本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

GCP 中的功能需求 Cloud Volumes ONTAP

設定您的 Google Cloud Platform 網路功能、 Cloud Volumes ONTAP 讓支援的系統能夠正常運作。這包括連接器和 Cloud Volumes ONTAP 整個過程的網路功能。

如果您想要部署 HA 配對、應該這樣做 "瞭解 HA 配對如何在 GCP 中運作"

需求 Cloud Volumes ONTAP

GCP 必須符合下列要求。

內部負載平衡器

Cloud Manager會自動建立四個Google Cloud內部負載平衡器(TCP/IP)、以管理Cloud Volumes ONTAP 傳入至該HA配對的流量。您不需要在結束時進行任何設定我們將此列為一項要求、只是告知您網路流量、並減輕任何安全顧慮。

其中一個負載平衡器用於叢集管理、一個用於儲存VM(SVM)管理、一個用於連接節點1的NAS流量、最後一個用於連接節點2的NAS流量。

每個負載平衡器的設定如下:

  • 一個共享的私有IP位址

  • 一次全域健全狀況檢查

    根據預設、狀況檢查所使用的連接埠為63001、63002和63003。

  • 一個區域TCP後端服務

  • 一個區域性的udp後端服務

  • 一個TCP轉送規則

  • 一個udp轉送規則

  • 全域存取已停用

    即使預設停用全域存取、仍支援在部署後啟用IT。我們停用此功能、因為跨區域流量的延遲時間會大幅增加。我們希望確保您不會因為意外的跨區域裝載而有負面體驗。啟用此選項是專為您的業務需求所打造。

一個或多個區域用於HA配對

您可以跨多個區域或單一區域部署HA組態、確保資料的高可用度。建立HA配對時、Cloud Manager會提示您選擇多個區域或單一區域。

  • 多個區域(建議)

    跨三個區域部署 HA 組態、可確保在區域內發生故障時、仍能持續提供資料。請注意、與使用單一區域相比、寫入效能略低、但卻是最低的。

  • 單一區域

    當部署在單一區域時、 Cloud Volumes ONTAP 使用分散配置原則的即可實現不受限制的 HA 組態。此原則可確保 HA 組態不會在區域內發生單點故障、而無需使用個別區域來實現故障隔離。

    此部署模式可降低成本、因為各區域之間不需支付任何資料出口費用。

四個虛擬私有雲端、適用於HA配對

HA組態需要四個虛擬私有雲端(VPC)。由於 GCP 要求每個網路介面位於獨立的 VPC 網路、因此需要四台 VPC 。

建立 HA 配對時、 Cloud Manager 會提示您選擇四個 VPC :

  • VPC-0 用於資料和節點的傳入連線

  • VPC-1 、 VPC-2 和 VPC-3 用於節點與 HA 中介器之間的內部通訊

HA配對的子網路

每個VPC都需要私有子網路。

如果您將Connector放在VPC-0中、則必須在子網路上啟用私有Google Access、才能存取API並啟用資料分層。

這些VPC中的子網路必須具有不同的CIDR範圍。它們不能有重疊的CIDR範圍。

單一節點系統適用的單一虛擬私有雲

單一節點系統需要一個 VPC 。

共享VPC

支援的對象包括 Google Cloud 共享 VPC 和獨立 VPC 。 Cloud Volumes ONTAP

對於單一節點系統、VPC可以是共享VPC或獨立VPC。

HA配對需要四個VPC。每個VPC都可以是共享的或獨立的。例如、VPC-0可以是共享VPC、VPC-1、VPC-2和VPC-3則可以是獨立式VPC。

共享 VPC 可讓您設定及集中管理多個專案中的虛擬網路。您可以在 _ 主機專案 _ 中設定共享 VPC 網路、並在 Cloud Volumes ONTAP _ 服務專案 _ 中部署連接器與支援虛擬機器執行個體。 "Google Cloud 文件:共享 VPC 總覽"

VPC中的封包鏡射

"封包鏡射" 必須在部署Cloud Volumes ONTAP 了下列項目的Google Cloud VPC中停用。啟用封包鏡射時、無法正常運作。Cloud Volumes ONTAP

輸出網際網路存取 Cloud Volumes ONTAP 功能

支援向 NetApp 支援部門傳送訊息、以便主動監控儲存設備的健全狀況。 Cloud Volumes ONTAP AutoSupport

路由和防火牆原則必須允許將 HTTP / HTTPS 流量傳送至下列端點、 Cloud Volumes ONTAP 才能讓下列端點傳送 AutoSupport 動態訊息:

