連接器的網路需求
建議變更
PDF
設定您的網路、讓 Connector 能夠管理公有雲環境中的資源和程序。最重要的步驟是確保從網際網路存取各種端點。
|
如果您的網路使用 Proxy 伺服器來進行所有與網際網路的通訊、您可以從「設定」頁面指定 Proxy 伺服器。請參閱 "將 Connector 設定為使用 Proxy 伺服器"。 |
連線至目標網路
連接器需要網路連線至您所建立的工作環境類型以及您打算啟用的服務。
例如、如果您在公司網路中安裝 Connector 、則必須設定 VPN 連線至 VPC 或 vnet 、以便在其中啟動 Cloud Volumes ONTAP 更新。
傳出網際網路存取
連接器需要存取傳出網際網路、才能管理公有雲環境中的資源和程序。如果您想要在 Linux 主機上手動安裝 Connector 、或是存取連接器上執行的本機 UI 、也需要外傳網際網路存取。
下列各節將說明特定的端點。
端點來管理 AWS 中的資源
在 AWS 中管理資源時、 Connector 會聯絡下列端點:
| 端點 | 目的 |
|---|---|
AWS 服務( amazonaws.com):
確切的端點取決於您部署 Cloud Volumes ONTAP 的區域。 "如需詳細資料、請參閱 AWS 文件。" |
讓 Connector 能夠在 Cloud Volumes ONTAP AWS 中部署及管理功能。 |
https://api.services.cloud.netapp.com:443 |
API 要求 NetApp Cloud Central 。 |
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com |
提供軟體映像、資訊清單和範本的存取權限。 |
https://repo.cloud.support.netapp.com |
用於下載Cloud Manager相依性。 |
http://repo.mysql.com/ |
用於下載MySQL。 |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
讓 Connector 能夠存取及下載資訊清單、範本及 Cloud Volumes ONTAP 升級影像。 |
https://cloudmanagerinfraprod.azurecr.io |
存取執行 Docker 之基礎架構的容器元件軟體映像、並提供與 Cloud Manager 整合服務的解決方案。 |
https://kinesis.us-east-1.amazonaws.com |
讓 NetApp 能夠從稽核記錄串流資料。 |
https://cloudmanager.cloud.netapp.com |
與 Cloud Manager 服務(包括 Cloud Central 帳戶)進行通訊。 |
https://netapp-cloud-account.auth0.com |
與 NetApp Cloud Central 通訊、以進行集中式使用者驗證。 |
https://w86yt021u5.execute-api.us-east-1.amazonaws.com/production/whitelist |
用於將AWS帳戶ID新增至允許備份至S3的使用者清單。 |
https://support.netapp.com/aods/asupmessage https://support.netapp.com/asupprod/post/1.0/postAsup |
與 NetApp AutoSupport 通訊 |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
與 NetApp 溝通以取得系統授權與支援登錄。 |
https://client.infra.support.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.us-west-1.amazonaws.com https://trigger.asup.netapp.com.s3.us-west-1.amazonaws.com |
讓 NetApp 能夠收集疑難排解支援問題所需的資訊。 |
https://ipa-signer.cloudmanager.netapp.com |
讓 Cloud Manager 能夠產生授權(例如 FlexCache 、針對 Cloud Volumes ONTAP 功能不全的 |
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
需要將Cloud Volumes ONTAP 支援的系統與Kubernetes叢集連線。端點可安裝NetApp Trident。 |
各種協力廠商位置、例如:
第三方據點可能會有所變更。 |
在升級期間、 Cloud Manager 會針對協力廠商相依性下載最新的套件。 |
端點來管理 Azure 中的資源
在 Azure 中管理資源時、 Connector 會聯絡下列端點:
| 端點 | 目的 |
|---|---|
https://management.azure.com https://login.microsoftonline.com |
讓 Cloud Manager 能夠在 Cloud Volumes ONTAP 大多數 Azure 地區部署及管理功能。 |
https://management.microsoftazure.de https://login.microsoftonline.de |
讓 Cloud Manager 能夠在 Cloud Volumes ONTAP Azure Germany 地區部署及管理功能。 |
https://management.usgovcloudapi.net https://login.microsoftonline.com |
讓 Cloud Manager 能夠在 Cloud Volumes ONTAP Azure US Gov 地區部署及管理功能。 |
