為 Cloud Volumes ONTAP 設定 Azure 網路
建議變更
PDF
設定您的 Azure 網路、 Cloud Volumes ONTAP 使其能夠正常運作。
需求 Cloud Volumes ONTAP
Azure 必須符合下列網路需求。
傳出網際網路存取
Cloud Volumes ONTAP 系統需要輸出網際網路存取,才能存取各種功能的外部端點。如果這些端點在安全性要求嚴苛的環境中遭到封鎖、 Cloud Volumes ONTAP 就無法正常運作。
BlueXP Connector 也會連絡數個端點,以進行日常作業,以及 BlueXP 網路型主控台。有關 BlueXP 端點的信息,請參閱 "檢視 Connector 聯絡的端點"和 "準備使用 BlueXP 主控台的網路連線"。
Cloud Volumes ONTAP 端點
Cloud Volumes ONTAP 使用這些端點與各種服務進行通訊。
| 端點 | 適用對象 | 目的 | BlueXP 部署模式 | 如果無法取得、則會產生影響 |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
驗證 |
用於 BlueXP 驗證。 |
標準和受限模式。 |
使用者驗證失敗、下列服務仍無法使用:
|
金鑰庫 |
使用客戶管理金鑰( CMK )時,用於從 Azure Key Vault 擷取用戶端機密金鑰。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 服務無法使用。 |
|
https://cloudmanager.cloud.netapp.com/tenancy |
租賃 |
用於從 BlueXP 佔用擷取 Cloud Volumes ONTAP 資源、以授權資源和使用者。 |
標準和受限模式。 |
Cloud Volumes ONTAP 資源和使用者未經授權。 |
https://support 。 NetApp 。 com/aods/asupmessage https://support 。 NetApp 。 com/asupprod/post/1.0/postAsup |
AutoSupport |
用於將 AutoSupport 遙測資料傳送給 NetApp 支援。 |
標準和受限模式。 |
AutoSupport 資訊仍未傳送。 |
https://management.azure.com https://login.microsoftonline.com https://blob.core.windows.net https://core.windows.net |
公共區域 |
與 Azure 服務的通訊。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 無法與 Azure 服務通訊,以在 Azure 中執行特定的 BlueXP 作業。 |
https://management.chinacloudapi.cn https://login.chinacloudapi.cn https://blob.core.chinacloudapi.cn https://core.chinacloudapi.cn |
中國地區 |
與 Azure 服務的通訊。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 無法與 Azure 服務通訊,以在 Azure 中執行特定的 BlueXP 作業。 |
https://management.microsoftazure.de https://login.microsoftonline.de https://blob.core.cloudapi.de https://core.cloudapi.de |
德國地區 |
與 Azure 服務的通訊。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 無法與 Azure 服務通訊,以在 Azure 中執行特定的 BlueXP 作業。 |
https://management.usgovcloudapi.net https://login.microsoftonline.us https://blob.core.usgovcloudapi.net https://core.usgovcloudapi.net |
政府區域 |
與 Azure 服務的通訊。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 無法與 Azure 服務通訊,以在 Azure 中執行特定的 BlueXP 作業。 |
https://management.azure.microsoft.scloud https://login.microsoftonline.microsoft.scloud https://blob.core.microsoft.scloud https://core.microsoft.scloud |
