Google Cloud中的功能需求Cloud Volumes ONTAP
建議變更
PDF
設定您的Google Cloud網路功能、Cloud Volumes ONTAP 讓各個系統都能正常運作。
如果您想要部署 HA 配對、應該這樣做 "瞭解HA配對如何在Google Cloud中運作"。
需求 Cloud Volumes ONTAP
Google Cloud必須符合下列要求。
單一節點系統的特定需求
如果您要部署單一節點系統、請確定您的網路符合下列需求。
一個VPC
單一節點系統需要一個虛擬私有雲(VPC)。
私有IP位址
BlueXP會將3或4個私有IP位址分配給Google Cloud中的單一節點系統。
如果Cloud Volumes ONTAP 您使用API部署了Sf2並指定下列旗標、則可以跳過儲存VM(SVM)管理LIF的建立:
「kipSvmManagementLif: true」
|
LIF 是與實體連接埠相關聯的 IP 位址。諸如VMware等管理工具需要儲存VM(SVM)管理LIF SnapCenter 。 |
HA配對的特定需求
如果您要部署HA配對、請確定您的網路符合下列需求。
一個或多個區域
您可以跨多個區域或單一區域部署HA組態、確保資料的高可用度。建立HA配對時、BlueXP會提示您選擇多個區域或單一區域。
-
多個區域(建議)
跨三個區域部署 HA 組態、可確保在區域內發生故障時、仍能持續提供資料。請注意、與使用單一區域相比、寫入效能略低、但卻是最低的。
-
單一區域
當部署在單一區域時、 Cloud Volumes ONTAP 使用分散配置原則的即可實現不受限制的 HA 組態。此原則可確保 HA 組態不會在區域內發生單點故障、而無需使用個別區域來實現故障隔離。
此部署模式可降低成本、因為各區域之間不需支付任何資料出口費用。
四個虛擬私有雲端
HA組態需要四個虛擬私有雲端(VPC)。由於Google Cloud要求每個網路介面都位於獨立的VPC網路、因此需要四個VPC。
在建立HA配對時、BlueXP會提示您選擇四個VPC:
-
VPC-0 用於資料和節點的傳入連線
-
VPC-1 、 VPC-2 和 VPC-3 用於節點與 HA 中介器之間的內部通訊
子網路
每個VPC都需要私有子網路。
如果您將Connector放在VPC-0中、則必須在子網路上啟用私有Google Access、才能存取API並啟用資料分層。
這些VPC中的子網路必須具有不同的CIDR範圍。它們不能有重疊的CIDR範圍。
私有IP位址
在Cloud Volumes ONTAP Google Cloud中、BlueXP會自動分配所需數量的私有IP位址給功能。您必須確定網路有足夠的私有位址可供使用。
BlueXP分配Cloud Volumes ONTAP 給功能的生命量取決於您是部署單一節點系統或HA配對。LIF 是與實體連接埠相關聯的 IP 位址。諸如 VMware 的管理工具需要 SVM 管理 LIF SnapCenter 。
-
單一節點 BlueXP會將4個IP位址分配給單一節點系統:
-
節點管理 LIF
-
叢集管理LIF
-
iSCSI資料LIF
iSCSI LIF可透過iSCSI傳輸協定提供用戶端存取、並供系統用於其他重要的網路工作流程。這些生命是必要的、不應刪除。 -
NAS LIF
如果Cloud Volumes ONTAP 您使用API部署了Sf2並指定下列旗標、則可以跳過儲存VM(SVM)管理LIF的建立:
「kipSvmManagementLif: true」
-
-
* HA配對* BlueXP會將12-13個IP位址分配給HA配對:
-
2個節點管理生命里數(e0a)
-
1叢集管理LIF(e0a)
-
2個iSCSI LIF(e0a)
iSCSI LIF可透過iSCSI傳輸協定提供用戶端存取、並供系統用於其他重要的網路工作流程。這些生命是必要的、不應刪除。 -
1或2個NAS lifs(e0a)
-
2個叢集LIF(e0b)
-
2個HA互連IP位址(e0c)
-
2個RSMiSCSI IP位址(e0d)
如果Cloud Volumes ONTAP 您使用API部署了Sf2並指定下列旗標、則可以跳過儲存VM(SVM)管理LIF的建立:
「kipSvmManagementLif: true」
-
內部負載平衡器
BlueXP會自動建立四個Google Cloud內部負載平衡器(TCP/IP)、以管理Cloud Volumes ONTAP 傳入至該HA配對的流量。您不需要在結束時進行任何設定我們將此列為一項要求、只是告知您網路流量、並減輕任何安全顧慮。
其中一個負載平衡器用於叢集管理、一個用於儲存VM(SVM)管理、一個用於連接節點1的NAS流量、最後一個用於連接節點2的NAS流量。
每個負載平衡器的設定如下:
-
一個共享的私有IP位址
-
一次全域健全狀況檢查
根據預設、狀況檢查所使用的連接埠為63001、63002和63003。
-
一個區域TCP後端服務
-
一個區域性的udp後端服務
-
一個TCP轉送規則
-
一個udp轉送規則
-
全域存取已停用
即使預設停用全域存取、仍支援在部署後啟用IT。我們停用此功能、因為跨區域流量的延遲時間會大幅增加。我們希望確保您不會因為意外的跨區域裝載而有負面體驗。啟用此選項是專為您的業務需求所打造。
共享VPC
