简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

Azure 中的 Cloud Volumes ONTAP 的网络要求

设置 Azure 网络,以便 Cloud Volumes ONTAP 系统可以正常运行。其中包括连接器和 Cloud Volumes ONTAP 的网络连接。

Cloud Volumes ONTAP 的要求

在 Azure 中必须满足以下网络连接要求。

出站 Internet 访问

Cloud Volumes ONTAP 要求出站 Internet 访问向 NetApp AutoSupport 发送消息、 NetApp AutoSupport 主动监控存储的运行状况。

路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:

IP 地址

Cloud Manager 会将以下数量的 IP 地址分配给 Azure 中的 Cloud Volumes ONTAP :

  • 单个节点: 5 个 IP 地址

  • HA 对: 16 个 IP 地址

请注意, Cloud Manager 会在 HA 对上创建 SVM 管理 LIF ,但不会在 Azure 中的单节点系统上创建。

提示 LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。

安全连接到 Azure 服务

Cloud Manager 可设置一个 vNet 服务端点和一个 Azure 专用链路端点,以便 Cloud Volumes ONTAP 可以私有连接到 Azure 服务。

服务端点

通过 Cloud Manager , vNet 服务端点可以创建从 Cloud Volumes ONTAP 到 Azure Blob 存储的安全连接,以便进行数据分层。不支持从 Cloud Volumes ONTAP 到 Azure 服务的其他服务端点。

如果 Cloud Manager 策略具有以下权限,则 Cloud Manager 将为您启用 vNet 服务端点:

"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",

这些权限包含在最新版本中 "Cloud Manager 策略"

有关设置数据分层的详细信息,请参见 "将冷数据分层到低成本对象存储"

私有端点

默认情况下, Cloud Manager 会在 Cloud Volumes ONTAP 及其关联存储帐户之间启用 Azure 专用链路连接。专用链路可确保 Azure 中端点之间的连接安全,并可提供性能优势。在大多数情况下,您无需执行任何操作— Cloud Manager 为您管理 Azure 专用链路。但是,如果您使用 Azure 私有 DNS ,则需要编辑配置文件。如果需要,您还可以禁用专用链路连接。

连接到其他 ONTAP 系统

要在Azure中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在Azure vNet与其他网络(例如您的企业网络)之间建立VPN连接。

用于 HA 互连的端口

Cloud Volumes ONTAP HA 对包括一个 HA 互连,通过该互连,每个节点可以持续检查其配对节点是否正常运行,并镜像另一节点的非易失性内存的日志数据。HA 互连使用 TCP 端口 10006 进行通信。

默认情况下, HA 互连 LIF 之间的通信处于打开状态,并且此端口没有安全组规则。但是,如果在 HA 互连 LIF 之间创建防火墙,则需要确保端口 10006 的 TCP 流量处于打开状态,以便 HA 对可以正常运行。

一个 Azure 资源组中只有一个 HA 对

您必须为在 Azure 中部署的每个 Cloud Volumes ONTAP HA 对使用 _dedicated 资源组。一个资源组仅支持一个 HA 对。

如果您尝试在 Azure 资源组中部署第二个 Cloud Volumes ONTAP HA 对,则 Cloud Manager 会遇到连接问题。

安全组

您无需创建安全组,因为 Cloud Manager 可以为您创建安全组。如果您需要使用自己的,请参阅下面列出的安全组规则。

安全组规则

Cloud Manager 可创建包含 Cloud Volumes ONTAP 成功运行所需入站和出站规则的 Azure 安全组。您可能希望参考这些端口进行测试或使用自己的安全组。

