GCP 中的 Cloud Volumes ONTAP 的网络要求
设置您的 Google 云平台网络,以便 Cloud Volumes ONTAP 系统可以正常运行。其中包括连接器和 Cloud Volumes ONTAP 的网络连接。
如果要部署 HA 对,则应执行此操作 "了解 HA 对在 GCP 中的工作原理"。
Cloud Volumes ONTAP 的要求
以下要求必须在 GCP 中满足。
- 内部负载平衡器
-
Cloud Manager 会自动创建四个 Google Cloud 内部负载平衡器( TCP/UDP ),用于管理传入到 Cloud Volumes ONTAP HA 对的流量。您无需进行任何设置我们将此列为一项要求,只是为了告知您网络流量并缓解任何安全问题。
一个负载平衡器用于集群管理,一个负载平衡器用于 Storage VM ( SVM )管理,一个负载平衡器用于向节点 1 发送 NAS 流量,另一个负载平衡器用于向节点 2 发送 NAS 流量。
每个负载平衡器的设置如下:
-
一个共享专用 IP 地址
-
一次全局运行状况检查
默认情况下,运行状况检查使用的端口为 63001 , 63002 和 63003 。
-
一个区域 TCP 后端服务
-
一个区域 UDP 后端服务
-
一个 TCP 转发规则
-
一个 UDP 转发规则
-
已禁用全局访问
即使默认情况下全局访问处于禁用状态,也支持在部署后启用全局访问。我们禁用了此功能,因为跨区域流量的延迟会显著增加。我们希望确保您不会因意外的跨区域挂载而产生负面体验。启用此选项取决于您的业务需求。
-
- HA 对的一个或多个分区
-
您可以通过在多个或单个分区中部署 HA 配置来确保数据的高可用性。创建 HA 对时, Cloud Manager 将提示您选择多个分区或单个分区。
-
多个分区(建议)
在三个分区之间部署 HA 配置可确保在分区发生故障时持续提供数据。请注意,与使用单个分区相比,写入性能略低,但写入性能极低。
-
单个分区
在单个区域中部署时, Cloud Volumes ONTAP HA 配置会使用分布放置策略。此策略可确保 HA 配置免受分区内单点故障的影响,而无需使用单独的分区来实现故障隔离。
此部署模式确实可以降低成本,因为分区之间没有数据传出费用。
-
- 适用于 HA 对的四个虚拟私有云
-
一个 HA 配置需要四个虚拟私有云( Virtual Private Cloud , vPC )。需要四个 VPC ,因为 GCP 要求每个网络接口驻留在一个单独的 VPC 网络中。
创建 HA 对时, Cloud Manager 将提示您选择四个 vPC :
-
vPC-0 ,用于与数据和节点的入站连接
-
VPC-1 , VPC-2 和 VPC-3 ,用于节点与 HA 调解器之间的内部通信
-
- HA 对的子网
-
每个 VPC 都需要一个专用子网。
如果将 Connector 置于 VPC-0 中,则需要在子网上启用专用 Google 访问才能访问 API 并启用数据分层。
这些 VPC 中的子网必须具有不同的 CIDR 范围。它们不能具有重叠的 CIDR 范围。
- 一个适用于单节点系统的虚拟私有云
-
单节点系统需要一个 VPC 。
- 共享 vPC
-
Cloud Volumes ONTAP 和 Connector 在 Google Cloud 共享 VPC 以及独立 VPC 中均受支持。
对于单节点系统, VPC 可以是共享 VPC ,也可以是独立 VPC 。
对于 HA 对,需要四个 vPC 。其中每个 VPC 都可以是共享的,也可以是独立的。例如, vPC-0 可以是共享 VPC ,而 vPC-1 , vPC-2 和 vPC-3 可以是独立 VPC 。
通过共享 VPC ,您可以跨多个项目配置和集中管理虚拟网络。您可以在 host project 中设置共享 VPC 网络,并在 service project 中部署 Connector 和 Cloud Volumes ONTAP 虚拟机实例。 "Google Cloud 文档:共享 VPC 概述"。
- vPC 中的数据包镜像
-
"数据包镜像" 必须在部署 Cloud Volumes ONTAP 的 Google Cloud VPC 中禁用。如果启用了数据包镜像,则 Cloud Volumes ONTAP 无法正常运行。
- Cloud Volumes ONTAP 的出站 Internet 访问
-
Cloud Volumes ONTAP 要求出站 Internet 访问向 NetApp AutoSupport 发送消息、 NetApp AutoSupport 主动监控存储的运行状况。
路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:
-
https://support.netapp.com/asupprod/post/1.0/postAsup
如果您使用的是 HA 对,则 HA 调解器不需要出站 Internet 访问。
- 专用 IP 地址
-
Cloud Manager 将以下数量的专用 IP 地址分配给 GCP 中的 Cloud Volumes ONTAP :
-
* 单节点 * : 3 或 4 个专用 IP 地址
如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :
skipSvmManagementLif : true
LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要使用 Storage VM ( SVM )管理 LIF 。
-
* HA 对 * : 14 或 15 个专用 IP 地址
-
VPC-0 的 7 或 8 个专用 IP 地址