支援的對象包括 Google Cloud 共享 VPC 和獨立 VPC 。 Cloud Volumes ONTAP
對於單一節點系統、VPC可以是共享VPC或獨立VPC。
HA配對需要四個VPC。每個VPC都可以是共享的或獨立的。例如、VPC-0可以是共享VPC、VPC-1、VPC-2和VPC-3則可以是獨立式VPC。
共享 VPC 可讓您設定及集中管理多個專案中的虛擬網路。您可以在 _ 主機專案 _ 中設定共享 VPC 網路、並在 Cloud Volumes ONTAP _ 服務專案 _ 中部署連接器與支援虛擬機器執行個體。 "Google Cloud 文件:共享 VPC 總覽"。
VPC中的封包鏡射
"封包鏡射" 您必須在部署 Cloud Volumes ONTAP 的 Google Cloud 子網路中停用。
傳出網際網路存取
Cloud Volumes ONTAP 節點需要輸出網際網路存取、才能存取各種功能的外部端點。如果這些端點在安全性要求嚴苛的環境中遭到封鎖、 Cloud Volumes ONTAP 就無法正常運作。
Cloud Volumes ONTAP 端點
Cloud Volumes ONTAP 需要外送網際網路存取、才能聯絡各種端點、以進行日常作業。
下列端點是 Cloud Volumes ONTAP 特有的。Connector 也會與多個端點聯絡、以進行日常作業、以及 BlueXP 網路型主控台。請參閱 "檢視 Connector 聯絡的端點" 和 "準備使用 BlueXP 主控台的網路連線"。
| 端點 | 適用對象 | 目的 | BlueXP 部署模式 | 端點無法使用時的影響 |
|---|---|---|---|---|
https://netapp-cloud-account.auth0.com |
驗證 |
用於 BlueXP 驗證。 |
標準和受限模式。 |
使用者驗證失敗、下列服務仍無法使用:
|
https://keyvault-production-aks.vault.azure.net |
金鑰庫 |
用於從 Azure Key Vault 擷取用戶端秘密金鑰、以便與 S3 儲存區通訊、以處理中繼資料。Cloud Volumes ONTAP 服務會在內部使用此元件。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 服務無法使用。 |
https://cloudmanager.cloud.netapp.com/tenancy |
租賃 |
用於從 BlueXP 佔用擷取 Cloud Volumes ONTAP 資源、以授權資源和使用者。 |
標準和受限模式。 |
Cloud Volumes ONTAP 資源和使用者未經授權。 |
https://support 。 NetApp 。 com/aods/asupmessage https://support 。 NetApp 。 com/asupprod/post/1.0/postAsup |
AutoSupport |
用於將 AutoSupport 遙測資料傳送給 NetApp 支援。 |
標準和受限模式。 |
AutoSupport 資訊仍未傳送。 |
https://www.googleapis.com/compute/v1/projects/ https://cloudresourcemanager.googleapis.com/v1/projects https://www.googleapis.com/compute/beta https://storage.googleapis.com/storage/v1 https://www.googleapis.com/storage/v1 https://iam.googleapis.com/v1 https://cloudkms.googleapis.com/v1 https://www.googleapis.com/deploymentmanager/v2/projects https://compute.googleapis.com/compute/v1 |
Google Cloud (商業用途)。 |
與 Google Cloud 服務的通訊。 |
標準模式、限制模式和私有模式。 |
Cloud Volumes ONTAP 無法與 Google Cloud 服務通訊、以在 Google Cloud 上執行特定的 BlueXP 作業。 |
NetApp AutoSupport 的輸出網際網路存取
NetApp支援需要外傳網際網路存取功能、才能主動監控系統健全狀況、並將訊息傳送給NetApp技術支援部門。Cloud Volumes ONTAP AutoSupport
路由和防火牆原則必須允許將 HTTP / HTTPS 流量傳送至下列端點、 Cloud Volumes ONTAP 才能讓下列端點傳送 AutoSupport 動態訊息:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
如果傳出的網際網路連線無法傳送AutoSupport 功能性訊息、則BlueXP會自動將Cloud Volumes ONTAP 您的功能性更新系統設定為使用Connector做為Proxy伺服器。唯一的需求是確保連接器的防火牆允許連接埠3128上的傳入連線。部署Connector之後、您需要開啟此連接埠。