  • https://support.netapp.com/aods/asupmessage

  • https://support.netapp.com/asupprod/post/1.0/postAsup

    提示 如果您使用 HA 配對、 HA 中介器不需要傳出網際網路存取。
私有IP位址

Cloud Manager會在Cloud Volumes ONTAP GCP中分配下列數量的私有IP位址給各個方面:

  • 單一節點:3或4個私有IP位址

    如果Cloud Volumes ONTAP 您使用API部署了Sf2並指定下列旗標、則可以跳過儲存VM(SVM)管理LIF的建立:

    「kipSvmManagementLif: true」

    LIF 是與實體連接埠相關聯的 IP 位址。諸如VMware等管理工具需要儲存VM(SVM)管理LIF SnapCenter 。

  • * HA配對*:14或15個私有IP位址

    • VPC-0的7或8個私有IP位址

      如果Cloud Volumes ONTAP 您使用API部署了Sf2並指定下列旗標、則可以跳過儲存VM(SVM)管理LIF的建立:

    「kipSvmManagementLif: true」

    • VPC-1的兩個私有IP位址

    • VPC-2的兩個私有IP位址

    • VPC-3的三個私有IP位址

防火牆規則

您不需要建立防火牆規則、因為 Cloud Manager 能為您做到這一點。如果您需要使用自己的防火牆、請參閱下列防火牆規則。

請注意、 HA 組態需要兩組防火牆規則:

  • VPC-0 中 HA 元件的一組規則。這些規則可讓您存取 Cloud Volumes ONTAP 資料以存取資料。 深入瞭解

  • VPC-1 、 VPC-2 和 VPC-3 中的另一組 HA 元件規則。這些規則可用於 HA 元件之間的傳入和傳出通訊。 深入瞭解

從 Cloud Volumes ONTAP 功能區連接到 Google Cloud Storage 、以利資料分層

如果您想要將冷資料分層至 Google Cloud Storage 資源桶、 Cloud Volumes ONTAP 則必須將駐留的子網路設定為私有 Google Access (如果您使用 HA 配對、則此子網路位於 VPC-0 )。如需相關指示、請參閱 "Google Cloud 文件:設定私有 Google Access"

如需在 Cloud Manager 中設定資料分層所需的其他步驟、請參閱 "將冷資料分層至低成本物件儲存設備"

連線 ONTAP 至其他網路中的不二系統

若要在 Cloud Volumes ONTAP GCP 中的某個系統與 ONTAP 其他網路中的某個系統之間複寫資料、您必須在 VPC 與另一個網路(例如您的公司網路)之間建立 VPN 連線。

如需相關指示、請參閱 "Google Cloud 文件:雲端 VPN 概述"

連接器需求

設定您的網路、讓 Connector 能夠管理公有雲環境中的資源和程序。最重要的步驟是確保從網際網路存取各種端點。

提示 如果您的網路使用 Proxy 伺服器來進行所有與網際網路的通訊、您可以從「設定」頁面指定 Proxy 伺服器。請參閱 "將 Connector 設定為使用 Proxy 伺服器"

連線至目標網路

連接器需要網路連線至您要部署 Cloud Volumes ONTAP 的 VPC 。如果您要部署HA配對、則Connector只需要連線至VPC-0。

如果您計畫在Cloud Volumes ONTAP 獨立於Connector的VPC上部署物件、則需要設定VPC網路對等。 "深入瞭解VPC網路對等關係"

傳出網際網路存取

連接器需要存取傳出網際網路、才能管理公有雲環境中的資源和程序。

端點 目的

https://support.netapp.com

以取得授權資訊、並將AutoSupport 資訊傳送給NetApp支援部門。

https://*.cloudmanager.cloud.netapp.com

在Cloud Manager中提供SaaS功能與服務。

https://cloudmanagerinfraprod.azurecr.io https://*.blob.core.windows.net

升級Connector及其Docker元件。

防火牆規則 Cloud Volumes ONTAP

Cloud Manager 會建立 GCP 防火牆規則、其中包含 Cloud Volumes ONTAP 運作成功所需的傳入和傳出規則。您可能需要參照連接埠進行測試、或是偏好使用自己的防火牆規則。