政府 DoD 地區 |
與 Azure 服務的通訊。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 無法與 Azure 服務通訊,以在 Azure 中執行特定的 BlueXP 作業。 |
支援連接器代理程式的網路配置
您可以使用為BlueXP Connector 設定的代理伺服器來啟用從Cloud Volumes ONTAP 的出站網路存取。 BlueXPBlueXP兩種類型的代理:
-
明確代理:來自Cloud Volumes ONTAP 的出站流量使用在 Connector 代理程式設定期間指定的代理伺服器的 HTTP 位址。 Connector管理員可能還配置了使用者憑證和根 CA 憑證以進行額外的驗證。如果明確代理程式有可用的根 CA 證書,請確保使用以下方式取得相同的憑證並將其上傳到您的Cloud Volumes ONTAP工作環境: "ONTAP CLI:安全性憑證安裝"命令。
-
透明代理:網路設定為自動透過 Connector 代理程式路由來自Cloud Volumes ONTAP 的出站流量。設定透明代理程式時,Connector 管理員只需提供用於從Cloud Volumes ONTAP連接的根 CA 證書,而無需提供代理伺服器的 HTTP 位址。請確保使用以下方式取得相同的根 CA 憑證並將其上傳到您的Cloud Volumes ONTAP工作環境: "ONTAP CLI:安全性憑證安裝"命令。
有關為BlueXP Connector 配置代理伺服器的信息,請參閱 "設定連接器以使用Proxy伺服器" 。
IP位址
BlueXP會自動將所需數量的私有IP位址分配Cloud Volumes ONTAP 給Azure中的所有人。您必須確定網路有足夠的私有IP位址可用。
BlueXP分配Cloud Volumes ONTAP 給功能的生命量取決於您是部署單一節點系統或HA配對。LIF 是與實體連接埠相關聯的 IP 位址。諸如 VMware 的管理工具需要 SVM 管理 LIF SnapCenter 。
|
iSCSI LIF可透過iSCSI傳輸協定提供用戶端存取、並供系統用於其他重要的網路工作流程。這些生命是必要的、不應刪除。 |
單一節點系統的IP位址
BlueXP會將5或6個IP位址分配給單一節點系統:
-
叢集管理IP
-
節點管理IP
-
SnapMirror的叢集間IP
-
NFS/CIFS IP
-
iSCSI IP
iSCSI IP可透過iSCSI傳輸協定提供用戶端存取。系統也會將其用於其他重要的網路工作流程。此LIF為必填項目、不應刪除。 -
SVM管理(選用-預設為未設定)
HA配對的IP位址
在部署期間、BlueXP會將IP位址分配給4個NIC(每個節點)。
請注意、BlueXP會在HA配對上建立SVM管理LIF、但不會在Azure中的單一節點系統上建立。
網卡0
-
節點管理IP
-
叢集間IP
-
iSCSI IP
iSCSI IP可透過iSCSI傳輸協定提供用戶端存取。系統也會將其用於其他重要的網路工作流程。此LIF為必填項目、不應刪除。
網卡1
-
叢集網路IP
*網卡2 *
-
叢集互連IP(HA IC)
-
NIC 3 *
-
Pageblob NIC IP(磁碟存取)
|
|
NIC 3僅適用於使用網頁BLOB儲存設備的HA部署。 |
上述IP位址不會在容錯移轉事件上移轉。
此外、還設定4個前端IP(FIPS)在容錯移轉事件上進行移轉。這些前端IP位於負載平衡器中。
-
叢集管理IP
-
節點A資料IP(NFS/CIFS)
-
節點B資料IP(NFS/CIFS)
-
SVM管理IP
安全連線至Azure服務
根據預設、BlueXP會啟用Azure Private Link、以便Cloud Volumes ONTAP 在支援鏈接的情況下連接到支援鏈接的畫面和Azure網頁BLOB儲存帳戶。
在大多數情況下、您無需做任何事、因為BlueXP會為您管理Azure Private Link。但如果您使用Azure私有DNS、則必須編輯組態檔。您也應該瞭解Azure中的Connector位置需求。
您也可以視業務需求而停用「私有連結」連線。如果您停用連結、則BlueXP會設定Cloud Volumes ONTAP 使用服務端點的功能。
連線至其他ONTAP 的系統
若要在Cloud Volumes ONTAP Azure中的某個系統與ONTAP 其他網路中的某些系統之間複寫資料、您必須在Azure vnet與其他網路(例如您的公司網路)之間建立VPN連線。
如需相關指示、請參閱 "Microsoft Azure 文件:在 Azure 入口網站中建立站台對站台連線"。
HA互連的連接埠
一個包含HA互連的「支援功能」配對、可讓每個節點持續檢查其合作夥伴是否正常運作、並鏡射另一個非揮發性記憶體的記錄資料。Cloud Volumes ONTAPHA互連使用TCP連接埠10006進行通訊。
