Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Dateisystem-Zugriffskontrolle mit Amazon VPC
Sie greifen auf Ihre Amazon FSx for NetApp ONTAP-Dateisysteme und SVMs über den DNS-Namen oder die IP-Adresse eines ihrer Endgeräte zu, je nachdem, um welche Art von Zugriff es sich handelt. Der DNS-Name ist der privaten IP-Adresse der elastic network interface des Dateisystems oder der SVM in Ihrer VPC zugeordnet. Nur Ressourcen innerhalb der zugehörigen VPC oder Ressourcen, die über AWS Direct Connect oder VPN mit der zugehörigen VPC verbunden sind, können über die Protokolle NFS, SMB oder iSCSI auf die Daten in Ihrem Dateisystem zugreifen. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon VPC-Benutzerhandbuch.
Warnung
Sie dürfen die elastic network interface (n), die mit Ihrem Dateisystem verknüpft sind, nicht ändern oder löschen. Das Ändern oder Löschen der Netzwerkschnittstelle kann zu einem dauerhaften Verbindungsverlust zwischen Ihrer VPC und Ihrem Dateisystem führen.
Amazon VPC-Sicherheitsgruppen
Eine Sicherheitsgruppe fungiert als virtuelle Firewall für Ihre FSx for ONTAP-Dateisysteme, um eingehenden und ausgehenden Datenverkehr zu kontrollieren. Eingehende Regeln kontrollieren den eingehenden Verkehr zu Ihrem Dateisystem, und ausgehende Regeln kontrollieren den ausgehenden Verkehr von Ihrem Dateisystem. Wenn Sie ein Dateisystem erstellen, geben Sie die VPC an, in der es erstellt wird, und die Standardsicherheitsgruppe für diese VPC wird angewendet. Sie können jeder Sicherheitsgruppe Regeln hinzufügen, die den Datenverkehr zu oder von den zugehörigen Dateisystemen und SVMs zulassen. Sie können die Regeln für eine Sicherheitsgruppe jederzeit ändern. Neue und geänderte Regeln werden automatisch auf alle Ressourcen angewendet, die der Sicherheitsgruppe zugeordnet sind. Wenn Amazon FSx entscheidet, ob Datenverkehr eine Ressource erreichen darf, bewertet es alle Regeln aller Sicherheitsgruppen, die mit der Ressource verknüpft sind.
Um eine Sicherheitsgruppe zur Steuerung des Zugriffs auf Ihr Amazon FSx-Dateisystem zu verwenden, fügen Sie Regeln für eingehenden und ausgehenden Datenverkehr hinzu. Eingehende Regeln kontrollieren den eingehenden Verkehr, und ausgehende Regeln kontrollieren den ausgehenden Verkehr aus Ihrem Dateisystem. Stellen Sie sicher, dass Sie die richtigen Regeln für den Netzwerkverkehr in Ihrer Sicherheitsgruppe haben, um die Dateifreigabe Ihres Amazon FSx-Dateisystems einem Ordner auf Ihrer unterstützten Compute-Instance zuzuordnen.
Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln im Amazon EC2 EC2-Benutzerhandbuch.
Erstellen einer VPC-Sicherheitsgruppe
Um eine Sicherheitsgruppe für Amazon FSx zu erstellen
-
Öffnen Sie die Amazon EC2 EC2-Konsole unter https://console.aws.amazon.com/ec2
. -
Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
-
Wählen Sie Create Security Group aus.
-
Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe an.
-
Wählen Sie für VPC die Amazon VPC aus, die Ihrem Dateisystem zugeordnet ist, um die Sicherheitsgruppe innerhalb dieser VPC zu erstellen.
Lassen Sie bei Regeln für ausgehenden Datenverkehr den gesamten Datenverkehr auf allen Ports zu.
-
Fügen Sie den eingehenden Ports Ihrer Sicherheitsgruppe die folgenden Regeln hinzu. Für das Quellfeld sollten Sie Benutzerdefiniert wählen und die Sicherheitsgruppen oder IP-Adressbereiche eingeben, die den Instances zugeordnet sind, die auf Ihr FSx for ONTAP-Dateisystem zugreifen müssen, einschließlich:
Linux-, Windows- und/oder macOS-Clients, die über NFS, SMB oder iSCSI auf Daten in Ihrem Dateisystem zugreifen.
Alle ONTAP-Dateisysteme/-Cluster, die Sie per Peering mit Ihrem Dateisystem verbinden (z. B. um,, oder zu verwenden). SnapMirror SnapVault FlexCache
Alle Clients, die Sie für den Zugriff auf die ONTAP REST API, CLI oder ZAPIs verwenden werden (z. B. eine Harvest/Grafana-Instanz, NetApp Connector oder BlueXP). NetApp
Protokoll
Ports
Rolle
Alle ICMP
Alle
Die Instanz anpingen
SSH
22
SSH-Zugriff auf die IP-Adresse der Cluster-Management-LIF oder einer Node-Management-LIF
TCP
111
Remote-Prozeduraufruf für NFS
TCP
135
Entfernter Prozeduraufruf für CIFS
TCP
139
NetBIOS-Servicesitzung für CIFS
TCP 161-162 Einfaches Netzwerkverwaltungsprotokoll (SNMP)
TCP
443
ONTAP REST API-Zugriff auf die IP-Adresse der Cluster-Management-LIF oder einer SVM-Management-LIF
TCP
445
Microsoft SMB/CIFS über TCP mit NetBIOS-Framing
TCP
635
NFS-Halterung
TCP
749
Kerberos
TCP
2049
NFS-Serverdaemon
TCP
3260
iSCSI-Zugriff über die iSCSI-Daten-LIF
TCP
4045
NFS-Sperrdaemon
TCP
4046
Netzwerkstatusmonitor für NFS
TCP
10000
Netzwerkdatenverwaltungsprotokoll (NDMP) und Cluster-Kommunikation NetApp SnapMirror
TCP 11104 Verwaltung der Kommunikation NetApp SnapMirror zwischen Clustern TCP 11105 SnapMirror Datenübertragung mit Intercluster-LIFs UDP 111 Entfernter Prozeduraufruf für NFS UDP
135
Entfernter Prozeduraufruf für CIFS
UDP
137
NetBIOS-Namensauflösung für CIFS
UDP
139
NetBIOS-Servicesitzung für CIFS
UDP 161-162 Einfaches Netzwerkverwaltungsprotokoll (SNMP)
UDP
635
NFS-Halterung
UDP
2049
NFS-Serverdaemon
UDP
4045
NFS-Sperrdaemon
UDP
4046
Netzwerkstatusmonitor für NFS
UDP
4049
NFS-Kontingentprotokoll
-
Fügen Sie die Sicherheitsgruppe zur elastic network interface des Dateisystems hinzu.
Verbieten Sie den Zugriff auf ein Dateisystem
Um vorübergehend allen Clients den Netzwerkzugriff auf Ihr Dateisystem zu verbieten, können Sie alle Sicherheitsgruppen entfernen, die mit den elastic network interface Netzwerkschnittstellen Ihres Dateisystems verknüpft sind, und sie durch eine Gruppe ersetzen, die keine Regeln für eingehende/ausgehende Nachrichten hat.
