Skip to main content
Cloud Volumes ONTAP
所有云提供商
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • 所有云提供商
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

Google Cloud中Cloud Volumes ONTAP 的网络连接要求

贡献者

设置Google Cloud网络、以便Cloud Volumes ONTAP 系统可以正常运行。

如果要部署 HA 对,则应执行此操作 "了解HA对在Google Cloud中的工作原理"

Cloud Volumes ONTAP 的要求

必须在Google Cloud中满足以下要求。

单节点系统的特定要求

如果要部署单节点系统、请确保您的网络满足以下要求。

一个VPC

单节点系统需要一个虚拟私有云(Virtual Private Cloud、VPC)。

专用 IP 地址

BlueXP会将3或4个专用IP地址分配给Google Cloud中的单节点系统。

如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :

skipSvmManagementLif : true

备注 LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要使用 Storage VM ( SVM )管理 LIF 。

HA对的特定要求

如果要部署HA对、请确保您的网络满足以下要求。

一个或多个分区

您可以通过在多个或单个分区中部署 HA 配置来确保数据的高可用性。在创建HA对时、BlueXP将提示您选择多个分区或单个分区。

  • 多个分区(建议)

    在三个分区之间部署 HA 配置可确保在分区发生故障时持续提供数据。请注意,与使用单个分区相比,写入性能略低,但写入性能极低。

  • 单个分区

    在单个区域中部署时, Cloud Volumes ONTAP HA 配置会使用分布放置策略。此策略可确保 HA 配置免受分区内单点故障的影响,而无需使用单独的分区来实现故障隔离。

    此部署模式确实可以降低成本,因为分区之间没有数据传出费用。

四个虚拟私有云

一个 HA 配置需要四个虚拟私有云( Virtual Private Cloud , vPC )。需要四个VPC、因为Google Cloud要求每个网络接口都驻留在一个单独的VPC网络中。

在创建HA对时、BlueXP将提示您选择四个vPC:

  • vPC-0 ,用于与数据和节点的入站连接

  • VPC-1 , VPC-2 和 VPC-3 ,用于节点与 HA 调解器之间的内部通信

一个概念映像、显示了一个云卷HA对以及配置所需的四个vPC。

Subnets

每个 VPC 都需要一个专用子网。

如果将 Connector 置于 VPC-0 中,则需要在子网上启用专用 Google 访问才能访问 API 并启用数据分层。

这些 VPC 中的子网必须具有不同的 CIDR 范围。它们不能具有重叠的 CIDR 范围。

专用 IP 地址

BlueXP会自动将所需数量的专用IP地址分配给Google Cloud中的Cloud Volumes ONTAP。您需要确保网络具有足够的可用私有地址。

BlueXP为Cloud Volumes ONTAP 分配的LIF数量取决于您部署的是单节点系统还是HA对。LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。

  • 单节点 BlueXP将4个IP地址分配给单节点系统:

    • 节点管理 LIF

    • 集群管理 LIF

    • iSCSI 数据 LIF

      备注 iSCSI LIF可通过iSCSI协议提供客户端访问、并由系统用于其他重要的网络工作流。这些LIF是必需的、不应删除。

    • NAS LIF

      如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :

    skipSvmManagementLif : true

  • 高可用性对 BlueXP会将12-13个IP地址分配给一个高可用性对:

    • 2个节点管理LIF (e0a)

    • 1个集群管理LIF (e0a)

    • 2个iSCSI LIF (e0a)

      备注 iSCSI LIF可通过iSCSI协议提供客户端访问、并由系统用于其他重要的网络工作流。这些LIF是必需的、不应删除。

    • 1个或2个NAS LIF (e0a)

    • 2个集群LIF (e0b)

    • 2个HA互连IP地址(e0c)

    • 2个RSM iSCSI IP地址(e0d)

