本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

Azure 的網路需求 Cloud Volumes ONTAP

設定您的 Azure 網路、 Cloud Volumes ONTAP 使其能夠正常運作。這包括連接器和 Cloud Volumes ONTAP 整個過程的網路功能。

需求 Cloud Volumes ONTAP

Azure 必須符合下列網路需求。

傳出網際網路存取

支援向 NetApp 支援部門傳送訊息、以便主動監控儲存設備的健全狀況。 Cloud Volumes ONTAP AutoSupport

路由和防火牆原則必須允許將 HTTP / HTTPS 流量傳送至下列端點、 Cloud Volumes ONTAP 才能讓下列端點傳送 AutoSupport 動態訊息:

  • https://support.netapp.com/aods/asupmessage

  • https://support.netapp.com/asupprod/post/1.0/postAsup

IP位址

Cloud Manager 會將下列 IP 位址分配給 Cloud Volumes ONTAP Azure 中的功能:

  • 單一節點: 5 個 IP 位址

  • HA 配對: 16 個 IP 位址

請注意、 Cloud Manager 會在 HA 配對上建立 SVM 管理 LIF 、但不會在 Azure 中的單一節點系統上建立。

提示 LIF 是與實體連接埠相關聯的 IP 位址。諸如 VMware 的管理工具需要 SVM 管理 LIF SnapCenter 。

安全連線至Azure服務

根據預設、Cloud Manager會啟用Azure Private Link、以便Cloud Volumes ONTAP 在支援的過程中連接到各個層面和Azure儲存帳戶。

在大多數情況下、您完全不需要做任何事——由NetApp Cloud Manager為您管理Azure Private Link。但如果您使用Azure私有DNS、則必須編輯組態檔。您也應該瞭解Azure中的Connector位置需求。

您也可以視業務需求而停用「私有連結」連線。如果您停用連結、Cloud Manager會設定Cloud Volumes ONTAP 使用服務端點的功能。

連線至其他ONTAP 的系統

若要在Cloud Volumes ONTAP Azure中的某個系統與ONTAP 其他網路中的某些系統之間複寫資料、您必須在Azure vnet與其他網路(例如您的公司網路)之間建立VPN連線。

HA互連的連接埠

一個包含HA互連的「支援功能」配對、可讓每個節點持續檢查其合作夥伴是否正常運作、並鏡射另一個非揮發性記憶體的記錄資料。Cloud Volumes ONTAPHA互連使用TCP連接埠10006進行通訊。

依預設、HA互連生命體之間的通訊會開啟、而且此連接埠沒有安全性群組規則。但是、如果您在HA互連生命期之間建立防火牆、則必須確保TCP流量已開啟連接埠10006、如此HA配對才能正常運作。

Azure資源群組中只有一組HA配對

您必須使用_Dedicated資源群組來處理Cloud Volumes ONTAP 您在Azure中部署的每一組EHA。資源群組僅支援一個HA配對。

如果您嘗試在Cloud Volumes ONTAP Azure資源群組中部署第二個「功能組」配對、Cloud Manager會發生連線問題。

安全性群組

您不需要建立安全性群組、因為Cloud Manager能幫您建立安全性群組。如果您需要使用自己的安全性群組規則、請參閱下列安全性群組規則。

安全性群組規則

Cloud Manager 會建立 Azure 安全性群組、其中包括 Cloud Volumes ONTAP 需要順利運作的傳入和傳出規則。您可能需要參照連接埠進行測試、或是偏好使用自己的安全性群組。