依預設、HA互連生命體之間的通訊會開啟、而且此連接埠沒有安全性群組規則。但是、如果您在HA互連生命期之間建立防火牆、則必須確保TCP流量已開啟連接埠10006、如此HA配對才能正常運作。
Azure資源群組中只有一組HA配對
您必須使用_Dedicated資源群組來處理Cloud Volumes ONTAP 您在Azure中部署的每一組EHA。資源群組僅支援一個HA配對。
如果您嘗試在Cloud Volumes ONTAP Azure資源群組中部署第二個「鏈接HA配對」、則BlueXP會遇到連線問題。
安全性群組規則
BlueXP 建立 Azure 安全性群組,其中包含 Cloud Volumes ONTAP 成功執行的入站和出站規則。 "檢視Connector的安全群組規則" 。
Cloud Volumes ONTAP 的 Azure 安全性群組需要開啟適當的連接埠以供節點之間進行內部通訊。 "瞭解 ONTAP 內部連接埠" 。
我們不建議修改預先定義的安全性群組或使用自訂安全群組。但是,如果必須這樣做,請注意,部署過程要求 Cloud Volumes ONTAP 系統在其自己的子網路內擁有完全存取權限。部署完成後,如果決定修改網路安全群組,請確保保持叢集連接埠和 HA 網路連接埠保持開放。這確保了 Cloud Volumes ONTAP 叢集內的無縫通訊(節點之間的任意通訊)。
單一節點系統的傳入規則
當您建立工作環境並選擇預先定義的安全性群組時、可以選擇允許下列其中一項的流量:
-
* 僅選取的 vnet * :傳入流量的來源是 Cloud Volumes ONTAP 系統的 vnet 子網路範圍,以及 Connector 所在的 vnet 子網路範圍。這是建議的選項。
-
* 所有 VNet* :傳入流量的來源為 0.0.0.0/0 IP 範圍。
-
* 停用 * :此選項會限制公用網路存取您的儲存帳戶,並停用 Cloud Volumes ONTAP 系統的資料分層。如果您的私有 IP 位址因安全法規和原則而不應暴露在同一個 vnet 內,則建議使用此選項。
| 優先順序和名稱 | 連接埠與傳輸協定 | 來源與目的地 | 說明 |
|---|---|---|---|
1000 inbound SSH |
22 TCP |
任意 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
1001 inbound http |
80 TCP |
任意 |
使用叢集管理 LIF 的 IP 位址、透過 HTTP 存取 ONTAP 系統管理員網頁主控台 |
1002inbound (入站) _111_TCP |
111 TCP |
任意 |
遠端程序需要 NFS |
1003 inbound _111_udp |
111 udp |
任意 |
遠端程序需要 NFS |
1004 inbound (傳入) _139 |
139 TCP |
任意 |
CIFS 的 NetBios 服務工作階段 |
1005inbound (傳入) _161-162 _tcp |
161-162 TCP |
任意 |
簡單的網路管理傳輸協定 |
1006 inbound (傳入) _161-162 _udp |
161-162 udp |
任意 |
簡單的網路管理傳輸協定 |
1007 inbound _443 |
443 TCP |
任意 |
使用叢集管理 LIF 的 IP 位址、與連接器和 HTTPS 連線、存取 ONTAP 系統管理員網頁主控台 |
1008 inbound _445 |
445 TCP |
任意 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
1009 inbound _6335_tcp |
635 TCP |
任意 |
NFS 掛載 |
1010 inbound _6335_udp |
635 udp |
任意 |
NFS 掛載 |
1011 inbound (傳入) _749 |
749 TCP |
任意 |
Kerberos |
1012 inbound _2049_tcp |
2049 TCP |
任意 |
NFS 伺服器精靈 |
1013 inbound _2049_udp |
2049 udp |
任意 |
NFS 伺服器精靈 |
1014 inbound (傳入) _3260 |
3260 TCP |
任意 |
透過 iSCSI 資料 LIF 存取 iSCSI |
1015 inbound _4045-4046_tcp |
4045-4046 TCP |
任意 |
NFS 鎖定精靈和網路狀態監控 |
1016 inbound _4045-4046_udp |
4045-4046 udp |
任意 |
NFS 鎖定精靈和網路狀態監控 |
1017 inbound _10000 |
10000 TCP |
任意 |
使用 NDMP 備份 |
1018 inbound (傳入) _11104-11105 |
11104-11105 TCP |
