在 AWS 共享子网中部署Cloud Volumes ONTAP HA 对
建议更改
PDF
从 9.11.1 版本开始,AWS 通过 VPC 共享支持Cloud Volumes ONTAP HA 对。 VPC 共享使您的组织能够与其他 AWS 账户共享子网。要使用此配置,您必须设置您的 AWS 环境,然后使用 API 部署 HA 对。
和 "VPC共享", Cloud Volumes ONTAP HA 配置分布在两个帐户中:
-
VPC 所有者账户,拥有网络(VPC、子网、路由表和Cloud Volumes ONTAP安全组)
-
参与者账户,其中 EC2 实例部署在共享子网中(这包括两个 HA 节点和中介者)
对于跨多个可用区部署的Cloud Volumes ONTAP HA 配置,HA 中介需要特定权限才能写入 VPC 所有者帐户中的路由表。您需要通过设置调解员可以承担的 IAM 角色来提供这些权限。
下图显示了此部署所涉及的组件:
按照以下步骤所述,您需要与参与者账户共享子网,然后在 VPC 所有者账户中创建 IAM 角色和安全组。
当您创建Cloud Volumes ONTAP系统时, NetApp控制台会自动创建 IAM 角色并将其附加到中介器。此角色承担您在 VPC 所有者账户中创建的 IAM 角色,以便对与 HA 对关联的路由表进行更改。
-
与参与者账户共享 VPC 所有者账户中的子网。
此步骤是在共享子网中部署 HA 对所必需的。
-
在 VPC 所有者账户中,为Cloud Volumes ONTAP创建一个安全组。
"请参阅Cloud Volumes ONTAP的安全组规则" 。请注意,您不需要为 HA 中介创建安全组。控制台会为您完成该操作。
-
在 VPC 所有者账户中,创建一个包含以下权限的 IAM 角色:
Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses" -
使用 API 创建新的Cloud Volumes ONTAP系统。
请注意,您必须指定以下字段:
-
“安全组 ID”
“securityGroupId”字段应指定您在 VPC 所有者帐户中创建的安全组(请参阅上面的步骤 2)。
-
“haParams”对象中的“assumeRoleArn”
“assumeRoleArn”字段应包括您在 VPC 所有者账户中创建的 IAM 角色的 ARN(请参阅上面的步骤 3)。
例如:
"haParams": { "assumeRoleArn": "arn:aws:iam::642991768967:role/mediator_role_assume_fromdev" } -