发行说明
Azure 中的 Cloud Volumes ONTAP 的网络要求
建议更改
PDF
设置 Azure 网络,以便 Cloud Volumes ONTAP 系统可以正常运行。
Cloud Volumes ONTAP 的要求
在 Azure 中必须满足以下网络连接要求。
出站 Internet 访问
Cloud Volumes ONTAP 节点需要通过出站Internet访问NetApp AutoSupport 、NetApp会主动监控系统运行状况并向NetApp技术支持发送消息。
路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:
如果无法通过出站Internet连接发送AutoSupport 消息、则BlueXP会自动将您的Cloud Volumes ONTAP 系统配置为使用Connector作为代理服务器。唯一的要求是确保Connector的安全组允许通过端口3128进行_inbound_连接。部署Connector后、您需要打开此端口。
如果您为Cloud Volumes ONTAP 定义了严格的出站规则、则还需要确保Cloud Volumes ONTAP 安全组允许通过端口3128进行_outout_连接。
确认出站 Internet 访问可用后,您可以测试 AutoSupport 以确保它可以发送消息。有关说明,请参见 "ONTAP 文档:设置 AutoSupport"。
如果BlueXP通知您无法发送AutoSupport 消息、 "对AutoSupport 配置进行故障排除"。
IP 地址
BlueXP会自动将所需数量的专用IP地址分配给Azure中的Cloud Volumes ONTAP。您需要确保网络具有足够的可用专用IP地址。
BlueXP为Cloud Volumes ONTAP 分配的LIF数量取决于您部署的是单节点系统还是HA对。LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。
|
iSCSI LIF可通过iSCSI协议提供客户端访问、并由系统用于其他重要的网络工作流。这些LIF是必需的、不应删除。 |
单节点系统的 IP 地址
BlueXP会将5或6个IP地址分配给单节点系统:
-
集群管理IP
-
节点管理IP
-
SnapMirror的集群间IP
-
NFS/CIFS IP
-
iSCSI IP
iSCSI IP可通过iSCSI协议提供客户端访问。系统也会将其用于其他重要的网络工作流。此LIF为必填项、不应删除。 -
SVM管理(可选—默认情况下未配置)
HA 对的 IP 地址
在部署期间、BlueXP会将IP地址分配给4个NIC (每个节点)。
请注意、BlueXP会在HA对上创建SVM管理LIF、但不会在Azure中的单节点系统上创建。
NIC0
-
节点管理IP
-
集群间IP
-
iSCSI IP
iSCSI IP可通过iSCSI协议提供客户端访问。系统也会将其用于其他重要的网络工作流。此LIF为必填项、不应删除。 -
NIC 1*
-
集群网络IP
NIC2
-
集群互连IP (HA IC)
-
NIC 3*
-
Pageblob NIC IP (磁盘访问)
|
|
NIC3仅适用于使用页面Blob存储的HA部署。 |
上述IP地址不会在发生故障转移事件时迁移。
此外、还配置了4个前端IP (FIPS)、以便在发生故障转移事件时进行迁移。这些前端IP位于负载平衡器中。
-
集群管理IP
-
节点A数据IP (NFS/CIFS)
-
NodeB数据IP (NFS/CIFS)
-
SVM管理IP
安全连接到 Azure 服务
默认情况下、BlueXP会为Cloud Volumes ONTAP 和Azure页面Blob存储帐户之间的连接启用Azure专用链接。
在大多数情况下、您无需执行任何操作—BlueXP为您管理Azure专用链路。但是,如果您使用 Azure 私有 DNS ,则需要编辑配置文件。此外、您还应了解Azure中连接器位置的要求。
如果业务需要、您还可以禁用专用链路连接。如果禁用此链接、则BlueXP会将Cloud Volumes ONTAP 配置为使用服务端点。
连接到其他 ONTAP 系统
要在Azure中的Cloud Volumes ONTAP 系统与其他网络中的ONTAP 系统之间复制数据、您必须在Azure vNet与其他网络(例如您的企业网络)之间建立VPN连接。
用于 HA 互连的端口
Cloud Volumes ONTAP HA 对包括一个 HA 互连,通过该互连,每个节点可以持续检查其配对节点是否正常运行,并镜像另一节点的非易失性内存的日志数据。HA 互连使用 TCP 端口 10006 进行通信。
默认情况下, HA 互连 LIF 之间的通信处于打开状态,并且此端口没有安全组规则。但是,如果在 HA 互连 LIF 之间创建防火墙,则需要确保端口 10006 的 TCP 流量处于打开状态,以便 HA 对可以正常运行。
一个 Azure 资源组中只有一个 HA 对
您必须为在 Azure 中部署的每个 Cloud Volumes ONTAP HA 对使用 _dedicated 资源组。一个资源组仅支持一个 HA 对。
如果您尝试在Azure资源组中部署第二个Cloud Volumes ONTAP HA对、则BlueXP会遇到连接问题。
安全组规则
BlueXP会创建包含Cloud Volumes ONTAP 成功运行所需入站和出站规则的Azure安全组。您可能需要参考端口进行测试,或者如果您希望使用自己的安全组。
Cloud Volumes ONTAP 的安全组需要入站和出站规则。
|
正在查找有关连接器的信息? "查看Connector的安全组规则" |
单节点系统的入站规则
在创建工作环境并选择预定义的安全组时、您可以选择允许以下其中一个范围内的流量:
-
*仅选定vNet *:入站流量的源是Cloud Volumes ONTAP 系统的vNet子网范围以及Connector所在的vNet的子网范围。这是建议的选项。
-
所有VNets*:入站流量的源为0.0.0.0/0 IP范围。