如果您使用 API 部署 Cloud Volumes ONTAP 并指定以下标志,则可以跳过创建 Storage VM ( SVM )管理 LIF :
skipSvmManagementLif : true
-
VPC-1 的两个专用 IP 地址
-
VPC-2 的两个专用 IP 地址
-
VPC-3 的三个专用 IP 地址
-
-
- 防火墙规则
-
您无需创建防火墙规则,因为 Cloud Manager 可以为您创建。如果您需要使用自己的防火墙规则,请参见下面列出的防火墙规则。
- 从 Cloud Volumes ONTAP 连接到 Google 云存储以进行数据分层
-
如果您要将冷数据分层到 Google 云存储分段,则必须为 Cloud Volumes ONTAP 所在的子网配置专用 Google 访问(如果您使用的是 HA 对,则此子网位于 VPC-0 中)。有关说明,请参见 "Google Cloud 文档:配置私有 Google Access"。
有关在 Cloud Manager 中设置数据分层所需的其他步骤,请参见 "将冷数据分层到低成本对象存储"。
- 连接到其他网络中的 ONTAP 系统
-
要在 GCP 中的 Cloud Volumes ONTAP 系统与其他网络中的 ONTAP 系统之间复制数据,您必须在 VPC 与其他网络(例如公司网络)之间建立 VPN 连接。
有关说明,请参见 "Google Cloud 文档: Cloud VPN 概述"。
连接器的要求
设置您的网络,以便 Connector 能够管理公有云环境中的资源和流程。最重要的步骤是确保对各种端点的出站 Internet 访问。
|
如果您的网络使用代理服务器与 Internet 进行所有通信,则可以从设置页面指定代理服务器。请参见 "将 Connector 配置为使用代理服务器"。 |
连接到目标网络
连接器要求与要部署 Cloud Volumes ONTAP 的 VPC 建立网络连接。如果要部署 HA 对,则 Connector 只需要连接到 VPC-0 。
出站 Internet 访问
连接器需要通过出站 Internet 访问来管理公有云环境中的资源和流程。
端点 | 目的 |
---|---|
获取许可信息并向 NetApp 支持部门发送 AutoSupport 消息。 |
|
在 Cloud Manager 中提供 SaaS 功能和服务。 |
|
https://cloudmanagerinfraprod.azurecr.io https://*.blob.core.windows.net |
升级 Connector 及其 Docker 组件。 |
Cloud Volumes ONTAP 的防火墙规则
Cloud Manager 可创建包含 Cloud Volumes ONTAP 成功运行所需入站和出站规则的 GCP 防火墙规则。您可能需要参考端口进行测试,或者如果您希望使用自己的防火墙规则。
Cloud Volumes ONTAP 的防火墙规则需要入站和出站规则。
如果要部署 HA 配置,这些是 VPC-0 中 Cloud Volumes ONTAP 的防火墙规则。
入站规则
对于HA对、预定义的防火墙策略中入站流量的源筛选器为0.0.0.0/0。
对于单节点系统、您可以在部署期间为预定义的防火墙策略选择源筛选器:
-
仅选定VPC:入站流量的源筛选器是Cloud Volumes ONTAP 系统VPC的子网范围以及连接器所在VPC的子网范围。这是建议的选项。
-
所有VPC*:入站流量的源筛选器为0.0.0.0/0 IP范围。
如果您使用自己的防火墙策略、请确保添加需要与Cloud Volumes ONTAP 通信的所有网络、但同时确保同时添加两个地址范围、以使内部Google负载平衡器正常运行。这些地址为 130.11.0.0/22 和 35.191.0.0/16 。有关详细信息,请参见 "Google Cloud 文档:负载平衡器防火墙规则"。
协议 | Port | 目的 |
---|---|---|
所有 ICMP |
全部 |
Ping 实例 |
HTTP |
80 |
使用集群管理 LIF 的 IP 地址对系统管理器 Web 控制台进行 HTTP 访问 |
HTTPS |
443. |
使用集群管理 LIF 的 IP 地址对 System Manager Web 控制台进行 HTTPS 访问 |
SSH |
22. |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
TCP |
111. |
远程过程调用 NFS |
TCP |
139. |
用于 CIFS 的 NetBIOS 服务会话 |
TCP |
161-162. |
简单网络管理协议 |
TCP |
445 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
TCP |
635 |
NFS 挂载 |
TCP |
749 |
Kerberos |
TCP |
2049. |
NFS 服务器守护进程 |
TCP |
3260 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
TCP |
4045 |
NFS 锁定守护进程 |
TCP |
4046 |
NFS 的网络状态监视器 |
TCP |
10000 |
使用 NDMP 备份 |
TCP |
11104. |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
使用集群间 LIF 进行 SnapMirror 数据传输 |
TCP |
63001-63050 |
负载平衡探测端口,用于确定哪个节点运行状况良好(仅 HA 对需要) |
UDP |
111. |
远程过程调用 NFS |
UDP |
161-162. |
简单网络管理协议 |
