設定 Cloud Volumes ONTAP 的 Google Cloud 網路
建議變更
PDF
設定您的Google Cloud網路功能、Cloud Volumes ONTAP 讓各個系統都能正常運作。
如果您想要部署 HA 配對、應該這樣做 "瞭解HA配對如何在Google Cloud中運作"。
需求 Cloud Volumes ONTAP
Google Cloud必須符合下列要求。
單一節點系統的特定需求
如果您要部署單一節點系統、請確定您的網路符合下列需求。
一個VPC
單一節點系統需要一個虛擬私有雲(VPC)。
私有IP位址
對於 Google Cloud 中的單一節點系統, BlueXP 會將私有 IP 位址分配給下列項目:
-
節點
-
叢集
-
儲存 VM
-
資料 NAS LIF
-
資料 iSCSI LIF
如果Cloud Volumes ONTAP 您使用API部署了Sf2並指定下列旗標、則可以跳過儲存VM(SVM)管理LIF的建立:
「kipSvmManagementLif: true」
|
LIF 是與實體連接埠相關聯的 IP 位址。諸如VMware等管理工具需要儲存VM(SVM)管理LIF SnapCenter 。 |
HA配對的特定需求
如果您要部署HA配對、請確定您的網路符合下列需求。
一個或多個區域
您可以跨多個區域或單一區域部署HA組態、確保資料的高可用度。建立HA配對時、BlueXP會提示您選擇多個區域或單一區域。
-
多個區域(建議)
跨三個區域部署 HA 組態、可確保在區域內發生故障時、仍能持續提供資料。請注意、與使用單一區域相比、寫入效能略低、但卻是最低的。
-
單一區域
當部署在單一區域時、 Cloud Volumes ONTAP 使用分散配置原則的即可實現不受限制的 HA 組態。此原則可確保 HA 組態不會在區域內發生單點故障、而無需使用個別區域來實現故障隔離。
此部署模式可降低成本、因為各區域之間不需支付任何資料出口費用。
四個虛擬私有雲端
HA組態需要四個虛擬私有雲端(VPC)。由於Google Cloud要求每個網路介面都位於獨立的VPC網路、因此需要四個VPC。
在建立HA配對時、BlueXP會提示您選擇四個VPC:
-
VPC-0 用於資料和節點的傳入連線
-
VPC-1 、 VPC-2 和 VPC-3 用於節點與 HA 中介器之間的內部通訊
子網路
每個VPC都需要私有子網路。
如果您將Connector放在VPC-0中、則必須在子網路上啟用私有Google Access、才能存取API並啟用資料分層。
這些VPC中的子網路必須具有不同的CIDR範圍。它們不能有重疊的CIDR範圍。
私有IP位址
在Cloud Volumes ONTAP Google Cloud中、BlueXP會自動分配所需數量的私有IP位址給功能。您必須確定網路有足夠的私有位址可供使用。
BlueXP分配Cloud Volumes ONTAP 給功能的生命量取決於您是部署單一節點系統或HA配對。LIF 是與實體連接埠相關聯的 IP 位址。諸如 VMware 的管理工具需要 SVM 管理 LIF SnapCenter 。
-
單一節點 BlueXP會將4個IP位址分配給單一節點系統:
-
節點管理 LIF
-
叢集管理LIF
-
iSCSI資料LIF
iSCSI LIF可透過iSCSI傳輸協定提供用戶端存取、並供系統用於其他重要的網路工作流程。這些生命是必要的、不應刪除。 -
NAS LIF
如果Cloud Volumes ONTAP 您使用API部署了Sf2並指定下列旗標、則可以跳過儲存VM(SVM)管理LIF的建立:
「kipSvmManagementLif: true」
-
-
* HA配對* BlueXP會將12-13個IP位址分配給HA配對:
-
2個節點管理生命里數(e0a)
-
1叢集管理LIF(e0a)
-
2個iSCSI LIF(e0a)
iSCSI LIF可透過iSCSI傳輸協定提供用戶端存取、並供系統用於其他重要的網路工作流程。這些生命是必要的、不應刪除。 -
1或2個NAS lifs(e0a)
-
2個叢集LIF(e0b)
-
2個HA互連IP位址(e0c)
-
2個RSMiSCSI IP位址(e0d)
如果Cloud Volumes ONTAP 您使用API部署了Sf2並指定下列旗標、則可以跳過儲存VM(SVM)管理LIF的建立:
「kipSvmManagementLif: true」
-
內部負載平衡器
BlueXP會自動建立四個Google Cloud內部負載平衡器(TCP/IP)、以管理Cloud Volumes ONTAP 傳入至該HA配對的流量。您不需要在結束時進行任何設定我們將此列為一項要求、只是告知您網路流量、並減輕任何安全顧慮。
其中一個負載平衡器用於叢集管理、一個用於儲存VM(SVM)管理、一個用於連接節點1的NAS流量、最後一個用於連接節點2的NAS流量。
每個負載平衡器的設定如下:
-
一個共享的私有IP位址
-
一次全域健全狀況檢查
根據預設、狀況檢查所使用的連接埠為63001、63002和63003。
-
一個區域TCP後端服務
-
一個區域性的udp後端服務