Cloud Volumes ONTAP 的安全组需要入站和出站规则。

单节点系统的入站规则

除非问题描述注意到它会阻止特定入站流量,否则以下规则允许流量。

优先级和名称 端口和协议 源和目标 Description

1000 个 inbound_ssh

22 TCP

任意到任意

SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址

1001inbound_http

80/TCP

任意到任意

使用集群管理 LIF 的 IP 地址对系统管理器 Web 控制台进行 HTTP 访问

1002inbound_111_tcp

111 TCP

任意到任意

远程过程调用 NFS

1003 入站 _111_UDP

111 UDP

任意到任意

远程过程调用 NFS

1004 inbound_139

139 TCP

任意到任意

用于 CIFS 的 NetBIOS 服务会话

1005 inbound_161-162_TCP

161-162 TCP

任意到任意

简单网络管理协议

1006 inbound_161-162_UDP

161-162 UDP

任意到任意

简单网络管理协议

1007 inbound_443

443/TCP

任意到任意

使用集群管理 LIF 的 IP 地址对 System Manager Web 控制台进行 HTTPS 访问

1008 inbound_445

445 TCP

任意到任意

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

1009 inbound_635_tcp

635 TCP

任意到任意

NFS 挂载

1010 inbound_635_udp

635 UDP

任意到任意

NFS 挂载

1011 inbound_749

749 TCP

任意到任意

Kerberos

1012 inbound_2049_tcp

2049 TCP

任意到任意

NFS 服务器守护进程

1013 inbound_2049_udp

2049 UDP

任意到任意

NFS 服务器守护进程

1014 inbound_3260

3260 TCP

任意到任意

通过 iSCSI 数据 LIF 进行 iSCSI 访问

1015 Inbound_4045-4046_tcp

4045-4046 TCP

任意到任意

NFS 锁定守护进程和网络状态监控器

1016 inbound_4045-4046_udp

4045-4046 UDP

任意到任意

NFS 锁定守护进程和网络状态监控器

1017 inbound_10000

10000 TCP

任意到任意

使用 NDMP 备份

1018 inbound_11104-11105

11104-11105 TCP

任意到任意

SnapMirror 数据传输

3000 个 inbound_deny _all_tcp

任何端口 TCP

任意到任意

阻止所有其他 TCP 入站流量

3001 inbound_deny _all_udp

任何端口 UDP

任意到任意

阻止所有其他 UDP 入站流量

65000 个 AllowVnetInBound

任何端口任何协议

VirtualNetwork 到 VirtualNetwork

vNet 中的入站流量

65001 AllowAzureLoad BalancerInBound

任何端口任何协议

AzureLoadBalancer 到任何

来自 Azure 标准负载平衡器的数据流量

65500 DenyAllInBound

任何端口任何协议

任意到任意

阻止所有其他入站流量

HA 系统的入站规则

除非问题描述注意到它会阻止特定入站流量,否则以下规则允许流量。

注 与单节点系统相比, HA 系统的入站规则更少,因为入站数据流量通过 Azure 标准负载平衡器。因此,来自负载平衡器的流量应处于打开状态,如 "AllowAzureLoadBalancerInBound" 规则中所示。
优先级和名称 端口和协议 源和目标 Description

100 inbound_443

443 任何协议

任意到任意

使用集群管理 LIF 的 IP 地址对 System Manager Web 控制台进行 HTTPS 访问

101 inbound_111_tcp

111 任何协议

任意到任意

远程过程调用 NFS

102 inbound_2049_tcp

2049 任何协议

任意到任意

NFS 服务器守护进程

111 inbound_ssh

22 任何协议

任意到任意

SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址

121 inbound_53

53 任何协议

任意到任意

DNS 和 CIFS

65000 个 AllowVnetInBound

任何端口任何协议

VirtualNetwork 到 VirtualNetwork

vNet 中的入站流量

65001 AllowAzureLoad BalancerInBound

任何端口任何协议

AzureLoadBalancer 到任何

来自 Azure 标准负载平衡器的数据流量

65500 DenyAllInBound

任何端口任何协议

任意到任意

阻止所有其他入站流量

出站规则

为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。

基本外向规则

为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。

Port 协议 目的

全部

所有 TCP

所有出站流量

全部

所有 UDP

所有出站流量

高级出站规则

如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。

注 源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。
服务 Port 协议 目标 目的

Active Directory

88

TCP

节点管理 LIF

Active Directory 目录林

Kerberos V 身份验证

137.

UDP

节点管理 LIF

Active Directory 目录林

NetBIOS 名称服务

138.

UDP

节点管理 LIF

Active Directory 目录林

NetBIOS 数据报服务

139.

TCP

节点管理 LIF

Active Directory 目录林

NetBIOS 服务会话

389.

