集群对等的前提条件
建议更改
PDF
在设置集群对等之前,您应确认连接,端口, IP 地址,子网,防火墙, 并满足集群命名要求。
|
从ONTAP 9.6开始、默认情况下、集群对等为数据复制提供TLS 1.2 AES-256 GCM加密支持。要使集群对等正常工作、需要使用默认安全密码(PSK-AES256-GCM-SHA384)、即使已禁用加密也是如此。 从ONTAP 9.11.1开始、默认情况下可以使用DHE-PSK安全加密。 从ONTAP 9.15.1开始、默认情况下、集群对等为数据复制提供TLS 1.3加密支持。 |
连接要求
本地集群上的每个集群间 LIF 都必须能够与远程集群上的每个集群间 LIF 进行通信。
虽然不需要,但在同一子网中配置用于集群间 LIF 的 IP 地址通常会更简单。这些 IP 地址可以与数据 LIF 位于同一子网中,也可以位于不同子网中。每个集群中使用的子网必须满足以下要求:
-
子网必须属于包含用于集群间通信的端口的广播域。
-
子网必须具有足够的可用 IP 地址,以便为每个节点分配一个集群间 LIF 。
例如,在四节点集群中,用于集群间通信的子网必须具有四个可用 IP 地址。
每个节点都必须具有一个集群间 LIF ,并在集群间网络上具有一个 IP 地址。
集群间 LIF 可以具有 IPv4 地址或 IPv6 地址。
|
|
通过ONTAP、您可以选择允许在集群间上同时使用IPv4和IPv6协议、从而将对等网络从IPv4迁移到IPv6。在早期版本中,整个集群的所有集群间关系均为 IPv4 或 IPv6 。这意味着更改协议可能会造成中断。 |
端口要求
您可以使用专用端口进行集群间通信,也可以共享数据网络使用的端口。端口必须满足以下要求:
-
用于与给定远程集群通信的所有端口必须位于同一 IP 空间中。
您可以使用多个 IP 空间与多个集群建立对等关系。只有在 IP 空间中才需要成对的全网状连接。
-
用于集群间通信的广播域必须在每个节点上至少包含两个端口,以便集群间通信可以从一个端口故障转移到另一个端口。
添加到广播域的端口可以是物理网络端口, VLAN 或接口组( ifgrp )。
-
必须为所有端口布线。
-
所有端口都必须处于运行状况良好的状态。
-
端口的 MTU 设置必须一致。
防火墙要求
|
|
从ONTAP 9.10.1开始、防火墙策略已弃用、并完全替换为LIF服务策略。有关详细信息,请参见 "为 LIF 配置防火墙策略"。 |
防火墙和集群间防火墙策略必须支持以下协议:
-
双向ICMP流量
-
通过端口11104和11105双向启动到所有集群间Bifs的IP地址的TCP流量
-
集群间 LIF 之间的双向 HTTPS
尽管使用命令行界面设置集群对等时不需要 HTTPS ,但如果稍后使用 System Manager 配置数据保护,则需要 HTTPS 。
默认值 intercluster 防火墙策略允许通过HTTPS协议和所有IP地址(0.0.0.0/0)进行访问。如有必要,您可以修改或替换此策略。
集群要求
集群必须满足以下要求:
-
一个集群不能与超过 255 个集群建立对等关系。