開始使用Cloud Volumes ONTAP AWS C2S環境中的功能
與標準AWS區域類似、您可以在中使用Cloud Manager "AWS商業雲端服務(C2S)" 部署Cloud Volumes ONTAP 的環境、為您的雲端儲存設備提供企業級功能。AWS C2S是美國專屬的封閉區域智慧社群;本頁的說明僅適用於AWS C2S區域使用者。
在C2S中支援的版本
-
支援的是支援的部分Cloud Volumes ONTAP
-
支援連接器3.9.4版
Connector是在Cloud Volumes ONTAP AWS中部署和管理功能所需的軟體。您將從安裝在Connector執行個體上的軟體登入Cloud Manager。C2S環境不支援適用於Cloud Manager的SaaS網站。
Cloud Manager最近重新命名為BlueXP、但我們仍將其稱為C2S中的Cloud Manager、因為Connector 3.9.4版所含的使用者介面仍稱為Cloud Manager。 |
C2S支援的功能
Cloud Manager在C2S環境中提供下列功能:
-
Cloud Volumes ONTAP
-
資料複寫
-
稽核時間表
對於這個功能、您可以建立單一節點系統或HA配對。Cloud Volumes ONTAP這兩種授權選項皆可供使用:隨用隨付及自帶授權(BYOL)。
在C2S中、也支援Cloud Volumes ONTAP 將資料分層至S3的功能。
限制
-
Cloud Manager不提供任何NetApp的雲端服務。
-
由於在C2S環境中無法存取網際網路、因此下列功能也無法使用:
-
從Cloud Manager自動升級軟體
-
NetApp AutoSupport
-
AWS Cloud Volumes ONTAP 有關資源的成本資訊
-
-
C2S環境不支援Freemium授權。
部署總覽
在C2S中開始使用功能包括幾個步驟。Cloud Volumes ONTAP
-
這包括設定網路、訂閱Cloud Volumes ONTAP 功能、設定權限、以及選擇性設定AWS KMS。
-
在開始使用Cloud Manager部署Cloud Volumes ONTAP 功能時、您必須先建立_Connector_。Connector可讓Cloud Manager管理公有雲環境中的資源和程序(包括Cloud Volumes ONTAP
您將從安裝在Connector執行個體上的軟體登入Cloud Manager。
以下說明每個步驟。
準備AWS環境
您的AWS環境必須滿足幾項需求。
設定您的網路
設定AWS網路、Cloud Volumes ONTAP 使其能夠正常運作。
-
選擇要在其中啟動Connector執行個體和Cloud Volumes ONTAP 例項的VPC和子網路。
-
確保您的 VPC 和子網路支援連接器與 Cloud Volumes ONTAP 支援之間的連線。
-
設定 S3 服務的 VPC 端點。
如果您想要將冷資料從 Cloud Volumes ONTAP 不願儲存到低成本物件儲存設備、則需要 VPC 端點。
訂閱Cloud Volumes ONTAP 此功能
需要訂閱Marketplace才能從Cloud Volumes ONTAP Cloud Manager部署功能。
-
前往AWS Intelligence Community Marketplace搜尋Cloud Volumes ONTAP 功能。
-
選取您要部署的產品項目。
-
檢閱條款、然後按一下*接受*。
-
如果您打算部署其他產品、請針對這些產品重複上述步驟。
您必須使用Cloud Manager來啟動Cloud Volumes ONTAP 執行個體。您不得Cloud Volumes ONTAP 從EC2主控台啟動支援的執行個體。
設定權限
設定IAM原則和角色、讓Connector和Cloud Volumes ONTAP 支援人員擁有在AWS商業雲端服務環境中執行動作所需的權限。
您需要IAM原則和IAM角色來執行下列各項:
-
Connector執行個體
-
執行個體Cloud Volumes ONTAP
-
不只是執行個體(如果您想部署HA配對)Cloud Volumes ONTAP
-
移至AWS IAM主控台、然後按一下* Policies *。
-
