在GCP中部署Cloud Volumes ONTAP 及管理功能的網路需求
建議變更
PDF
設定您的 Google Cloud Platform 網路功能、 Cloud Volumes ONTAP 讓支援的系統能夠正常運作。這包括連接器和 Cloud Volumes ONTAP 整個過程的網路功能。
需求 Cloud Volumes ONTAP
GCP 必須符合下列要求。
- 虛擬私有雲
-
支援的對象包括Google Cloud共享VPC和非共享VPC。Cloud Volumes ONTAP
共享 VPC 可讓您設定及集中管理多個專案中的虛擬網路。您可以在 _ 主機專案 _ 中設定共享 VPC 網路、並在 Cloud Volumes ONTAP _ 服務專案 _ 中部署連接器與支援虛擬機器執行個體。 "Google Cloud 文件:共享 VPC 總覽"。
使用共享 VPC 時、唯一的需求是提供 "運算網路使用者角色" 至 Connector 服務帳戶。Cloud Manager 需要這些權限、才能查詢主機專案中的防火牆、 VPC 和子網路。
- 輸出網際網路存取 Cloud Volumes ONTAP 功能
-
支援向 NetApp 支援部門傳送訊息、以便主動監控儲存設備的健全狀況。 Cloud Volumes ONTAP AutoSupport
路由和防火牆原則必須允許將 HTTP / HTTPS 流量傳送至下列端點、 Cloud Volumes ONTAP 才能讓下列端點傳送 AutoSupport 動態訊息:
-
https://support.netapp.com/aods/asupmessage
-
https://support.netapp.com/asupprod/post/1.0/postAsup
-
- IP 位址數
-
Cloud Manager會在Cloud Volumes ONTAP GCP中分配5個IP位址給功能不全的人。
請注意、Cloud Manager不會在Cloud Volumes ONTAP GCP中建立SVM管理LIF以供使用。
LIF 是與實體連接埠相關聯的 IP 位址。諸如 VMware 的管理工具需要 SVM 管理 LIF SnapCenter 。 - 防火牆規則
-
您不需要建立防火牆規則、因為 Cloud Manager 能為您做到這一點。如果您需要使用自己的防火牆、請參閱下列防火牆規則。
- 從 Cloud Volumes ONTAP 功能區連接到 Google Cloud Storage 、以利資料分層
-
如果您想要將冷資料分層至 Google Cloud Storage 資源桶、 Cloud Volumes ONTAP 則必須將駐留的子網路設定為私有 Google Access 。如需相關指示、請參閱 "Google Cloud 文件:設定私有 Google Access"。
如需在 Cloud Manager 中設定資料分層所需的其他步驟、請參閱 "將冷資料分層至低成本物件儲存設備"。
- 連線 ONTAP 至其他網路中的不二系統
-
若要在 Cloud Volumes ONTAP GCP 中的某個系統與 ONTAP 其他網路中的某個系統之間複寫資料、您必須在 VPC 與另一個網路(例如您的公司網路)之間建立 VPN 連線。
如需相關指示、請參閱 "Google Cloud 文件:雲端 VPN 概述"。
連接器需求
設定您的網路、讓 Connector 能夠管理公有雲環境中的資源和程序。最重要的步驟是確保從網際網路存取各種端點。
|
|
如果您的網路使用 Proxy 伺服器來進行所有與網際網路的通訊、您可以從「設定」頁面指定 Proxy 伺服器。請參閱 "將 Connector 設定為使用 Proxy 伺服器"。 |
連線至目標網路
連接器需要網路連線至您要部署 Cloud Volumes ONTAP 的 VPC 和 VNets 。
例如、如果您在公司網路中安裝 Connector 、則必須設定 VPN 連線至 VPC 或 vnet 、以便在其中啟動 Cloud Volumes ONTAP 更新。
傳出網際網路存取
連接器需要存取傳出網際網路、才能管理公有雲環境中的資源和程序。在 GCP 中管理資源時、 Connector 會聯絡下列端點:
| 端點 | 目的 |
|---|---|
https://www.googleapis.com |
讓 Connector 聯絡 Google API 、以便在 Cloud Volumes ONTAP GCP 中部署及管理功能。 |
https://api.services.cloud.netapp.com:443 |
API 要求 NetApp Cloud Central 。 |
https://cloud.support.netapp.com.s3.us-west-1.amazonaws.com |
提供軟體映像、資訊清單和範本的存取權限。 |
https://repo.cloud.support.netapp.com |
用於下載Cloud Manager相依性。 |
http://repo.mysql.com/ |
用於下載MySQL。 |
https://cognito-idp.us-east-1.amazonaws.com https://cognito-identity.us-east-1.amazonaws.com https://sts.amazonaws.com https://cloud-support-netapp-com-accelerated.s3.amazonaws.com |
讓 Connector 能夠存取及下載資訊清單、範本及 Cloud Volumes ONTAP 升級影像。 |
https://cloudmanagerinfraprod.azurecr.io |
存取執行 Docker 之基礎架構的容器元件軟體映像、並提供與 Cloud Manager 整合服務的解決方案。 |
https://kinesis.us-east-1.amazonaws.com |
讓 NetApp 能夠從稽核記錄串流資料。 |
https://cloudmanager.cloud.netapp.com |
與 Cloud Manager 服務(包括 Cloud Central 帳戶)進行通訊。 |
