全组)的VPC所有者帐户
-
参与者帐户、其中EC2实例部署在共享子网中(包括两个HA节点和调解器)
如果Cloud Volumes ONTAP HA配置部署在多个可用性区域中、则HA调解器需要特定的权限来写入VPC所有者帐户中的路由表。您需要通过设置调解器可以承担的IAM角色来提供这些权限。
下图显示了此部署涉及的组件:
如以下步骤所述、您需要与参与者帐户共享子网、然后在VPC所有者帐户中创建IAM角色和安全组。
创建Cloud Volumes ONTAP 工作环境时、BlueXP会自动创建IAM角色并将其附加到调解器。此角色将承担您在VPC所有者帐户中创建的IAM角色、以便更改与HA对关联的路由表。
-
与参与者帐户共享VPC所有者帐户中的子网。
要在共享子网中部署HA对、需要执行此步骤。
-
在VPC所有者帐户中、为Cloud Volumes ONTAP 创建一个安全组。
"请参见Cloud Volumes ONTAP 的安全组规则"。请注意、您不需要为HA调解器创建安全组。BlueXP可以为您提供这种服务。
-
在VPC所有者帐户中、创建一个包含以下权限的IAM角色:
Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses"
-
使用BlueXP API创建新的Cloud Volumes ONTAP 工作环境。
请注意、您必须指定以下字段:
-
"securityGroupId"
"securityGroupId"字段应指定您在VPC所有者帐户中创建的安全组(请参见上文第2步)。
-
"haParams"对象中的"assumeRoleArn"
"assumeRoleArn"字段应包含您在VPC所有者帐户中创建的IAM角色的ARN (请参见上文第3步)。
例如:
"haParams": { "assumeRoleArn": "arn:aws:iam::642991768967:role/mediator_role_assume_fromdev" }
-