Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso al sistema de archivos con Amazon VPC
Puede acceder a sus sistemas de archivos y SVM de Amazon FSx for NetApp ONTAP mediante el nombre DNS o la dirección IP de uno de sus puntos de enlace, según el tipo de acceso del que se trate. El nombre DNS se asigna a la dirección IP privada de la interfaz de red elástica del sistema de archivos o SVM en su VPC. Solo los recursos de la VPC asociada, o los recursos conectados a la VPC asociada mediante una VPN, pueden acceder a los datos del sistema de archivos a través de los protocolos NFS, SMB AWS Direct Connect o iSCSI. Para obtener más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario de Amazon VPC.
aviso
No debe modificar ni eliminar las interfaces elásticas de red asociadas al sistema de archivos. Si se modifica o elimina la interfaz de red, se puede provocar una pérdida permanente de la conexión entre la VPC y el sistema de archivos.
Grupos de seguridad de Amazon VPC
Un grupo de seguridad funciona como un firewall virtual para sus sistemas de ficheros FSx para ONTAP para controlar el tráfico entrante y saliente. Las reglas de entrada controlan el tráfico entrante a su sistema de archivos y las reglas de salida controlan el tráfico saliente de su sistema de archivos. Al crear un sistema de archivos, se especifica la VPC en la que se crea y se aplica el grupo de seguridad predeterminado para esa VPC. Puede añadir reglas a cada grupo de seguridad que permitan el tráfico hacia o desde sus sistemas de archivos y SVM asociadas. Puede modificar las reglas de un grupo de seguridad en cualquier momento. Las reglas nuevas y modificadas se aplican automáticamente a todos los recursos que están asociados al grupo de seguridad. Cuando Amazon FSx decide si permite que el tráfico llegue a un recurso, evalúa todas las reglas de todos los grupos de seguridad asociados al recurso.
Para poder usar un grupo de seguridad para controlar el acceso al sistema de archivos Amazon FSx, agregue las reglas de entrada y salida. Las reglas de entrada controlan el tráfico que ingresa a la instancia, y las de salida, el que sale. Asegúrese de que dispone de las reglas de tráfico de red adecuadas en su grupo de seguridad para asignar el recurso compartido de archivos de su sistema de archivos de Amazon FSx a una carpeta de su instancia de computación compatible.
Para obtener más información sobre las reglas de los grupos de seguridad, consulte Reglas de grupos de seguridad en la Guía del usuario de Amazon EC2.
Creación de un grupo de seguridad de VPC
Para crear un grupo de seguridad para Amazon FSx
-
Abra la consola Amazon EC2 en https://console.aws.amazon.com/ec2.
-
En el panel de navegación, elija Grupos de seguridad.
-
Elija Crear grupo de seguridad.
-
Especifique un nombre y una descripción para el grupo de seguridad.
-
Para la VPC, elija la VPC de Amazon asociada al sistema de archivos para crear el grupo de seguridad dentro de esa VPC.
Para las reglas de salida, permita todo el tráfico en todos los puertos.
-
Agregue las siguientes reglas de entrada al grupo de seguridad. Para el campo de source, debe elegir custom e introducir los grupos de seguridad o los rangos de direcciones IP asociados a las instancias que necesitan acceder a su sistema de archivos de FSx para ONTAP, incluidos:
Clientes de Linux, Windows o macOS que acceden a los datos de su sistema de archivos a través de NFS, SMB o iSCSI.
Cualquier sistema de archivos o clúster de ONTAP que vaya a vincular a su sistema de archivos (por ejemplo, para usar SnapMirror, SnapVault o). FlexCache
Cualquier cliente que vaya a utilizar para acceder a la API REST, CLI o ZAPI de ONTAP (por ejemplo, una instancia de Harvest/Grafana, Connector o BlueXP). NetApp NetApp
Protocolo
Puertos
Rol
Todos los ICMP
Todos
Hacer ping a la instancia
SSH
22
Acceso SSH a la dirección IP del LIF de administración del clúster o del LIF de administración de nodos
TCP
111
Llamada a procedimiento remoto para NFS
TCP
135
Llamada a procedimiento remoto para CIFS
TCP
139
Sesión de servicio de NetBIOS para CIFS
TCP 161-162 Protocolo simple de gestión de red (SNMP)
TCP
443
Acceso de la API de REST de ONTAP a la dirección IP del LIF de administración del clúster o a un LIF de administración de SVM
TCP
445
Microsoft SMB/CIFS sobre TCP con entramado de NetBIOS
TCP
635
Montaje NFS
TCP
749
Kerberos
TCP
2049
Daemon de servidor NFS
TCP
3260
Acceso iSCSI a través del LIF de datos iSCSI
TCP
4045
Daemon de bloqueo NFS
TCP
4046
Monitor de estado de red para NFS
TCP
10000
Protocolo de administración de datos de red (NDMP) y NetApp SnapMirror comunicación entre clústeres
TCP 11104 Gestión de la comunicación NetApp SnapMirror entre clústeres TCP 11105 SnapMirror transferencia de datos mediante LiF entre clústeres UDP 111 Llamada a procedimiento remoto para NFS UDP
135
Llamada a procedimiento remoto para CIFS
UDP
137
Resolución de nombres de NetBIOS para CIFS
UDP
139
Sesión de servicio de NetBIOS para CIFS
UDP 161-162 Protocolo simple de gestión de red (SNMP)
UDP
635
Montaje NFS
UDP
2049
Daemon de servidor NFS
UDP
4045
Daemon de bloqueo NFS
UDP
4046
Monitor de estado de red para NFS
UDP
4049
Protocolo de cuotas NFS
-
Agregue el grupo de seguridad a la interfaz de red elástica del sistema de archivos.
Denegar el acceso a un sistema de archivos
Para impedir temporalmente que los clientes tengan acceso de red al sistema de archivos, puede eliminar los grupos de seguridad asociados a las interfaces de red elásticas del sistema de archivos y sustituirlos por un grupo que no tenga reglas de entrada y salida.