Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle d'accès au système de fichiers avec Amazon VPC
Vous accédez à vos systèmes de fichiers Amazon FSx for NetApp ONTAP SVMs en utilisant le nom DNS ou l'adresse IP de l'un de leurs points de terminaison, selon le type d'accès. Le nom DNS correspond à l'adresse IP privée de l'interface Elastic network du système de fichiers ou de la SVM dans votre VPC. Seules les ressources du VPC associé, ou les ressources connectées au VPC associé par un VPN, peuvent accéder aux données de votre système de fichiers via les protocoles NFS, SMB AWS Direct Connect ou iSCSI. Pour plus d'informations, consultez Qu'est-ce qu'Amazon VPC ? dans le guide de l'utilisateur Amazon VPC.
Avertissement
Vous ne devez ni modifier ni supprimer les interfaces elastic network associées à votre système de fichiers. La modification ou la suppression de l'interface réseau peut entraîner une perte permanente de connexion entre votre VPC et votre système de fichiers.
Groupes de sécurité Amazon VPC
Un groupe de sécurité agit comme un pare-feu virtuel pour vos systèmes de fichiers FSx for ONTAP afin de contrôler le trafic entrant et sortant. Les règles entrantes contrôlent le trafic entrant vers votre système de fichiers, tandis que les règles sortantes contrôlent le trafic sortant de votre système de fichiers. Lorsque vous créez un système de fichiers, vous spécifiez le VPC dans lequel il est créé et le groupe de sécurité par défaut pour ce VPC est appliqué. Vous pouvez ajouter des règles à chaque groupe de sécurité qui autorisent le trafic à destination ou en provenance de ses systèmes de fichiers associés et SVMs. Vous pouvez modifier les règles pour un groupe de sécurité à la fois. Les règles nouvelles et modifiées sont automatiquement appliquées à toutes les ressources associées au groupe de sécurité. Lorsqu'Amazon FSx décide d'autoriser ou non le trafic à atteindre une ressource, il évalue toutes les règles de tous les groupes de sécurité associés à la ressource.
Pour utiliser un groupe de sécurité afin de contrôler l'accès à votre système de FSx fichiers Amazon, ajoutez des règles d'entrée et de sortie. Les règles entrantes contrôlent le trafic entrant, tandis que les règles sortantes contrôlent le trafic sortant de votre système de fichiers. Assurez-vous que vous disposez des bonnes règles de trafic réseau dans votre groupe de sécurité pour mapper le partage de FSx fichiers de votre système de fichiers Amazon à un dossier de votre instance de calcul prise en charge.
Pour plus d'informations sur les règles des groupes de sécurité, consultez la section Règles des groupes de sécurité dans le guide de EC2 l'utilisateur Amazon.
Création d'un groupe de sécurité VPC
Pour créer un groupe de sécurité pour Amazon FSx
-
Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2
. -
Dans le panneau de navigation, choisissez Security Groups (Groupes de sécurité).
-
Sélectionnez Créer un groupe de sécurité.
-
Attribuez un nom et une description au groupe de sécurité.
-
Pour le VPC, choisissez l'Amazon VPC associé à votre système de fichiers pour créer le groupe de sécurité au sein de ce VPC.
Pour les règles de sortie, autorisez tout le trafic sur tous les ports.
-
Ajoutez les règles suivantes aux ports entrants de votre groupe de sécurité. Pour le champ source, vous devez choisir Personnalisé et saisir les groupes de sécurité ou les plages d'adresses IP associés aux instances qui doivent accéder à votre système de fichiers FSx for ONTAP, notamment :
Clients Linux, Windows et/ou macOS qui accèdent aux données de votre système de fichiers via NFS, SMB ou iSCSI.
Tous les systèmes de fichiers/clusters ONTAP que vous allez associer à votre système de fichiers (par exemple, pour les utiliser SnapMirror ou). SnapVault FlexCache
Tous les clients que vous utiliserez pour accéder à l'API ONTAP REST, à la CLI ou ZAPIs (par exemple, une instance Harvest/Grafana, un NetApp connecteur ou BlueXP). NetApp
Protocole
Ports
Rôle
Tous les ICMP
Tous
Envoyer un ping à l'instance
SSH
22
Accès SSH à l'adresse IP du LIF de gestion du cluster ou d'un LIF de gestion des nœuds
TCP
111
Appel de procédure à distance pour NFS
TCP
135
Appel de procédure à distance pour CIFS
TCP
139
Session de service NetBIOS pour CIFS
TCP 161-162 Protocole de gestion réseau simple (SNMP)
TCP
443
Accès par API REST ONTAP à l'adresse IP du LIF de gestion du cluster ou d'un LIF de gestion de la SVM
TCP
445
Microsoft SMB/CIFS sur TCP avec cadrage NetBIOS
TCP
635
Montage NFS
TCP
749
Kerberos
TCP
2049
Démon de serveur NFS
TCP
3260
Accès iSCSI via le LIF de données iSCSI
TCP
4045
Démon de verrouillage NFS
TCP
4046
Moniteur d'état du réseau pour NFS
TCP
10 000
Protocole de gestion des données réseau (NDMP) et communication NetApp SnapMirror entre clusters
TCP 11104 Gestion de la NetApp SnapMirror communication entre clusters TCP 11105 SnapMirror transfert de données à l'aide d'un intercluster LIFs UDP 111 Appel de procédure à distance pour NFS UDP
135
Appel de procédure à distance pour CIFS
UDP
137
Résolution de noms NetBIOS pour CIFS
UDP
139
Session de service NetBIOS pour CIFS
UDP 161-162 Protocole de gestion réseau simple (SNMP)
UDP
635
Montage NFS
UDP
2049
Démon de serveur NFS
UDP
4045
Démon de verrouillage NFS
UDP
4046
Moniteur d'état du réseau pour NFS
UDP
4049
Protocole de quotas NFS
-
Ajoutez le groupe de sécurité à l'interface elastic network du système de fichiers.
Interdire l'accès à un système de fichiers
Pour interdire temporairement à tous les clients l'accès réseau à votre système de fichiers, vous pouvez supprimer tous les groupes de sécurité associés aux interfaces Elastic Network de votre système de fichiers et les remplacer par un groupe dépourvu de règles entrantes/sortantes.