建立Connector執行個體的原則。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:ModifyInstanceAttribute", "ec2:DescribeRouteTables", "ec2:DescribeImages", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:DeleteVolume", "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", "ec2:GetConsoleOutput", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DeleteTags", "ec2:DescribeTags", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:ListInstanceProfiles", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", "s3:GetObject", "s3:ListBucket", "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", "kms:List*", "kms:Describe*", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociations", "ec2:DisassociateIamInstanceProfile", "ec2:DescribeInstanceAttribute", "ec2:CreatePlacementGroup", "ec2:DeletePlacementGroup" ], "Resource": "*" }, { "Sid": "fabricPoolPolicy", "Effect": "Allow", "Action": [ "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions" ], "Resource": [ "arn:aws-iso:s3:::fabric-pool*" ] }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Condition": { "StringLike": { "ec2:ResourceTag/WorkingEnvironment": "*" } }, "Resource": [ "arn:aws-iso:ec2:*:*:instance/*" ] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": [ "arn:aws-iso:ec2:*:*:volume/*" ] } ] }
-
建立Cloud Volumes ONTAP 一套適用於此功能的原則。
{ "Version": "2012-10-17", "Statement": [{ "Action": "s3:ListAllMyBuckets", "Resource": "arn:aws-iso:s3:::*", "Effect": "Allow" }, { "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject", "s3:DeleteObject" ], "Resource": "arn:aws-iso:s3:::fabric-pool-*", "Effect": "Allow" }] }
-
如果您計畫部署Cloud Volumes ONTAP 一個「叢集HA配對」、請為HA中介者建立原則。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:CreateRoute", "ec2:DeleteRoute", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeVpcs", "ec2:ReplaceRoute", "ec2:UnassignPrivateIpAddresses" ], "Resource": "*" } ] }
-
使用角色類型Amazon EC2建立IAM角色、並附加您在先前步驟中建立的原則。
與原則類似、您應該有一個IAM角色用於連接器、一個用於Cloud Volumes ONTAP 鏈結節點、另一個用於HA中介器(如果您要部署HA配對)。
啟動Connector執行個體時、您必須選取Connector IAM角色。
從Cloud Manager建立一套可運作的環境時、您可以選擇IAM角色做Cloud Volumes ONTAP 為功能性的部分、以及HA中介器Cloud Volumes ONTAP 。
設定 AWS KMS
如果您想搭配Cloud Volumes ONTAP 使用Amazon加密搭配使用、請確保AWS金鑰管理服務符合要求。
-
請確定您的帳戶或其他AWS帳戶中存在使用中的客戶主金鑰(CMK)。
CMK 可以是 AWS 託管的 CMK 、也可以是客戶託管的 CMK 。
-
如果CMK位於AWS帳戶中、而該帳戶與您打算部署Cloud Volumes ONTAP 的帳戶不同、則您需要取得該金鑰的ARN。