https://api.services.cloud.netapp.com:443 |
API 要求 NetApp Cloud Central 。 |
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com |
提供軟體映像、資訊清單和範本的存取權限。 |
https://repo.cloud.support.netapp.com |
用於下載Cloud Manager相依性。 |
http://repo.mysql.com/ |
用於下載MySQL。 |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
讓 Connector 能夠存取及下載資訊清單、範本及 Cloud Volumes ONTAP 升級影像。 |
https://cloudmanagerinfraprod.azurecr.io |
存取執行 Docker 之基礎架構的容器元件軟體映像、並提供與 Cloud Manager 整合服務的解決方案。 |
https://kinesis.us-east-1.amazonaws.com |
讓 NetApp 能夠從稽核記錄串流資料。 |
https://cloudmanager.cloud.netapp.com |
與 Cloud Manager 服務(包括 Cloud Central 帳戶)進行通訊。 |
https://netapp-cloud-account.auth0.com |
與 NetApp Cloud Central 通訊、以進行集中式使用者驗證。 |
https://mysupport.netapp.com |
與 NetApp AutoSupport 通訊 |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
與 NetApp 溝通以取得系統授權與支援登錄。 |
https://client.infra.support.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.us-west-1.amazonaws.com https://trigger.asup.netapp.com.s3.us-west-1.amazonaws.com |
讓 NetApp 能夠收集疑難排解支援問題所需的資訊。 |
https://ipa-signer.cloudmanager.netapp.com |
讓 Cloud Manager 能夠產生授權(例如 FlexCache 、針對 Cloud Volumes ONTAP 功能不全的 |
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
需要將Cloud Volumes ONTAP 支援的系統與Kubernetes叢集連線。端點可安裝NetApp Trident。 |
* .blob.core.windows.net |
使用 Proxy 時 HA 配對必須具備此功能。 |
各種協力廠商位置、例如:
第三方據點可能會有所變更。 |
在升級期間、 Cloud Manager 會針對協力廠商相依性下載最新的套件。 |
端點以管理 GCP 中的資源
在 GCP 中管理資源時、 Connector 會聯絡下列端點:
| 端點 | 目的 |
|---|---|
https://www.googleapis.com |
讓 Connector 聯絡 Google API 、以便在 Cloud Volumes ONTAP GCP 中部署及管理功能。 |
https://api.services.cloud.netapp.com:443 |
API 要求 NetApp Cloud Central 。 |
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com |
提供軟體映像、資訊清單和範本的存取權限。 |
https://repo.cloud.support.netapp.com |
用於下載Cloud Manager相依性。 |
http://repo.mysql.com/ |
用於下載MySQL。 |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
讓 Connector 能夠存取及下載資訊清單、範本及 Cloud Volumes ONTAP 升級影像。 |
https://cloudmanagerinfraprod.azurecr.io |
存取執行 Docker 之基礎架構的容器元件軟體映像、並提供與 Cloud Manager 整合服務的解決方案。 |
https://kinesis.us-east-1.amazonaws.com |
讓 NetApp 能夠從稽核記錄串流資料。 |
https://cloudmanager.cloud.netapp.com |
與 Cloud Manager 服務(包括 Cloud Central 帳戶)進行通訊。 |
https://netapp-cloud-account.auth0.com |
與 NetApp Cloud Central 通訊、以進行集中式使用者驗證。 |
https://mysupport.netapp.com |
與 NetApp AutoSupport 通訊 |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
與 NetApp 溝通以取得系統授權與支援登錄。 |
https://client.infra.support.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.us-west-1.amazonaws.com https://trigger.asup.netapp.com.s3.us-west-1.amazonaws.com |
讓 NetApp 能夠收集疑難排解支援問題所需的資訊。 |