任意 |
SnapMirror 資料傳輸 |
3000 inbound 拒絕 _all_tcp |
任何連接埠 TCP |
任意 |
封鎖所有其他 TCP 傳入流量 |
3001 inbound 拒絕 _all_udp |
任何連接埠 udp |
任意 |
封鎖所有其他的 UDP 傳入流量 |
65000 AllowVnetInBound |
任何連接埠任何傳輸協定 |
虛擬網路至虛擬網路 |
來自 vnet 的傳入流量 |
65001 AllowAzureLoad BalancerInBound |
任何連接埠任何傳輸協定 |
將 AzureLoadBalancer 移至任何 |
Azure Standard 負載平衡器的資料流量 |
65500 DenyAllInBound |
任何連接埠任何傳輸協定 |
任意 |
封鎖所有其他傳入流量 |
HA 系統的傳入規則
當您建立工作環境並選擇預先定義的安全性群組時、可以選擇允許下列其中一項的流量:
-
* 僅選取的 vnet * :傳入流量的來源是 Cloud Volumes ONTAP 系統的 vnet 子網路範圍,以及 Connector 所在的 vnet 子網路範圍。這是建議的選項。
-
* 所有 VNet* :傳入流量的來源為 0.0.0.0/0 IP 範圍。
|
|
HA 系統的傳入規則少於單一節點系統、因為傳入資料流量會流經 Azure Standard Load Balancer 。因此、來自負載平衡器的流量應開啟、如「 AllowAzureLoadBalancerInBound 」規則所示。 |
-
* 停用 * :此選項會限制公用網路存取您的儲存帳戶,並停用 Cloud Volumes ONTAP 系統的資料分層。如果您的私有 IP 位址因安全法規和原則而不應暴露在同一個 vnet 內,則建議使用此選項。
| 優先順序和名稱 | 連接埠與傳輸協定 | 來源與目的地 | 說明 |
|---|---|---|---|
100 inbound (傳入) _443 |
443 任何傳輸協定 |
任意 |
使用叢集管理 LIF 的 IP 位址、與連接器和 HTTPS 連線、存取 ONTAP 系統管理員網頁主控台 |
101 inbound (傳入) _111_TCP |
111 任何傳輸協定 |
任意 |
遠端程序需要 NFS |
102 inbound _2049_tcp |
2049 任何傳輸協定 |
任意 |
NFS 伺服器精靈 |
111 inbound (傳入) _ssh |
22 任何傳輸協定 |
任意 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
121inbound (傳入) _53 |
53 任何傳輸協定 |
任意 |
DNS 與 CIFS |
65000 AllowVnetInBound |
任何連接埠任何傳輸協定 |
虛擬網路至虛擬網路 |
來自 vnet 的傳入流量 |
65001 AllowAzureLoad BalancerInBound |
任何連接埠任何傳輸協定 |
將 AzureLoadBalancer 移至任何 |
Azure Standard 負載平衡器的資料流量 |
65500 DenyAllInBound |
任何連接埠任何傳輸協定 |
任意 |
封鎖所有其他傳入流量 |
傳出規則
預先定義 Cloud Volumes ONTAP 的 Security Group for the 旅行團會開啟所有的傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。
| 連接埠 | 傳輸協定 | 目的 |
|---|---|---|
全部 |
所有 TCP |
所有傳出流量 |
全部 |
所有的 udp |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟 Cloud Volumes ONTAP 那些由真人進行傳出通訊所需的連接埠。
|
|
來源是 Cloud Volumes ONTAP 指在整個系統上的介面( IP 位址)。 |
| 服務 | 連接埠 | 傳輸協定 | 來源 | 目的地 | 目的 |
|---|---|---|---|---|---|
Active Directory |
88 |
TCP |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 驗證 |
137. |
UDP |
節點管理 LIF |
Active Directory 樹系 |
NetBios 名稱服務 |
|
138 |
UDP |
節點管理 LIF |
Active Directory 樹系 |
NetBios 資料報服務 |
|
139. |
TCP |
節點管理 LIF |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
389 |
TCP 與 UDP |
節點管理 LIF |