UDP |
635 |
NFS 挂载 |
UDP |
2049. |
NFS 服务器守护进程 |
UDP |
4045 |
NFS 锁定守护进程 |
UDP |
4046 |
NFS 的网络状态监视器 |
UDP |
4049. |
NFS Rquotad 协议 |
出站规则
为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。
协议 | Port | 目的 |
---|---|---|
所有 ICMP |
全部 |
所有出站流量 |
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。
|
源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。 |
服务 | 协议 | Port | 源 | 目标 | 目的 |
---|---|---|---|---|---|
Active Directory |
TCP |
88 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
UDP |
137. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
TCP |
88 |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
UDP |
137. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443. |
节点管理 LIF |
support.netapp.com |
AutoSupport (默认设置为 HTTPS ) |
HTTP |
80 |
节点管理 LIF |
support.netapp.com |
AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时) |
|
集群 |
所有流量 |
所有流量 |
一个节点上的所有 LIF |
其它节点上的所有 LIF |
集群间通信(仅限 Cloud Volumes ONTAP HA ) |
DHCP |
UDP |
68 |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
UDP |
67 |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
UDP |
53. |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
TCP |
25. |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
TCP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
UDP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
TCP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
UDP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
TCP |
11104. |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
UDP |
514. |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
VPC-1 , VPC-2 和 VPC-3 的防火墙规则
在 GCP 中, HA 配置部署在四个 VPC 上。VPC-0 中的 HA 配置所需的防火墙规则为 上面列出的 Cloud Volumes ONTAP。
同时, Cloud Manager 为 VPC-1 , VPC-2 和 VPC-3 中的实例创建的预定义防火墙规则可通过 all 协议和端口进行传入通信。这些规则允许 HA 节点之间进行通信。
从 HA 节点到 HA 调解器的通信通过端口 3260 ( iSCSI )进行。
Connector 的防火墙规则
Connector 的防火墙规则需要入站和出站规则。
入站规则
协议 | Port | 目的 |
---|---|---|
SSH |
22. |
提供对 Connector 主机的 SSH 访问 |
HTTP |
80 |
提供从客户端 Web 浏览器到本地用户界面的 HTTP 访问 |
HTTPS |
443. |
提供从客户端 Web 浏览器到本地用户界面的 HTTPS 访问 |
出站规则
连接器的预定义防火墙规则会打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
Connector 的预定义防火墙规则包括以下出站规则。
协议 | Port | 目的 |
---|---|---|
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
如果您需要对出站流量设置严格的规则,则可以使用以下信息仅打开 Connector 进行出站通信所需的端口。
|
源 IP 地址是 Connector 主机。 |
服务 | 协议 | Port | 目标 | 目的 |
---|---|---|---|---|
API 调用和 AutoSupport |
HTTPS |
443. |
出站 Internet 和 ONTAP 集群管理 LIF |
API 调用 GCP 和 ONTAP ,云数据感知,勒索软件服务以及向 NetApp 发送 AutoSupport 消息 |
DNS |
UDP |
53. |
DNS |
用于云管理器进行 DNS 解析 |