-
一個TCP轉送規則
-
一個udp轉送規則
-
全域存取已停用
即使預設停用全域存取、仍支援在部署後啟用IT。我們停用此功能、因為跨區域流量的延遲時間會大幅增加。我們希望確保您不會因為意外的跨區域裝載而有負面體驗。啟用此選項是專為您的業務需求所打造。
共享VPC
支援的對象包括 Google Cloud 共享 VPC 和獨立 VPC 。 Cloud Volumes ONTAP
對於單一節點系統、VPC可以是共享VPC或獨立VPC。
HA配對需要四個VPC。每個VPC都可以是共享的或獨立的。例如、VPC-0可以是共享VPC、VPC-1、VPC-2和VPC-3則可以是獨立式VPC。
共享 VPC 可讓您設定及集中管理多個專案中的虛擬網路。您可以在 _ 主機專案 _ 中設定共享 VPC 網路、並在 Cloud Volumes ONTAP _ 服務專案 _ 中部署連接器與支援虛擬機器執行個體。 "Google Cloud 文件:共享 VPC 總覽"。
VPC中的封包鏡射
"封包鏡射" 您必須在部署 Cloud Volumes ONTAP 的 Google Cloud 子網路中停用。
傳出網際網路存取
Cloud Volumes ONTAP 系統需要輸出網際網路存取,才能存取各種功能的外部端點。如果這些端點在安全性要求嚴苛的環境中遭到封鎖、 Cloud Volumes ONTAP 就無法正常運作。
BlueXP Connector 也會連絡數個端點,以進行日常作業,以及 BlueXP 網路型主控台。有關 BlueXP 端點的信息,請參閱 "檢視 Connector 聯絡的端點"和 "準備使用 BlueXP 主控台的網路連線"。
Cloud Volumes ONTAP 端點
Cloud Volumes ONTAP 使用這些端點與各種服務進行通訊。
| 端點 | 適用對象 | 目的 | BlueXP 部署模式 | 端點無法使用時的影響 |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
驗證 |
用於 BlueXP 驗證。 |
標準和受限模式。 |
使用者驗證失敗、下列服務仍無法使用:
|
https://cloudmanager.cloud.netapp.com/tenancy |
租賃 |
用於從 BlueXP 佔用擷取 Cloud Volumes ONTAP 資源、以授權資源和使用者。 |
標準和受限模式。 |
Cloud Volumes ONTAP 資源和使用者未經授權。 |
https://support 。 NetApp 。 com/aods/asupmessage https://support 。 NetApp 。 com/asupprod/post/1.0/postAsup |
AutoSupport |
用於將 AutoSupport 遙測資料傳送給 NetApp 支援。 |
標準和受限模式。 |
AutoSupport 資訊仍未傳送。 |
https://www.googleapis.com/compute/v1/projects/ https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects https://compute.googleapis.com/compute/v1 |
Google Cloud (商業用途)。 |
與 Google Cloud 服務的通訊。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 無法與 Google Cloud 服務通訊,以在 Google Cloud 中執行特定的 BlueXP 作業。 |
連線 ONTAP 至其他網路中的不二系統
若要在Cloud Volumes ONTAP Google Cloud中的某個支援中心系統與ONTAP 其他網路中的支援中心系統之間複寫資料、您必須在VPC與其他網路(例如公司網路)之間建立VPN連線。
如需相關指示、請參閱 "Google Cloud 文件:雲端 VPN 概述"。
防火牆規則
BlueXP會建立Google Cloud防火牆規則、其中包括Cloud Volumes ONTAP 需要順利運作的傳入和傳出規則。您可能想要參考連接埠以進行測試、或是想要使用自己的防火牆規則。
適用於此功能的防火牆規則 Cloud Volumes ONTAP 需要傳入和傳出規則。如果您要部署 HA 組態、 Cloud Volumes ONTAP 以下是 VPC-0 中的防火牆規則。
請注意、 HA 組態需要兩組防火牆規則:
-
VPC-0 中 HA 元件的一組規則。這些規則可讓您存取 Cloud Volumes ONTAP 資料以存取資料。
-
VPC-1 、 VPC-2 和 VPC-3 中的另一組 HA 元件規則。這些規則可用於 HA 元件之間的傳入和傳出通訊。 深入瞭解。
|
正在尋找Connector的相關資訊? "檢視Connector的防火牆規則" |
傳入規則
建立工作環境時、您可以在部署期間選擇預先定義防火牆原則的來源篩選器:
-