TCP 和 UDP

节点管理 LIF

Active Directory 目录林

LDAP

445

TCP

节点管理 LIF

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

464.

TCP

节点管理 LIF

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

464.

UDP

节点管理 LIF

Active Directory 目录林

Kerberos 密钥管理

749

TCP

节点管理 LIF

Active Directory 目录林

Kerberos V 更改和设置密码( RPCSEC_GSS )

88

TCP

数据 LIF ( NFS , CIFS , iSCSI )

Active Directory 目录林

Kerberos V 身份验证

137.

UDP

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 名称服务

138.

UDP

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 数据报服务

139.

TCP

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 服务会话

389.

TCP 和 UDP

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

LDAP

445

TCP

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

464.

TCP

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

464.

UDP

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos 密钥管理

749

TCP

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos V 更改和设置密码( RPCSEC_GSS )

AutoSupport

HTTPS

443.

节点管理 LIF

support.netapp.com

AutoSupport (默认设置为 HTTPS )

HTTP

80

节点管理 LIF

support.netapp.com

AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时)

DHCP

68

UDP

节点管理 LIF

DHCP

首次设置 DHCP 客户端

DHCP

67

UDP

节点管理 LIF

DHCP

DHCP 服务器

DNS

53.

UDP

节点管理 LIF 和数据 LIF ( NFS 、 CIFS )

DNS

DNS

NDMP

18600 – 18699

TCP

节点管理 LIF

目标服务器

NDMP 副本

SMTP

25.

TCP

节点管理 LIF

邮件服务器

SMTP 警报、可用于 AutoSupport

SNMP

161.

TCP

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

161.

UDP

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

162.

TCP

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

162.

UDP

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

SnapMirror

11104.

TCP

集群间 LIF

ONTAP 集群间 LIF

管理 SnapMirror 的集群间通信会话

11105.

TCP

集群间 LIF

ONTAP 集群间 LIF

SnapMirror 数据传输

系统日志

514.

UDP

节点管理 LIF

系统日志服务器

系统日志转发消息

连接器的要求

设置您的网络,以便 Connector 能够管理公有云环境中的资源和流程。最重要的步骤是确保对各种端点的出站 Internet 访问。

提示 如果您的网络使用代理服务器与 Internet 进行所有通信,则可以从设置页面指定代理服务器。请参见 "将 Connector 配置为使用代理服务器"

连接到目标网络

连接器要求与要部署 Cloud Volumes ONTAP 的 VPC 和 VN 集建立网络连接。

例如,如果您在公司网络中安装了连接器,则必须设置与启动 Cloud Volumes ONTAP 的 VPC 或 vNet 的 VPN 连接。

出站 Internet 访问

连接器需要通过出站 Internet 访问来管理公有云环境中的资源和流程。

端点 目的

https://support.netapp.com

获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。

https://*.cloudmanager.cloud.netapp.com

在 Cloud Manager 中提供 SaaS 功能和服务。

https://cloudmanagerinfraprod.azurecr.io https://*.blob.core.windows.net

升级 Connector 及其 Docker 组件。

安全组规则

Connector 的安全组需要入站和出站规则。

入站规则

Port 协议 目的

22.

SSH

提供对 Connector 主机的 SSH 访问

80

HTTP

提供从客户端 Web 浏览器到本地用户界面的 HTTP 访问

443.

HTTPS

提供从客户端 Web 浏览器到本地用户界面的 HTTPS 访问

出站规则

连接器的预定义安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。

基本外向规则

Connector 的预定义安全组包括以下出站规则。

Port 协议 目的

全部

所有 TCP

所有出站流量

全部

所有 UDP

所有出站流量

高级出站规则

如果您需要对出站流量设置严格的规则,则可以使用以下信息仅打开 Connector 进行出站通信所需的端口。

注 源 IP 地址是 Connector 主机。
服务 Port 协议 目标 目的

API 调用和 AutoSupport

443.

HTTPS

出站 Internet 和 ONTAP 集群管理 LIF

API调用Azure和ONTAP 、云数据感知、勒索软件服务以及向NetApp发送AutoSupport 消息

DNS

53.

UDP

DNS

用于云管理器进行 DNS 解析