適用於此功能的安全性群組 Cloud Volumes ONTAP 需要傳入和傳出規則。

單一節點系統的傳入規則

下列規則會允許流量、除非說明中註明會封鎖特定的傳入流量。

優先順序和名稱 連接埠與傳輸協定 來源與目的地 說明

1000 inbound SSH

22 TCP

任意

SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF

1001 inbound http

80 TCP

任意

使用叢集管理 LIF 的 IP 位址、以 HTTP 存取 System Manager Web 主控台

1002inbound (入站) _111_TCP

111 TCP

任意

遠端程序需要 NFS

1003 inbound _111_udp

111 udp

任意

遠端程序需要 NFS

1004 inbound (傳入) _139

139 TCP

任意

CIFS 的 NetBios 服務工作階段

1005inbound (傳入) _161-162 _tcp

161-162 TCP

任意

簡單的網路管理傳輸協定

1006 inbound (傳入) _161-162 _udp

161-162 udp

任意

簡單的網路管理傳輸協定

1007 inbound _443

443 TCP

任意

使用叢集管理 LIF 的 IP 位址、以 HTTPS 存取 System Manager 網路主控台

1008 inbound _445

445 TCP

任意

Microsoft SMB/CIFS over TCP 搭配 NetBios 架構

1009 inbound _6335_tcp

635 TCP

任意

NFS 掛載

1010 inbound _6335_udp

635 udp

任意

NFS 掛載

1011 inbound (傳入) _749

749 TCP

任意

Kerberos

1012 inbound _2049_tcp

2049 TCP

任意

NFS 伺服器精靈

1013 inbound _2049_udp

2049 udp

任意

NFS 伺服器精靈

1014 inbound (傳入) _3260

3260 TCP

任意

透過 iSCSI 資料 LIF 存取 iSCSI

1015 inbound _4045-4046_tcp

4045-4046 TCP

任意

NFS 鎖定精靈和網路狀態監控

1016 inbound _4045-4046_udp

4045-4046 udp

任意

NFS 鎖定精靈和網路狀態監控

1017 inbound _10000

10000 TCP

任意

使用 NDMP 備份

1018 inbound (傳入) _11104-11105

11104-11105 TCP

任意

SnapMirror 資料傳輸

3000 inbound 拒絕 _all_tcp

任何連接埠 TCP

任意

封鎖所有其他 TCP 傳入流量

3001 inbound 拒絕 _all_udp

任何連接埠 udp

任意

封鎖所有其他的 UDP 傳入流量

65000 AllowVnetInBound

任何連接埠任何傳輸協定

虛擬網路至虛擬網路

來自 vnet 的傳入流量

65001 AllowAzureLoad BalancerInBound

任何連接埠任何傳輸協定

將 AzureLoadBalancer 移至任何

Azure Standard 負載平衡器的資料流量

65500 DenyAllInBound

任何連接埠任何傳輸協定

任意

封鎖所有其他傳入流量

HA 系統的傳入規則

下列規則會允許流量、除非說明中註明會封鎖特定的傳入流量。

附註 HA 系統的傳入規則少於單一節點系統、因為傳入資料流量會流經 Azure Standard Load Balancer 。因此、來自負載平衡器的流量應開啟、如「 AllowAzureLoadBalancerInBound 」規則所示。
優先順序和名稱 連接埠與傳輸協定 來源與目的地 說明

100 inbound (傳入) _443

443 任何傳輸協定

任意

使用叢集管理 LIF 的 IP 位址、以 HTTPS 存取 System Manager 網路主控台

101 inbound (傳入) _111_TCP

111 任何傳輸協定

任意

遠端程序需要 NFS

102 inbound _2049_tcp

2049 任何傳輸協定

任意

NFS 伺服器精靈

111 inbound (傳入) _ssh

22 任何傳輸協定

任意

SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF

121inbound (傳入) _53

53 任何傳輸協定

任意

DNS 與 CIFS

65000 AllowVnetInBound

任何連接埠任何傳輸協定

虛擬網路至虛擬網路

來自 vnet 的傳入流量

65001 AllowAzureLoad BalancerInBound

任何連接埠任何傳輸協定

將 AzureLoadBalancer 移至任何

Azure Standard 負載平衡器的資料流量

65500 DenyAllInBound

任何連接埠任何傳輸協定

任意

封鎖所有其他傳入流量

傳出規則

預先定義 Cloud Volumes ONTAP 的 Security Group for the 旅行團會開啟所有的傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。

基本傳出規則

適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。

連接埠 傳輸協定 目的

全部

所有 TCP

所有傳出流量

全部

所有的 udp

所有傳出流量

進階傳出規則

如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟 Cloud Volumes ONTAP 那些由真人進行傳出通訊所需的連接埠。

附註 來源是 Cloud Volumes ONTAP 指在整個系統上的介面( IP 位址)。
服務 連接埠 傳輸協定 來源 目的地 目的

Active Directory

88

TCP

節點管理 LIF

Active Directory 樹系

Kerberos V 驗證

137.

UDP

節點管理 LIF

Active Directory 樹系

NetBios 名稱服務

138

UDP

節點管理 LIF

Active Directory 樹系

NetBios 資料報服務

139.

TCP

節點管理 LIF

Active Directory 樹系

NetBios 服務工作階段

389

TCP 與 UDP

節點管理 LIF

Active Directory 樹系

LDAP

445

TCP

節點管理 LIF

Active Directory 樹系

Microsoft SMB/CIFS over TCP 搭配 NetBios 架構

464.64

TCP

節點管理 LIF

Active Directory 樹系

Kerberos V 變更及設定密碼( Set_change )

464.64

UDP

節點管理 LIF

Active Directory 樹系

Kerberos 金鑰管理

749

TCP

節點管理 LIF

Active Directory 樹系

Kerberos V 變更與設定密碼( RPCSEC_GSS )

88

TCP

資料 LIF ( NFS 、 CIFS 、 iSCSI )

Active Directory 樹系

Kerberos V 驗證

137.

