简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

GCP 中的 Cloud Volumes ONTAP 的网络要求

设置您的 Google 云平台网络,以便 Cloud Volumes ONTAP 系统可以正常运行。其中包括连接器和 Cloud Volumes ONTAP 的网络连接。

如果要部署 HA 对,则应执行此操作 "了解 HA 对在 GCP 中的工作原理"

Cloud Volumes ONTAP 的要求

以下要求必须在 GCP 中满足。

内部负载平衡器

Cloud Manager 会自动创建四个 Google Cloud 内部负载平衡器( TCP/UDP ),用于管理传入到 Cloud Volumes ONTAP HA 对的流量。您无需进行任何设置我们将此列为一项要求,只是为了告知您网络流量并缓解任何安全问题。

一个负载平衡器用于集群管理,一个负载平衡器用于 Storage VM ( SVM )管理,一个负载平衡器用于向节点 1 发送 NAS 流量,另一个负载平衡器用于向节点 2 发送 NAS 流量。

每个负载平衡器的设置如下:

  • 一个共享专用 IP 地址

  • 一次全局运行状况检查

    默认情况下,运行状况检查使用的端口为 63001 , 63002 和 63003 。

  • 一个区域 TCP 后端服务

  • 一个区域 UDP 后端服务

  • 一个 TCP 转发规则

  • 一个 UDP 转发规则

  • 已禁用全局访问

    即使默认情况下全局访问处于禁用状态,也支持在部署后启用全局访问。我们禁用了此功能,因为跨区域流量的延迟会显著增加。我们希望确保您不会因意外的跨区域挂载而产生负面体验。启用此选项取决于您的业务需求。

HA 对的一个或多个分区

您可以通过在多个或单个分区中部署 HA 配置来确保数据的高可用性。创建 HA 对时, Cloud Manager 将提示您选择多个分区或单个分区。

  • 多个分区(建议)

    在三个分区之间部署 HA 配置可确保在分区发生故障时持续提供数据。请注意,与使用单个分区相比,写入性能略低,但写入性能极低。

  • 单个分区

    在单个区域中部署时, Cloud Volumes ONTAP HA 配置会使用分布放置策略。此策略可确保 HA 配置免受分区内单点故障的影响,而无需使用单独的分区来实现故障隔离。

    此部署模式确实可以降低成本,因为分区之间没有数据传出费用。

适用于 HA 对的四个虚拟私有云

一个 HA 配置需要四个虚拟私有云( Virtual Private Cloud , vPC )。需要四个 VPC ,因为 GCP 要求每个网络接口驻留在一个单独的 VPC 网络中。

创建 HA 对时, Cloud Manager 将提示您选择四个 vPC :

  • vPC-0 ,用于与数据和节点的入站连接

  • VPC-1 , VPC-2 和 VPC-3 ,用于节点与 HA 调解器之间的内部通信

HA 对的子网

每个 VPC 都需要一个专用子网。

如果将 Connector 置于 VPC-0 中,则需要在子网上启用专用 Google 访问才能访问 API 并启用数据分层。

这些 VPC 中的子网必须具有不同的 CIDR 范围。它们不能具有重叠的 CIDR 范围。

一个适用于单节点系统的虚拟私有云

单节点系统需要一个 VPC 。

共享 vPC

Cloud Volumes ONTAP 和 Connector 在 Google Cloud 共享 VPC 以及独立 VPC 中均受支持。

对于单节点系统, VPC 可以是共享 VPC ,也可以是独立 VPC 。

对于 HA 对,需要四个 vPC 。其中每个 VPC 都可以是共享的,也可以是独立的。例如, vPC-0 可以是共享 VPC ,而 vPC-1 , vPC-2 和 vPC-3 可以是独立 VPC 。

通过共享 VPC ,您可以跨多个项目配置和集中管理虚拟网络。您可以在 host project 中设置共享 VPC 网络,并在 service project 中部署 Connector 和 Cloud Volumes ONTAP 虚拟机实例。 "Google Cloud 文档:共享 VPC 概述"

vPC 中的数据包镜像

"数据包镜像" 必须在部署 Cloud Volumes ONTAP 的 Google Cloud VPC 中禁用。如果启用了数据包镜像,则 Cloud Volumes ONTAP 无法正常运行。

Cloud Volumes ONTAP 的出站 Internet 访问

Cloud Volumes ONTAP 要求出站 Internet 访问向 NetApp AutoSupport 发送消息、 NetApp AutoSupport 主动监控存储的运行状况。

路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:

专用 IP 地址

Cloud Manager 将以下数量的专用 IP 地址分配给 GCP 中的 Cloud Volumes ONTAP :

  • * 单节点 * : 3 或 4 个专用 IP 地址

    如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :

    skipSvmManagementLif : true

    LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要使用 Storage VM ( SVM )管理 LIF 。