https://ipa-signer.cloudmanager.netapp.com |
讓 Cloud Manager 能夠產生授權(例如 FlexCache 、針對 Cloud Volumes ONTAP 功能不全的 |
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
需要將Cloud Volumes ONTAP 支援的系統與Kubernetes叢集連線。端點可安裝NetApp Trident。 |
各種協力廠商位置、例如:
第三方據點可能會有所變更。 |
在升級期間、 Cloud Manager 會針對協力廠商相依性下載最新的套件。 |
端點以在 Linux 主機上安裝 Connector
您可以選擇在自己的 Linux 主機上手動安裝 Connector 軟體。如果您這麼做、則 Connector 安裝程式必須在安裝過程中存取下列 URL :
-
http://dev.mysql.com/get/mysql-community-release-el7-5.noarch.rpm
-
https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
-
https://s3.amazonaws.com/aws-cli/awscli-bundle.zip
主機可能會在安裝期間嘗試更新作業系統套件。主機可聯絡不同的鏡射站台、以取得這些 OS 套件。
使用本機 UI 時、可從網頁瀏覽器存取端點
雖然您應該從 SaaS 使用者介面執行幾乎所有的工作、但連接器上仍有本機使用者介面可供使用。執行 Web 瀏覽器的機器必須連線至下列端點:
| 端點 | 目的 |
|---|---|
連接器主機 |
您必須從網頁瀏覽器輸入主機的 IP 位址、才能載入 Cloud Manager 主控台。 視您與雲端供應商的連線能力而定、您可以使用指派給主機的私有 IP 或公有 IP :
無論如何、您應該確保安全群組規則僅允許從授權的 IP 或子網路存取、以確保網路存取安全。 |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
您的網頁瀏覽器會連線至這些端點、以便透過 NetApp Cloud Central 進行集中式使用者驗證。 |
https://widget.intercom.io |
產品內對談可讓您與 NetApp 雲端專家交談。 |
連接埠和安全性群組
除非您啟動連接器、否則不會有傳入流量進入連接器。HTTP 和 HTTPS 可存取 "本機 UI"、在極少數情況下使用。只有當您需要連線至主機進行疑難排解時、才需要 SSH 。
AWS 中 Connector 的規則
Connector 的安全性群組需要傳入和傳出規則。
傳入規則
預先定義之安全性群組中的傳入規則來源為 0.00.0.0/0 。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
SSH |
22 |
提供對 Connector 主機的 SSH 存取權 |
HTTP |
80 |
提供從用戶端 Web 瀏覽器到本機使用者介面的 HTTP 存取、以及從 Cloud Compliance 建立的連線 |
HTTPS |
443.. |
提供 HTTPS 存取、從用戶端網頁瀏覽器存取本機使用者介面 |
TCP |
3128 |
如果您的 AWS 網路不使用 NAT 或 Proxy 、則可提供具有網際網路存取功能的 Cloud Compliance 執行個體 |
傳出規則
Connector 的預先定義安全性群組會開啟所有傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
Connector 的預先定義安全性群組包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟連接器傳出通訊所需的連接埠。
|
來源 IP 位址為 Connector 主機。 |
| 服務 | 傳輸協定 | 連接埠 | 目的地 | 目的 |
|---|---|---|---|---|
Active Directory |
TCP |
88 |
Active Directory 樹系 |
Kerberos V 驗證 |
TCP |
139. |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP |
389 |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
TCP |
749 |
Active Directory 樹系 |
Active Directory Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
UDP |
137. |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
Active Directory 樹系 |
NetBios 資料報服務 |
|
UDP |
464.64 |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
API 呼叫與 AutoSupport 功能 |
HTTPS |
443.. |
傳出網際網路和 ONTAP 叢集管理 LIF |
API 呼叫 AWS 和 ONTAP es供 、並傳送 AutoSupport 不只是功能的訊息給 NetApp |
API 呼叫 |
TCP |
3000 |
叢集管理 LIF ONTAP |
API 呼叫 ONTAP 至 |
TCP |
8088 |
備份至 S3 |
API 呼叫備份至 S3 |
|
DNS |
UDP |
53. |
DNS |
用於 Cloud Manager 的 DNS 解析 |
雲端法規遵循 |
HTTP |
80 |
雲端法規遵循執行個體 |
Cloud Compliance for Cloud Volumes ONTAP 解決此問題 |
