本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

開始使用Cloud Volumes ONTAP AWS C2S環境中的功能

與標準AWS區域類似、您可以在中使用Cloud Manager "AWS商業雲端服務(C2S)" 部署Cloud Volumes ONTAP 的環境、為您的雲端儲存設備提供企業級功能。AWS C2S是美國專屬的封閉區域智慧社群;本頁的說明僅適用於AWS C2S區域使用者。

C2S支援的功能

Cloud Manager在C2S環境中提供下列功能:

  • Cloud Volumes ONTAP

  • 資料複寫

  • 稽核時間表

對於這個功能、您可以建立單一節點系統或HA配對。Cloud Volumes ONTAP這兩種授權選項皆可供使用:隨用隨付及自帶授權(BYOL)。

在C2S中、也支援Cloud Volumes ONTAP 將資料分層至S3的功能。

限制

  • Cloud Manager不提供任何NetApp的雲端服務。

  • 由於在C2S環境中無法存取網際網路、因此下列功能也無法使用:

    • 與NetApp Cloud Central整合

    • 從Cloud Manager自動升級軟體

    • NetApp AutoSupport

    • AWS Cloud Volumes ONTAP 有關資源的成本資訊

  • C2S環境不支援Freemium授權。

部署總覽

在C2S中開始使用功能包括幾個步驟。Cloud Volumes ONTAP

  1. 準備AWS環境。

    這包括設定網路、訂閱Cloud Volumes ONTAP 功能、設定權限、以及選擇性設定AWS KMS。

  2. 安裝Connector並設定Cloud Manager。

    在開始使用Cloud Manager部署Cloud Volumes ONTAP 功能時、您必須先建立_Connector_。Connector可讓Cloud Manager管理公有雲環境中的資源和程序(包括Cloud Volumes ONTAP

    您將從安裝在Connector執行個體上的軟體登入Cloud Manager。

  3. 從Cloud Volumes ONTAP Cloud Manager啟動

以下說明每個步驟。

準備AWS環境

您的AWS環境必須滿足幾項需求。

設定您的網路

設定AWS網路、Cloud Volumes ONTAP 使其能夠正常運作。

步驟
  1. 選擇要在其中啟動Connector執行個體和Cloud Volumes ONTAP 例項的VPC和子網路。

  2. 確保您的 VPC 和子網路支援連接器與 Cloud Volumes ONTAP 支援之間的連線。

  3. 設定 S3 服務的 VPC 端點。

    如果您想要將冷資料從 Cloud Volumes ONTAP 不願儲存到低成本物件儲存設備、則需要 VPC 端點。

訂閱Cloud Volumes ONTAP 此功能

需要訂閱Marketplace才能從Cloud Volumes ONTAP Cloud Manager部署功能。

步驟
  1. 前往AWS Intelligence Community Marketplace搜尋Cloud Volumes ONTAP 功能。

  2. 選取您要部署的產品項目。

  3. 檢閱條款、然後按一下*接受*。

  4. 如果您打算部署其他產品、請針對這些產品重複上述步驟。

    您必須使用Cloud Manager來啟動Cloud Volumes ONTAP 執行個體。您不得Cloud Volumes ONTAP 從EC2主控台啟動支援的執行個體。

設定權限

設定IAM原則和角色、為Cloud Manager和Cloud Volumes ONTAP 功能提供他們在AWS商業雲端服務環境中執行行動所需的權限。

您需要IAM原則和IAM角色來執行下列各項:

  • Connector執行個體

  • 執行個體Cloud Volumes ONTAP

  • 不只是執行個體(如果您想部署HA配對)Cloud Volumes ONTAP

步驟
  1. 移至AWS IAM主控台、然後按一下* Policies *。

  2. 建立Connector執行個體的原則。

    {
        "Version": "2012-10-17",
        "Statement": [{
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeInstances",
                    "ec2:DescribeInstanceStatus",
                    "ec2:RunInstances",
                    "ec2:ModifyInstanceAttribute",
                    "ec2:DescribeRouteTables",
                    "ec2:DescribeImages",
                    "ec2:CreateTags",
                    "ec2:CreateVolume",
                    "ec2:DescribeVolumes",
                    "ec2:ModifyVolumeAttribute",
                    "ec2:DeleteVolume",
                    "ec2:CreateSecurityGroup",
                    "ec2:DeleteSecurityGroup",
                    "ec2:DescribeSecurityGroups",
                    "ec2:RevokeSecurityGroupEgress",
                    "ec2:RevokeSecurityGroupIngress",
                    "ec2:AuthorizeSecurityGroupEgress",
                    "ec2:AuthorizeSecurityGroupIngress",
                    "ec2:CreateNetworkInterface",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeVpcs",
                    "ec2:DescribeDhcpOptions",
                    "ec2:CreateSnapshot",
                    "ec2:DeleteSnapshot",
                    "ec2:DescribeSnapshots",
                    "ec2:GetConsoleOutput",
                    "ec2:DescribeKeyPairs",
                    "ec2:DescribeRegions",
                    "ec2:DeleteTags",
                    "ec2:DescribeTags",
                    "cloudformation:CreateStack",
                    "cloudformation:DeleteStack",
                    "cloudformation:DescribeStacks",
                    "cloudformation:DescribeStackEvents",
                    "cloudformation:ValidateTemplate",
                    "iam:PassRole",
                    "iam:CreateRole",
                    "iam:DeleteRole",
                    "iam:PutRolePolicy",
                    "iam:ListInstanceProfiles",
                    "iam:CreateInstanceProfile",
                    "iam:DeleteRolePolicy",
                    "iam:AddRoleToInstanceProfile",
                    "iam:RemoveRoleFromInstanceProfile",
                    "iam:DeleteInstanceProfile",
                    "s3:GetObject",
                    "s3:ListBucket",
                    "s3:GetBucketTagging",
                    "s3:GetBucketLocation",
                    "s3:ListAllMyBuckets",
                    "kms:List*",
                    "kms:Describe*",
                    "ec2:AssociateIamInstanceProfile",
                    "ec2:DescribeIamInstanceProfileAssociations",
                    "ec2:DisassociateIamInstanceProfile",
                    "ec2:DescribeInstanceAttribute",
                    "ec2:CreatePlacementGroup",
                    "ec2:DeletePlacementGroup"
                ],
                "Resource": "*"
            },
            {
                "Sid": "fabricPoolPolicy",
                "Effect": "Allow",
                "Action": [
                    "s3:DeleteBucket",
                    "s3:GetLifecycleConfiguration",
                    "s3:PutLifecycleConfiguration",
                    "s3:PutBucketTagging",
                    "s3:ListBucketVersions"
                ],
                "Resource": [
                    "arn:aws-iso:s3:::fabric-pool*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:StartInstances",
                    "ec2:StopInstances",
                    "ec2:TerminateInstances",
                    "ec2:AttachVolume",
                    "ec2:DetachVolume"
                ],
                "Condition": {
                    "StringLike": {
                        "ec2:ResourceTag/WorkingEnvironment": "*"
                    }
                },
                "Resource": [
                    "arn:aws-iso:ec2:*:*:instance/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:AttachVolume",
                    "ec2:DetachVolume"
                ],
                "Resource": [
                    "arn:aws-iso:ec2:*:*:volume/*"
                ]
            }
        ]
    }
  3. 建立Cloud Volumes ONTAP 一套適用於此功能的原則。

    {
        "Version": "2012-10-17",
        "Statement": [{
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws-iso:s3:::*",
            "Effect": "Allow"
        }, {
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws-iso:s3:::fabric-pool-*",
            "Effect": "Allow"
        }, {
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws-iso:s3:::fabric-pool-*",
            "Effect": "Allow"
        }]
    }
  4. 如果您計畫部署Cloud Volumes ONTAP 一個「叢集HA配對」、請為HA中介者建立原則。

    {
    	"Version": "2012-10-17",
    	"Statement": [{
    			"Effect": "Allow",
    			"Action": [
    				"ec2:AssignPrivateIpAddresses",
    				"ec2:CreateRoute",
    				"ec2:DeleteRoute",
    				"ec2:DescribeNetworkInterfaces",
    				"ec2:DescribeRouteTables",
    				"ec2:DescribeVpcs",
    				"ec2:ReplaceRoute",
    				"ec2:UnassignPrivateIpAddresses"
    			],
    			"Resource": "*"
    		}
    	]
    }
  5. 使用角色類型Amazon EC2建立IAM角色、並附加您在先前步驟中建立的原則。

    與原則類似、您應該有一個IAM角色用於連接器、一個用於Cloud Volumes ONTAP 鏈結節點、另一個用於HA中介器(如果您要部署HA配對)。

    啟動Connector執行個體時、您必須選取Connector IAM角色。

    從Cloud Manager建立一套可運作的環境時、您可以選擇IAM角色做Cloud Volumes ONTAP 為功能性的部分、以及HA中介器Cloud Volumes ONTAP 。

