OnCommand Cloud Manager 3.3 インストレーションとセットアップ

インストレーションとセットアップ

2017_{年7月 | 215-12749_A0}

ng-gpso-jp-documents@netapp.com Cloud Manager 3.3.1_用に更新

目次

インストールとセットアップのワークフロー ... 5

Cloud Manager

とONTAP Cloudの環境の準備 ... 7

Cloud Managerソフトウェアの要件 ... 7

AWS環境の準備 ... 9

AWSネットワークの要件 ... 10

複数のAZにまたがるONTAP Cloud HA構成用のAWSネットワーク の要件 ... 12

VPCの構成例 ... 14

Cloud ManagerへのAWS権限の付与 ... 16

ONTAP Cloudの暗号化機能を使用するためのキー管理ツールの要 件 ... 17

AWS Key Management Serviceの要件 ... 20

Cloud Manager用のAWS請求とコスト管理の設定 ... 20

Azure環境の準備 ... 22

Azureネットワークの要件 ... 23

Cloud ManagerへのAzure権限の付与 ... 24

AzureでのプログラムによるONTAP Cloudの導入の有効化 ... 30

ネットワークとポリシーの情報 ... 31

セキュリティ グループのルール ... 31

Cloud ManagerがAWS権限で実行できる処理 ... 33

Cloud ManagerがAzure権限で実行できる処理 ... 36

OnCommand Cloud Manager

のインストール ... 38

標準のAWSリージョンでのCloud Managerインスタンスの起動 ... 38

AWS GovCloud（US）リージョンでのCloud Managerインスタンスの起動 ... 39

AzureでのCloud Manager仮想マシンの作成 ... 41

既存のLinuxホストへのCloud Managerのインストール ... 42

OnCommand Cloud Manager

のセットアップ ... 44

ストレージ システム ビューでのCloud Managerのセットアップ ... 44

セキュアなアクセスのためのHTTPS証明書のインストール ... 47

ADユーザ アカウントと連携するためのCloud Managerの設定 ... 48

テナントの作成 ... 48

ユーザ アカウントの作成 ... 49

ONTAP Cloudの暗号化機能でSafeNetのキー管理ツールを使用す るためのCloud Managerの設定 ... 50 ボリューム ビューでのCloud Managerのセットアップ ... 53 サポートの登録 ... 56

インストールとセットアップの完了後の作業 ... 58

著作権に関する情報 ... 59

商標に関する情報 ... 60

マニュアルの更新について ... 61

インストールとセットアップのワークフロー

Cloud Managerを導入するには、環境を準備し、Cloud Managerをインストールして、ストレー

ジ システム ビューまたはボリューム ビュー（標準のAWSリージョンのみでサポート）で セットアップを行います。

次の図は、ストレージ システム ビューでのCloud Managerのインストールとセットアップの ワークフローを示しています。

関連概念

OnCommand Cloud Managerのインストール（38ページ） OnCommand Cloud Managerのセットアップ（44ページ）

関連タスク

Cloud ManagerとONTAP Cloudの環境の準備（7ページ） 関連資料

Cloud Manager

と

ONTAP Cloud

の環境の準備

Cloud Managerのインストールとセットアップを開始する前に、環境を準備し、インストー ルとセットアップに必要な情報を確認しておく必要があります。 手順 1. Cloud Managerの要件の確認（7ページ） ホストの要件、Webブラウザの要件など、構成のサポートを確認する必要があります。ほ とんどの情報はネットアップInteroperability Matrixで確認できますが、ここではネット アップ サポート サイトのアカウントがないユーザ向けに最小限の情報を示します。 2. AWS環境の準備（9ページ）

Cloud ManagerとONTAP CloudがAWSで正しく動作するように、いくつかの要件に従って AWS環境を準備する必要があります。

3. Azure環境の準備（22ページ）

Cloud ManagerとONTAP CloudがMicrosoft Azureで正しく動作するように、いくつかの要件

に従ってAzure環境を準備する必要があります。

4. （オプション）ネットワークとクラウド プロバイダの権限に関する詳細の確認（31ペー

ジ）

Cloud ManagerおよびONTAP Cloud用のクラウド環境を準備する際は、必要に応じて次の

情報を参照してください。

Cloud Manager

ソフトウェアの要件

ホストの要件、Webブラウザの要件など、構成のサポートを確認する必要があります。ほと んどの情報はネットアップ Interoperability Matrixで確認できますが、ここではネットアップ サポート サイトのアカウントがないユーザ向けに最小限の情報を示します。

ネットアップ サポート サイトのアカウントがある場合は、NetApp Interoperability Matrix Tool にアクセスして、サポートされるCloud Managerの構成を検索できます。

Cloud Managerのインストール方法

Cloud Managerソフトウェアは、AWS MarketplaceまたはGovCloud EC2コンソールから新しい

インスタンスを起動してAWSでインストールするか、Azure Marketplaceから新しい仮想マシ ンを導入してAzureでインストールするか、既存のホストにダウンロードしてインストール できます。

Cloud Managerをどの方法でインストールした場合も、その場所からONTAP Cloudシステムを

導入するネットワークへの接続を確立する必要があります。 AWSのEC2インスタンスの要件

Cloud ManagerがサポートされるAWSのインスタンス タイプはt2.mediumです。それ以外の EC2インスタンス タイプでもCloud Managerを実行することは可能ですが、サポートの対象

外になります。

Azureの仮想マシンの要件

Cloud ManagerがサポートされるAzureの仮想マシン タイプはA2、D1、D2、D1_v2、および D2_v2です。それ以外の仮想マシン タイプでもCloud Managerを実行することは可能です

ホストの要件 既存のホストでCloud Managerを実行する場合は、物理マシンまたは仮想マシンが次の最小 要件を満たしている必要があります。 コンポーネント 要件 オペレーティング システ ム 次のいずれかが必要：_{• CentOS 7.1} • CentOS 7.2

• Red Hat Enterprise Linux 7.1 • Red Hat Enterprise Linux 7.2

ハイパーバイザー CentOSまたはRed Hat Enterprise Linuxの実行が認定されてい

るベア メタルまたはホスト型のハイパーバイザー

Red Hatソリューション：「Which hypervisors are certified to run Red Hat Enterprise Linux?」

CPU 2.27GHz以上、2コア RAM 4GB 空きディスク スペース 50GB ポートの要件 既存のホストにCloud Managerをインストールする場合は、次のポートが使用可能なことを 事前に確認する必要があります。これらのポートが他のサービスで使用されている場合、 Cloud Managerのインストールに失敗します。 ポート 目的

80 Cloud Manager WebコンソールへのHTTPアクセスを提供しま

す。

443 Cloud Manager WebコンソールへのHTTPSアクセスを提供し

ます。

3306 Cloud Managerのデータを格納するMySQLデータベースで使

用されます。

8080 Cloud ManagerのAPIプロキシであるSimplicatorサービスで使

用されます。 ポート3306は競合する可能性があります。ホストでMySQLの別のインスタンスが実行され ている場合、デフォルトでは、そのインスタンスでポート3306が使用されます。その場合 は、既存のMySQLインスタンスで使用するポートを変更する必要があります。 デフォルトのHTTPポートとHTTPSポートは、Cloud Managerをインストールする際に変更で きます。MySQLデータベースのデフォルトのポートは変更できません。 HTTPポートと HTTPSポートを変更する場合は、ユーザがリモート ホストからCloud ManagerのWebコン ソールにアクセスできるようにしてください。 • ポート経由でのインバウンド接続を許可するようにセキュリティ グループを変更しま す。