  • * HA 对 * : 14 或 15 个专用 IP 地址

    • VPC-0 的 7 或 8 个专用 IP 地址

      如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :

    skipSvmManagementLif : true

    • VPC-1 的两个专用 IP 地址

    • VPC-2 的两个专用 IP 地址

    • VPC-3 的三个专用 IP 地址

防火墙规则

您无需创建防火墙规则,因为 Cloud Manager 可以为您创建。如果您需要使用自己的防火墙规则,请参见下面列出的防火墙规则。

请注意, HA 配置需要两组防火墙规则:

  • VPC-0 中 HA 组件的一组规则。这些规则允许对 Cloud Volumes ONTAP 进行数据访问。 了解更多信息。

  • VPC-1 , VPC-2 和 VPC-3 中 HA 组件的另一组规则。这些规则适用于 HA 组件之间的入站和出站通信。 了解更多信息。

从 Cloud Volumes ONTAP 连接到 Google 云存储以进行数据分层

如果您要将冷数据分层到 Google 云存储分段,则必须为 Cloud Volumes ONTAP 所在的子网配置专用 Google 访问(如果您使用的是 HA 对,则此子网位于 VPC-0 中)。有关说明,请参见 "Google Cloud 文档:配置私有 Google Access"

有关在 Cloud Manager 中设置数据分层所需的其他步骤,请参见 "将冷数据分层到低成本对象存储"

连接到其他网络中的 ONTAP 系统

要在 GCP 中的 Cloud Volumes ONTAP 系统与其他网络中的 ONTAP 系统之间复制数据,您必须在 VPC 与其他网络(例如公司网络)之间建立 VPN 连接。

有关说明,请参见 "Google Cloud 文档: Cloud VPN 概述"

连接器的要求

设置您的网络,以便 Connector 能够管理公有云环境中的资源和流程。最重要的步骤是确保对各种端点的出站 Internet 访问。

提示 如果您的网络使用代理服务器与 Internet 进行所有通信,则可以从设置页面指定代理服务器。请参见 "将 Connector 配置为使用代理服务器"

连接到目标网络

连接器要求与要部署 Cloud Volumes ONTAP 的 VPC 建立网络连接。如果要部署 HA 对,则 Connector 只需要连接到 VPC-0 。

如果您计划在独立于连接器的VPC中部署Cloud Volumes ONTAP 、则需要设置VPC网络对等关系。 "了解有关VPC网络对等的更多信息"

出站 Internet 访问

连接器需要通过出站 Internet 访问来管理公有云环境中的资源和流程。

端点 目的

https://support.netapp.com

获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。

https://*.cloudmanager.cloud.netapp.com

在 Cloud Manager 中提供 SaaS 功能和服务。

https://cloudmanagerinfraprod.azurecr.io https://*.blob.core.windows.net

升级 Connector 及其 Docker 组件。

Cloud Volumes ONTAP 的防火墙规则

Cloud Manager 可创建包含 Cloud Volumes ONTAP 成功运行所需入站和出站规则的 GCP 防火墙规则。您可能需要参考端口进行测试,或者如果您希望使用自己的防火墙规则。

Cloud Volumes ONTAP 的防火墙规则需要入站和出站规则。

如果要部署 HA 配置,这些是 VPC-0 中 Cloud Volumes ONTAP 的防火墙规则。

入站规则

对于HA对、预定义的防火墙策略中入站流量的源筛选器为0.0.0.0/0。

对于单节点系统、您可以在部署期间为预定义的防火墙策略选择源筛选器:

  • 仅选定VPC:入站流量的源筛选器是Cloud Volumes ONTAP 系统VPC的子网范围以及连接器所在VPC的子网范围。这是建议的选项。

  • 所有VPC*:入站流量的源筛选器为0.0.0.0/0 IP范围。

如果您使用自己的防火墙策略、请确保添加需要与Cloud Volumes ONTAP 通信的所有网络、但同时确保同时添加两个地址范围、以使内部Google负载平衡器正常运行。这些地址为 130.11.0.0/22 和 35.191.0.0/16 。有关详细信息,请参见 "Google Cloud 文档:负载平衡器防火墙规则"

协议 Port 目的

所有 ICMP

全部

Ping 实例

HTTP

80

使用集群管理 LIF 的 IP 地址对系统管理器 Web 控制台进行 HTTP 访问

HTTPS

443.

使用集群管理 LIF 的 IP 地址对 System Manager Web 控制台进行 HTTPS 访问

SSH

22.

SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址

TCP

111.

远程过程调用 NFS

TCP

139.

用于 CIFS 的 NetBIOS 服务会话

TCP

161-162.

简单网络管理协议

TCP

445

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

635

NFS 挂载

TCP

749

Kerberos

TCP

2049.

NFS 服务器守护进程

TCP

3260

通过 iSCSI 数据 LIF 进行 iSCSI 访问

TCP

4045

NFS 锁定守护进程

TCP

4046

NFS 的网络状态监视器

TCP

10000

使用 NDMP 备份

TCP

11104.

管理 SnapMirror 的集群间通信会话

TCP

11105.