適用於此功能的防火牆規則 Cloud Volumes ONTAP 需要傳入和傳出規則。

如果您要部署 HA 組態、 Cloud Volumes ONTAP 以下是 VPC-0 中的防火牆規則。

傳入規則

對於HA配對、預先定義的防火牆原則中傳入流量的來源篩選器為0.00.0.0/0。

對於單一節點系統、您可以在部署期間、為預先定義的防火牆原則選擇來源篩選器:

  • *限選定VPC *:傳入流量的來源篩選器為VPC的子網路範圍、Cloud Volumes ONTAP 適用於該系統、以及連接器所在VPC的子網路範圍。這是建議的選項。

  • 所有VPC:傳入流量的來源篩選器為0.00.0.0/0 IP範圍。

如果您使用自己的防火牆原則、請確定您新增了所有需要與Cloud Volumes ONTAP 之通訊的網路、但同時也請務必新增這兩個位址範圍、以讓內部Google負載平衡器正常運作。這些位址分別為130.211.0.0/22和35.191.0/16。如需詳細資訊、請參閱 "Google Cloud文件:負載平衡器防火牆規則"

傳輸協定 連接埠 目的

所有 ICMP

全部

Ping 執行個體

HTTP

80

使用叢集管理 LIF 的 IP 位址、以 HTTP 存取 System Manager Web 主控台

HTTPS

443..

使用叢集管理 LIF 的 IP 位址、以 HTTPS 存取 System Manager 網路主控台

SSH

22

SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF

TCP

111.

遠端程序需要 NFS

TCP

139.

CIFS 的 NetBios 服務工作階段

TCP

161-162

簡單的網路管理傳輸協定

TCP

445

Microsoft SMB/CIFS over TCP 搭配 NetBios 架構

TCP

635

NFS 掛載

TCP

749

Kerberos

TCP

2049

NFS 伺服器精靈

TCP

3260

透過 iSCSI 資料 LIF 存取 iSCSI

TCP

4045

NFS 鎖定精靈

TCP

4046

NFS 的網路狀態監控

TCP

10000

使用 NDMP 備份

TCP

11104.

管理 SnapMirror 的叢集間通訊工作階段

TCP

11105.

使用叢集間生命體進行 SnapMirror 資料傳輸

TCP

63001-63050

負載平衡探針連接埠、判斷哪個節點正常(僅 HA 配對需要)

UDP

111.

遠端程序需要 NFS

UDP

161-162

簡單的網路管理傳輸協定

UDP

635

NFS 掛載

UDP

2049

NFS 伺服器精靈

UDP

4045

NFS 鎖定精靈

UDP

4046

NFS 的網路狀態監控

UDP

4049

NFS rquotad 傳輸協定

傳出規則

預先定義 Cloud Volumes ONTAP 的 Security Group for the 旅行團會開啟所有的傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。

基本傳出規則

適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。

傳輸協定 連接埠 目的

所有 ICMP

全部

所有傳出流量

所有 TCP

全部

所有傳出流量

所有的 udp

全部

所有傳出流量

進階傳出規則

如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟 Cloud Volumes ONTAP 那些由真人進行傳出通訊所需的連接埠。

附註 來源是 Cloud Volumes ONTAP 指在整個系統上的介面( IP 位址)。
服務 傳輸協定 連接埠 來源 目的地 目的

Active Directory

TCP

88

節點管理 LIF

Active Directory 樹系

Kerberos V 驗證

UDP

137.

節點管理 LIF

Active Directory 樹系

NetBios 名稱服務

UDP

138

節點管理 LIF

Active Directory 樹系

NetBios 資料報服務

TCP

139.

節點管理 LIF

Active Directory 樹系

NetBios 服務工作階段

TCP 與 UDP

389

節點管理 LIF

Active Directory 樹系

LDAP

TCP

445

節點管理 LIF

Active Directory 樹系

Microsoft SMB/CIFS over TCP 搭配 NetBios 架構

TCP

464.64

節點管理 LIF

Active Directory 樹系

Kerberos V 變更及設定密碼( Set_change )

UDP

464.64

節點管理 LIF

Active Directory 樹系

Kerberos 金鑰管理

TCP

749

節點管理 LIF

Active Directory 樹系

Kerberos V 變更與設定密碼( RPCSEC_GSS )

TCP

88

資料 LIF ( NFS 、 CIFS 、 iSCSI )

Active Directory 樹系

Kerberos V 驗證

UDP

137.

