為Cloud Volumes ONTAP系統使用 Azure Private Link 或服務端點
Cloud Volumes ONTAP使用 Azure Private Link 連接到其關聯的儲存帳戶。如果需要,您可以停用 Azure Private Links 並改用服務端點。
概況
預設情況下, NetApp控制台啟用 Azure Private Link 來建立Cloud Volumes ONTAP與其關聯儲存帳戶之間的連線。 Azure 專用連結可保護 Azure 中端點之間的連線並提供效能優勢。
如果需要,您可以將Cloud Volumes ONTAP設定為使用服務端點而不是 Azure Private Link。
無論採用哪種配置,控制台始終限制Cloud Volumes ONTAP和儲存帳戶之間的連接的網路存取。網路存取僅限於部署Cloud Volumes ONTAP 的VNet 和部署控制台代理程式的 VNet。
停用 Azure Private Links 並改用服務終點
如果您的業務需要,您可以在控制台中變更設置,以便將Cloud Volumes ONTAP配置為使用服務端點而不是 Azure Private Link。變更此設定適用於您建立的新Cloud Volumes ONTAP系統。服務端點僅支援"Azure 區域對"控制台代理程式和Cloud Volumes ONTAP VNet 之間。
控制台代理應部署在與其管理的Cloud Volumes ONTAP系統相同的 Azure 區域中,或部署在 "Azure 區域對"適用於Cloud Volumes ONTAP系統。
-
從左側導覽窗格前往*管理>代理*。
-
點選
管理Cloud Volumes ONTAP系統的控制台代理的圖示。
-
選擇* Cloud Volumes ONTAP設定*。
-
在「Azure」下,按一下「使用 Azure 專用連結」。
-
取消選擇* Cloud Volumes ONTAP和儲存帳戶之間的專用連結連線*。
-
點選“儲存”。
如果您停用了 Azure Private Links 且控制台代理程式使用代理伺服器,則必須啟用直接 API 流量。
使用 Azure Private Links
在大多數情況下,您無需執行任何操作即可設定與Cloud Volumes ONTAP 的Azure Private 連結。控制台為您管理 Azure 專用連結。但是如果您使用現有的 Azure 私人 DNS 區域,則需要編輯設定檔。
自訂 DNS 的要求
或者,如果您使用自訂 DNS,則需要從自訂 DNS 伺服器建立至 Azure 私人 DNS 區域的條件轉送器。要了解更多信息,請參閱"Azure 關於使用 DNS 轉送器的文檔"。
專用連結連接的工作原理
當控制台在 Azure 中部署Cloud Volumes ONTAP時,它會在資源組中建立一個私有端點。私有端點與Cloud Volumes ONTAP 的儲存帳戶相關聯。因此,對Cloud Volumes ONTAP儲存的存取需要透過 Microsoft 主幹網路。
當客戶端與Cloud Volumes ONTAP位於同一 VNet 內、位於對等 VNet 內或位於本機網路中時,用戶端存取將透過專用連結進行。
以下範例展示了用戶端如何透過專用連結從同一 VNet 內部以及從具有專用 VPN 或 ExpressRoute 連接的本機網路存取。
|
如果控制台代理程式和Cloud Volumes ONTAP系統部署在不同的 VNet 中,則必須在部署控制台代理程式的 VNet 和部署Cloud Volumes ONTAP系統的 VNet 之間設定 VNet 對等連線。 |
提供有關 Azure 專用 DNS 的詳細信息
如果你使用 "Azure 專用 DNS",那麼就需要在每個Console代理上修改一個設定檔。否則,控制台無法設定Cloud Volumes ONTAP與其關聯儲存帳戶之間的 Azure Private Link 連線。
請注意,DNS 名稱必須符合 Azure DNS 命名要求 "如 Azure 文件所示"。
-
透過 SSH 連接到控制台代理主機並登入。
-
導航至 `/opt/application/netapp/cloudmanager/docker_occm/data`目錄。
-
編輯 `app.conf`透過添加 `user-private-dns-zone-settings`具有以下關鍵字-值對的參數:
"user-private-dns-zone-settings" : { "resource-group" : "<resource group name of the DNS zone>", "subscription" : "<subscription ID>", "use-existing" : true, "create-private-dns-zone-link" : true }
這 `subscription`僅當私有 DNS 區域與控制台代理的訂閱不同時才需要關鍵字。
-
儲存檔案並登出控制台代理程式。
不需要重新啟動。
啟用故障回滾
如果控制台無法在特定操作中建立 Azure 專用鏈接,它將在沒有 Azure 專用連結連接的情況下完成此操作。建立新系統(單一節點或 HA 對)時,或在 HA 對上執行以下操作時,可能會發生這種情況:建立新聚合、向現有聚合新增磁碟或在超過 32 TiB 時建立新的儲存帳戶。
如果控制台無法建立 Azure 專用鏈接,您可以透過啟用回溯來變更此預設行為。這有助於確保您完全遵守公司的安全規定。
如果啟用回滾,控制台將停止該操作並回滾作為該操作的一部分所建立的所有資源。
您可以透過 API 或更新 app.conf 檔案來啟用回滾。
透過 API 啟用回滾
-
使用 `PUT /occm/config`具有以下請求主體的 API 呼叫:
{ "rollbackOnAzurePrivateLinkFailure": true }
透過更新 app.conf 啟用回滾
-
透過 SSH 連接到控制台代理的主機並登入。
-
導覽至以下目錄:/opt/application/netapp/cloudmanager/docker_occm/data
-
編輯 app.conf,新增以下參數和值:
"rollback-on-private-link-failure": true . 儲存檔案並登出控制台代理程式。
不需要重新啟動。