使用集群间 LIF 进行 SnapMirror 数据传输

TCP

63001-63050

负载平衡探测端口,用于确定哪个节点运行状况良好(仅 HA 对需要)

UDP

111.

远程过程调用 NFS

UDP

161-162.

简单网络管理协议

UDP

635

NFS 挂载

UDP

2049.

NFS 服务器守护进程

UDP

4045

NFS 锁定守护进程

UDP

4046

NFS 的网络状态监视器

UDP

4049.

NFS Rquotad 协议

出站规则

为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。

基本外向规则

为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。

协议 Port 目的

所有 ICMP

全部

所有出站流量

所有 TCP

全部

所有出站流量

所有 UDP

全部

所有出站流量

高级出站规则

如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。

注 源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。
服务 协议 Port 目标 目的

Active Directory

TCP

88

节点管理 LIF

Active Directory 目录林

Kerberos V 身份验证

UDP

137.

节点管理 LIF

Active Directory 目录林

NetBIOS 名称服务

UDP

138.

节点管理 LIF

Active Directory 目录林

NetBIOS 数据报服务

TCP

139.

节点管理 LIF

Active Directory 目录林

NetBIOS 服务会话

TCP 和 UDP

389.

节点管理 LIF

Active Directory 目录林

LDAP

TCP

445

节点管理 LIF

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

464.

节点管理 LIF

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

UDP

464.

节点管理 LIF

Active Directory 目录林

Kerberos 密钥管理

TCP

749

节点管理 LIF

Active Directory 目录林

Kerberos V 更改和设置密码( RPCSEC_GSS )

TCP

88

数据 LIF ( NFS , CIFS , iSCSI )

Active Directory 目录林

Kerberos V 身份验证

UDP

137.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 名称服务

UDP

138.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 数据报服务

TCP

139.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 服务会话

TCP 和 UDP

389.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

LDAP

TCP

445

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

464.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

UDP

464.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos 密钥管理

TCP

749

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos V 更改和设置密码( RPCSEC_GSS )

AutoSupport

HTTPS

443.

节点管理 LIF

support.netapp.com

AutoSupport (默认设置为 HTTPS )

HTTP

80

节点管理 LIF

support.netapp.com

AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时)

集群

所有流量

所有流量

一个节点上的所有 LIF

其它节点上的所有 LIF

集群间通信(仅限 Cloud Volumes ONTAP HA )

DHCP

UDP

68

节点管理 LIF

DHCP

首次设置 DHCP 客户端

DHCP

UDP

67

节点管理 LIF

DHCP

DHCP 服务器

DNS

UDP

53.

节点管理 LIF 和数据 LIF ( NFS 、 CIFS )

DNS

DNS

NDMP

TCP

18600 – 18699

节点管理 LIF

目标服务器

NDMP 副本

SMTP

TCP

25.

节点管理 LIF

邮件服务器

SMTP 警报、可用于 AutoSupport

SNMP

TCP

161.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

UDP

161.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

TCP

162.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

UDP

162.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

SnapMirror

TCP

11104.

集群间 LIF

ONTAP 集群间 LIF

管理 SnapMirror 的集群间通信会话

TCP

11105.

集群间 LIF

ONTAP 集群间 LIF

SnapMirror 数据传输

系统日志

UDP

514.

节点管理 LIF

系统日志服务器

系统日志转发消息

VPC-1 , VPC-2 和 VPC-3 的防火墙规则

在 GCP 中, HA 配置部署在四个 VPC 上。VPC-0 中的 HA 配置所需的防火墙规则为 上面列出的 Cloud Volumes ONTAP

同时, Cloud Manager 为 VPC-1 , VPC-2 和 VPC-3 中的实例创建的预定义防火墙规则可通过 all 协议和端口进行传入通信。这些规则允许 HA 节点之间进行通信。

从 HA 节点到 HA 调解器的通信通过端口 3260 ( iSCSI )进行。

Connector 的防火墙规则

Connector 的防火墙规则需要入站和出站规则。

入站规则

协议 Port 目的

SSH

22.

提供对 Connector 主机的 SSH 访问

HTTP

80

提供从客户端 Web 浏览器到本地用户界面的 HTTP 访问

HTTPS

443.

提供从客户端 Web 浏览器到本地用户界面的 HTTPS 访问

出站规则

连接器的预定义防火墙规则会打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。

基本外向规则

Connector 的预定义防火墙规则包括以下出站规则。

协议 Port 目的

所有 TCP

全部

所有出站流量

所有 UDP

全部

所有出站流量

高级出站规则

如果您需要对出站流量设置严格的规则,则可以使用以下信息仅打开 Connector 进行出站通信所需的端口。

注 源 IP 地址是 Connector 主机。
服务 协议 Port 目标 目的

API 调用和 AutoSupport

HTTPS

443.

出站 Internet 和 ONTAP 集群管理 LIF

API 调用 GCP 和 ONTAP ,云数据感知,勒索软件服务以及向 NetApp 发送 AutoSupport 消息

DNS

UDP

53.

DNS

用于云管理器进行 DNS 解析