| 优先级和名称 | 端口和协议 | 源和目标 | Description |
|---|---|---|---|
1000 个 inbound_ssh |
22 TCP |
任意到任意 |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
1001inbound_http |
80/TCP |
任意到任意 |
使用集群管理 LIF 的 IP 地址对系统管理器 Web 控制台进行 HTTP 访问 |
1002inbound_111_tcp |
111 TCP |
任意到任意 |
远程过程调用 NFS |
1003 入站 _111_UDP |
111 UDP |
任意到任意 |
远程过程调用 NFS |
1004 inbound_139 |
139 TCP |
任意到任意 |
用于 CIFS 的 NetBIOS 服务会话 |
1005 inbound_161-162_TCP |
161-162 TCP |
任意到任意 |
简单网络管理协议 |
1006 inbound_161-162_UDP |
161-162 UDP |
任意到任意 |
简单网络管理协议 |
1007 inbound_443 |
443/TCP |
任意到任意 |
使用集群管理LIF的IP地址连接Connector并通过HTTPS访问System Manager Web控制台 |
1008 inbound_445 |
445 TCP |
任意到任意 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
1009 inbound_635_tcp |
635 TCP |
任意到任意 |
NFS 挂载 |
1010 inbound_635_udp |
635 UDP |
任意到任意 |
NFS 挂载 |
1011 inbound_749 |
749 TCP |
任意到任意 |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
任意到任意 |
NFS 服务器守护进程 |
1013 inbound_2049_udp |
2049 UDP |
任意到任意 |
NFS 服务器守护进程 |
1014 inbound_3260 |
3260 TCP |
任意到任意 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
1015 Inbound_4045-4046_tcp |
4045-4046 TCP |
任意到任意 |
NFS 锁定守护进程和网络状态监控器 |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
任意到任意 |
NFS 锁定守护进程和网络状态监控器 |
1017 inbound_10000 |
10000 TCP |
任意到任意 |
使用 NDMP 备份 |
1018 inbound_11104-11105 |
11104-11105 TCP |
任意到任意 |
SnapMirror 数据传输 |
3000 个 inbound_deny _all_tcp |
任何端口 TCP |
任意到任意 |
阻止所有其他 TCP 入站流量 |
3001 inbound_deny _all_udp |
任何端口 UDP |
任意到任意 |
阻止所有其他 UDP 入站流量 |
65000 个 AllowVnetInBound |
任何端口任何协议 |
VirtualNetwork 到 VirtualNetwork |
vNet 中的入站流量 |
65001 AllowAzureLoad BalancerInBound |
任何端口任何协议 |
AzureLoadBalancer 到任何 |
来自 Azure 标准负载平衡器的数据流量 |
65500 DenyAllInBound |
任何端口任何协议 |
任意到任意 |
阻止所有其他入站流量 |
HA 系统的入站规则
在创建工作环境并选择预定义的安全组时、您可以选择允许以下其中一个范围内的流量:
-
*仅选定vNet *:入站流量的源是Cloud Volumes ONTAP 系统的vNet子网范围以及Connector所在的vNet的子网范围。这是建议的选项。
-
所有VNets*:入站流量的源为0.0.0.0/0 IP范围。
|
|
与单节点系统相比, HA 系统的入站规则更少,因为入站数据流量通过 Azure 标准负载平衡器。因此,来自负载平衡器的流量应处于打开状态,如 "AllowAzureLoadBalancerInBound" 规则中所示。 |
| 优先级和名称 | 端口和协议 | 源和目标 | Description |
|---|---|---|---|
100 inbound_443 |
443 任何协议 |
任意到任意 |
使用集群管理LIF的IP地址连接Connector并通过HTTPS访问System Manager Web控制台 |
101 inbound_111_tcp |
111 任何协议 |
任意到任意 |
远程过程调用 NFS |
102 inbound_2049_tcp |
2049 任何协议 |
任意到任意 |
NFS 服务器守护进程 |
111 inbound_ssh |
22 任何协议 |
任意到任意 |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
121 inbound_53 |
53 任何协议 |
任意到任意 |
DNS 和 CIFS |
65000 个 AllowVnetInBound |
任何端口任何协议 |
VirtualNetwork 到 VirtualNetwork |
vNet 中的入站流量 |
65001 AllowAzureLoad BalancerInBound |
任何端口任何协议 |
AzureLoadBalancer 到任何 |
来自 Azure 标准负载平衡器的数据流量 |
65500 DenyAllInBound |
任何端口任何协议 |
任意到任意 |
