发行说明
在 GCP 中部署和管理 Cloud Volumes ONTAP 的网络要求
建议更改
PDF
设置您的 Google 云平台网络,以便 Cloud Volumes ONTAP 系统可以正常运行。其中包括连接器和 Cloud Volumes ONTAP 的网络连接。
Cloud Volumes ONTAP 的要求
以下要求必须在 GCP 中满足。
- 虚拟私有云
-
Cloud Volumes ONTAP 和 Connector 在 Google Cloud 共享 VPC 以及非共享 VPC 中均受支持。
通过共享 VPC ,您可以跨多个项目配置和集中管理虚拟网络。您可以在 host project 中设置共享 VPC 网络,并在 service project 中部署 Connector 和 Cloud Volumes ONTAP 虚拟机实例。 "Google Cloud 文档:共享 VPC 概述"。
使用共享 VPC 时的唯一要求是提供 "计算网络用户角色" 连接到 Connector 服务帐户。Cloud Manager 需要这些权限才能查询主机项目中的防火墙, VPC 和子网。
- Cloud Volumes ONTAP 的出站 Internet 访问
-
Cloud Volumes ONTAP 要求出站 Internet 访问向 NetApp AutoSupport 发送消息、 NetApp AutoSupport 主动监控存储的运行状况。
路由和防火墙策略必须允许通过 HTTP/HTTPS 流量访问以下端点,以便 Cloud Volumes ONTAP 可以发送 AutoSupport 消息:
- IP 地址数
-
Cloud Manager 会在 GCP 中为 Cloud Volumes ONTAP 分配 5 个 IP 地址。
请注意, Cloud Manager 不会在 GCP 中为 Cloud Volumes ONTAP 创建 SVM 管理 LIF 。
LIF 是与物理端口关联的 IP 地址。SnapCenter 等管理工具需要 SVM 管理 LIF 。 - 防火墙规则
-
您无需创建防火墙规则,因为 Cloud Manager 可以为您创建。如果您需要使用自己的防火墙规则,请参见下面列出的防火墙规则。
- 从 Cloud Volumes ONTAP 连接到 Google 云存储以进行数据分层
-
如果要将冷数据分层到 Google 云存储分段,则必须为 Cloud Volumes ONTAP 所在的子网配置私有 Google 访问。有关说明,请参见 "Google Cloud 文档:配置私有 Google Access"。
有关在 Cloud Manager 中设置数据分层所需的其他步骤,请参见 "将冷数据分层到低成本对象存储"。
- 连接到其他网络中的 ONTAP 系统
-
要在 GCP 中的 Cloud Volumes ONTAP 系统与其他网络中的 ONTAP 系统之间复制数据,您必须在 VPC 与其他网络(例如公司网络)之间建立 VPN 连接。
有关说明,请参见 "Google Cloud 文档: Cloud VPN 概述"。
连接器的要求
设置您的网络,以便 Connector 能够管理公有云环境中的资源和流程。最重要的步骤是确保对各种端点的出站 Internet 访问。
|
|
如果您的网络使用代理服务器与 Internet 进行所有通信,则可以从设置页面指定代理服务器。请参见 "将 Connector 配置为使用代理服务器"。 |
连接到目标网络
连接器要求与要部署 Cloud Volumes ONTAP 的 VPC 和 VN 集建立网络连接。
例如,如果您在公司网络中安装了连接器,则必须设置与启动 Cloud Volumes ONTAP 的 VPC 或 vNet 的 VPN 连接。
出站 Internet 访问
连接器需要通过出站 Internet 访问来管理公有云环境中的资源和流程。在 GCP 中管理资源时, Connector 会联系以下端点:
| 端点 | 目的 |
|---|---|
使 Connector 能够联系 Google API 以在 GCP 中部署和管理 Cloud Volumes ONTAP 。 |
|
对 NetApp Cloud Central 的 API 请求。 |
|
提供对软件映像、清单和模板的访问。 |
|
用于下载 Cloud Manager 依赖关系。 |
|
用于下载 MySQL 。 |
|
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
使 Connector 能够访问和下载清单,模板和 Cloud Volumes ONTAP 升级映像。 |
访问运行 Docker 的基础架构中容器组件的软件映像,并提供解决方案以实现与 Cloud Manager 的服务集成。 |
|
使 NetApp 能够从审计记录流化数据。 |
|
与 Cloud Manager 服务进行通信,其中包括 Cloud Central 帐户。 |
|
与 NetApp Cloud Central 进行通信以实现集中式用户身份验证。 |
|
与 NetApp AutoSupport 通信。 |
|
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
与 NetApp 沟通以获得系统许可和支持注册。 |
允许 Cloud Manager 生成许可证(例如,适用于 Cloud Volumes ONTAP 的 FlexCache 许可证) |
|
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
要将 Cloud Volumes ONTAP 系统连接到 Kubernetes 集群,需要此许可证。这些端点支持安装 NetApp Trident 。 |
各种第三方位置,例如: 第三方位置可能会发生变化。 |
在升级过程中、 Cloud Manager 会下载最新的软件包以满足第三方依赖性。 |
虽然您应该从 SaaS 用户界面执行几乎所有任务,但连接器上仍提供本地用户界面。运行 Web 浏览器的计算机必须连接到以下端点:
| 端点 | 目的 |
|---|---|
Connector 主机 |
要加载 Cloud Manager 控制台,必须从 Web 浏览器输入主机的 IP 地址。 根据您与云提供商的连接,您可以使用分配给主机的专用 IP 或公有 IP :
在任何情况下,您都应确保安全组规则仅允许从授权的 IP 或子网进行访问,从而确保网络访问的安全。 |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
您的 Web 浏览器连接到这些端点、以便通过 NetApp Cloud Central 进行集中式用户身份验证。 |
用于与 NetApp 云专家交流的产品内聊天。 |
Cloud Volumes ONTAP 的防火墙规则
Cloud Manager 可创建包含 Cloud Manager 和 Cloud Volumes ONTAP 成功运行所需的入站和出站规则的 GCP 防火墙规则。您可能希望参考这些端口进行测试或使用自己的安全组。
Cloud Volumes ONTAP 的防火墙规则需要入站和出站规则。
入站规则
预定义安全组中入站规则的源代码为 0.0.0.0/0 。
| 协议 | Port | 目的 |
|---|---|---|
所有 ICMP |
全部 |
Ping 实例 |
HTTP |
80 |
使用集群管理 LIF 的 IP 地址对系统管理器 Web 控制台进行 HTTP 访问 |