Webブラウザの要件

Cloud Managerをインストールしたら、サポート対象のWebブラウザからCloud Managerコン

ソールにアクセスする必要があります。 Webブラウザ サポートされる最小バージョン Google Chrome 55 Microsoft Edge 38 Mozilla Firefox 50 サポートされるWebブラウザのバージョンの完全なリストについては、NetApp Interoperability Matrix Toolを参照してください。

関連資料

AWSネットワークの要件（10ページ） Azureネットワークの要件（23ページ）

AWS

環境の準備

Cloud ManagerとONTAP CloudがAWSで正しく動作するように、いくつかの要件に従って AWS環境を準備する必要があります。

開始する前に

AWSネットワークを構成するVirtual Private Cloud（VPC;仮想プライベート クラウド）、サブ

ネット、およびセキュリティ グループについて理解しておく必要があります。 AWS Documentation: Your VPC and Subnets

手順

1. AWSネットワークをセットアップします。

少なくとも次の要件を満たしている必要があります。

• ターゲットVPCに、アウトバウンドのインターネット アクセスが有効なサブネットが 1つ以上必要です。

• Cloud Managerとは別のサブネットまたはネットワークにONTAP Cloudを導入する場

合は、それらのネットワーク間の接続を確立する必要があります。

• ハイブリッド クラウド環境やマルチクラウド環境でデータをレプリケートする場合

は、ネットワーク間のVPN接続を確立する必要があります。 AWSネットワークの要件（10ページ）

複数のAZにまたがるONTAP Cloud HA構成用のAWSネットワークの要件（12ページ） 2. 必要な権限を付与して、Cloud ManagerからAWSの処理を実行できるようにします。

Cloud ManagerへのAWS権限の付与（16ページ）

3. AWS MarketplaceでONTAP Cloudのサブスクリプションを登録して、インスタンスを起動

できるようにします。

a. AWS MarketplaceのONTAP Cloudのページに移動します。

AWS Marketplace：ONTAP Cloud for AWS

AWS Marketplace: ONTAP Cloud for AWS - High Availability

AWS Marketplace: ONTAP Cloud for AWS - High Availability (BYOL)

b. 使用条件を確認し、[Accept]をクリックします。

重要：ONTAP CloudインスタンスをEC2コンソールから起動しないでください。

注：AWS GovCloud（US）リージョンでONTAP Cloudを起動する場合は、サブスク

リプションは必要ありません。

AWS Documentation: Controlling Access to AWS Marketplace Subscriptions

4. 必要に応じて、AWSのインスタンス数や合計ストレージに関するデフォルトの上限を増 やすように変更を申請します。

AWS Documentation: AWS Service Limits

AWS Documentation: Amazon EC2 Service Limits Report Now Available

5. データを暗号化するかどうかを決め、暗号化する場合は要件を満たします。

『Cloud ManagerとONTAP Cloudの概要』：「AWSでONTAP Cloudのデータを暗号化する方 法」

ONTAP Cloudの暗号化機能を使用するためのキー管理ツールの要件（17ページ） AWS Key Management Serviceの要件（20ページ）

注：この手順は、ボリューム ビューでCloud Managerを使用する場合はスキップしてく ださい。

6. オプション：ONTAP Cloudインスタンスのコンピューティングとストレージのコストを

Cloud Managerで表示できるように、AWS請求とコスト管理を設定します。

Cloud Manager用のAWS請求とコスト管理の設定（20ページ）

注：この手順は、ボリューム ビューでCloud Managerを使用する場合はスキップしてく ださい。

AWS

ネットワークの要件

Cloud ManagerからAWSでONTAP Cloudインスタンスを起動して管理するには、ネットワー

クに関していくつかの要件を満たす必要があります。 アウトバウンドのインターネットアクセス VPC内のサブネットはパブリックでもプライベートでもかまいませんが、どちらの場合もア ウトバウンドのインターネット アクセスを許可する必要があります。アウトバウンドのイ ンターネット アクセスは、Cloud ManagerとAWSサービスの間の通信、Amazon S3のソフト ウェア イメージへのアクセス、ネットアップのテクニカル サポートの利用時、およびNetApp AutoSupportとの通信に必要になります。 プライベート サブネットの場合は、NATデバイス、プロキシ サーバ、またはVPN接続を使 用してアウトバウンドのインターネット アクセスをルーティングできます。プロキシを使 用する場合は、使用するプロキシをCloud Managerで設定する必要があります。これは、Cloud ManagerのSetupウィザードで設定できます。

AWS Documentation: NAT

ストレージの健常性をプロアクティブに監視するNetApp AutoSupportトラブルシューティン グ ツール用にインターネット アクセスを設定するときは、次の点に注意してください。

• NATインスタンスを使用する場合、プライベート サブネットからインターネットへの HTTPSトラフィックを許可するインバウンド セキュリティ グループ ルールを定義する 必要があります。 • VPN構成を使用する場合、ルーティングおよびファイアウォール ポリシーで support.netapp.comへのAWS HTTP/HTTPSトラフィックを許可する必要があります。 セキュリティグループ セキュリティ グループを作成する必要はありません。セキュリティ グループはCloud Managerで自動的に作成されます。 セキュリティ グループのルール（31ページ）

Cloud ManagerとONTAP Cloudサブネットの間の接続

Cloud Managerは、ONTAP Cloudシステムを起動するサブネット（HAメディエーターを含む）

に接続する必要があります。

ターゲットVPCにCloud Managerがインストールされていない場合は、そのVPCへのネット ワーク接続を確立する必要があります。たとえば、Azureまたは自社ネットワークにCloud

Managerをインストールした場合は、ONTAP Cloudシステムを起動するVPCへのVPN接続を

設定する必要があります。

Cloud Manager Webコンソールへの接続

ユーザはCloud ManagerにWebブラウザからアクセスする必要があります。Cloud Managerを

AWSで導入する場合、パブリックIPアドレスを指定したパブリック サブネットでCloud Managerを起動すると簡単にアクセスを提供できます。プライベートIPアドレスを代わりに

使用する場合は、次のいずれかのホストを介してコンソールにアクセスできます。

• Cloud Managerへの接続が確立されたVPC内のジャンプ ホスト

• プライベートIPアドレスへのVPN接続が確立された自社ネットワーク内のホスト

ONTAP CloudからAWS S3への接続

パフォーマンス階層としてEBSを使用し、大容量階層としてAWS S3を使用する場合は、 ONTAP CloudからS3への接続を確立する必要があります。この接続を確立する方法として は、S3サービスに対するVPCエンドポイントを作成する方法が最も一般的です。 VPCエンドポイントを作成するときは、ONTAP Cloudインスタンスに対応するリージョン、 VPC、およびVPCルーティング テーブルを選択してください。 『ONTAP Cloudシステムの導入と管理』：「AWSディスク タイプの選択」 他のネットワークにあるONTAPシステムへの接続（ストレージシステムビューのみ）