阻止所有其他入站流量 |
出站规则
为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。
| Port | 协议 | 目的 |
|---|---|---|
全部 |
所有 TCP |
所有出站流量 |
全部 |
所有 UDP |
所有出站流量 |
高级出站规则
如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。
|
|
源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。 |
| 服务 | Port | 协议 | 源 | 目标 | 目的 |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
137. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
138. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
139. |
TCP |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
389. |
TCP 和 UDP |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
445 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
464. |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
464. |
UDP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
749 |
TCP |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
88 |
TCP |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
137. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
138. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
139. |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
389. |
TCP 和 UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
445 |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
464. |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
464. |
UDP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
749 |
TCP |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443. |
节点管理 LIF |
support.netapp.com |
AutoSupport (默认设置为 HTTPS ) |
HTTP |
80 |
节点管理 LIF |
support.netapp.com |
AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时) |
|
TCP |
3128 |
节点管理 LIF |
连接器 |
如果出站Internet连接不可用、则通过Connector上的代理服务器发送AutoSupport 消息 |
|
配置备份 |
HTTP |
80 |
节点管理 LIF |
\http://occm/offboxconfig <connector-IP-address> |
将配置备份发送到Connector。 "了解配置备份文件"。 |
DHCP |
68 |
UDP |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
67 |
UDP |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
53. |
UDP |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
18600 – 18699 |
TCP |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
25. |
TCP |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
161. |
TCP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
161. |
UDP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
162. |
TCP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
162. |
UDP |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
11104. |
TCP |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
11105. |
TCP |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
514. |
UDP |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
连接器的要求
如果尚未创建Connector、则还应查看Connector的网络要求。