      如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :

    skipSvmManagementLif : true

内部负载平衡器

BlueXP会自动创建四个Google Cloud内部负载平衡器(TCP/UDP)、用于管理传入到Cloud Volumes ONTAP HA对的流量。您无需进行任何设置我们将此列为一项要求,只是为了告知您网络流量并缓解任何安全问题。

一个负载平衡器用于集群管理,一个负载平衡器用于 Storage VM ( SVM )管理,一个负载平衡器用于向节点 1 发送 NAS 流量,另一个负载平衡器用于向节点 2 发送 NAS 流量。

每个负载平衡器的设置如下:

  • 一个共享专用 IP 地址

  • 一次全局运行状况检查

    默认情况下,运行状况检查使用的端口为 63001 , 63002 和 63003 。

  • 一个区域 TCP 后端服务

  • 一个区域 UDP 后端服务

  • 一个 TCP 转发规则

  • 一个 UDP 转发规则

  • 已禁用全局访问

    即使默认情况下全局访问处于禁用状态,也支持在部署后启用全局访问。我们禁用了此功能,因为跨区域流量的延迟会显著增加。我们希望确保您不会因意外的跨区域挂载而产生负面体验。启用此选项取决于您的业务需求。

共享 vPC

Cloud Volumes ONTAP 和 Connector 在 Google Cloud 共享 VPC 以及独立 VPC 中均受支持。

对于单节点系统, VPC 可以是共享 VPC ,也可以是独立 VPC 。

对于 HA 对,需要四个 vPC 。其中每个 VPC 都可以是共享的,也可以是独立的。例如, vPC-0 可以是共享 VPC ,而 vPC-1 , vPC-2 和 vPC-3 可以是独立 VPC 。

通过共享 VPC ,您可以跨多个项目配置和集中管理虚拟网络。您可以在 host project 中设置共享 VPC 网络,并在 service project 中部署 Connector 和 Cloud Volumes ONTAP 虚拟机实例。 "Google Cloud 文档:共享 VPC 概述"

"查看 Connector 部署中涉及的所需共享 VPC 权限"

vPC 中的数据包镜像

"数据包镜像" 必须在部署Cloud Volumes ONTAP的Google Cloud子网中禁用。如果启用了数据包镜像,则 Cloud Volumes ONTAP 无法正常运行。

出站 Internet 访问

Cloud Volumes ONTAP 需要对NetApp AutoSupport 进行出站Internet访问、NetApp会主动监控系统的运行状况并向NetApp技术支持发送消息。

路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:

如果无法通过出站Internet连接发送AutoSupport 消息、则BlueXP会自动将您的Cloud Volumes ONTAP 系统配置为使用Connector作为代理服务器。唯一的要求是确保Connector的防火墙允许通过端口3128进行_inbound_连接。部署Connector后、您需要打开此端口。

如果您为Cloud Volumes ONTAP 定义了严格的出站规则、则还需要确保Cloud Volumes ONTAP 防火墙允许通过端口3128进行_outout_连接。

确认出站 Internet 访问可用后,您可以测试 AutoSupport 以确保它可以发送消息。有关说明,请参见 "ONTAP 文档:设置 AutoSupport"

提示 如果您使用的是 HA 对,则 HA 调解器不需要出站 Internet 访问。

如果BlueXP通知您无法发送AutoSupport 消息、 "对AutoSupport 配置进行故障排除"

防火墙规则

您无需创建防火墙规则、因为BlueXP可以为您创建防火墙规则。如果您需要使用自己的防火墙规则,请参见下面列出的防火墙规则。

请注意, HA 配置需要两组防火墙规则:

  • VPC-0 中 HA 组件的一组规则。这些规则允许对 Cloud Volumes ONTAP 进行数据访问。 了解更多信息。

  • VPC-1 , VPC-2 和 VPC-3 中 HA 组件的另一组规则。这些规则适用于 HA 组件之间的入站和出站通信。 了解更多信息。

如果您要将冷数据分层到 Google 云存储分段,则必须为 Cloud Volumes ONTAP 所在的子网配置专用 Google 访问(如果您使用的是 HA 对,则此子网位于 VPC-0 中)。有关说明,请参见 "Google Cloud 文档:配置私有 Google Access"

