Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Dateisystem-Zugriffskontrolle mit Amazon VPC
Sie greifen auf Ihre FSx NetApp ONTAP Amazon-Dateisysteme zu und SVMs verwenden den DNS Namen oder die IP-Adresse eines ihrer Endgeräte, je nachdem, um welche Art von Zugriff es sich handelt. Der DNS Name entspricht der privaten IP-Adresse des Dateisystems oder SVM der elastic network interface in IhremVPC. Nur Ressourcen innerhalb der zugehörigen Datei oder RessourcenVPC, die mit der Verknüpfung VPC durch AWS Direct Connect oder verbunden sindVPN, können über die SCSI Protokolle NFSSMB, oder i auf die Daten in Ihrem Dateisystem zugreifen. Weitere Informationen finden Sie unter Was ist AmazonVPC? im VPCAmazon-Benutzerhandbuch.
Warnung
Sie dürfen die elastic network interface (n), die mit Ihrem Dateisystem verknüpft sind, nicht ändern oder löschen. Das Ändern oder Löschen der Netzwerkschnittstelle kann zu einem dauerhaften Verlust der Verbindung zwischen Ihrem VPC und Ihrem Dateisystem führen.
VPCAmazon-Sicherheitsgruppen
Eine Sicherheitsgruppe fungiert als virtuelle Firewall FSx für Ihre vier ONTAP Dateisysteme, um den eingehenden und ausgehenden Datenverkehr zu kontrollieren. Eingehende Regeln kontrollieren den eingehenden Datenverkehr zu Ihrem Dateisystem, und ausgehende Regeln kontrollieren den ausgehenden Datenverkehr aus Ihrem Dateisystem. Wenn Sie ein Dateisystem erstellen, geben Sie VPC das an, in dem es erstellt wird, und die Standardsicherheitsgruppe für dieses System VPC wird angewendet. Sie können jeder Sicherheitsgruppe Regeln hinzufügen, die den Datenverkehr zu oder von den zugehörigen Dateisystemen und zulassenSVMs. Sie können die Regeln für eine Sicherheitsgruppe jederzeit ändern. Neue und geänderte Regeln werden automatisch auf alle Ressourcen angewendet, die der Sicherheitsgruppe zugeordnet sind. Wenn Amazon FSx entscheidet, ob Datenverkehr eine Ressource erreichen darf, bewertet es alle Regeln aller Sicherheitsgruppen, die mit der Ressource verknüpft sind.
Um eine Sicherheitsgruppe zur Steuerung des Zugriffs auf Ihr FSx Amazon-Dateisystem zu verwenden, fügen Sie Regeln für eingehenden und ausgehenden Datenverkehr hinzu. Eingehende Regeln kontrollieren den eingehenden Verkehr, und ausgehende Regeln kontrollieren den ausgehenden Verkehr aus Ihrem Dateisystem. Stellen Sie sicher, dass Sie in Ihrer Sicherheitsgruppe über die richtigen Regeln für den Netzwerkverkehr verfügen, um die FSx Dateifreigabe Ihres Amazon-Dateisystems einem Ordner auf Ihrer unterstützten Compute-Instance zuzuordnen.
Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln im EC2Amazon-Benutzerhandbuch.
Eine VPC Sicherheitsgruppe erstellen
Um eine Sicherheitsgruppe für Amazon zu erstellen FSx
-
Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2.
-
Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
-
Wählen Sie Create Security Group aus.
-
Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe an.
-
Wählen Sie zum Beispiel das Amazon aus VPC, das mit Ihrem Dateisystem VPC verknüpft ist, um die Sicherheitsgruppe innerhalb dieses Dateisystems zu erstellenVPC.
Lassen Sie bei Regeln für ausgehenden Datenverkehr den gesamten Datenverkehr auf allen Ports zu.
-
Fügen Sie den eingehenden Ports Ihrer Sicherheitsgruppe die folgenden Regeln hinzu. Für das Quellfeld sollten Sie Benutzerdefiniert wählen und die Sicherheitsgruppen oder IP-Adressbereiche eingeben, die den Instances zugeordnet sind, die auf Ihr FSx ONTAP Dateisystem zugreifen müssen, darunter:
Linux-, Windows- und/oder macOS-Clients, die über NFSSMB, oder i auf Daten in Ihrem Dateisystem zugreifenSCSI.
Alle ONTAP Dateisysteme/Cluster, die Sie per Peering mit Ihrem Dateisystem verbinden (z. B. um, SnapMirror SnapVault, oder FlexCache zu verwenden).
Alle Clients, die Sie für den Zugriff auf ONTAP RESTAPI,CLI, oder verwenden ZAPIs (z. B. eine Harvest/Grafana-Instanz, NetApp Connector oder BlueXP). NetApp
Protokoll
Ports
Rolle
Alle ICMP
Alle
Die Instanz anpingen
SSH
22
SSHZugriff auf die IP-Adresse des Cluster-Managements LIF oder eines Node-Managements LIF
TCP
111
Remote-Prozeduraufruf für NFS
TCP
135
Remoteprozeduraufruf für CIFS
TCP
139
Net BIOS Service-Sitzung für CIFS
TCP 161-162 Einfaches Netzwerkverwaltungsprotokoll () SNMP
TCP
443
ONTAPRESTAPIZugriff auf die IP-Adresse des Cluster-Managements LIF oder eines SVM Managements LIF
TCP
445
MicrosoftSMB//CIFSvorbei TCP mit Net BIOS Framing
TCP
635
NFSmontieren
TCP
749
Kerberos
TCP
2049
NFSServer-Daemon
TCP
3260
Ich SCSI greife über die SCSI i-Daten zu LIF
TCP
4045
NFSDaemon sperren
TCP
4046
Netzwerkstatusmonitor für NFS
TCP
10000
Netzwerkdatenverwaltungsprotokoll (NDMP) und Kommunikation NetApp SnapMirror zwischen Clustern
TCP 11104 Verwaltung der Kommunikation NetApp SnapMirror zwischen Clustern TCP 11105 SnapMirror Datenübertragung mit Intercluster LIFs UDP 111 Remoteprozeduraufruf für NFS UDP
135
Remoteprozeduraufruf für CIFS
UDP
137
Auflösung BIOS des Netznamens für CIFS
UDP
139
Net BIOS Service-Sitzung für CIFS
UDP 161-162 Einfaches Netzwerkverwaltungsprotokoll () SNMP
UDP
635
NFSmontieren
UDP
2049
NFSServer-Daemon
UDP
4045
NFSDaemon sperren
UDP
4046
Netzwerkstatusmonitor für NFS
UDP
4049
NFSKontingentprotokoll
-
Fügen Sie die Sicherheitsgruppe zur elastic network interface des Dateisystems hinzu.
Verbieten Sie den Zugriff auf ein Dateisystem
Um vorübergehend allen Clients den Netzwerkzugriff auf Ihr Dateisystem zu verbieten, können Sie alle Sicherheitsgruppen entfernen, die mit den elastic network interface Netzwerkschnittstellen Ihres Dateisystems verknüpft sind, und sie durch eine Gruppe ersetzen, die keine Regeln für eingehende/ausgehende Nachrichten hat.
