Azure 中的 Cloud Volumes ONTAP 的网络要求
设置 Azure 网络,以便 Cloud Volumes ONTAP 系统可以正常运行。其中包括连接器和 Cloud Volumes ONTAP 的网络连接。
Cloud Volumes ONTAP 的要求
在 Azure 中必须满足以下网络连接要求。
出站 Internet 访问
Cloud Volumes ONTAP 要求出站 Internet 访问向 NetApp AutoSupport 发送消息、 NetApp AutoSupport 主动监控存储的运行状况。
路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:
IP 地址
Cloud Manager 会将以下数量的 IP 地址分配给 Azure 中的 Cloud Volumes ONTAP :
-
单个节点: 5 个 IP 地址
-
HA 对: 16 个 IP 地址
请注意, Cloud Manager 会在 HA 对上创建 SVM 管理 LIF ,但不会在 Azure 中的单节点系统上创建。
|
LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。 |
安全连接到 Azure 服务
Cloud Manager 可设置一个 vNet 服务端点和一个 Azure 专用链路端点,以便 Cloud Volumes ONTAP 可以私有连接到 Azure 服务。
服务端点
通过 Cloud Manager , vNet 服务端点可以创建从 Cloud Volumes ONTAP 到 Azure Blob 存储的安全连接,以便进行数据分层。不支持从 Cloud Volumes ONTAP 到 Azure 服务的其他服务端点。
如果 Cloud Manager 策略具有以下权限,则 Cloud Manager 将为您启用 vNet 服务端点:
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
这些权限包含在最新版本中 "Cloud Manager 策略"。
有关设置数据分层的详细信息,请参见 "将冷数据分层到低成本对象存储"。
私有端点
默认情况下, Cloud Manager 会在 Cloud Volumes ONTAP 及其关联存储帐户之间启用 Azure 专用链路连接。专用链路可确保 Azure 中端点之间的连接安全,并可提供性能优势。在大多数情况下,您无需执行任何操作— Cloud Manager 为您管理 Azure 专用链路。但是,如果您使用 Azure 私有 DNS ,则需要编辑配置文件。如果需要,您还可以禁用专用链路连接。
连接到其他 ONTAP 系统
要在Azure中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在Azure vNet与其他网络(例如您的企业网络)之间建立VPN连接。
用于 HA 互连的端口
Cloud Volumes ONTAP HA 对包括一个 HA 互连,通过该互连,每个节点可以持续检查其配对节点是否正常运行,并镜像另一节点的非易失性内存的日志数据。HA 互连使用 TCP 端口 10006 进行通信。
默认情况下, HA 互连 LIF 之间的通信处于打开状态,并且此端口没有安全组规则。但是,如果在 HA 互连 LIF 之间创建防火墙,则需要确保端口 10006 的 TCP 流量处于打开状态,以便 HA 对可以正常运行。
一个 Azure 资源组中只有一个 HA 对
您必须为在 Azure 中部署的每个 Cloud Volumes ONTAP HA 对使用 _dedicated 资源组。一个资源组仅支持一个 HA 对。
如果您尝试在 Azure 资源组中部署第二个 Cloud Volumes ONTAP HA 对,则 Cloud Manager 会遇到连接问题。
安全组
您无需创建安全组,因为 Cloud Manager 可以为您创建安全组。如果您需要使用自己的,请参阅下面列出的安全组规则。
安全组规则
Cloud Manager 可创建包含 Cloud Volumes ONTAP 成功运行所需入站和出站规则的 Azure 安全组。您可能希望参考这些端口进行测试或使用自己的安全组。
Cloud Volumes ONTAP 的安全组需要入站和出站规则。
单节点系统的入站规则
除非问题描述注意到它会阻止特定入站流量,否则以下规则允许流量。
优先级和名称 | 端口和协议 | 源和目标 | Description |
---|---|---|---|
1000 个 inbound_ssh |
22 TCP |
任意到任意 |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
1001inbound_http |
80/TCP |
任意到任意 |
使用集群管理 LIF 的 IP 地址对系统管理器 Web 控制台进行 HTTP 访问 |
1002inbound_111_tcp |
111 TCP |
任意到任意 |
远程过程调用 NFS |
1003 入站 _111_UDP |
111 UDP |
任意到任意 |
远程过程调用 NFS |
1004 inbound_139 |
139 TCP |
任意到任意 |
用于 CIFS 的 NetBIOS 服务会话 |
1005 inbound_161-162_TCP |
161-162 TCP |
任意到任意 |
简单网络管理协议 |
1006 inbound_161-162_UDP |
161-162 UDP |
任意到任意 |
简单网络管理协议 |
1007 inbound_443 |
443/TCP |
任意到任意 |
使用集群管理 LIF 的 IP 地址对 System Manager Web 控制台进行 HTTPS 访问 |
1008 inbound_445 |
445 TCP |
任意到任意 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
1009 inbound_635_tcp |
635 TCP |
任意到任意 |
NFS 挂载 |
1010 inbound_635_udp |
635 UDP |
任意到任意 |
NFS 挂载 |
1011 inbound_749 |
749 TCP |
任意到任意 |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
任意到任意 |
NFS 服务器守护进程 |
1013 inbound_2049_udp |
2049 UDP |
任意到任意 |
NFS 服务器守护进程 |
1014 inbound_3260 |
3260 TCP |
任意到任意 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
1015 Inbound_4045-4046_tcp |
4045-4046 TCP |
任意到任意 |
NFS 锁定守护进程和网络状态监控器 |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
任意到任意 |
NFS 锁定守护进程和网络状态监控器 |
1017 inbound_10000 |
10000 TCP |
任意到任意 |
使用 NDMP 备份 |
1018 inbound_11104-11105 |
11104-11105 TCP |
任意到任意 |
SnapMirror 数据传输 |
3000 个 inbound_deny _all_tcp |
任何端口 TCP |
任意到任意 |
阻止所有其他 TCP 入站流量 |
3001 inbound_deny _all_udp |
任何端口 UDP |
任意到任意 |
阻止所有其他 UDP 入站流量 |
65000 个 AllowVnetInBound |
任何端口任何协议 |
VirtualNetwork 到 VirtualNetwork |
vNet 中的入站流量 |
65001 AllowAzureLoad BalancerInBound |
任何端口任何协议 |
AzureLoadBalancer 到任何 |
来自 Azure 标准负载平衡器的数据流量 |
65500 DenyAllInBound |
任何端口任何协议 |
任意到任意 |
阻止所有其他入站流量 |
HA 系统的入站规则
除非问题描述注意到它会阻止特定入站流量,否则以下规则允许流量。
|
与单节点系统相比, HA 系统的入站规则更少,因为入站数据流量通过 Azure 标准负载平衡器。因此,来自负载平衡器的流量应处于打开状态,如 "AllowAzureLoadBalancerInBound" 规则中所示。 |
优先级和名称 | 端口和协议 | 源和目标 | Description |
---|---|---|---|
100 inbound_443 |
443 任何协议 |
任意到任意 |
使用集群管理 LIF 的 IP 地址对 System Manager Web 控制台进行 HTTPS 访问 |
101 inbound_111_tcp |
111 任何协议 |
任意到任意 |
远程过程调用 NFS |
102 inbound_2049_tcp |