Azure 中的 Connector 規則
Connector 的安全性群組需要傳入和傳出規則。
傳入規則
預先定義之安全性群組中的傳入規則來源為 0.00.0.0/0 。
| 連接埠 | 傳輸協定 | 目的 |
|---|---|---|
22 |
SSH |
提供對 Connector 主機的 SSH 存取權 |
80 |
HTTP |
提供從用戶端 Web 瀏覽器到本機使用者介面的 HTTP 存取 |
443.. |
HTTPS |
提供 HTTPS 存取、從用戶端網頁瀏覽器存取本機使用者介面 |
傳出規則
Connector 的預先定義安全性群組會開啟所有傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
Connector 的預先定義安全性群組包括下列傳出規則。
| 連接埠 | 傳輸協定 | 目的 |
|---|---|---|
全部 |
所有 TCP |
所有傳出流量 |
全部 |
所有的 udp |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟連接器傳出通訊所需的連接埠。
|
|
來源 IP 位址為 Connector 主機。 |
| 服務 | 連接埠 | 傳輸協定 | 目的地 | 目的 |
|---|---|---|---|---|
Active Directory |
88 |
TCP |
Active Directory 樹系 |
Kerberos V 驗證 |
139. |
TCP |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
389 |
TCP |
Active Directory 樹系 |
LDAP |
|
445 |
TCP |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
464.64 |
TCP |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
749 |
TCP |
Active Directory 樹系 |
Active Directory Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
137. |
UDP |
Active Directory 樹系 |
NetBios 名稱服務 |
|
138 |
UDP |
Active Directory 樹系 |
NetBios 資料報服務 |
|
464.64 |
UDP |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
API 呼叫與 AutoSupport 功能 |
443.. |
HTTPS |
傳出網際網路和 ONTAP 叢集管理 LIF |
API 呼叫 AWS 和 ONTAP es供 、並傳送 AutoSupport 不只是功能的訊息給 NetApp |
API 呼叫 |
3000 |
TCP |
叢集管理 LIF ONTAP |
API 呼叫 ONTAP 至 |
DNS |
53. |
UDP |
DNS |
用於 Cloud Manager 的 DNS 解析 |
GCP 中的 Connector 規則
連接器的防火牆規則需要傳入和傳出規則。
傳入規則
預先定義的防火牆規則中的傳入規則來源為0.00.0.0/0。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
SSH |
22 |
提供對 Connector 主機的 SSH 存取權 |
HTTP |
80 |
提供從用戶端 Web 瀏覽器到本機使用者介面的 HTTP 存取 |
HTTPS |
443.. |
提供 HTTPS 存取、從用戶端網頁瀏覽器存取本機使用者介面 |
傳出規則
連接器的預先定義防火牆規則會開啟所有傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
Connector 的預先定義防火牆規則包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟連接器傳出通訊所需的連接埠。
|
|
來源 IP 位址為 Connector 主機。 |
| 服務 | 傳輸協定 | 連接埠 | 目的地 | 目的 |
|---|---|---|---|---|
Active Directory |
TCP |
88 |
Active Directory 樹系 |
Kerberos V 驗證 |
TCP |
139. |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP |
389 |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
TCP |
749 |
Active Directory 樹系 |
Active Directory Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
UDP |
137. |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
Active Directory 樹系 |
NetBios 資料報服務 |
|
UDP |
464.64 |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
API 呼叫與 AutoSupport 功能 |
HTTPS |
443.. |
傳出網際網路和 ONTAP 叢集管理 LIF |
API 呼叫 GCP 和 ONTAP 功能、並將 AutoSupport 不二的訊息傳送給 NetApp |
API 呼叫 |
TCP |
3000 |
叢集管理 LIF ONTAP |
API 呼叫 ONTAP 至 |
DNS |
UDP |
53. |
DNS |
用於 Cloud Manager 的 DNS 解析 |