建立 Cloud Volumes ONTAP 一套系統時、您必須提供 ARN 給 Cloud Manager 。
-
將Connector執行個體的IAM角色新增至CMK的主要使用者清單。
這讓Cloud Manager有權將CMK搭配Cloud Volumes ONTAP 使用。
安裝Connector並設定Cloud Manager
您Cloud Volumes ONTAP 必須先從AWS Marketplace啟動Connector執行個體、然後登入並設定Cloud Manager、才能在AWS中啟動此類系統。
-
取得由憑證授權單位(CA)簽署的根憑證(採用隱私權增強型郵件(PEF)Base - 64編碼的X.509格式)。請參閱貴組織的原則與程序、以取得該憑證。
您必須在設定程序期間上傳憑證。Cloud Manager透過HTTPS將要求傳送至AWS時、會使用信任的憑證。
-
啟動Connector執行個體:
-
前往適用於Cloud Manager的AWS Intelligence Community Marketplace頁面。
-
在「自訂啟動」索引標籤上、選擇從EC2主控台啟動執行個體的選項。
-
依照提示設定執行個體。
設定執行個體時請注意下列事項:
-
建議使用T3.xLarge。
-
您必須選擇在準備AWS環境時所建立的IAM角色。
-
您應該保留預設的儲存選項。
-
Connector所需的連線方法如下:SSH、HTTP和HTTPS。
-
-
-
從連線至Connector執行個體的主機設定Cloud Manager:
-
開啟網頁瀏覽器並輸入 https://ipaddress 其中 ipaddress 是您安裝 Connector 的 Linux 主機的 IP 位址。
-
指定用於連線至AWS服務的Proxy伺服器。
-
上傳您在步驟1中取得的憑證。
-
完成設定精靈中的步驟以設定Cloud Manager。
-
系統詳細資料:輸入此Cloud Manager執行個體的名稱、並提供貴公司名稱。
-
建立使用者:建立您將用來管理Cloud Manager的管理使用者。
-
審查:檢閱詳細資料並核准終端使用者授權合約。
-
-
若要完成CA簽署憑證的安裝、請從EC2主控台重新啟動Connector執行個體。
-
-
重新啟動Connector之後、請使用您在設定精靈中建立的系統管理員使用者帳戶登入。
從Cloud Volumes ONTAP Cloud Manager啟動
您可以Cloud Volumes ONTAP 在Cloud Manager中建立新的工作環境、在AWS商業雲端服務環境中啟動執行個體。
-
如果您購買授權、則必須擁有從NetApp收到的授權檔案。授權檔案是Json格式的.NLF檔案。
-
需要金鑰配對、才能對HA中介器啟用金鑰型SSH驗證。
-
在「工作環境」頁面上、按一下「新增工作環境」。
-
在「Create(建立)」下、選取Cloud Volumes ONTAP 「HseHA」或Cloud Volumes ONTAP 「
-
完成精靈中的步驟以啟動Cloud Volumes ONTAP 整套系統。
完成精靈時請注意下列事項:
-
如果您想要在Cloud Volumes ONTAP 多個可用度區域中部署SeseHA、請依照下列方式部署組態、因為在發佈時AWS商業雲端服務環境中只有兩個AZs可用:
-
節點1:可用度區域A
-
節點2:可用度區域B
-
中介:可用度區域A或B
-
-
您應該保留預設選項、以使用產生的安全性群組。
預先定義的安全性群組包含Cloud Volumes ONTAP 一些規則、這些規則是讓整個公司順利運作所需的。如果您需要使用自己的安全性、請參閱下方的安全性群組一節。
-
您必須選擇在準備AWS環境時所建立的IAM角色。
-
基礎AWS磁碟類型適用於初始Cloud Volumes ONTAP 的流通量。
您可以為後續磁碟區選擇不同的磁碟類型。
-
AWS磁碟的效能與磁碟大小有關。
您應該選擇能提供所需持續效能的磁碟大小。如需EBS效能的詳細資訊、請參閱AWS文件。
-
磁碟大小是系統上所有磁碟的預設大小。
如果您稍後需要不同的大小、可以使用「進階配置」選項來建立使用特定大小磁碟的集合體。 -
儲存效率功能可改善儲存使用率、並減少所需的儲存總容量。
-
Cloud Manager 會啟動 Cloud Volumes ONTAP 此功能。您可以追蹤時間表的進度。
安全性群組規則
Cloud Manager會建立安全群組、其中包括Cloud Manager和Cloud Volumes ONTAP NetApp在雲端成功運作所需的傳入和傳出規則。您可能想要參照連接埠進行測試、或是想要使用自己的安全性群組。
Connector的安全性群組
Connector 的安全性群組需要傳入和傳出規則。
傳入規則
傳輸協定 | 連接埠 | 目的 |
---|---|---|
SSH |
22 |