AWSのONTAP Cloudシステムと他のネットワークにあるONTAPシステムの間でデータをレ

プリケートするには、AWS VPCと他のネットワーク（Azure VNetや自社ネットワークなど） の間でVPN接続を確立する必要があります。

キー管理ツールへの接続（ストレージシステムビューのみ）

ONTAP Cloudのデータ暗号化機能を使用する場合は、ONTAP CloudインスタンスからAWSま

たは自社ネットワークにある1つ以上のキー管理ツールへの接続を確立する必要がありま す。

CIFS用のDNSとActive Directory（ストレージシステムビューのみ）

CIFSストレージをプロビジョニングする場合は、DNSおよびActive DirectoryをAWSで設定す

るか、オンプレミスの設定をAWSに拡張する必要があります。

Active Directory環境用の名前解決サービスをDNSサーバで提供する必要があります。DHCP

オプション セットではデフォルトのEC2 DNSサーバを使用するように設定できますが、こ のサーバをActive Directory環境で使用するDNSサーバにすることはできません。

AWS: Active Directory Domain Services on the AWS Cloud Quick Start Reference Deployment

複数の

AZ

にまたがる

ONTAP Cloud HA

構成用の

AWS

ネットワークの要件

複数のAvailability Zone（AZ;アベイラビリティ ゾーン）を使用するONTAP Cloud HA構成に は、AWSネットワークに関して追加の要件が適用されます。HAペアを起動する場合は、 Cloud Managerでネットワークの詳細を入力する必要があるため、これらの要件を確認して おく必要があります。 アベイラビリティゾーン このHA導入モデルでは、複数のAZを使用してデータの高可用性を確保します。ONTAP Cloudの各インスタンスとメディエーター インスタンス（HAペア間の通信チャネル）用に、 それぞれ専用のAZを使用する必要があります。 リージョンのアベイラビリティ ゾーンの数が3つ未満の場合は、AWSで追加を依頼してみて ください。 アウトバウンドのインターネットアクセス メディエーター インスタンスには、ストレージ フェイルオーバーの発生時にAWSと通信で きるようにアウトバウンドのインターネット アクセスが必要です。 データアクセス用のフローティングIPアドレス

複数のAZに展開されたONTAP Cloud HA構成では、VPC内からのNASクライアント アクセス にフローティングIPアドレスを使用します。これらのIPアドレスは障害の発生時にノード 間で移行できます。 HA構成を導入するAWSリージョン内で、どのVPCのCIDRブロックにも属さないフローティ ングIPアドレスを3つ指定する必要があります。フローティングIPアドレスは、リージョン 内のVPCの外部にある論理サブネットとみなすことができます。 注：クラスタ管理用、ノード1のNFS / CIFSデータ用、およびノード2のNFS / CIFSデータ 用に、それぞれ1つずつフローティングIPアドレスが必要です。 次の例は、AWSリージョンにおけるフローティングIPアドレスとVPCの関係を示したもので す。フローティングIPアドレスはどのVPCのCIDRブロックにも属しておらず、ルーティン グ テーブルを介してサブネットにルーティングできます。

フローティングIPアドレスは、Cloud ManagerでONTAP Cloud HA作業環境を作成するときに 手動で入力する必要があります。システムの起動時に、それらのIPアドレスがCloud Manager からHAペアに割り当てられます。 注：VPCの外部にあるクライアントからのiSCSIアクセスとNASアクセスに対しては、Cloud Managerで自動的に静的IPアドレスが作成されます。これらのタイプのIPアドレスについ ては、特別な要件はありません。 SVM管理用のフローティングIPアドレス

ONTAP Cloud HAペアでSnapDrive for WindowsまたはSnapCenterを使用する場合は、SVM管理 LIF用のフローティングIPアドレスも必要になります。このLIFはHAペアの起動後に作成す

る必要があります。

『ONTAP Cloudシステムの導入と管理』：「ONTAP Cloudのセットアップ」

ルーティングテーブル

Cloud ManagerでフローティングIPアドレスを指定したあと、それらのフローティングIPアド

レスへのルートを含むルーティング テーブルを選択する必要があります。これにより、 ONTAP Cloud HAペアへのクライアント アクセスが有効になります。 VPC内のサブネット用のルーティング テーブルが1つ（メイン ルーティング テーブル）だけ の場合は、Cloud Managerによって、そのルーティング テーブルに自動的にフローティング IPアドレスが追加されます。ルーティング テーブルが複数ある場合は、正しいルーティング テーブルを選択することが非常に重要です。正しいルーティング テーブルを選択しない と、一部のクライアントがONTAP Cloud HAペアにアクセスできなくなる可能性があります。 たとえば、2つのサブネットがそれぞれ異なるルーティング テーブルに関連付けられている とします。ルーティング テーブルAを選択し、ルーティング テーブルBは選択しなかった場 合、ルーティング テーブルAに関連付けられたサブネットのクライアントはHAペアにアク セスできますが、ルーティング テーブルBに関連付けられたサブネットのクライアントは

HAペアにアクセスできません。

ネットアップの管理ツールへの接続

複数のAZに展開されたONTAP Cloud HA構成では、クラスタ管理インターフェイス用にフ ローティングIPアドレスを使用します。つまり、外部ルーティングは使用できません。

ONTAP Cloud HA構成でネットアップの管理ツールを使用する場合は、それらのツールを NASクライアントと同じVPCに同様のルーティング設定で含める必要があります。 構成例

次の図は、AWSでアクティブ / パッシブ構成として動作する最適なONTAP Cloud HA構成を 示しています。

関連情報

『Cloud ManagerとONTAP Cloudの概要』：「単一のアベイラビリティ ゾーンにおけるONTAP Cloud HA構成の概要」

VPC

の構成例

Cloud ManagerとONTAP CloudをAWSで導入する方法について理解を深めるために、一般的

なVPCの構成を紹介します。

Cloud ManagerとONTAP Cloudを使用する一般的なVPCの構成は次のとおりです。 • パブリックおよびプライベートのサブネットとNATデバイスを使用したVPC

• プライベート サブネットと自社ネットワークへのVPN接続を使用したVPC

高度な設定については、ネットアップ テクニカル レポート4352：『Networking Configurations for NetApp ONTAP Cloud for Amazon Web Services』を参照してください。

パブリックおよびプライベートのサブネットとNATデバイスを使用したVPC このVPC構成は、パブリック サブネットとプライベート サブネット、およびVPCをインター ネットに接続するインターネット ゲートウェイで構成されます。プライベート サブネット からのインターネット トラフィックの送信を可能にするために、パブリック サブネット内 にNATゲートウェイまたはNATインスタンスが配置されます。この構成では、パブリック サ ブネットまたはプライベート サブネットでCloud Managerを実行できますが、VPCの外部の ホストからアクセス可能なパブリック サブネットで実行することを推奨します。ONTAP Cloudインスタンスはプライベート サブネットで起動できます。 注：NATデバイスの代わりに、HTTPプロキシを使用してインターネットに接続できます。

AWS Documentation: Configuration Scenario 2 (VPC with Public and Private Subnets)

