发行说明
AWS 中的 Cloud Volumes ONTAP 的网络要求
建议更改
PDF
设置 AWS 网络,以便 Cloud Volumes ONTAP 系统可以正常运行。
Cloud Volumes ONTAP 的一般要求
以下要求必须在 AWS 中满足。
- Cloud Volumes ONTAP 节点的出站 Internet 访问
-
Cloud Volumes ONTAP 节点需要出站 Internet 访问才能向 NetApp AutoSupport 发送消息、 NetApp AutoSupport 主动监控存储的运行状况。
路由和防火墙策略必须允许 AWS HTTP/HTTPS 流量传输到以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:
-
https://support.netapp.com/asupprod/post/1.0/postAsup
如果您有 NAT 实例、则必须定义允许 HTTPS 流量从私有子网传输到 Internet 的入站安全组规则。
- HA 调解器的出站 Internet 访问
-
HA 调解器实例必须具有与 AWS EC2 服务的出站连接、以便能够帮助进行存储故障转移。要提供连接、可以添加公共 IP 地址、指定代理服务器或使用手动选项。
手动选项可以是 NAT 网关或从目标子网到 AWS EC2 服务的接口 VPC 端点。有关 VPC 端点的详细信息,请参见 "AWS 文档:接口 VPC 端点( AWS PrivateLink )"。
- IP 地址数
-
Cloud Manager 会将以下数量的 IP 地址分配给 AWS 中的 Cloud Volumes ONTAP :
-
单个节点: 6 个 IP 地址
-
单个 AZs 中的 HA 对: 15 个地址
-
多个 AZs 中的 HA 对: 15 或 16 个 IP 地址
请注意, Cloud Manager 会在单节点系统上创建 SVM 管理 LIF ,但不会在单个 AZ 中的 HA 对上创建。您可以选择是否在多个 AZs 中的 HA 对上创建 SVM 管理 LIF 。
LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。
-
- 安全组
-
您不需要创建安全组,因为 Cloud Manager 可以为您提供这些功能。如果您需要使用自己的,请参见 "安全组规则"。
- 从 Cloud Volumes ONTAP 连接到 AWS S3 以进行数据分层
-
如果要将 EBS 用作性能层、将 AWS S3 用作容量层、则必须确保 Cloud Volumes ONTAP 与 S3 建立连接。提供该连接的最佳方法是创建到 S3 服务的 VPC 端点。有关说明,请参见 "AWS 文档:创建网关端点"。
创建 VPC 端点时,请确保选择与 Cloud Volumes ONTAP 实例对应的区域、 VPC 和路由表。您还必须修改安全组才能添加出站 HTTPS 规则、该规则允许通信到 S3 端点。否则, Cloud Volumes ONTAP 无法连接到 S3 服务。
如果遇到任何问题,请参见 "AWS 支持知识中心:为什么我无法使用网关 VPC 端点连接到 S3 存储分段?"
- 连接到其他网络中的 ONTAP 系统
-
要在 AWS 中的 Cloud Volumes ONTAP 系统和其他网络中的 ONTAP 系统之间复制数据、您必须在 AWS VPC 和其他网络之间建立 VPN 连接—例如 Azure VNet 或您的公司网络。有关说明,请参见 "AWS 文档:设置 AWS VPN 连接"。
- 用于 CIFS 的 DNS 和 Active Directory
-
如果要配置 CIFS 存储、必须在 AWS 中设置 DNS 和 Active Directory 或将内部设置扩展到 AWS 。
DNS 服务器必须为 Active Directory 环境提供名称解析服务。您可以将 DHCP 选项集配置为使用默认的 EC2 DNS 服务器、该服务器不能是 Active Directory 环境使用的 DNS 服务器。
多个 AZs 中 HA 对的要求
其他 AWS 网络要求适用于使用多可用性区域( Azs )的 Cloud Volumes ONTAP HA 配置。您应该在启动 HA 对之前查看这些要求、因为您必须在 Cloud Manager 中输入网络详细信息。
要了解 HA 对的工作原理,请参见 "高可用性对"。
- 可用性区域
-
此 HA 部署模型使用多个 AUS 来确保数据的高可用性。您应该为每个 Cloud Volumes ONTAP 实例和调解器实例使用专用的 AZ ,该实例在 HA 对之间提供通信通道。
- 用于 NAS 数据和集群 /SVM 管理的浮动 IP 地址
-
多个 AZs 中的 HA 配置使用浮动 IP 地址,如果发生故障,这些地址会在节点之间迁移。除非您自己,否则它们不能从 VPC 外部本机访问 "设置 AWS 传输网关"。
一个浮动 IP 地址用于集群管理、一个用于节点 1 上的 NFS/CIFS 数据、一个用于节点 2 上的 NFS/CIFS 数据。SVM 管理的第四个浮动 IP 地址是可选的。
如果将 SnapDrive for Windows 或 SnapCenter 与 HA 对结合使用,则 SVM 管理 LIF 需要浮动 IP 地址。如果在部署系统时未指定 IP 地址,则可以稍后创建 LIF 。有关详细信息,请参见 "设置 Cloud Volumes ONTAP"。 创建 Cloud Volumes ONTAP HA 工作环境时,您需要在 Cloud Manager 中输入浮动 IP 地址。在启动系统时, Cloud Manager 会将 IP 地址分配给 HA 对。
对于部署 HA 配置的 AWS 区域中的所有 vPC ,浮动 IP 地址必须不在 CIDR 块的范围内。将浮动 IP 地址视为您所在地区 VPC 之外的逻辑子网。
以下示例显示了 AWS 区域中浮动 IP 地址与 VPC 之间的关系。虽然浮动 IP 地址不在所有 VPC 的 CIDR 块之外,但它们可以通过路由表路由到子网。
