為Cloud Volumes ONTAP設定 AWS 網路
建議變更
PDF
NetApp Console負責設定Cloud Volumes ONTAP的網路元件,例如 IP 位址、網路遮罩和路由。您需要確保可以存取外部網路、有足夠的私人 IP 位址、有正確的連線等等。
一般要求
確保您已滿足 AWS 中的以下要求。
Cloud Volumes ONTAP節點的出站互聯網訪問
Cloud Volumes ONTAP系統需要出站網際網路存取才能存取外部端點以實現各種功能。如果這些端點在具有嚴格安全要求的環境中被阻止, Cloud Volumes ONTAP將無法正常運作。
控制台代理程式會聯絡多個端點以進行日常操作。有關所用端點的信息,請參閱 "查看從控制台代理聯繫的端點"和 "準備好使用控制台的網絡"。
Cloud Volumes ONTAP端點
Cloud Volumes ONTAP使用這些端點與各種服務進行通訊。
| 端點 | 適用於 | 目的 | 部署模式 | 端點不可用時的影響 |
|---|---|---|---|---|
驗證 |
用於控制台中的身份驗證。 |
標準和限制模式。 |
用戶身份驗證失敗,以下服務仍然不可用:
|
|
租賃 |
用於從控制台檢索Cloud Volumes ONTAP資源以授權資源和使用者。 |
標準和限制模式。 |
Cloud Volumes ONTAP資源和使用者未獲得授權。 |
|
\ https://mysupport.netapp.com/aods/asupmessage \ https://mysupport.netapp.com/asupprod/post/1.0/postAsup |
AutoSupport |
用於將AutoSupport遙測資料傳送給NetApp支援。 |
標準和限制模式。 |
AutoSupport資訊仍未送達。 |
AWS 服務的確切商業端點(後綴為 |
|
與 AWS 服務通訊。 |
標準和私人模式。 |
Cloud Volumes ONTAP無法與 AWS 服務通訊以在 AWS 中執行特定操作。 |
AWS 服務的特定政府端點取決於您使用的 AWS 區域。端點後綴為 |
|
與 AWS 服務通訊。 |
限制模式。 |
Cloud Volumes ONTAP無法與 AWS 服務通訊以在 AWS 中執行特定操作。 |
HA 中介器的出站互聯網訪問
HA 中介執行個體必須具有與 AWS EC2 服務的出站連接,以便它可以協助儲存故障轉移。為了提供連接,您可以新增公用 IP 位址、指定代理伺服器或使用手動選項。
手動選項可以是 NAT 閘道或從目標子網路到 AWS EC2 服務的介面 VPC 端點。有關 VPC 終端節點的詳細信息,請參閱 "AWS 文件:介面 VPC 終端節點 (AWS PrivateLink)"。
NetApp Console代理程式的網路代理程式配置
您可以使用NetApp Console代理程式的代理伺服器設定來啟用來自Cloud Volumes ONTAP 的外部網路存取。控制台支援兩種類型的代理:
-
明確代理:來自Cloud Volumes ONTAP 的出站流量使用在控制台代理的代理配置期間指定的代理伺服器的 HTTP 位址。管理員可能還配置了使用者憑證和根 CA 憑證以進行額外的身份驗證。Cloud Volumes ONTAP顯式代理程式有可用的根 CA 證書,請確保使用 "ONTAP CLI:安全性憑證安裝"命令。
-
透明代理:網路配置為透過控制台代理的代理程式自動路由來自Cloud Volumes ONTAP 的出站流量。設定透明代理時,管理員只需要提供用於從Cloud Volumes ONTAP進行連接的根 CA 證書,而不是代理伺服器的 HTTP 位址。確保使用以下方式取得相同的根 CA 憑證並將其上傳到您的Cloud Volumes ONTAP系統 "ONTAP CLI:安全性憑證安裝"命令。
有關配置代理伺服器的信息,請參閱 "配置控制台代理以使用代理伺服器"。
私人 IP 位址
控制台會自動為Cloud Volumes ONTAP指派所需數量的私人 IP 位址。您需要確保您的網路有足夠的可用私人 IP 位址。
控制台為Cloud Volumes ONTAP分配的 LIF 數量取決於您部署的是單節點系統還是 HA 對。 LIF 是與實體連接埠關聯的 IP 位址。