*限選定VPC *:傳入流量的來源篩選器為VPC的子網路範圍、Cloud Volumes ONTAP 適用於該系統、以及連接器所在VPC的子網路範圍。這是建議的選項。
-
所有VPC:傳入流量的來源篩選器為0.00.0.0/0 IP範圍。
如果您使用自己的防火牆原則、請確定您新增了所有需要與Cloud Volumes ONTAP 之通訊的網路、但同時也請務必新增這兩個位址範圍、以讓內部Google負載平衡器正常運作。這些位址分別為130.211.0.0/22和35.191.0/16。如需詳細資訊、請參閱 "Google Cloud文件:負載平衡器防火牆規則"。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 ICMP |
全部 |
Ping 執行個體 |
HTTP |
80 |
使用叢集管理 LIF 的 IP 位址、透過 HTTP 存取 ONTAP 系統管理員網頁主控台 |
HTTPS |
443.. |
使用叢集管理 LIF 的 IP 位址、與連接器和 HTTPS 連線、存取 ONTAP 系統管理員網頁主控台 |
SSH |
22 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
TCP |
111. |
遠端程序需要 NFS |
TCP |
139. |
CIFS 的 NetBios 服務工作階段 |
TCP |
161-162 |
簡單的網路管理傳輸協定 |
TCP |
445 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
TCP |
635 |
NFS 掛載 |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS 伺服器精靈 |
TCP |
3260 |
透過 iSCSI 資料 LIF 存取 iSCSI |
TCP |
4045 |
NFS 鎖定精靈 |
TCP |
4046 |
NFS 的網路狀態監控 |
TCP |
10000 |
使用 NDMP 備份 |
TCP |
11104. |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
使用叢集間生命體進行 SnapMirror 資料傳輸 |
TCP |
63001-63050 |
負載平衡探針連接埠、判斷哪個節點正常(僅 HA 配對需要) |
UDP |
111. |
遠端程序需要 NFS |
UDP |
161-162 |
簡單的網路管理傳輸協定 |
UDP |
635 |
NFS 掛載 |
UDP |
2049 |
NFS 伺服器精靈 |
UDP |
4045 |
NFS 鎖定精靈 |
UDP |
4046 |
NFS 的網路狀態監控 |
UDP |
4049 |
NFS rquotad 傳輸協定 |
傳出規則
預先定義 Cloud Volumes ONTAP 的 Security Group for the 旅行團會開啟所有的傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 ICMP |
全部 |
所有傳出流量 |
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟 Cloud Volumes ONTAP 那些由真人進行傳出通訊所需的連接埠。Cloud Volumes ONTAP叢集使用下列連接埠來調節節點流量。
|
|
來源是 Cloud Volumes ONTAP 系統的介面(IP 位址)。 |
| 服務 | 傳輸協定 | 連接埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 驗證 |
UDP |
137. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
節點管理 LIF |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP 與 UDP |
389 |
節點管理 LIF |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
節點管理 LIF |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更與設定密碼( RPCSEC_GSS ) |
|
TCP |
88 |
資料 LIF ( NFS 、 CIFS 、 iSCSI ) |
Active Directory 樹系 |
Kerberos V 驗證 |
|
UDP |
137. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP 與 UDP |
389 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443.. |
節點管理 LIF |
support.netapp.com |
支援(預設為HTTPS)AutoSupport |
HTTP |
80 |
節點管理 LIF |