次の図は、パブリック サブネットでCloud Managerを実行し、プライベート サブネットで単 一ノードのONTAP Cloudインスタンスを実行する構成を示しています。 プライベートサブネットと自社ネットワークへのVPN接続を使用したVPC このVPC構成は、ONTAP Cloudインスタンスをプライベート環境の拡張機能として使用した ハイブリッドなクラウド構成です。プライベート サブネットと自社ネットワークへのVPN 接続を提供する仮想プライベート ゲートウェイで構成されます。VPNトンネル経由のルー ティングにより、EC2インスタンスは、ネットワークおよびファイアウォールを通過してイ ンターネットにアクセスできます。Cloud Managerはプライベート サブネットまたはデータ センターで実行できます。ONTAP Cloudインスタンスはプライベート サブネットで起動し ます。 注：この構成では、プロキシ サーバを使用してインターネット アクセスを許可すること もできます。プロキシ サーバはデータセンターまたはAWSに配置できます。 データセンターのFASシステムとAWSのONTAP Cloudの間でデータをレプリケートする場 合は、VPN接続を使用してセキュアなリンクを確立する必要があります。

AWS Documentation: Configuration Scenario 4 (VPC with a Private Subnet Only and Hardware VPN Access)

次の図は、データセンターでCloud Managerを実行し、プライベート サブネットで単一ノー ドのONTAP Cloudインスタンスを実行する構成を示しています。

Cloud Manager

への

AWS

権限の付与

Cloud ManagerからAWSの処理を実行するには権限が必要です。Cloud Managerで使用できる AWSの処理とリソースは、Cloud Manager IAMポリシーで定義されています。Cloud Manager

インスタンスにIAMロールを関連付けるか、Cloud Managerユーザ アカウントごとにAWSア クセス キーを指定して、IAMポリシーで定義されている権限を付与する必要があります。 IAMポリシーで定義されている権限よりも少ない権限しか付与しなかった場合、Cloud Managerで実行できない処理については手動で実行する必要があります。たとえば、AWSリ ソースを削除する権限を付与しない場合、それらのリソースの削除は手動で行う必要があり ます。 操作

• Cloud Managerインスタンス用のIAMロールの設定（16ページ）

• IAMユーザへの権限の付与（17ページ） 関連資料

Cloud ManagerがAWS権限で実行できる処理（33ページ） Cloud Managerインスタンス用のIAMロールの設定

AWSでCloud Managerインスタンスを起動するときにIAMロールを関連付けることで、Cloud ManagerにAWS権限を付与することができます。インスタンスを起動する前に、IAMポリ

シーを作成してIAMロールに関連付ける必要があります。 タスク概要

すでに実行中のCloud ManagerインスタンスにIAMロールを関連付けることはできません。 手順

1. Cloud Manager IAMポリシーを次の場所からダウンロードします。

2. IAMコンソールで、Cloud Manager IAMポリシーからコピーしたテキストを貼り付けて独 自のポリシーを作成します。

3. タイプがAmazon EC2のIAMロールを作成し、前の手順で作成したポリシーを関連付けま す。

タスクの結果

AWSでCloud Managerインスタンスを起動するときに関連付けることができるIAMロールを

設定できました。 次のタスク

標準のAWSリージョンでCloud Managerインスタンスを起動するときは、[Custom Launch]を 選択してEC2コンソールからインスタンスを起動する必要があります。EC2コンソールから 起動することで、IAMロールをCloud Managerインスタンスに関連付けることができます。

注：GovCloud（US）リージョンでCloud Managerインスタンスを起動するときは、EC2コ

ンソールからのみ起動できます。 IAMユーザへの権限の付与

Cloud Managerユーザ アカウントの作成時にIAMユーザのAWSアクセス キーを指定するこ

とで、Cloud ManagerにAWS権限を付与できます。Cloud Managerユーザ アカウントを作成す る前に、Cloud Manager IAMポリシーを使用して、それらのIAMユーザに必要な権限を付与 しておく必要があります。

タスク概要

Cloud Managerユーザの作成時にAWSルート アカウント ユーザのアクセス キーを入力した

場合は、必要な権限が割り当てられた状態でユーザが作成されます。 手順

1. Cloud Manager IAMポリシーを次の場所からダウンロードします。

NetApp OnCommand Cloud Manager：AWSとAzureのポリシー

2. IAMコンソールで、Cloud Manager IAMポリシーからコピーしたテキストを貼り付けて独

自のポリシーを作成します。

3. IAMのユーザまたはグループにポリシーを関連付けます。

AWS Documentation: Managing IAM Policies タスクの結果

IAMユーザに必要な権限が割り当てられます。Cloud Managerユーザ アカウントを作成する

ときに、それらのIAMユーザのAWSアクセス キーを指定する必要があります。

ONTAP Cloud

の暗号化機能を使用するためのキー管理ツールの要件

ONTAP Cloudの暗号化機能を使用するには、サポートされているキー管理インフラが必要で す。 サポートされているキー管理ツール 外部キー管理ツールは、認証キーをセキュアに格納するシステムで、自社ネットワークまた はAWSに配置されます。このシステムから、要求に応じて、セキュアなTLS接続を使用する ONTAP Cloudシステムにキーが提供されます。次のキー管理ツールがサポートされていま す。

• SafeNet Virtual KeySecure k150v • SafeNet KeySecure k460

• Vormetric Data Security Manager

サポート対象のソフトウェア バージョンについては、NetApp Interoperability Matrix Toolを参 照してください。

各ONTAP Cloudシステムで最大4つのキー管理ツールがサポートされます。クラスタ構成で は、冗長性を確保するために複数のキー管理ツールを使用することを推奨します。

Vormetricの設定要件

ネットアップの技術情報アーティクル000033069を参照してください。

注：Cloud Managerの[Encryption Setup]ページには、SafeNetのキー管理ツールに関する設定

しかありません。ONTAP CloudでVormetricのキー管理ツールを使用する場合は、技術情報 アーティクルを参照してセットアップしてください。 SafeNetの設定要件 SafeNetの各キー管理ツールでいくつかの証明書が必要になります。また、KMIPサーバ、 ONTAP Cloudシステムへのネットワーク接続も必要です。クライアント証明書認証を使用 する場合は、そのための固有の要件も満たす必要があります。Cloud Managerはキー管理 ツールとは通信しません。そのため、Cloud Managerとキー管理ツールの間のネットワーク 接続は必要ありません。 キー管理ツールの要件は次のとおりです。 要件 説明 キー管理ツールには サーバ証明書が必要 である キー管理ツールには、ONTAP Cloudシステムとの認証に使用する サーバ証明書が必要です。SSL証明書では、Privacy Enhanced Mail （PEM）Base-64でエンコードされたX.509形式を使用する必要があ ります。キー管理ツールでKMIPサーバを設定するときに、この サーバ証明書を選択します。 ONTAP Cloudシステムで複数（最大4つ）のキー管理ツールを使用 する場合は、各キー管理ツールのサーバ証明書に同じCertificate Authority（CA;認証局）による署名が必要です。 署名したCAがキー管 理ツールで信頼され ている必要がある サーバ証明書に署名したCAがキー管理ツールで認識され、信頼さ れている必要があります。 キー管理ツールには KMIPサーバが必要 である 各キー管理ツールには、SSLを使用するKMIPサーバと特定のポー トが必要です。ONTAP Cloud用の推奨されるポートはデフォルト の5696です。このポートは、必要に応じてCloud Managerのセット アップ時に変更できます。 キー管理ツールには ONTAP Cloudシステ ムへのネットワーク 接続が必要である キー管理ツールがAWSにある場合、ONTAP Cloudインスタンスが 実行されているサブネットへの接続を確立する必要があります。 キー管理ツールが自社ネットワークにある場合は、VPCへのVPN 接続によって必要な接続が確立されます。 ファイアウォールの設定で、KMIPポート経由の通信を許可する必 要があります。