https://netapp-cloud-account.auth0.com |
與 NetApp Cloud Central 通訊、以進行集中式使用者驗證。 |
https://mysupport.netapp.com |
與 NetApp AutoSupport 通訊 |
https://support.netapp.com/svcgw https://support.netapp.com/ServiceGW/entitlement https://eval.lic.netapp.com.s3.us-west-1.amazonaws.com https://cloud-support-netapp-com.s3.us-west-1.amazonaws.com |
與 NetApp 溝通以取得系統授權與支援登錄。 |
https://ipa-signer.cloudmanager.netapp.com |
讓 Cloud Manager 能夠產生授權(例如 FlexCache 、針對 Cloud Volumes ONTAP 功能不全的 |
https://packages.cloud.google.com/yum https://github.com/NetApp/trident/releases/download/ |
需要將Cloud Volumes ONTAP 支援的系統與Kubernetes叢集連線。端點可安裝NetApp Trident。 |
各種協力廠商位置、例如:
第三方據點可能會有所變更。 |
在升級期間、 Cloud Manager 會針對協力廠商相依性下載最新的套件。 |
雖然您應該從 SaaS 使用者介面執行幾乎所有的工作、但連接器上仍有本機使用者介面可供使用。執行 Web 瀏覽器的機器必須連線至下列端點:
| 端點 | 目的 |
|---|---|
連接器主機 |
您必須從網頁瀏覽器輸入主機的 IP 位址、才能載入 Cloud Manager 主控台。 視您與雲端供應商的連線能力而定、您可以使用指派給主機的私有 IP 或公有 IP :
無論如何、您應該確保安全群組規則僅允許從授權的 IP 或子網路存取、以確保網路存取安全。 |
https://auth0.com https://cdn.auth0.com https://netapp-cloud-account.auth0.com https://services.cloud.netapp.com |
您的網頁瀏覽器會連線至這些端點、以便透過 NetApp Cloud Central 進行集中式使用者驗證。 |
https://widget.intercom.io |
產品內對談可讓您與 NetApp 雲端專家交談。 |
防火牆規則 Cloud Volumes ONTAP
Cloud Manager會建立GCP防火牆規則、其中包含Cloud Manager和Cloud Volumes ONTAP NetApp成功運作所需的傳入和傳出規則。您可能需要參照連接埠進行測試、或是偏好使用自己的安全性群組。
適用於此功能的防火牆規則 Cloud Volumes ONTAP 需要傳入和傳出規則。
傳入規則
預先定義之安全性群組中的傳入規則來源為 0.00.0.0/0 。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 ICMP |
全部 |
Ping 執行個體 |
HTTP |
80 |
使用叢集管理 LIF 的 IP 位址、以 HTTP 存取 System Manager Web 主控台 |
HTTPS |
443.. |
使用叢集管理 LIF 的 IP 位址、以 HTTPS 存取 System Manager 網路主控台 |
SSH |
22 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
TCP |
111. |
遠端程序需要 NFS |
TCP |
139. |
CIFS 的 NetBios 服務工作階段 |
TCP |
161-162 |
簡單的網路管理傳輸協定 |
TCP |
445 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
TCP |
635 |
NFS 掛載 |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS 伺服器精靈 |
TCP |
3260 |
透過 iSCSI 資料 LIF 存取 iSCSI |
TCP |
4045 |
NFS 鎖定精靈 |
TCP |
4046 |
NFS 的網路狀態監控 |
TCP |
10000 |
使用 NDMP 備份 |
TCP |
11104. |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
使用叢集間生命體進行 SnapMirror 資料傳輸 |
UDP |
111. |
遠端程序需要 NFS |
UDP |
161-162 |
簡單的網路管理傳輸協定 |
UDP |
635 |
NFS 掛載 |
UDP |
2049 |
NFS 伺服器精靈 |
UDP |
4045 |
NFS 鎖定精靈 |
UDP |
4046 |
NFS 的網路狀態監控 |
UDP |
4049 |
NFS rquotad 傳輸協定 |
傳出規則
預先定義 Cloud Volumes ONTAP 的 Security Group for the 旅行團會開啟所有的傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 ICMP |
全部 |
所有傳出流量 |
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟 Cloud Volumes ONTAP 那些由真人進行傳出通訊所需的連接埠。
|
來源是 Cloud Volumes ONTAP 指在整個系統上的介面( IP 位址)。 |
| 服務 | 傳輸協定 | 連接埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 驗證 |
