Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo degli accessi ai file system con Amazon VPC
Puoi accedere ai tuoi NetApp ONTAP file system Amazon FSx for SVMs utilizzando il DNS nome o l'indirizzo IP di uno dei loro endpoint, a seconda del tipo di accesso. Il DNS nome è mappato all'indirizzo IP privato dell'interfaccia di rete elastica del file system o SVM dell'interfaccia di rete del tuoVPC. Solo le risorse all'interno del file system associatoVPC, o le risorse connesse a quello associato VPC da AWS Direct Connect orVPN, possono accedere ai dati del file system tramite i SCSI protocolli NFSSMB, o i. Per ulteriori informazioni, consulta What is AmazonVPC? nella Amazon VPC User Guide.
avvertimento
Non è necessario modificare o eliminare le interfacce elastiche di rete associate al file system. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra l'utente VPC e il file system.
Gruppi VPC di sicurezza Amazon
Un gruppo di sicurezza funge da firewall virtuale per i tuoi ONTAP file system FSx per controllare il traffico in entrata e in uscita. Le regole in entrata controllano il traffico in entrata verso il file system e le regole in uscita controllano il traffico in uscita dal file system. Quando si crea un file system, si specifica in VPC che modo viene creato e viene applicato il gruppo di sicurezza predefinito a tale file system. VPC È possibile aggiungere regole a ciascun gruppo di sicurezza che consentano il traffico da o verso i file system associati eSVMs. Puoi modificare le regole di un gruppo di sicurezza in qualsiasi momento. Le regole nuove e modificate vengono applicate automaticamente a tutte le risorse associate al gruppo di sicurezza. Quando Amazon FSx decide se consentire al traffico di raggiungere una risorsa, valuta tutte le regole di tutti i gruppi di sicurezza associati alla risorsa.
Per utilizzare un gruppo di sicurezza per controllare l'accesso al tuo FSx file system Amazon, aggiungi regole in entrata e in uscita. Le regole in entrata controllano il traffico in entrata e le regole in uscita controllano il traffico in uscita dal tuo file system. Assicurati di avere le regole del traffico di rete corrette nel tuo gruppo di sicurezza per mappare la condivisione di FSx file del tuo file system Amazon su una cartella sull'istanza di calcolo supportata.
Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le regole del gruppo di sicurezza nella Amazon EC2 User Guide.
Creazione di un gruppo VPC di sicurezza
Per creare un gruppo di sicurezza per Amazon FSx
-
Apri la EC2 console Amazon in https://console.aws.amazon.com/ec2.
-
Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
-
Scegliere Create Security Group (Crea un gruppo di sicurezza).
-
Specificare un nome e una descrizione per il gruppo di sicurezza.
-
Per VPCesempio, scegli l'Amazon VPC associato al tuo file system per creare il gruppo di sicurezza al suo internoVPC.
Per le regole in uscita, consenti tutto il traffico su tutte le porte.
-
Aggiungi le seguenti regole alle porte in entrata del tuo gruppo di sicurezza. Per il campo di origine, devi scegliere Personalizzato e inserire i gruppi di sicurezza o gli intervalli di indirizzi IP associati alle istanze che devono accedere al tuo ONTAP file system FSx for, tra cui:
Client Linux, Windows e/o macOS che accedono ai dati nel file system tramite NFSSMB, o i. SCSI
Qualsiasi ONTAP file system/cluster che trasmetterai al tuo file system (ad esempio, da utilizzare SnapMirror o). SnapVault FlexCache
Qualsiasi client che utilizzerai per accedere a, o ZAPIs (ad esempio ONTAP REST APICLI, un'istanza Harvest/Grafana, NetApp Connector o NetApp BlueXP).
Protocollo
Porte
Ruolo
Tutti ICMP
Tutti
Eseguire il ping dell'istanza
SSH
22
SSHaccesso all'indirizzo IP della gestione del cluster LIF o alla gestione di un nodo LIF
TCP
111
Richiesta di procedura remota per NFS
TCP
135
Chiamata di procedura remota per CIFS
TCP
139
Sessione BIOS di servizio di rete per CIFS
TCP 161-162 Protocollo di gestione della rete semplice () SNMP
TCP
443
ONTAPRESTAPIaccesso all'indirizzo IP della gestione del cluster LIF o di una SVM gestione LIF
TCP
445
SMBCIFSMicrosoft./over TCP con Net BIOS framing
TCP
635
NFSmontare
TCP
749
Kerberos
TCP
2049
NFSdemone del server
TCP
3260
i) SCSI accesso tramite i dati SCSI LIF
TCP
4045
NFSdaemon di blocco
TCP
4046
Monitoraggio dello stato della rete per NFS
TCP
10000
Protocollo di gestione dei dati di rete (NDMP) e NetApp SnapMirror comunicazione tra cluster
TCP 11104 Gestione della comunicazione NetApp SnapMirror tra cluster TCP 11105 SnapMirror trasferimento dati tramite intercluster LIFs UDP 111 Richiesta di procedura remota per NFS UDP
135
Chiamata di procedura remota per CIFS
UDP
137
Risoluzione dei BIOS nomi di rete per CIFS
UDP
139
Sessione BIOS di servizio di rete per CIFS
UDP 161-162 Protocollo di gestione della rete semplice () SNMP
UDP
635
NFSmontare
UDP
2049
NFSdemone del server
UDP
4045
NFSdaemon di blocco
UDP
4046
Monitoraggio dello stato della rete per NFS
UDP
4049
NFSprotocollo di quota
-
Aggiungi il gruppo di sicurezza all'interfaccia elastica di rete del file system.
Impedisci l'accesso a un file system
Per impedire temporaneamente l'accesso di rete al file system da parte di tutti i client, è possibile rimuovere tutti i gruppi di sicurezza associati alle elastic network interface del file system e sostituirli con un gruppo privo di regole in entrata/in uscita.