support.netapp.com |
僅當傳輸傳輸傳輸傳輸傳輸協定從HTTPS變更為HTTP時、AutoSupport |
|
TCP |
3128 |
節點管理 LIF |
連接器 |
如果無法使用傳出的網際網路連線、請透過Connector上的Proxy伺服器傳送AutoSupport 功能介紹訊息 |
|
組態備份 |
HTTP |
80 |
節點管理 LIF |
\http://Wese/occm/offboxconfig <connector-IP-address> |
將組態備份傳送至 Connector 。"本文檔 ONTAP" |
DHCP |
UDP |
68 |
節點管理 LIF |
DHCP |
第一次設定的 DHCP 用戶端 |
DHCPS |
UDP |
67 |
節點管理 LIF |
DHCP |
DHCP 伺服器 |
DNS |
UDP |
53. |
節點管理 LIF 與資料 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
節點管理 LIF |
目的地伺服器 |
NDMP 複本 |
SMTP |
TCP |
25 |
節點管理 LIF |
郵件伺服器 |
可以使用 SMTP 警示 AutoSupport 來執行功能 |
SNMP |
TCP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
UDP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
TCP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
UDP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
SnapMirror |
TCP |
11104. |
叢集間 LIF |
叢集間 LIF ONTAP |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
叢集間 LIF |
叢集間 LIF ONTAP |
SnapMirror 資料傳輸 |
|
系統記錄 |
UDP |
514 |
節點管理 LIF |
系統記錄伺服器 |
系統記錄轉送訊息 |
VPC-1、VPC-2和VPC-3的規則
在Google Cloud中、HA組態部署於四個VPC上。VPC-0 中 HA 組態所需的防火牆規則為 以上所列 Cloud Volumes ONTAP 的 for 列舉。
同時、BlueXP針對VPC-1、VPC-2和VPC-3中的執行個體所建立的預先定義防火牆規則、可透過_all_傳輸協定和連接埠進行入侵通訊。這些規則可在HA節點之間進行通訊。
HA節點與HA中介器之間的通訊會透過連接埠3260(iSCSI)進行。
|
|
若要為新的Google Cloud HA配對部署啟用高速寫入速度、VPC-1、VPC-2和VPC-3至少需要8、896位元組的最大傳輸單元(MTU)。如果您選擇將現有VPC-1、VPC-2和VPC-3升級為8、896位元組的MTU、則必須在組態程序期間使用這些VPC關閉所有現有的HA系統。 |
連接器需求
如果您尚未建立連接器、也應該檢閱連接器的網路需求。
支援連接器代理程式的網路配置
您可以使用為BlueXP Connector 設定的代理伺服器來啟用從Cloud Volumes ONTAP 的出站網路存取。 BlueXPBlueXP兩種類型的代理:
-
明確代理:來自Cloud Volumes ONTAP 的出站流量使用在 Connector 代理程式設定期間指定的代理伺服器的 HTTP 位址。 Connector管理員可能還配置了使用者憑證和根 CA 憑證以進行額外的驗證。如果明確代理程式有可用的根 CA 證書,請確保使用以下方式取得相同的憑證並將其上傳到您的Cloud Volumes ONTAP工作環境: "ONTAP CLI:安全性憑證安裝"命令。
-
透明代理:網路設定為自動透過 Connector 代理程式路由來自Cloud Volumes ONTAP 的出站流量。設定透明代理程式時,Connector 管理員只需提供用於從Cloud Volumes ONTAP連接的根 CA 證書,而無需提供代理伺服器的 HTTP 位址。請確保使用以下方式取得相同的根 CA 憑證並將其上傳到您的Cloud Volumes ONTAP工作環境: "ONTAP CLI:安全性憑證安裝"命令。
有關為BlueXP Connector 配置代理伺服器的信息,請參閱 "設定連接器以使用Proxy伺服器" 。
在 Connector 透明代理程式配置期間,Connector 管理員會為 Google Cloud 新增網路標記。您需要為Cloud Volumes ONTAP配置取得並手動新增相同的網路標記。此標記是代理伺服器正常運作所必需的。
-
在 Google Cloud 控制台中,找到您的Cloud Volumes ONTAP工作環境。
-
前往*詳細資料>網路>網路標籤*。
-
新增用於連接器的標籤並儲存配置。