要件 説明 クライアント証明書 認証を使用する場 合、Cloud Manager CA とそのルートCAが キー管理ツールで信 頼されている必要が ある

Cloud Managerをセットアップするときに、ONTAP Cloudクライア

ント証明書に署名できるように中間CAとして設定します。KMIP サーバでクライアント証明書認証が必要な場合は、そのCloud

Manager中間CAがキー管理ツールで認識され、信頼されている必

要があります。

Cloud Manager証明書に署名したルートCAもキー管理ツールで認

識され、信頼されている必要があります。 クライアント証明書 認証を使用する場 合、互換性がある ユーザ名フィールド をキー管理ツールで チェックする必要が ある キー管理ツールのKMIPサーバでクライアント証明書のユーザ名 をチェックする場合、ONTAP Cloudクライアント証明書と互換性 があるフィールドを使用する必要があります。Cloud Managerで は、CN（共通名）、E（Eメール アドレス）、およびOU（組織単位） のフィールドにユーザ名を含むONTAP Cloudクライアント証明書 を作成できます。 KMIPの暗号使用マ スクをnoに設定する 必要がある SafeNet OS v8.6を使用する場合は、次の作業を行う必要がありま す。 1. 管理者ユーザを使用してCLIに接続します。 2. 次のコマンドを入力します。 • config • no kmip cryptographicusagemask 3. ユーザ インターフェイスからNAEサーバを再起動します。 次の図は、これらの要件を示しています。 注：

1. Cloud Manager中間CAとそのルートCAが信頼されている必要があるのは、KMIPサーバで

クライアント証明書認証が必要な場合のみです。

2. 両方のキー管理ツールのサーバ証明書に同じCAの署名が必要です。このCAのことを

これらの要件を満たしていることを確認したら、ユーザがONTAP Cloudの暗号化機能を有効 にできるようにCloud Managerを設定する必要があります。

関連タスク

ONTAP Cloudの暗号化機能でSafeNetのキー管理ツールを使用するためのCloud Managerの 設定（50ページ）

関連情報

『Cloud ManagerとONTAP Cloudの概要』：「AWSでONTAP Cloudのデータを暗号化する方 法」

『Cloud ManagerとONTAP Cloudの概要』：「ONTAP Cloudの暗号化機能の仕組み」

ネットアップの技術情報アーティクル：「How to use the Vormetric external key management solution with ONTAP Cloud」

AWS Key Management Service

の要件

ONTAP CloudでAmazon暗号化を使用する場合は、AWS Key Management Service（KMS）を

設定する必要があります。

ONTAP CloudのデータをAWS KMSを使用して暗号化するには、2つの要件を満たす必要があ

ります。

• アカウントでCMKがアクティブになっている必要があります。AWSが管理するCMKで

もユーザが管理するCMKでもかまいません。

• IAMユーザまたはCloud Managerに関連付けられているIAMロールをCMKのキー ユーザ

のリストに追加する必要があります。これにより、ONTAP CloudでCMKを使用するため の権限がCloud Managerに付与されます。

関連情報

『Cloud ManagerとONTAP Cloudの概要』：「AWSでONTAP Cloudのデータを暗号化する方 法」

Cloud Manager

用の

AWS

請求とコスト管理の設定

Cloud Managerでは、AWSでのONTAP Cloudの実行に関連する月あたりのコンピューティン

グ コストとストレージ コストを表示できます。Cloud Managerでコストを表示するには、

AWS支払いアカウントのユーザが請求レポートをS3バケットに格納するようにAWSで設定

していることが条件になります。それには、まず対象のS3バケットにアクセスする権限を

Cloud Managerに付与し、最初のONTAP Cloudインスタンスの起動後にAWSレポート タグを

有効にする必要があります。 開始する前に

Cloud ManagerにAWS権限を付与して、S3バケットにアクセスできるようにしておく必要が

あります。

Cloud ManagerへのAWS権限の付与（16ページ） タスク概要 AWS支払いアカウントのユーザが請求レポートをS3バケットに格納するようにAWSで設定 している必要があります。Cloud Managerでは、そのレポートの情報を使用して、ONTAP Cloudインスタンスに関連する月あたりのコンピューティングとストレージのコスト、およ びネットアップ製品の効率化機能によるストレージ コストの削減率（有効になっている場 合）を表示します。

最終的なコストの詳細はAWSで確認してください。 次の図は、AWSの月あたりのコストの表示例を示しています。 次の図は、ストレージ コストの削減率の表示例を示しています。 手順 1. Amazon S3コンソールに移動し、請求明細レポート用のS3バケットを設定します。 a. S3バケットを作成します。 b. S3バケットにリソースベースのバケット ポリシーを適用して、請求とコスト管理の請 求レポートをS3バケットに格納できるようにします。

請求明細レポート用のS3バケットの使用方法、およびバケット ポリシーの使用例につい ては、AWS Documentation: Understand Your Usage with Detailed Billing Reportsを参照してく ださい。

2. Billing and Cost Managementコンソールで、[Preferences]に移動してレポートを有効にし ます。

a. [Receive Billing Reports]を有効にし、S3バケットを指定します。 b. [Cost allocation report]を有効にします。

3. ユーザ アカウントの作成時に、作成したS3バケットを指定します。 ユーザ アカウントの作成（49ページ）

注：AWSキーを指定してCloud ManagerにAWS権限を付与する場合は、ユーザ アカウン

トを作成し、支払いアカウントで作成したIAMユーザのAWSキーか支払いアカウント 自体のAWSキーを指定する必要があります。

4. 最初のONTAP Cloudインスタンスの起動後、請求とコスト管理の[Preferences]に戻り、

[Manage report tags]をクリックして[WorkingEnvironmentId]タグを有効にします。

このタグは、AWS支払いアカウントのいずれかのアカウントで最初のONTAP Cloud作業 環境を作成するまではAWSで利用できません。 タスクの結果 Cloud Managerでコスト情報が更新されるようになります。ポーリング間隔は12時間です。 次のタスク コストのレポートが必要なその他のAWS支払いアカウントについて、同じ手順を繰り返しま す。 関連情報

AWSドキュメント：「Setting Up Your Monthly Cost Allocation Report」 AWSドキュメント：「Controlling Access to Your Billing Information」

Azure

環境の準備

Cloud ManagerとONTAP CloudがMicrosoft Azureで正しく動作するように、いくつかの要件に

従ってAzure環境を準備する必要があります。 開始する前に

Azureネットワークを構成するVirtual Network（VNet;仮想ネットワーク）、サブネット、およ

びネットワーク セキュリティ グループについて理解しておく必要があります。 Microsoft Azureのドキュメント：「Virtual Network Overview」

手順

1. Azureネットワークをセットアップします。

少なくとも次の要件を満たしている必要があります。

• ターゲットVNetに、アウトバウンドのインターネット アクセスが有効なサブネット

• Cloud Managerとは別のサブネットまたはネットワークにONTAP Cloudを導入する場 合は、それらのネットワーク間の接続を確立する必要があります。 • ハイブリッド クラウド環境やマルチクラウド環境でデータをレプリケートする場合 は、ネットワーク間のVPN接続を確立する必要があります。 Azureネットワークの要件（23ページ） 2. 必要な権限を付与して、Cloud ManagerからAzureの処理を実行できるようにします。 Cloud ManagerへのAzure権限の付与（24ページ）