如果您定義了Cloud Volumes ONTAP 嚴格的出站規則以供支援、那麼您也必須確保Cloud Volumes ONTAP 透過連接埠3128建立的支援_出站_連線。
在您確認可以存取傳出網際網路之後、您可以測試AutoSupport 以確保能夠傳送訊息。如需相關指示、請參閱 "文件:設定檔ONTAP AutoSupport"。
|
如果您使用 HA 配對、 HA 中介器不需要傳出網際網路存取。 |
如果BlueXP通知您AutoSupport 無法傳送資訊、 "疑難排解AutoSupport 您的VMware組態"。
連線 ONTAP 至其他網路中的不二系統
若要在Cloud Volumes ONTAP Google Cloud中的某個支援中心系統與ONTAP 其他網路中的支援中心系統之間複寫資料、您必須在VPC與其他網路(例如公司網路)之間建立VPN連線。
如需相關指示、請參閱 "Google Cloud 文件:雲端 VPN 概述"。
防火牆規則
BlueXP會建立Google Cloud防火牆規則、其中包括Cloud Volumes ONTAP 需要順利運作的傳入和傳出規則。您可能想要參考連接埠以進行測試、或是想要使用自己的防火牆規則。
適用於此功能的防火牆規則 Cloud Volumes ONTAP 需要傳入和傳出規則。如果您要部署 HA 組態、 Cloud Volumes ONTAP 以下是 VPC-0 中的防火牆規則。
請注意、 HA 組態需要兩組防火牆規則:
-
VPC-0 中 HA 元件的一組規則。這些規則可讓您存取 Cloud Volumes ONTAP 資料以存取資料。
-
VPC-1 、 VPC-2 和 VPC-3 中的另一組 HA 元件規則。這些規則可用於 HA 元件之間的傳入和傳出通訊。 深入瞭解。
|
|
正在尋找Connector的相關資訊? "檢視Connector的防火牆規則" |
傳入規則
建立工作環境時、您可以在部署期間選擇預先定義防火牆原則的來源篩選器:
-
*限選定VPC *:傳入流量的來源篩選器為VPC的子網路範圍、Cloud Volumes ONTAP 適用於該系統、以及連接器所在VPC的子網路範圍。這是建議的選項。
-
所有VPC:傳入流量的來源篩選器為0.00.0.0/0 IP範圍。
如果您使用自己的防火牆原則、請確定您新增了所有需要與Cloud Volumes ONTAP 之通訊的網路、但同時也請務必新增這兩個位址範圍、以讓內部Google負載平衡器正常運作。這些位址分別為130.211.0.0/22和35.191.0/16。如需詳細資訊、請參閱 "Google Cloud文件:負載平衡器防火牆規則"。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 ICMP |
全部 |
Ping 執行個體 |
HTTP |
80 |
使用叢集管理 LIF 的 IP 位址、透過 HTTP 存取 ONTAP 系統管理員網頁主控台 |
HTTPS |
443.. |
使用叢集管理 LIF 的 IP 位址、與連接器和 HTTPS 連線、存取 ONTAP 系統管理員網頁主控台 |
SSH |
22 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
TCP |
111. |
遠端程序需要 NFS |
TCP |
139. |
CIFS 的 NetBios 服務工作階段 |
TCP |
161-162 |
簡單的網路管理傳輸協定 |
TCP |
445 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
TCP |
635 |
NFS 掛載 |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS 伺服器精靈 |
TCP |
3260 |
透過 iSCSI 資料 LIF 存取 iSCSI |
TCP |
4045 |
NFS 鎖定精靈 |
TCP |
4046 |
NFS 的網路狀態監控 |
TCP |
10000 |
使用 NDMP 備份 |
TCP |
11104. |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
使用叢集間生命體進行 SnapMirror 資料傳輸 |
TCP |
63001-63050 |
負載平衡探針連接埠、判斷哪個節點正常(僅 HA 配對需要) |
UDP |
111. |
遠端程序需要 NFS |
UDP |
161-162 |
簡單的網路管理傳輸協定 |
UDP |
635 |
NFS 掛載 |
UDP |
2049 |
NFS 伺服器精靈 |
UDP |
4045 |
NFS 鎖定精靈 |
UDP |
4046 |
NFS 的網路狀態監控 |
UDP |
4049 |
NFS rquotad 傳輸協定 |
傳出規則
預先定義 Cloud Volumes ONTAP 的 Security Group for the 旅行團會開啟所有的傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 ICMP |
全部 |
所有傳出流量 |