提供對 Connector 主機的 SSH 存取權 |
HTTP |
80 |
提供從用戶端 Web 瀏覽器到本機使用者介面的 HTTP 存取 |
HTTPS |
443.. |
提供 HTTPS 存取、從用戶端網頁瀏覽器存取本機使用者介面 |
傳出規則
Connector 的預先定義安全性群組包括下列傳出規則。
傳輸協定 | 連接埠 | 目的 |
---|---|---|
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
安全性群組Cloud Volumes ONTAP
適用於不支援節點的安全群組Cloud Volumes ONTAP 需要傳入和傳出規則。
傳入規則
當您建立工作環境並選擇預先定義的安全性群組時、可以選擇允許下列其中一項的流量:
-
*僅限選定VPC *:傳入流量的來源是VPC的子網路範圍(適用於Cloud Volumes ONTAP 整個系統)、以及連接器所在VPC的子網路範圍。這是建議的選項。
-
所有VPC:傳入流量的來源為0.00.0.0/0 IP範圍。
傳輸協定 | 連接埠 | 目的 |
---|---|---|
所有 ICMP |
全部 |
Ping 執行個體 |
HTTP |
80 |
使用叢集管理 LIF 的 IP 位址、以 HTTP 存取 System Manager Web 主控台 |
HTTPS |
443.. |
使用叢集管理 LIF 的 IP 位址、以 HTTPS 存取 System Manager 網路主控台 |
SSH |
22 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
TCP |
111. |
遠端程序需要 NFS |
TCP |
139. |
CIFS 的 NetBios 服務工作階段 |
TCP |
161-162 |
簡單的網路管理傳輸協定 |
TCP |
445 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
TCP |
635 |
NFS 掛載 |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS 伺服器精靈 |
TCP |
3260 |
透過 iSCSI 資料 LIF 存取 iSCSI |
TCP |
4045 |
NFS 鎖定精靈 |
TCP |
4046 |
NFS 的網路狀態監控 |
TCP |
10000 |
使用 NDMP 備份 |
TCP |
11104. |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
使用叢集間生命體進行 SnapMirror 資料傳輸 |
UDP |
111. |
遠端程序需要 NFS |
UDP |
161-162 |
簡單的網路管理傳輸協定 |
UDP |
635 |
NFS 掛載 |
UDP |
2049 |
NFS 伺服器精靈 |
UDP |
4045 |
NFS 鎖定精靈 |
UDP |
4046 |
NFS 的網路狀態監控 |
UDP |
4049 |
NFS rquotad 傳輸協定 |
傳出規則
適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。
傳輸協定 | 連接埠 | 目的 |
---|---|---|
所有 ICMP |
全部 |
所有傳出流量 |
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
HA中介器的外部安全群組
針對此功能、預先定義 Cloud Volumes ONTAP 的外部安全群組包括下列傳入和傳出規則。
傳入規則
傳入規則的來源是來自連接器所在VPC的流量。
傳輸協定 | 連接埠 | 目的 |
---|---|---|
SSH |
22 |
SSH 連線至 HA 中介器 |
TCP |
3000 |
從 Connector 進行 RESTful API 存取 |
傳出規則
HA 中介器的預先定義安全性群組包括下列傳出規則。
傳輸協定 | 連接埠 | 目的 |
---|---|---|
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
HA中介器的內部安全群組
針對此功能、預先定義 Cloud Volumes ONTAP 的內部安全群組包含下列規則:Cloud Manager 一律會建立這個安全群組。您沒有使用自己的選項。
傳入規則
預先定義的安全性群組包含下列傳入規則。
傳輸協定 | 連接埠 | 目的 |
---|---|---|
所有流量 |
全部 |
HA 中介器與 HA 節點之間的通訊 |
傳出規則
預先定義的安全性群組包括下列傳出規則。
傳輸協定 | 連接埠 | 目的 |
---|---|---|
所有流量 |
全部 |
HA 中介器與 HA 節點之間的通訊 |