有关在BlueXP中设置数据分层所需的其他步骤、请参见 "将冷数据分层到低成本对象存储"

连接到其他网络中的 ONTAP 系统

要在Google Cloud中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在VPC与其他网络(例如公司网络)之间建立VPN连接。

有关说明,请参见 "Google Cloud 文档: Cloud VPN 概述"

防火墙规则

BlueXP会创建Google Cloud防火墙规则、其中包括Cloud Volumes ONTAP 成功运行所需的入站和出站规则。您可能需要引用这些端口来进行测试、或者希望使用自己的防火墙规则。

Cloud Volumes ONTAP 的防火墙规则需要入站和出站规则。如果要部署 HA 配置,这些是 VPC-0 中 Cloud Volumes ONTAP 的防火墙规则。

请注意, HA 配置需要两组防火墙规则:

  • VPC-0 中 HA 组件的一组规则。这些规则允许对 Cloud Volumes ONTAP 进行数据访问。

  • VPC-1 , VPC-2 和 VPC-3 中 HA 组件的另一组规则。这些规则适用于 HA 组件之间的入站和出站通信。 了解更多信息。

提示 正在查找有关连接器的信息? "查看Connector的防火墙规则"

入站规则

在创建工作环境时、您可以在部署期间为预定义的防火墙策略选择源筛选器:

  • 仅选定VPC:入站流量的源筛选器是Cloud Volumes ONTAP 系统VPC的子网范围以及连接器所在VPC的子网范围。这是建议的选项。

  • 所有VPC*:入站流量的源筛选器为0.0.0.0/0 IP范围。

如果您使用自己的防火墙策略、请确保添加需要与Cloud Volumes ONTAP 通信的所有网络、但同时确保同时添加两个地址范围、以使内部Google负载平衡器正常运行。这些地址为 130.11.0.0/22 和 35.191.0.0/16 。有关详细信息,请参见 "Google Cloud 文档:负载平衡器防火墙规则"

协议 Port 目的

所有 ICMP

全部

Ping 实例

HTTP

80

使用集群管理 LIF 的 IP 地址对系统管理器 Web 控制台进行 HTTP 访问

HTTPS

443.

使用集群管理LIF的IP地址连接Connector并通过HTTPS访问System Manager Web控制台

SSH

22.

SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址

TCP

111.

远程过程调用 NFS

TCP

139.

用于 CIFS 的 NetBIOS 服务会话

TCP

161-162.

简单网络管理协议

TCP

445

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

635

NFS 挂载

TCP

749

Kerberos

TCP

2049.

NFS 服务器守护进程

TCP

3260

通过 iSCSI 数据 LIF 进行 iSCSI 访问

TCP

4045

NFS 锁定守护进程

TCP

4046

NFS 的网络状态监视器

TCP

10000

使用 NDMP 备份

TCP

11104.

管理 SnapMirror 的集群间通信会话

TCP

11105.

使用集群间 LIF 进行 SnapMirror 数据传输

TCP

63001-63050

负载平衡探测端口,用于确定哪个节点运行状况良好(仅 HA 对需要)

UDP

111.

远程过程调用 NFS

UDP

161-162.

简单网络管理协议

UDP

635

NFS 挂载

UDP

2049.

NFS 服务器守护进程

UDP

4045

NFS 锁定守护进程

UDP

4046

NFS 的网络状态监视器

UDP

4049.

NFS Rquotad 协议

出站规则

为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。

基本外向规则

为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。

协议 Port 目的

所有 ICMP

全部

所有出站流量

所有 TCP

全部

所有出站流量

所有 UDP

全部

所有出站流量
高级出站规则

如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。

备注 源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。
服务 协议 Port 目标 目的

Active Directory

TCP

88

节点管理 LIF

Active Directory 目录林

Kerberos V 身份验证

UDP

137.