HTTPS |
443. |
使用集群管理 LIF 的 IP 地址对 System Manager Web 控制台进行 HTTPS 访问 |
SSH |
22. |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
TCP |
111. |
远程过程调用 NFS |
TCP |
139. |
用于 CIFS 的 NetBIOS 服务会话 |
TCP |
161-162. |
简单网络管理协议 |
TCP |
445 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
TCP |
635 |
NFS 挂载 |
TCP |
749 |
Kerberos |
TCP |
2049. |
NFS 服务器守护进程 |
TCP |
3260 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
TCP |
4045 |
NFS 锁定守护进程 |
TCP |
4046 |
NFS 的网络状态监视器 |
TCP |
10000 |
使用 NDMP 备份 |
TCP |
11104. |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
使用集群间 LIF 进行 SnapMirror 数据传输 |
UDP |
111. |
远程过程调用 NFS |
UDP |
161-162. |
简单网络管理协议 |
UDP |
635 |
NFS 挂载 |
UDP |
2049. |
NFS 服务器守护进程 |
UDP |
4045 |
NFS 锁定守护进程 |
UDP |
4046 |
NFS 的网络状态监视器 |
UDP |
4049. |
NFS Rquotad 协议 |
出站规则
为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有 ICMP |
全部 |
所有出站流量 |
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。
|
源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。 |
| 服务 | 协议 | Port | 源 | 目标 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
UDP |
137. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
TCP |
88 |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
UDP |
137. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
集群 |
所有流量 |
所有流量 |
一个节点上的所有 LIF |
其它节点上的所有 LIF |
集群间通信(仅限 Cloud Volumes ONTAP HA ) |
TCP |
3000 |
节点管理 LIF |
HA 调解器 |
ZAPI 调用(仅适用于 Cloud Volumes ONTAP HA ) |
|
ICMP |
1. |
节点管理 LIF |
HA 调解器 |
保持活动状态(仅限 Cloud Volumes ONTAP HA ) |
|
DHCP |
UDP |
68 |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
UDP |
67 |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
UDP |
53. |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
TCP |
25. |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
TCP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
UDP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
TCP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
UDP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
TCP |
11104. |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
UDP |
514. |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
Connector 的防火墙规则
Connector 的防火墙规则需要入站和出站规则。
入站规则
预定义的防火墙规则中的入站规则源为 0.0.0.0/0 。
| 协议 | Port | 目的 |
|---|---|---|
SSH |
22. |
提供对 Connector 主机的 SSH 访问 |
HTTP |
80 |
提供从客户端 Web 浏览器到本地用户界面的 HTTP 访问 |
HTTPS |
443. |
提供从客户端 Web 浏览器到本地用户界面的 HTTPS 访问 |
出站规则
连接器的预定义防火墙规则会打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
Connector 的预定义防火墙规则包括以下出站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
如果您需要对出站流量设置严格的规则,则可以使用以下信息仅打开 Connector 进行出站通信所需的端口。
|
|
源 IP 地址是 Connector 主机。 |
| 服务 | 协议 | Port | 目标 | 目的 |
|---|---|---|---|---|
Active Directory |
TCP |
88 |
Active Directory 目录林 |
Kerberos V 身份验证 |
TCP |
139. |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP |
389. |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
TCP |
749 |
Active Directory 目录林 |
Active Directory Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
UDP |
137. |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
UDP |
464. |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
API 调用和 AutoSupport |
HTTPS |
443. |
出站 Internet 和 ONTAP 集群管理 LIF |
API 调用 GCP 和 ONTAP 、并将 AutoSupport 消息发送到 NetApp |
API 调用 |
TCP |
3000 |
ONTAP 集群管理 LIF |
API 调用 ONTAP |
DNS |
UDP |
53. |
DNS |
用于云管理器进行 DNS 解析 |