Active Directory 樹系 |
LDAP |
|
445 |
TCP |
節點管理 LIF |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
464.64 |
TCP |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
464.64 |
UDP |
節點管理 LIF |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
749 |
TCP |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更與設定密碼( RPCSEC_GSS ) |
|
88 |
TCP |
資料 LIF ( NFS 、 CIFS 、 iSCSI ) |
Active Directory 樹系 |
Kerberos V 驗證 |
|
137. |
UDP |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 名稱服務 |
|
138 |
UDP |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 資料報服務 |
|
139. |
TCP |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
389 |
TCP 與 UDP |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
LDAP |
|
445 |
TCP |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
464.64 |
TCP |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
464.64 |
UDP |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
749 |
TCP |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443.. |
節點管理 LIF |
support.netapp.com |
支援(預設為HTTPS)AutoSupport |
HTTP |
80 |
節點管理 LIF |
support.netapp.com |
僅當傳輸傳輸傳輸傳輸傳輸協定從HTTPS變更為HTTP時、AutoSupport |
|
TCP |
3128 |
節點管理 LIF |
連接器 |
如果無法使用傳出的網際網路連線、請透過Connector上的Proxy伺服器傳送AutoSupport 功能介紹訊息 |
|
組態備份 |
HTTP |
80 |
節點管理 LIF |
\http://Wese/occm/offboxconfig <connector-IP-address> |
將組態備份傳送至Connector。"本文檔 ONTAP"。 |
DHCP |
68 |
UDP |
節點管理 LIF |
DHCP |
第一次設定的 DHCP 用戶端 |
DHCPS |
67 |
UDP |
節點管理 LIF |
DHCP |
DHCP 伺服器 |
DNS |
53. |
UDP |
節點管理 LIF 與資料 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
18600 – 18699 |
TCP |
節點管理 LIF |
目的地伺服器 |
NDMP 複本 |
SMTP |
25 |
TCP |
節點管理 LIF |
郵件伺服器 |
可以使用 SMTP 警示 AutoSupport 來執行功能 |
SNMP |
161. |
TCP |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
161. |
UDP |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
162% |
TCP |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
162% |
UDP |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
SnapMirror |
11104. |
TCP |
叢集間 LIF |
叢集間 LIF ONTAP |
管理 SnapMirror 的叢集間通訊工作階段 |
11105. |
TCP |
叢集間 LIF |
叢集間 LIF ONTAP |
SnapMirror 資料傳輸 |
|
系統記錄 |
514 |
UDP |
節點管理 LIF |
系統記錄伺服器 |
系統記錄轉送訊息 |
連接器需求
如果您尚未建立連接器、也應該檢閱連接器的網路需求。