3. ONTAP Cloudの利用条件に同意し、Cloud Managerからのプログラムによる導入を有効に

します。

AzureでのプログラムによるONTAP Cloudの導入の有効化（30ページ）

Azure

ネットワークの要件

Cloud ManagerでONTAP Cloudシステムを導入し、それらのシステムが適切に動作するよう

に、Azureネットワークをセットアップする必要があります。 アウトバウンドのインターネットアクセス アウトバウンドのインターネット アクセスは、Cloud ManagerとAzureサービスの間の通信、 Amazon S3のソフトウェア イメージへのアクセス、およびネットアップのテクニカル サポー トの利用時に必要になります。VNetまたはサブネットに割り当てられたネットワーク セ キュリティ グループによってアウトバウンドのインターネット アクセスが妨げられないよ うにする必要があります。 次の点に注意してください。 • プロキシを使用する場合は、使用するプロキシをCloud Managerで設定する必要がありま す。これは、Cloud ManagerのSetupウィザードで設定できます。 • VPN構成を使用する場合、ONTAP CloudからAutoSupportメッセージを送信できるように、 ルーティングおよびファイアウォール ポリシーでsupport.netapp.comへのAzure HTTP/ HTTPSトラフィックを許可する必要があります。 セキュリティグループ セキュリティ グループを作成する必要はありません。セキュリティ グループはCloud Managerで自動的に作成されます。 セキュリティ グループのルール（31ページ）

Cloud ManagerとONTAP Cloudサブネットの間の接続

Cloud Managerは、ONTAP Cloudシステムを導入するサブネットに接続する必要があります。

ターゲットVNetにCloud Managerがインストールされていない場合は、そのVNetへのネット ワーク接続を確立する必要があります。たとえば、AWSまたは自社ネットワークにCloud

Managerをインストールした場合は、ONTAP Cloudシステムを導入するVNetへのVPN接続を

設定する必要があります。

他のネットワークにあるONTAPシステムへの接続

AzureのONTAP Cloudシステムと他のネットワークにあるONTAPシステムの間でデータをレ

プリケートするには、Azure VNetと他のネットワーク（AWS VPCや自社ネットワークなど） の間でVPN接続を確立する必要があります。

Cloud Manager Webコンソールへの接続

ユーザはCloud ManagerにWebブラウザからアクセスする必要があります。Cloud Managerを

Azureで導入する場合、パブリックIPアドレスを割り当てると最も簡単にアクセスを提供で

きます。プライベートIPアドレスを代わりに使用する場合は、次のいずれかのホストを介し てコンソールにアクセスできます。

• Cloud Managerへの接続が確立されたVNet内のジャンプ ホスト

• プライベートIPアドレスへのVPN接続が確立された自社ネットワーク内のホスト

Cloud Manager

への

Azure

権限の付与

Cloud ManagerからMicrosoft Azureの処理を実行するには権限が必要です。必要な権限を付

与するには、Azure Active Directoryでサービス プリンシパルを作成し、そのサービス プリン シパルをカスタム ロールに割り当て、Cloud Managerでユーザ アカウントを作成するときに 入力する必要があるAzureクレデンシャルを取得する必要があります。

タスク概要

次の図は、Azureの処理を実行するための権限をCloud Managerで取得する方法を示したもの です。Azureサブスクリプションに関連付けられたサービス プリンシパル オブジェクトは、

Azure Active DirectoryにおけるCloud Managerを表しており、必要な権限を許可するカスタム

ロールに割り当てられます。 Cloud Managerユーザ アカウントを複数作成する場合は、次の2つの方法があります。 • 以下の手順を1つのAzureサブスクリプションで実行し、同じAzureクレデンシャルを使用 してCloud Managerユーザ アカウントを作成します。 この方法では、すべてのONTAP Cloudシステムが同じAzureサブスクリプションを使用し て作成されます。 • 以下の手順を複数のAzureサブスクリプションで実行し、Cloud Managerユーザ アカウン トごとに一意のAzureクレデンシャルを指定します。 どちらを選択するかは、どれくらい厳格なユーザ ポリシーを実装するかに応じて決めます。 手順 1. 必要なCloud Manager権限を含むカスタム ロールの作成（25ページ） Azureのカスタム ロールを作成するには、ネットアップが提供しているポリシー ファイル を使用する必要があります。このポリシー ファイルで、Cloud ManagerがAzureで実行でき

る処理が定義されています。このカスタム ロールをActive Directoryサービス プリンシパ ルに割り当てる必要があります。

2. Active Directoryサービス プリンシパルの作成（26ページ）

Cloud ManagerからAzureの処理を実行するには、Azure Active Directoryでの認証が必要に

なります。認証を有効にするには、Active Directoryサービス プリンシパルを作成する必要 があります。サービス プリンシパルを作成する際、Cloud Managerでユーザ アカウントを 作成するときに入力できるように、Active Directoryの情報をコピーしておく必要がありま す。

3. サービス プリンシパルへのCloud Manager Operatorロールの割り当て（28ページ）

Azureで処理を実行するための権限をCloud Managerに付与するために、Azureサブスクリ

プションにサービス プリンシパルをバインドし、そのサービス プリンシパルにCloud

Manager Operatorロールを割り当てる必要があります。

4. AzureサブスクリプションIDの取得（29ページ）

Cloud Managerでユーザ アカウントを作成するときに入力する必要があるため、Azureサブ

スクリプションIDを取得する必要があります。このIDは、Cloud Managerからプログラム によってAzureにログインし、ONTAP Cloudシステムを導入するために必要になります。 関連資料

Cloud ManagerがAzure権限で実行できる処理（36ページ）

必要なCloud Manager権限を含むカスタムロールの作成 Azureのカスタム ロールを作成するには、ネットアップが提供しているポリシー ファイルを 使用する必要があります。このポリシー ファイルで、Cloud ManagerがAzureで実行できる処 理が定義されています。このカスタム ロールをActive Directoryサービス プリンシパルに割 り当てる必要があります。 手順

1. Cloud Manager Azureポリシーを次の場所からダウンロードします。

NetApp OnCommand Cloud Manager：AWSとAzureのポリシー

2. JSONファイルを変更して、割り当て可能な範囲にAzureサブスクリプションIDを追加し ます。 ユーザがONTAP Cloudシステムの作成に使用する各AzureサブスクリプションのIDを追 加する必要があります。 例 "AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz" 3. JSONファイルを使用してカスタム ロールを作成します。 Azure CLI 2.0を使用してカスタム ロールを作成する例を次に示します。 az role definition create --role-definition C:

\Policy_for_Cloud_Manager_Azure_3.1.json

タスクの結果

次のタスク

Active Directoryサービス プリンシパルを作成します。

関連資料

Cloud ManagerがAzure権限で実行できる処理（36ページ） 関連情報

Microsoft Azureのドキュメント：「Custom Roles in Azure RBAC」 Active Directoryサービスプリンシパルの作成

Cloud ManagerからAzureの処理を実行するには、Azure Active Directoryでの認証が必要になり

ます。認証を有効にするには、Active Directoryサービス プリンシパルを作成する必要があり ます。サービス プリンシパルを作成する際、Cloud Managerでユーザ アカウントを作成する ときに入力できるように、Active Directoryの情報をコピーしておく必要があります。 開始する前に