設定 AWS KMS

如果您想搭配Cloud Volumes ONTAP 使用Amazon加密搭配使用、請確保AWS金鑰管理服務符合要求。

步驟
  1. 請確定您的帳戶或其他AWS帳戶中存在使用中的客戶主金鑰(CMK)。

    CMK 可以是 AWS 託管的 CMK 、也可以是客戶託管的 CMK 。

  2. 如果CMK位於AWS帳戶中、而該帳戶與您打算部署Cloud Volumes ONTAP 的帳戶不同、則您需要取得該金鑰的ARN。

    建立Cloud Volumes ONTAP 一套系統時、您必須提供ARN給Cloud Manager。

  3. 將Cloud Manager執行個體的IAM角色新增至CMK的主要使用者清單。

    這讓Cloud Manager有權將CMK搭配Cloud Volumes ONTAP 使用。

安裝及設定Cloud Manager

您Cloud Volumes ONTAP 必須先從AWS Marketplace啟動Connector執行個體、然後登入並設定Cloud Manager、才能在AWS中啟動此類系統。

步驟
  1. 取得由憑證授權單位(CA)簽署的根憑證(採用隱私權增強型郵件(PEF)Base - 64編碼的X.509格式)。請參閱貴組織的原則與程序、以取得該憑證。

    您必須在設定程序期間上傳憑證。Cloud Manager透過HTTPS將要求傳送至AWS時、會使用信任的憑證。

  2. 啟動Connector執行個體:

    1. 前往適用於Cloud Manager的AWS Intelligence Community Marketplace頁面。

    2. 在「自訂啟動」索引標籤上、選擇從EC2主控台啟動執行個體的選項。

    3. 依照提示設定執行個體。

      設定執行個體時請注意下列事項:

      • 建議使用T3.xLarge。

      • 您必須選擇在準備AWS環境時所建立的IAM角色。

      • 您應該保留預設的儲存選項。

      • Connector所需的連線方法如下:SSH、HTTP和HTTPS。

  3. 從連線至Connector執行個體的主機設定Cloud Manager:

    1. 開啟網頁瀏覽器並輸入下列 URL : http://ipaddress:80

    2. 指定用於連線至AWS服務的Proxy伺服器。

    3. 上傳您在步驟1中取得的憑證。

    4. 完成設定精靈中的步驟以設定Cloud Manager。

      • 系統詳細資料:輸入此Cloud Manager執行個體的名稱、並提供貴公司名稱。

      • 建立使用者:建立您將用來管理Cloud Manager的管理使用者。

      • 審查:檢閱詳細資料並核准終端使用者授權合約。

    5. 若要完成CA簽署憑證的安裝、請從EC2主控台重新啟動Connector執行個體。

  4. 重新啟動Connector之後、請使用您在設定精靈中建立的系統管理員使用者帳戶登入。

產品Cloud Volumes ONTAP 發表

您可以Cloud Volumes ONTAP 在Cloud Manager中建立新的工作環境、在AWS商業雲端服務環境中啟動執行個體。

您需要的是 #8217 ;需要的是什麼
  • 如果您購買授權、則必須擁有從NetApp收到的授權檔案。授權檔案是Json格式的.NLF檔案。

  • 需要金鑰配對、才能對HA中介器啟用金鑰型SSH驗證。

步驟
  1. 在「工作環境」頁面上、按一下「新增工作環境」。

  2. 在「Create(建立)」下、選取Cloud Volumes ONTAP 「HseHA」或Cloud Volumes ONTAP 「

  3. 完成精靈中的步驟以啟動Cloud Volumes ONTAP 整套系統。

    完成精靈時請注意下列事項:

    • 如果您想要在Cloud Volumes ONTAP 多個可用度區域中部署SeseHA、請依照下列方式部署組態、因為在發佈時AWS商業雲端服務環境中只有兩個AZs可用:

      • 節點1:可用度區域A

      • 節點2:可用度區域B

      • 中介:可用度區域A或B

    • 您應該保留預設選項、以使用產生的安全性群組。

      預先定義的安全性群組包含Cloud Volumes ONTAP 一些規則、這些規則是讓整個公司順利運作所需的。如果您需要使用自己的安全性、請參閱下方的安全性群組一節。