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟 Cloud Volumes ONTAP 那些由真人進行傳出通訊所需的連接埠。
|
|
來源是 Cloud Volumes ONTAP 指在整個系統上的介面( IP 位址)。 |
| 服務 | 傳輸協定 | 連接埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 驗證 |
UDP |
137. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
節點管理 LIF |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP 與 UDP |
389 |
節點管理 LIF |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
節點管理 LIF |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更與設定密碼( RPCSEC_GSS ) |
|
TCP |
88 |
資料 LIF ( NFS 、 CIFS 、 iSCSI ) |
Active Directory 樹系 |
Kerberos V 驗證 |
|
UDP |
137. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP 與 UDP |
389 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443.. |
節點管理 LIF |
support.netapp.com |
支援(預設為HTTPS)AutoSupport |
HTTP |
80 |
節點管理 LIF |
support.netapp.com |
僅當傳輸傳輸傳輸傳輸傳輸協定從HTTPS變更為HTTP時、AutoSupport |
|
TCP |
3128 |
節點管理 LIF |
連接器 |
如果無法使用傳出的網際網路連線、請透過Connector上的Proxy伺服器傳送AutoSupport 功能介紹訊息 |
|
叢集 |
所有流量 |
所有流量 |
一個節點上的所有 LIF |
其他節點上的所有 LIF |
叢集間通訊( Cloud Volumes ONTAP 僅限不含 HA ) |
組態備份 |
HTTP |
80 |
節點管理 LIF |
\http://Wese/occm/offboxconfig <connector-IP-address> |
將組態備份傳送至Connector。 "深入瞭解組態備份檔案"。 |
DHCP |
UDP |
68 |
節點管理 LIF |
DHCP |
第一次設定的 DHCP 用戶端 |
DHCPS |
UDP |
67 |
節點管理 LIF |
DHCP |
DHCP 伺服器 |
DNS |
UDP |
53. |
節點管理 LIF 與資料 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
節點管理 LIF |
目的地伺服器 |
NDMP 複本 |
SMTP |
TCP |
25 |
節點管理 LIF |
郵件伺服器 |
可以使用 SMTP 警示 AutoSupport 來執行功能 |
SNMP |
TCP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
UDP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
TCP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
UDP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
SnapMirror |
TCP |
11104. |
叢集間 LIF |
叢集間 LIF ONTAP |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
叢集間 LIF |
叢集間 LIF ONTAP |
SnapMirror 資料傳輸 |
|
系統記錄 |
UDP |
514 |
節點管理 LIF |
系統記錄伺服器 |
系統記錄轉送訊息 |
VPC-1、VPC-2和VPC-3的規則
在Google Cloud中、HA組態部署於四個VPC上。VPC-0 中 HA 組態所需的防火牆規則為 以上所列 Cloud Volumes ONTAP 的 for 列舉。
同時、BlueXP針對VPC-1、VPC-2和VPC-3中的執行個體所建立的預先定義防火牆規則、可透過_all_傳輸協定和連接埠進行入侵通訊。這些規則可在HA節點之間進行通訊。
HA節點與HA中介器之間的通訊會透過連接埠3260(iSCSI)進行。
|
|
若要為新的Google Cloud HA配對部署啟用高速寫入速度、VPC-1、VPC-2和VPC-3至少需要8、896位元組的最大傳輸單元(MTU)。如果您選擇將現有VPC-1、VPC-2和VPC-3升級為8、896位元組的MTU、則必須在組態程序期間使用這些VPC關閉所有現有的HA系統。 |
連接器需求
如果您尚未建立連接器、也應該檢閱連接器的網路需求。