AzureでActive Directoryアプリケーションを作成してロールに割り当てるための適切な権限

が必要です。

Microsoft Azureドキュメント：「Use portal to create Active Directory application and service principal that can access resources」

手順

1. Azureポータルで、[Azure Active Directory]サービスを開きます。

2. メニューの[App registrations]をクリックします。 3. サービス プリンシパルを作成します。

a. [Add]をクリックします。

b. アプリケーションの名前を入力し、[Web app / API]を選択したままにして、任意の URL（例：http://url）を入力します。

c. [Create]をクリックします。

4. アプリケーションを変更して必要な権限を追加します。

a. 作成したアプリケーションを選択します。

c. [Select an API]をクリックし、[Windows Azure Service Management API]を選択して、 [Select]をクリックします。

d. [Access Azure Service Management as organization users]をクリックし、[Select]をク

リックして、[Done]をクリックします。 5. サービス プリンシパルのキーを作成します。 a. [Settings]で、[Keys]をクリックします。 b. 説明を入力し、期間を選択して、[Save]をクリックします。 c. キーの値をコピーします。 このキーの値は、Cloud Managerでこのサブスクリプションのユーザ アカウントを作 成するときに入力する必要があります。 6. 画面を左にスクロールし、サービス プリンシパルのアプリケーションIDをコピーしま す。 このアプリケーションIDは、キーの値と同様に、Cloud Managerでこのサブスクリプショ ンのユーザ アカウントを作成するときに入力する必要があります。

7. 組織のActive DirectoryテナントIDを取得します。

a. Active Directoryのメニューで、[Properties]をクリックします。 b. [Directory ID]の値をコピーします。

このActive DirectoryテナントIDは、アプリケーションIDおよびアプリケーション キーと 同様に、Cloud Managerのユーザ アカウントを作成するときに入力する必要があります。 タスクの結果

Active Directoryサービス プリンシパルを作成し、アプリケーションID、アプリケーション

キー、およびActive DirectoryテナントIDをコピーしました。 次のタスク

サービス プリンシパルにCloud Manager Operatorロールを割り当てます。

サービスプリンシパルへのCloud Manager Operatorロールの割り当て

Azureで処理を実行するための権限をCloud Managerに付与するために、Azureサブスクリプ

ションにサービス プリンシパルをバインドし、そのサービス プリンシパルにCloud Manager

Operatorロールを割り当てる必要があります。

手順

1. Azureポータルの左側のペインで、[Subscriptions]を選択します。 2. サブスクリプションを選択します。

3. [Access control (IAM)]をクリックし、[Add]をクリックします。 4. [OnCommand Cloud Manager Operator]ロールを選択します。

5. アプリケーションの名前を検索します（リストをスクロールして探すことはできませ ん）。

6. アプリケーションを選択して[Select]をクリックし、[OK]をクリックします。 AzureサブスクリプションIDの取得

Cloud Managerでユーザ アカウントを作成するときに入力する必要があるため、Azureサブス

クリプションIDを取得する必要があります。このIDは、Cloud Managerからプログラムに よってAzureにログインし、ONTAP Cloudシステムを導入するために必要になります。 手順 1. Azureポータルで、[Subscriptions]サービスを選択します。 2. [Subscriptions]ペインで、サブスクリプションのIDをコピーします。 次のタスク

Cloud Managerでユーザ アカウントを作成するときに、取得したAzureサブスクリプションID

を入力します。 関連タスク

Azure

でのプログラムによる

ONTAP Cloud

の導入の有効化

ユーザがAzureでONTAP Cloudを導入できるようにするには、各Azureサブスクリプションで プログラムによる導入を有効にしておく必要があります。Cloud ManagerではAPI呼び出し を使用してONTAP Cloudを導入するため、プログラムによる導入の有効化が必要です。 開始する前に プログラムによる導入を有効にするには、少なくともContributorロールを持つAzureユーザ アカウントが必要です。適切な権限がない場合は、Azureサブスクリプションの管理者に問 い合わせてください。 タスク概要

ONTAP Cloudシステムは、Cloud Managerを使用して導入する必要があります。Azureポータ

ルからはONTAP Cloudシステムを導入しないでください。 手順

1. Azure MarketplaceのONTAP Cloudのページに移動します。 Microsoft Azure Marketplace：NetApp ONTAP Cloud

2. [Get it now]をクリックし、従量課金制またはライセンス使用のどちらかの提供方式を選

択して、[Continue]をクリックします。

4. ONTAP Cloudの導入に使用する各Azureサブスクリプションについて、[Enable]をクリッ クします。 5. [Save]をクリックします。 6. ONTAP Cloudをライセンス使用と従量課金制の両方で導入する場合は、もう一方の提供 方式について同じ手順を繰り返します。 タスクの結果

Cloud Managerユーザ アカウントを作成し、適切なAzureクレデンシャルを指定すると、ユー

ザがONTAP CloudをCloud Managerから導入できるようになります。

ネットワークとポリシーの情報

Cloud ManagerおよびONTAP Cloud用のクラウド環境を準備する際は、必要に応じて次の情報

を参照してください。

セキュリティ

グループのルール

Cloud Managerで作成されるセキュリティ グループには、Cloud ManagerとONTAP Cloudがク

ラウドで正常に動作するために必要なインバウンドとアウトバウンドのルールが含まれて います。テスト目的または独自のセキュリティ グループを使用する場合は、ポートを参照 してください。 Cloud Manager用のセキュリティグループのルール インバウンド ルール 注：インバウンド ルールのソースは0.0.0.0/0です。 タイプ ポート範囲 使用目的 SSH 22 Cloud ManagerへのSSH接続 HTTP 80 Cloud Managerコンソールへの アクセス HTTPS 443 Cloud Managerコンソールへの アクセス アウトバウンド ルール タイプ ポート範囲 使用目的 すべてのTCP すべて すべてのアウトバウンド トラ フィック すべてのUDP すべて すべてのアウトバウンド トラ フィック

ONTAP Cloud用のセキュリティグループのルール インバウンド ルール 注：インバウンド ルールのソースは0.0.0.0/0です。 タイプ ポート範囲 使用目的 すべてのICMP すべて インスタンスへのping カスタムTCPルール 111 ポートマッパー カスタムTCPルール 139 NetBIOS カスタムTCPルール 161-162 SNMP カスタムTCPルール 445 Microsoft SMB カスタムTCPルール 635 NFSマウント カスタムTCPルール 749 Kerberos カスタムTCPルール 2049 NFS カスタムTCPルール 3260 iSCSI カスタムTCPルール 4045-4046 NFSマウント カスタムTCPルール 10000 NDMP カスタムTCPルール 11104-11105 クラスタ間の管理とデータ カスタムUDPルール 111 ポートマッパー カスタムUDPルール 161-162 SNMP カスタムUDPルール 635 NFSマウント カスタムUDPルール 2049 NFS カスタムUDPルール 4045-4046 NFSマウント HTTP 80 System Managerへのアクセス HTTPS 443 System Managerへのアクセス SSH 22 CLIへのSSH アウトバウンド ルール タイプ ポート範囲 使用目的 すべてのICMP すべて すべてのアウトバウンド トラ フィック（SnapMirrorおよび SnapVault） すべてのTCP すべて すべてのアウトバウンド トラ フィック すべてのUDP すべて すべてのアウトバウンド トラ フィック HAメディエーター用の外部セキュリティグループのルール 注：このセキュリティ グループは、常にCloud Managerで作成されます。独自のセキュリ ティ グループを使用することはできません。