    • 您必須選擇在準備AWS環境時所建立的IAM角色。

    • 基礎AWS磁碟類型適用於初始Cloud Volumes ONTAP 的流通量。

      您可以為後續磁碟區選擇不同的磁碟類型。

    • AWS磁碟的效能與磁碟大小有關。

      您應該選擇能提供所需持續效能的磁碟大小。如需EBS效能的詳細資訊、請參閱AWS文件。

    • 磁碟大小是系統上所有磁碟的預設大小。

      附註 如果您稍後需要不同的大小、可以使用「進階配置」選項來建立使用特定大小磁碟的集合體。
    • 儲存效率功能可改善儲存使用率、並減少所需的儲存總容量。

Cloud Manager 會啟動 Cloud Volumes ONTAP 此功能。您可以追蹤時間表的進度。

安全性群組規則

Cloud Manager會建立安全群組、其中包括Cloud Manager和Cloud Volumes ONTAP NetApp在雲端成功運作所需的傳入和傳出規則。您可能想要參照連接埠進行測試、或是想要使用自己的安全性群組。

Connector的安全性群組

Connector 的安全性群組需要傳入和傳出規則。

傳入規則

傳輸協定 連接埠 目的

SSH

22

提供對 Connector 主機的 SSH 存取權

HTTP

80

提供從用戶端 Web 瀏覽器到本機使用者介面的 HTTP 存取

HTTPS

443..

提供 HTTPS 存取、從用戶端網頁瀏覽器存取本機使用者介面

傳出規則

Connector 的預先定義安全性群組包括下列傳出規則。

傳輸協定 連接埠 目的

所有 TCP

全部

所有傳出流量

所有的 udp

全部

所有傳出流量

安全性群組Cloud Volumes ONTAP

適用於不支援節點的安全群組Cloud Volumes ONTAP 需要傳入和傳出規則。

傳入規則

預先定義之安全性群組中的傳入規則來源為 0.00.0.0/0 。

傳輸協定 連接埠 目的

所有 ICMP

全部

Ping 執行個體

HTTP

80

使用叢集管理 LIF 的 IP 位址、以 HTTP 存取 System Manager Web 主控台

HTTPS

443..

使用叢集管理 LIF 的 IP 位址、以 HTTPS 存取 System Manager 網路主控台

SSH

22

SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF

TCP

111.

遠端程序需要 NFS

TCP

139.

CIFS 的 NetBios 服務工作階段

TCP

161-162

簡單的網路管理傳輸協定

TCP

445

Microsoft SMB/CIFS over TCP 搭配 NetBios 架構

TCP

635

NFS 掛載

TCP

749

Kerberos

TCP

2049

NFS 伺服器精靈

TCP

3260

透過 iSCSI 資料 LIF 存取 iSCSI

TCP

4045

NFS 鎖定精靈

TCP

4046

NFS 的網路狀態監控

TCP

10000

使用 NDMP 備份

TCP

11104.

管理 SnapMirror 的叢集間通訊工作階段

TCP

11105.

使用叢集間生命體進行 SnapMirror 資料傳輸

UDP

111.

遠端程序需要 NFS

UDP

161-162

簡單的網路管理傳輸協定

UDP

635

NFS 掛載

UDP

2049

NFS 伺服器精靈

UDP

4045

NFS 鎖定精靈

UDP

4046

NFS 的網路狀態監控

UDP

4049

NFS rquotad 傳輸協定

傳出規則

適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。

傳輸協定 連接埠 目的

所有 ICMP

全部

所有傳出流量

所有 TCP

全部

所有傳出流量

所有的 udp

全部

所有傳出流量

HA中介器的外部安全群組

針對此功能、預先定義 Cloud Volumes ONTAP 的外部安全群組包括下列傳入和傳出規則。

傳入規則

傳入規則的來源是來自連接器所在VPC的流量。

傳輸協定 連接埠 目的

SSH

22

SSH 連線至 HA 中介器

TCP

3000

從 Connector 進行 RESTful API 存取

傳出規則

HA 中介器的預先定義安全性群組包括下列傳出規則。

傳輸協定 連接埠 目的

所有 TCP

全部

所有傳出流量

所有的 udp

全部

所有傳出流量

HA中介器的內部安全群組

針對此功能、預先定義 Cloud Volumes ONTAP 的內部安全群組包含下列規則:Cloud Manager 一律會建立這個安全群組。您沒有使用自己的選項。

傳入規則

預先定義的安全性群組包含下列傳入規則。

傳輸協定 連接埠 目的

所有流量

全部

HA 中介器與 HA 節點之間的通訊

傳出規則

預先定義的安全性群組包括下列傳出規則。

傳輸協定 連接埠 目的

所有流量

全部

HA 中介器與 HA 節點之間的通訊