單節點系統的 IP 位址
控制台為單節點系統分配6個IP位址。
下表提供了與每個私人 IP 位址關聯的 LIF 的詳細資訊。
| 雷射誘導螢光 | 目的 |
|---|---|
叢集管理 |
整個集群(HA 對)的行政管理。 |
節點管理 |
節點的行政管理。 |
集群間 |
跨叢集通訊、備份和複製。 |
NAS數據 |
透過 NAS 協定進行客戶端存取。 |
iSCSI 數據 |
透過 iSCSI 協定進行客戶端存取。系統也將其用於其他重要的網路工作流程。此 LIF 是必需的,不應刪除。 |
儲存虛擬機器管理 |
儲存虛擬機器管理 LIF 與S SnapCenter等管理工具一起使用。 |
HA 對的 IP 位址
HA 對需要比單節點系統更多的 IP 位址。這些 IP 位址分佈在不同的乙太網路介面上,如下圖所示:
HA 對所需的私人 IP 位址數量取決於您選擇的部署模型。在單一 AWS 可用區 (AZ) 中部署的 HA 對需要 15 個私人 IP 位址,而在多個 AZ 中部署的 HA 對需要 13 個私人 IP 位址。
下表提供了與每個私人 IP 位址關聯的 LIF 的詳細資訊。
| 雷射誘導螢光 | 介面 | 節點 | 目的 |
|---|---|---|---|
叢集管理 |
eth0 |
節點 1 |
整個集群(HA 對)的行政管理。 |
節點管理 |
eth0 |
節點 1 和節點 2 |
節點的行政管理。 |
集群間 |
eth0 |
節點 1 和節點 2 |
跨叢集通訊、備份和複製。 |
NAS數據 |
eth0 |
節點 1 |
透過 NAS 協定進行客戶端存取。 |
iSCSI 數據 |
eth0 |
節點 1 和節點 2 |
透過 iSCSI 協定進行客戶端存取。系統也將其用於其他重要的網路工作流程。這些 LIF 是必需的,不應刪除。 |
集群連接 |
eth1 |
節點 1 和節點 2 |
使節點能夠相互通訊並在叢集內移動資料。 |
HA 連接 |
eth2 |
節點 1 和節點 2 |
發生故障轉移時兩個節點之間的通訊。 |
RSM iSCSI 流量 |
eth3 |
節點 1 和節點 2 |
RAID SyncMirror iSCSI 流量,以及兩個Cloud Volumes ONTAP節點和中介之間的通訊。 |
調解員 |
eth0 |
調解員 |
節點和中介之間的通訊通道,用於協助儲存接管和歸還過程。 |
| 雷射誘導螢光 | 介面 | 節點 | 目的 |
|---|---|---|---|
節點管理 |
eth0 |
節點 1 和節點 2 |
節點的行政管理。 |
集群間 |
eth0 |
節點 1 和節點 2 |
跨叢集通訊、備份和複製。 |
iSCSI 數據 |
eth0 |
節點 1 和節點 2 |
透過 iSCSI 協定進行客戶端存取。這些 LIF 還管理節點之間浮動 IP 位址的遷移。這些 LIF 是必需的,不應刪除。 |
集群連接 |
eth1 |
節點 1 和節點 2 |
使節點能夠相互通訊並在叢集內移動資料。 |
HA 連接 |
eth2 |
節點 1 和節點 2 |
發生故障轉移時兩個節點之間的通訊。 |
RSM iSCSI 流量 |
eth3 |
節點 1 和節點 2 |
RAID SyncMirror iSCSI 流量,以及兩個Cloud Volumes ONTAP節點和中介之間的通訊。 |
調解員 |
eth0 |
調解員 |
節點和中介之間的通訊通道,用於協助儲存接管和歸還過程。 |
|
當部署在多個可用區時,多個 LIF 與"浮動IP位址",這不計入 AWS 私有 IP 限制。 |
資料分層連接
如果您想要將 EBS 用作效能層,將 AWS S3 用作容量層,則必須確保Cloud Volumes ONTAP與 S3 有連接。提供該連線的最佳方式是建立到 S3 服務的 VPC 端點。有關說明,請參閱 "AWS 文件:建立網關終端節點"。
建立 VPC 端點時,請確保選擇與Cloud Volumes ONTAP實例相對應的區域、VPC 和路由表。您還必須修改安全群組以新增允許流量到 S3 端點的出站 HTTPS 規則。否則, Cloud Volumes ONTAP無法連線到 S3 服務。
如果您遇到任何問題,請參閱 "AWS Support 知識中心:為什麼我無法使用閘道 VPC 終端節點連接到 S3 儲存桶?"