インバウンド ルール

注：インバウンド ルールのソースは0.0.0.0/0です。

タイプ ポート範囲 使用目的

SSH 22 HAメディエーターへのSSH接

続

TCP 3000 Cloud ManagerからのRESTful

APIアクセス アウトバウンド ルール タイプ ポート範囲 使用目的 すべてのTCP すべて すべてのアウトバウンド トラ フィック すべてのUDP すべて すべてのアウトバウンド トラ フィック HAメディエーター用の内部セキュリティグループのルール 注：このセキュリティ グループは、常にCloud Managerで作成されます。独自のセキュリ ティ グループを使用することはできません。 インバウンド ルール タイプ ポート範囲 使用目的 すべてのトラフィック すべて HAメディエーターとONTAP Cloud HAノードの間の通信の み アウトバウンド ルール タイプ ポート範囲 使用目的 すべてのトラフィック すべて HAメディエーターとONTAP Cloud HAノードの間の通信の み 関連資料 AWSネットワークの要件（10ページ） Azureネットワークの要件（23ページ）

Cloud Manager

が

AWS

権限で実行できる処理

Cloud Managerでは、AWSアカウントを使用してAPI呼び出しを実行することで、EC2、S3、 CloudFormation、IAM、Security Token Service（STS）、Key Management Service（KMS）など

の各種のAWSサービスにアクセスします。Cloud Managerが各権限で実行できる処理を次に 示します。 権限 目的 "ec2:StartInstances", "ec2:StopInstances", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:RunInstances", "ec2:TerminateInstances", "ec2:ModifyInstanceAttribute", ONTAP Cloudインスタンスを起動し、イ ンスタンスの停止、開始、監視などを行 います。 "ec2:DescribeRouteTables", "ec2:DescribeImages", ONTAP Cloud HA構成を起動します。 "ec2:CreateTags", Cloud Managerで作成したすべてのリ ソースに「WorkingEnvironment」および 「WorkingEnvironmentId」のタグを付けま す。これらのタグは、Cloud Managerによ るメンテナンスやコスト配分で使用され ます。 "ec2:CreateVolume", "ec2:DescribeVolumes", "ec2:ModifyVolumeAttribute", "ec2:AttachVolume", "ec2:DeleteVolume", "ec2:DetachVolume", ONTAP Cloudのバックエンド ストレージ として使用するEBSボリュームを管理し ます。 "ec2:CreateSecurityGroup", "ec2:DeleteSecurityGroup", "ec2:DescribeSecurityGroups", "ec2:RevokeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupIngress", ONTAP Cloudの事前定義されたセキュリ ティ グループを作成します。 "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", ターゲット サブネットのONTAP Cloudの ネットワーク インターフェイスを作成 および管理します。 "ec2:DescribeSubnets", "ec2:DescribeVpcs", デスティネーションのサブネットとセ キュリティ グループの一覧を取得しま す。ONTAP Cloudの新しい作業環境を作 成する際に必要になります。

"ec2:DescribeDhcpOptions", ONTAP Cloudインスタンスの起動時に

DNSサーバおよびデフォルトのドメイン 名を決定します。 "ec2:CreateSnapshot", "ec2:DeleteSnapshot", "ec2:DescribeSnapshots", 初期セットアップの実行時とONTAP Cloudインスタンスの停止時にEBSボ リュームのSnapshotを作成します。

権限 目的 "ec2:GetConsoleOutput", AutoSupportメッセージに添付するため に、ONTAP Cloudコンソールをキャプ チャします。 "ec2:DescribeKeyPairs", インスタンスの起動時に利用可能なキー_{ペアのリストを取得します。} "ec2:DescribeRegions", 利用可能なAWSリージョンのリストを取 得します。 "ec2:DeleteTags", "ec2:DescribeTags", ONTAP Cloudインスタンスに関連付けら れたリソースのタグを管理します。 "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:ValidateTemplate", ONTAP Cloudインスタンスを起動しま す。 "iam:PassRole", "iam:CreateRole", "iam:DeleteRole", "iam:PutRolePolicy", "iam:CreateInstanceProfile", "iam:DeleteRolePolicy", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:DeleteInstanceProfile", ONTAP Cloud HA構成を起動します。 "iam:ListInstanceProfiles", "sts:DecodeAuthorizationMessage", "ec2:AssociateIamInstanceProfile", "ec2:DescribeIamInstanceProfileAssociati ons", "ec2:DisassociateIamInstanceProfile", ONTAP Cloudインスタンスのインスタン ス プロファイルを管理します。 "s3:GetObject", "s3:ListBucket"

AWSからONTAP Cloudのコスト データ

を取得します。 "s3:GetBucketTagging", "s3:GetBucketLocation", "s3:ListAllMyBuckets", Cloud Managerをネットアップ データ ファブリックCloud Syncサービスと統合 するために、AWS S3バケットの情報を取 得します。 "s3:CreateBucket", "s3:DeleteBucket", "s3:GetLifecycleConfiguration", "s3:PutLifecycleConfiguration", "s3:PutBucketTagging", "s3:ListBucketVersions", ONTAP Cloudシステムで大容量階層とし て使用するS3バケットを管理します。 "kms:List*", "kms:Describe*"

AWS Key Management Serviceからキーの

関連概念

Cloud ManagerへのAWS権限の付与（16ページ）

Cloud Manager

が

Azure

権限で実行できる処理

Cloud Manager Azureポリシーには、AzureでONTAP Cloudシステムを導入して管理するため

にCloud Managerに付与する必要がある権限が含まれています。Cloud Managerが各権限で実 行できる処理を次に示します。 権限 目的 "Microsoft.Compute/locations/operations/ read", "Microsoft.Compute/locations/vmSizes/read", "Microsoft.Compute/operations/read", "Microsoft.Compute/virtualMachines/ instanceView/read", "Microsoft.Compute/virtualMachines/powerOff/ action", "Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/virtualMachines/restart/ action", "Microsoft.Compute/virtualMachines/start/ action", "Microsoft.Compute/virtualMachines/ deallocate/action", "Microsoft.Compute/virtualMachines/vmSizes/ read", "Microsoft.Compute/virtualMachines/write", ONTAP Cloudシステムを作成し、シ ステムの停止、開始、削除、ステー タスの取得などを行います。 "Microsoft.Compute/disks/delete", "Microsoft.Compute/disks/read", "Microsoft.Compute/disks/write", "Microsoft.Storage/checknameavailability/ read", "Microsoft.Storage/operations/read", "Microsoft.Storage/storageAccounts/listkeys/ action", "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/ regeneratekey/action", "Microsoft.Storage/storageAccounts/write" Azureストレージのアカウントや ディスクを管理し、ONTAP Cloudシ ステムにディスクを接続します。 "Microsoft.Network/networkInterfaces/read", "Microsoft.Network/networkInterfaces/write", "Microsoft.Network/networkInterfaces/join/ action", ターゲット サブネットのONTAP Cloudシステムのネットワーク イン ターフェイスを作成および管理し ます。 "Microsoft.Network/networkSecurityGroups/ read", "Microsoft.Network/networkSecurityGroups/ write", "Microsoft.Network/networkSecurityGroups/ join/action", ONTAP Cloudシステムの事前定義さ れたネットワーク セキュリティ グ ループを作成します。