2049 任何协议 |
任意到任意 |
NFS 服务器守护进程 |
111 inbound_ssh |
22 任何协议 |
任意到任意 |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
121 inbound_53 |
53 任何协议 |
任意到任意 |
DNS 和 CIFS |
65000 个 AllowVnetInBound |
任何端口任何协议 |
VirtualNetwork 到 VirtualNetwork |
vNet 中的入站流量 |
65001 AllowAzureLoad BalancerInBound |
任何端口任何协议 |
AzureLoadBalancer 到任何 |
来自 Azure 标准负载平衡器的数据流量 |
65500 DenyAllInBound |
任何端口任何协议 |
任意到任意 |
阻止所有其他入站流量 |
出站规则
为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。
Port | 协议 | 目的 |
---|---|---|
全部 |
所有 TCP |
所有出站流量 |
全部 |
所有 UDP |
所有出站流量 |
高级出站规则
如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。
|
源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。 |
服务 | Port | 协议 | 源 | 目标 | 目的 |
---|---|---|---|---|---|
Active Directory |
88 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
137. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
138. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
139. |
TCP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
389. |
TCP 和 UDP |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
445 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
464. |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
464. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
749 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
88 |
TCP |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
137. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
138. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
139. |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
389. |
TCP 和 UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
445 |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
464. |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
464. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
749 |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443. |
节点管理 LIF |
support.netapp.com |
AutoSupport (默认设置为 HTTPS ) |
HTTP |
80 |
节点管理 LIF |
support.netapp.com |
AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时) |
|
DHCP |
68 |
UDP |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
67 |
UDP |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
53. |
UDP |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
18600 – 18699 |
TCP |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
25. |
TCP |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
161. |
TCP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
161. |
UDP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
162. |
TCP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
162. |
UDP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
11104. |
TCP |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
11105. |
TCP |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
514. |
UDP |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
连接器的要求
设置您的网络,以便 Connector 能够管理公有云环境中的资源和流程。最重要的步骤是确保对各种端点的出站 Internet 访问。
|
如果您的网络使用代理服务器与 Internet 进行所有通信,则可以从设置页面指定代理服务器。请参见 "将 Connector 配置为使用代理服务器"。 |
连接到目标网络
连接器要求与要部署 Cloud Volumes ONTAP 的 VPC 和 VN 集建立网络连接。
例如,如果您在公司网络中安装了连接器,则必须设置与启动 Cloud Volumes ONTAP 的 VPC 或 vNet 的 VPN 连接。
出站 Internet 访问
连接器需要通过出站 Internet 访问来管理公有云环境中的资源和流程。
端点 | 目的 |
---|---|
获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。 |
|
在 Cloud Manager 中提供 SaaS 功能和服务。 |
|
https://cloudmanagerinfraprod.azurecr.io https://*.blob.core.windows.net |
升级 Connector 及其 Docker 组件。 |
安全组规则
Connector 的安全组需要入站和出站规则。
入站规则
Port | 协议 | 目的 |
---|---|---|
22. |
SSH |
提供对 Connector 主机的 SSH 访问 |
80 |
HTTP |
提供从客户端 Web 浏览器到本地用户界面的 HTTP 访问 |
443. |
HTTPS |
提供从客户端 Web 浏览器到本地用户界面的 HTTPS 访问 |
出站规则
连接器的预定义安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
Connector 的预定义安全组包括以下出站规则。
Port | 协议 | 目的 |
---|---|---|
全部 |
所有 TCP |
所有出站流量 |
全部 |
所有 UDP |
所有出站流量 |
高级出站规则
如果您需要对出站流量设置严格的规则,则可以使用以下信息仅打开 Connector 进行出站通信所需的端口。
|
源 IP 地址是 Connector 主机。 |
服务 | Port | 协议 | 目标 | 目的 |
---|---|---|---|---|
API 调用和 AutoSupport |
443. |
HTTPS |
出站 Internet 和 ONTAP 集群管理 LIF |
API调用Azure和ONTAP 、云数据感知、勒索软件服务以及向NetApp发送AutoSupport 消息 |
DNS |
53. |
UDP |
DNS |
用于云管理器进行 DNS 解析 |