Cloud Manager 可自动创建用于 iSCSI 访问和从 VPC 外部的客户端进行 NAS 访问的静态 IP 地址。您无需满足这些类型的 IP 地址的任何要求。 - 传输网关,用于从 VPC 外部启用浮动 IP 访问
-
"设置 AWS 传输网关" 允许从 HA 对所在的 VPC 外部访问 HA 对的浮动 IP 地址。
- 路由表
-
在 Cloud Manager 中指定浮动 IP 地址后,您需要选择应包含浮动 IP 地址路由的路由表。这将启用客户端对 HA 对的访问。
如果 VPC 中的子网只有一个路由表(主路由表),则 Cloud Manager 会自动将浮动 IP 地址添加到该路由表中。如果您有多个路由表,则在启动 HA 对时选择正确的路由表非常重要。否则,某些客户端可能无法访问 Cloud Volumes ONTAP 。
例如,您可能有两个子网与不同的路由表相关联。如果选择路由表 A ,而不选择路由表 B ,则与路由表 A 关联的子网中的客户端可以访问 HA 对,但与路由表 B 关联的子网中的客户端无法访问。
有关路由表的详细信息,请参见 "AWS 文档:路由表"。
- 与 NetApp 管理工具的连接
-
要对多个 AZs 中的 HA 配置使用 NetApp 管理工具,您可以选择两种连接方式:
-
在其他 VPC 和中部署 NetApp 管理工具 "设置 AWS 传输网关"。通过网关,可以从 VPC 外部访问集群管理接口的浮动 IP 地址。
-
在与 NAS 客户端具有类似路由配置的同一 VPC 中部署 NetApp 管理工具。
-
HA 配置示例
下图显示了作为主动 - 被动配置运行的 AWS 中的最佳 HA 配置:
连接器的要求
设置您的网络,以便 Connector 能够管理公有云环境中的资源和流程。最重要的步骤是确保对各种端点的出站 Internet 访问。
|
|
如果您的网络使用代理服务器与 Internet 进行所有通信,则可以从设置页面指定代理服务器。请参见 "将 Connector 配置为使用代理服务器"。 |
连接到目标网络
连接器要求与要部署 Cloud Volumes ONTAP 的 VPC 和 VN 集建立网络连接。
例如,如果您在公司网络中安装了连接器,则必须设置与启动 Cloud Volumes ONTAP 的 VPC 或 vNet 的 VPN 连接。
出站 Internet 访问
连接器需要通过出站 Internet 访问来管理公有云环境中的资源和流程。在 AWS 中管理资源时, Connector 会联系以下端点:
| 端点 | 目的 |
|---|---|
AWS 服务( AmazonAWS.com ):
确切的端点取决于您部署 Cloud Volumes ONTAP 的区域。 "有关详细信息,请参阅 AWS 文档。" |
支持 Cloud Manager 在 AWS 中部署和管理 Cloud Volumes ONTAP 。 |
对 NetApp Cloud Central 的 API 请求。 |
|
提供对软件映像、清单和模板的访问。 |
|
用于下载 Cloud Manager 依赖关系。 |
|
用于下载 MySQL 。 |
|
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
支持 Cloud Manager 访问和下载清单、模板和 Cloud Volumes ONTAP 升级映像。 |
访问运行 Docker 的基础架构中容器组件的软件映像,并提供解决方案以实现与 Cloud Manager 的服务集成。 |
|
使 NetApp 能够从审计记录流化数据。 |
|
与 Cloud Manager 服务进行通信,其中包括 Cloud Central 帐户。 |
|
与 NetApp Cloud Central 进行通信以实现集中式用户身份验证。 |
|
https://w86yt021u5.execute-api.us-east-1.amazonaws.com/production/whitelist |
用于将您的 AWS 帐户 ID 添加到备份到 S3 的允许用户列表中。 |
https://support.netapp.com/aods/asupmessage https://support.netapp.com/asupprod/post/1.0/postAsup |
与 NetApp AutoSupport 通信。 |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
与 NetApp 沟通以获得系统许可和支持注册。 |
允许 Cloud Manager 生成许可证(例如,适用于 Cloud Volumes ONTAP 的 FlexCache 许可证) |
|
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
要将 Cloud Volumes ONTAP 系统连接到 Kubernetes 集群,需要此许可证。这些端点支持安装 NetApp Trident 。 |
各种第三方位置,例如: 第三方位置可能会发生变化。 |
在升级过程中、 Cloud Manager 会下载最新的软件包以满足第三方依赖性。 |
虽然您应该从 SaaS 用户界面执行几乎所有任务,但连接器上仍提供本地用户界面。运行 Web 浏览器的计算机必须连接到以下端点:
| 端点 | 目的 |
|---|---|
Connector 主机 |
要加载 Cloud Manager 控制台,必须从 Web 浏览器输入主机的 IP 地址。 根据您与云提供商的连接,您可以使用分配给主机的专用 IP 或公有 IP :
在任何情况下,您都应确保安全组规则仅允许从授权的 IP 或子网进行访问,从而确保网络访问的安全。 |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
您的 Web 浏览器连接到这些端点、以便通过 NetApp Cloud Central 进行集中式用户身份验证。 |
用于与 NetApp 云专家交流的产品内聊天。 |