节点管理 LIF

Active Directory 目录林

NetBIOS 名称服务

UDP

138.

节点管理 LIF

Active Directory 目录林

NetBIOS 数据报服务

TCP

139.

节点管理 LIF

Active Directory 目录林

NetBIOS 服务会话

TCP 和 UDP

389.

节点管理 LIF

Active Directory 目录林

LDAP

TCP

445

节点管理 LIF

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

464.

节点管理 LIF

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

UDP

464.

节点管理 LIF

Active Directory 目录林

Kerberos 密钥管理

TCP

749

节点管理 LIF

Active Directory 目录林

Kerberos V 更改和设置密码( RPCSEC_GSS )

TCP

88

数据 LIF ( NFS , CIFS , iSCSI )

Active Directory 目录林

Kerberos V 身份验证

UDP

137.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 名称服务

UDP

138.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 数据报服务

TCP

139.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 服务会话

TCP 和 UDP

389.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

LDAP

TCP

445

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

464.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

UDP

464.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos 密钥管理

TCP

749

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos V 更改和设置密码( RPCSEC_GSS )

AutoSupport

HTTPS

443.

节点管理 LIF

support.netapp.com

AutoSupport (默认设置为 HTTPS )

HTTP

80

节点管理 LIF

support.netapp.com

AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时)

TCP

3128

节点管理 LIF

连接器

如果出站Internet连接不可用、则通过Connector上的代理服务器发送AutoSupport 消息

集群

所有流量

所有流量

一个节点上的所有 LIF

其它节点上的所有 LIF

集群间通信(仅限 Cloud Volumes ONTAP HA )

配置备份

HTTP

80

节点管理 LIF

\http://occm/offboxconfig <connector-IP-address>

将配置备份发送到Connector。 "了解配置备份文件"

DHCP

UDP

68

节点管理 LIF

DHCP

首次设置 DHCP 客户端

DHCP

UDP

67

节点管理 LIF

DHCP

DHCP 服务器

DNS

UDP

53.

节点管理 LIF 和数据 LIF ( NFS 、 CIFS )

DNS

DNS

NDMP

TCP

18600 – 18699

节点管理 LIF

目标服务器

NDMP 副本

SMTP

TCP

25.

节点管理 LIF

邮件服务器

SMTP 警报、可用于 AutoSupport

SNMP

TCP

161.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

UDP

161.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

TCP

162.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

UDP

162.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

SnapMirror

TCP

11104.

集群间 LIF

ONTAP 集群间 LIF

管理 SnapMirror 的集群间通信会话

TCP

11105.

集群间 LIF

ONTAP 集群间 LIF

SnapMirror 数据传输

系统日志

UDP

514.

节点管理 LIF

系统日志服务器

系统日志转发消息

VPC-1、VPC-2和VPC-3的规则

在Google Cloud中、HA配置部署在四个VPC上。VPC-0 中的 HA 配置所需的防火墙规则为 上面列出的 Cloud Volumes ONTAP

同时、BlueXP为VPC-1、VPC-2和VPC-3中的实例创建的预定义防火墙规则可以通过_all_协议和端口进行传入通信。这些规则允许 HA 节点之间进行通信。

从 HA 节点到 HA 调解器的通信通过端口 3260 ( iSCSI )进行。

备注 要为新的Google Cloud HA对部署启用高写入速度、VPC-1、VPC-2和VPC-3需要至少8、896字节的最大传输单元(MTU)。如果选择将现有VPC-1、VPC-2和VPC-3升级到8、896字节的MTU、则必须在配置过程中使用这些VPC关闭所有现有HA系统。

连接器的要求

如果尚未创建Connector、则还应查看Connector的网络要求。