UDP

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

NetBios 名稱服務

138

UDP

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

NetBios 資料報服務

139.

TCP

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

NetBios 服務工作階段

389

TCP 與 UDP

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

LDAP

445

TCP

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

Microsoft SMB/CIFS over TCP 搭配 NetBios 架構

464.64

TCP

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

Kerberos V 變更及設定密碼( Set_change )

464.64

UDP

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

Kerberos 金鑰管理

749

TCP

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

Kerberos V 變更及設定密碼( RPCSEC_GSS )

AutoSupport

HTTPS

443..

節點管理 LIF

support.netapp.com

支援(預設為HTTPS)AutoSupport

HTTP

80

節點管理 LIF

support.netapp.com

僅當傳輸傳輸傳輸傳輸傳輸協定從HTTPS變更為HTTP時、AutoSupport

DHCP

68

UDP

節點管理 LIF

DHCP

第一次設定的 DHCP 用戶端

DHCPS

67

UDP

節點管理 LIF

DHCP

DHCP 伺服器

DNS

53.

UDP

節點管理 LIF 與資料 LIF ( NFS 、 CIFS )

DNS

DNS

NDMP

18600 – 18699

TCP

節點管理 LIF

目的地伺服器

NDMP 複本

SMTP

25

TCP

節點管理 LIF

郵件伺服器

可以使用 SMTP 警示 AutoSupport 來執行功能

SNMP

161.

TCP

節點管理 LIF

監控伺服器

透過 SNMP 設陷進行監控

161.

UDP

節點管理 LIF

監控伺服器

透過 SNMP 設陷進行監控

162%

TCP

節點管理 LIF

監控伺服器

透過 SNMP 設陷進行監控

162%

UDP

節點管理 LIF

監控伺服器

透過 SNMP 設陷進行監控

SnapMirror

11104.

TCP

叢集間 LIF

叢集間 LIF ONTAP

管理 SnapMirror 的叢集間通訊工作階段

11105.

TCP

叢集間 LIF

叢集間 LIF ONTAP

SnapMirror 資料傳輸

系統記錄

514

UDP

節點管理 LIF

系統記錄伺服器

系統記錄轉送訊息

連接器需求

設定您的網路、讓 Connector 能夠管理公有雲環境中的資源和程序。最重要的步驟是確保從網際網路存取各種端點。

提示 如果您的網路使用 Proxy 伺服器來進行所有與網際網路的通訊、您可以從「設定」頁面指定 Proxy 伺服器。請參閱 "將 Connector 設定為使用 Proxy 伺服器"

連線至目標網路

連接器需要網路連線至您要部署 Cloud Volumes ONTAP 的 VPC 和 VNets 。

例如、如果您在公司網路中安裝 Connector 、則必須設定 VPN 連線至 VPC 或 vnet 、以便在其中啟動 Cloud Volumes ONTAP 更新。

傳出網際網路存取

連接器需要存取傳出網際網路、才能管理公有雲環境中的資源和程序。

端點 目的

https://support.netapp.com

以取得授權資訊、並將AutoSupport 資訊傳送給NetApp支援部門。

https://*.cloudmanager.cloud.netapp.com

在Cloud Manager中提供SaaS功能與服務。

https://cloudmanagerinfraprod.azurecr.io https://*.blob.core.windows.net

升級Connector及其Docker元件。

安全性群組規則

Connector 的安全性群組需要傳入和傳出規則。

傳入規則

連接埠 傳輸協定 目的

22

SSH

提供對 Connector 主機的 SSH 存取權

80

HTTP

提供從用戶端 Web 瀏覽器到本機使用者介面的 HTTP 存取

443..

HTTPS

提供 HTTPS 存取、從用戶端網頁瀏覽器存取本機使用者介面

傳出規則

Connector 的預先定義安全性群組會開啟所有傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。

基本傳出規則

Connector 的預先定義安全性群組包括下列傳出規則。

連接埠 傳輸協定 目的

全部

所有 TCP

所有傳出流量

全部

所有的 udp

所有傳出流量

進階傳出規則

如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟連接器傳出通訊所需的連接埠。

附註 來源 IP 位址為 Connector 主機。
服務 連接埠 傳輸協定 目的地 目的

API 呼叫與 AutoSupport 功能

443..

HTTPS

傳出網際網路和 ONTAP 叢集管理 LIF

API將Azure和ONTAP VMware呼叫、Cloud Data Sense、勒索軟體服務、並將AutoSupport VMware訊息傳送給NetApp

DNS

53.

UDP

DNS

用於 Cloud Manager 的 DNS 解析