與ONTAP系統的連接
要在 AWS 中的Cloud Volumes ONTAP系統和其他網路中的ONTAP系統之間複製數據,您必須在 AWS VPC 和其他網路(例如您的公司網路)之間建立 VPN 連線。有關說明,請參閱 "AWS 文件:設定 AWS VPN 連接"。
CIFS 的 DNS 和 Active Directory
如果您想要設定 CIFS 存儲,則必須在 AWS 中設定 DNS 和 Active Directory,或將您的本機設定擴展到 AWS。
DNS 伺服器必須為 Active Directory 環境提供名稱解析服務。您可以設定 DHCP 選項集以使用預設 EC2 DNS 伺服器,該伺服器不能是 Active Directory 環境使用的 DNS 伺服器。
VPC共享
從 9.11.1 版本開始,AWS 透過 VPC 共享支援Cloud Volumes ONTAP HA 對。 VPC 共用可讓您的組織與其他 AWS 帳戶共用子網路。若要使用此配置,您必須設定您的 AWS 環境,然後使用 API 部署 HA 對。
多可用區中 HA 對的要求
額外的 AWS 網路需求適用於使用多個可用區 (AZ) 的Cloud Volumes ONTAP HA 設定。在啟動 HA 對之前,您應該查看這些要求,因為在新增Cloud Volumes ONTAP系統時必須在控制台中輸入網路詳細資訊。
要了解 HA 對的工作原理,請參閱"高可用性對"。
- 可用區域
-
此 HA 部署模型使用多個 AZ 來確保資料的高可用性。您應該為每個Cloud Volumes ONTAP實例和中介實例使用專用 AZ,這為 HA 對之間提供了通訊通道。
每個可用區都應該有一個子網路。
- 用於 NAS 資料和叢集/SVM 管理的浮動 IP 位址
-
多個可用區中的 HA 配置使用浮動 IP 位址,如果發生故障,這些位址會在節點之間遷移。它們無法從 VPC 外部本地訪問,除非您"設定 AWS 中繼網關"。
一個浮動 IP 位址用於叢集管理,一個用於節點 1 上的 NFS/CIFS 數據,一個用於節點 2 上的 NFS/CIFS 資料。用於 SVM 管理的第四個浮動 IP 位址是可選的。
如果您將SnapDrive for Windows 或SnapCenter與 HA 對一起使用,則 SVM 管理 LIF 需要浮動 IP 位址。 新增Cloud Volumes ONTAP HA 系統時,需要輸入浮動 IP 位址。控制台在啟動系統時將 IP 位址指派給 HA 對。
浮動 IP 位址必須位於您部署 HA 配置的 AWS 區域中的所有 VPC 的 CIDR 區塊之外。將浮動 IP 位址視為您所在區域的 VPC 以外的邏輯子網路。
以下範例顯示了浮動 IP 位址與 AWS 區域中的 VPC 之間的關係。雖然浮動 IP 位址位於所有 VPC 的 CIDR 區塊之外,但它們可以透過路由表路由到子網路。
控制台會自動建立靜態 IP 位址,用於 iSCSI 存取和來自 VPC 外部用戶端的 NAS 存取。您不需要滿足這些類型的 IP 位址的任何要求。 - 中轉網關,用於從 VPC 外部啟用浮動 IP 訪問
-
如果需要的話,"設定 AWS 中繼網關"允許從 HA 對所在的 VPC 外部存取 HA 對的浮動 IP 位址。
- 路由表
-
指定浮動 IP 位址後,系統會提示您選擇應包含浮動 IP 位址路由的路由表。這使得客戶端可以存取 HA 對。
如果您的 VPC 中的子網路只有一個路由表(主路由表),則控制台會自動將浮動 IP 位址新增至該路由表。如果您有多個路由表,則在啟動 HA 對時選擇正確的路由表非常重要。否則,某些用戶端可能無法存取Cloud Volumes ONTAP。
例如,您可能有兩個與不同路由表關聯的子網路。如果您選擇路由表 A,而不是路由表 B,則與路由表 A 關聯的子網路中的用戶端可以存取 HA 對,但與路由表 B 關聯的子網路中的用戶端則不能存取。
有關路由表的更多信息,請參閱 "AWS 文件:路由表"。
- 連接到NetApp管理工具
-
若要將NetApp管理工具與多個 AZ 中的 HA 設定一起使用,您有兩種連線選項:
-
在不同的 VPC 中部署NetApp管理工具,並"設定 AWS 中繼網關"。網關允許從 VPC 外部存取叢集管理介面的浮動 IP 位址。
-
在同一 VPC 中部署NetApp管理工具,並使用與 NAS 用戶端類似的路由配置。
-
HA 設定範例
下圖說明了多個可用區中的 HA 對特有的網路元件:三個可用區、三個子網路、浮動 IP 位址和一個路由表。
控制台代理的要求
如果您尚未建立控制台代理,則應查看網路需求。