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

NetBios 名稱服務

UDP

138

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

NetBios 資料報服務

TCP

139.

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

NetBios 服務工作階段

TCP 與 UDP

389

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

LDAP

TCP

445

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

Microsoft SMB/CIFS over TCP 搭配 NetBios 架構

TCP

464.64

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

Kerberos V 變更及設定密碼( Set_change )

UDP

464.64

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

Kerberos 金鑰管理

TCP

749

資料 LIF ( NFS 、 CIFS )

Active Directory 樹系

Kerberos V 變更及設定密碼( RPCSEC_GSS )

AutoSupport

HTTPS

443..

節點管理 LIF

support.netapp.com

支援(預設為HTTPS)AutoSupport

HTTP

80

節點管理 LIF

support.netapp.com

僅當傳輸傳輸傳輸傳輸傳輸協定從HTTPS變更為HTTP時、AutoSupport

叢集

所有流量

所有流量

一個節點上的所有 LIF

其他節點上的所有 LIF

叢集間通訊( Cloud Volumes ONTAP 僅限不含 HA )

DHCP

UDP

68

節點管理 LIF

DHCP

第一次設定的 DHCP 用戶端

DHCPS

UDP

67

節點管理 LIF

DHCP

DHCP 伺服器

DNS

UDP

53.

節點管理 LIF 與資料 LIF ( NFS 、 CIFS )

DNS

DNS

NDMP

TCP

18600 – 18699

節點管理 LIF

目的地伺服器

NDMP 複本

SMTP

TCP

25

節點管理 LIF

郵件伺服器

可以使用 SMTP 警示 AutoSupport 來執行功能

SNMP

TCP

161.

節點管理 LIF

監控伺服器

透過 SNMP 設陷進行監控

UDP

161.

節點管理 LIF

監控伺服器

透過 SNMP 設陷進行監控

TCP

162%

節點管理 LIF

監控伺服器

透過 SNMP 設陷進行監控

UDP

162%

節點管理 LIF

監控伺服器

透過 SNMP 設陷進行監控

SnapMirror

TCP

11104.

叢集間 LIF

叢集間 LIF ONTAP

管理 SnapMirror 的叢集間通訊工作階段

TCP

11105.

叢集間 LIF

叢集間 LIF ONTAP

SnapMirror 資料傳輸

系統記錄

UDP

514

節點管理 LIF

系統記錄伺服器

系統記錄轉送訊息

VPC-1 、 VPC-2 和 VPC-3 的防火牆規則

在 GCP 中、 HA 組態會部署在四個 VPC 上。VPC-0 中 HA 組態所需的防火牆規則為 以上所列 Cloud Volumes ONTAP 的 for 列舉

同時、Cloud Manager針對VPC-1、VPC-2和VPC-3中的執行個體所建立的預先定義防火牆規則、可透過_all_傳輸協定和連接埠進行入侵通訊。這些規則可在HA節點之間進行通訊。

HA節點與HA中介器之間的通訊會透過連接埠3260(iSCSI)進行。

Connector 的防火牆規則

連接器的防火牆規則需要傳入和傳出規則。

傳入規則

傳輸協定 連接埠 目的

SSH

22

提供對 Connector 主機的 SSH 存取權

HTTP

80

提供從用戶端 Web 瀏覽器到本機使用者介面的 HTTP 存取

HTTPS

443..

提供 HTTPS 存取、從用戶端網頁瀏覽器存取本機使用者介面

傳出規則

連接器的預先定義防火牆規則會開啟所有傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。

基本傳出規則

Connector 的預先定義防火牆規則包括下列傳出規則。

傳輸協定 連接埠 目的

所有 TCP

全部

所有傳出流量

所有的 udp

全部

所有傳出流量

進階傳出規則

如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟連接器傳出通訊所需的連接埠。

附註 來源 IP 位址為 Connector 主機。
服務 傳輸協定 連接埠 目的地 目的

API 呼叫與 AutoSupport 功能

HTTPS

443..

傳出網際網路和 ONTAP 叢集管理 LIF

API會呼叫GCP和ONTAP VMware、Cloud Data Sense、勒索軟體服務、並將AutoSupport 此訊息傳送給NetApp

DNS

UDP

53.

DNS

用於 Cloud Manager 的 DNS 解析