UDP |
137. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
節點管理 LIF |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP 與 UDP |
389 |
節點管理 LIF |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
節點管理 LIF |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更與設定密碼( RPCSEC_GSS ) |
|
TCP |
88 |
資料 LIF ( NFS 、 CIFS 、 iSCSI ) |
Active Directory 樹系 |
Kerberos V 驗證 |
|
UDP |
137. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP 與 UDP |
389 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
叢集 |
所有流量 |
所有流量 |
一個節點上的所有 LIF |
其他節點上的所有 LIF |
叢集間通訊( Cloud Volumes ONTAP 僅限不含 HA ) |
TCP |
3000 |
節點管理 LIF |
HA 中介 |
ZAPI 呼叫( Cloud Volumes ONTAP 僅限 RHA ) |
|
ICMP |
1. |
節點管理 LIF |
HA 中介 |
Keepive Alive ( Cloud Volumes ONTAP 僅限 HHA ) |
|
DHCP |
UDP |
68 |
節點管理 LIF |
DHCP |
第一次設定的 DHCP 用戶端 |
DHCPS |
UDP |
67 |
節點管理 LIF |
DHCP |
DHCP 伺服器 |
DNS |
UDP |
53. |
節點管理 LIF 與資料 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
節點管理 LIF |
目的地伺服器 |
NDMP 複本 |
SMTP |
TCP |
25 |
節點管理 LIF |
郵件伺服器 |
可以使用 SMTP 警示 AutoSupport 來執行功能 |
SNMP |
TCP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
UDP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
TCP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
UDP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
SnapMirror |
TCP |
11104. |
叢集間 LIF |
叢集間 LIF ONTAP |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
叢集間 LIF |
叢集間 LIF ONTAP |
SnapMirror 資料傳輸 |
|
系統記錄 |
UDP |
514 |
節點管理 LIF |
系統記錄伺服器 |
系統記錄轉送訊息 |
Connector 的防火牆規則
連接器的防火牆規則需要傳入和傳出規則。
傳入規則
預先定義的防火牆規則中的傳入規則來源為0.00.0.0/0。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
SSH |
22 |
提供對 Connector 主機的 SSH 存取權 |
HTTP |
80 |
提供從用戶端 Web 瀏覽器到本機使用者介面的 HTTP 存取 |
HTTPS |
443.. |
提供 HTTPS 存取、從用戶端網頁瀏覽器存取本機使用者介面 |
傳出規則
連接器的預先定義防火牆規則會開啟所有傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
Connector 的預先定義防火牆規則包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟連接器傳出通訊所需的連接埠。
|
|
來源 IP 位址為 Connector 主機。 |
| 服務 | 傳輸協定 | 連接埠 | 目的地 | 目的 |
|---|---|---|---|---|
Active Directory |
TCP |
88 |
Active Directory 樹系 |
Kerberos V 驗證 |
TCP |
139. |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP |
389 |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
TCP |
749 |
Active Directory 樹系 |
Active Directory Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
UDP |
137. |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
Active Directory 樹系 |
NetBios 資料報服務 |
|
UDP |
464.64 |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
API 呼叫與 AutoSupport 功能 |
HTTPS |
443.. |
傳出網際網路和 ONTAP 叢集管理 LIF |
API 呼叫 GCP 和 ONTAP 功能、並將 AutoSupport 不二的訊息傳送給 NetApp |
API 呼叫 |
TCP |
3000 |
叢集管理 LIF ONTAP |
API 呼叫 ONTAP 至 |
DNS |
UDP |
53. |
DNS |
用於 Cloud Manager 的 DNS 解析 |