Controllo degli accessi ai file system con Amazon VPC - FSx per ONTAP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi ai file system con Amazon VPC

Puoi accedere ai tuoi NetApp ONTAP file system Amazon FSx for SVMs utilizzando il DNS nome o l'indirizzo IP di uno dei loro endpoint, a seconda del tipo di accesso. Il DNS nome è mappato all'indirizzo IP privato dell'interfaccia di rete elastica del file system o SVM dell'interfaccia di rete del tuoVPC. Solo le risorse all'interno del file system associatoVPC, o le risorse connesse a quello associato VPC da AWS Direct Connect orVPN, possono accedere ai dati del file system tramite i SCSI protocolli NFSSMB, o i. Per ulteriori informazioni, consulta What is AmazonVPC? nella Amazon VPC User Guide.

avvertimento

Non è necessario modificare o eliminare le interfacce elastiche di rete associate al file system. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra l'utente VPC e il file system.

Gruppi VPC di sicurezza Amazon

Un gruppo di sicurezza funge da firewall virtuale per i tuoi ONTAP file system FSx per controllare il traffico in entrata e in uscita. Le regole in entrata controllano il traffico in entrata verso il file system e le regole in uscita controllano il traffico in uscita dal file system. Quando si crea un file system, si specifica in VPC che modo viene creato e viene applicato il gruppo di sicurezza predefinito a tale file system. VPC È possibile aggiungere regole a ciascun gruppo di sicurezza che consentano il traffico da o verso i file system associati eSVMs. Puoi modificare le regole di un gruppo di sicurezza in qualsiasi momento. Le regole nuove e modificate vengono applicate automaticamente a tutte le risorse associate al gruppo di sicurezza. Quando Amazon FSx decide se consentire al traffico di raggiungere una risorsa, valuta tutte le regole di tutti i gruppi di sicurezza associati alla risorsa.

Per utilizzare un gruppo di sicurezza per controllare l'accesso al tuo FSx file system Amazon, aggiungi regole in entrata e in uscita. Le regole in entrata controllano il traffico in entrata e le regole in uscita controllano il traffico in uscita dal tuo file system. Assicurati di avere le regole del traffico di rete corrette nel tuo gruppo di sicurezza per mappare la condivisione di FSx file del tuo file system Amazon su una cartella sull'istanza di calcolo supportata.

Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le regole del gruppo di sicurezza nella Amazon EC2 User Guide.

Creazione di un gruppo VPC di sicurezza

Per creare un gruppo di sicurezza per Amazon FSx
  1. Apri la EC2 console Amazon in https://console.aws.amazon.com/ec2.

  2. Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

  3. Scegliere Create Security Group (Crea un gruppo di sicurezza).

  4. Specificare un nome e una descrizione per il gruppo di sicurezza.

  5. Per VPCesempio, scegli l'Amazon VPC associato al tuo file system per creare il gruppo di sicurezza al suo internoVPC.

  6. Per le regole in uscita, consenti tutto il traffico su tutte le porte.

  7. Aggiungi le seguenti regole alle porte in entrata del tuo gruppo di sicurezza. Per il campo di origine, devi scegliere Personalizzato e inserire i gruppi di sicurezza o gli intervalli di indirizzi IP associati alle istanze che devono accedere al tuo ONTAP file system FSx for, tra cui:

    • Client Linux, Windows e/o macOS che accedono ai dati nel file system tramite NFSSMB, o i. SCSI

    • Qualsiasi ONTAP file system/cluster che trasmetterai al tuo file system (ad esempio, da utilizzare SnapMirror o). SnapVault FlexCache

    • Qualsiasi client che utilizzerai per accedere a, o ZAPIs (ad esempio ONTAP REST APICLI, un'istanza Harvest/Grafana, NetApp Connector o NetApp BlueXP).

    Protocollo

    Porte

    Ruolo

    Tutti ICMP

    Tutti

    Eseguire il ping dell'istanza

    SSH

    22

    SSHaccesso all'indirizzo IP della gestione del cluster LIF o alla gestione di un nodo LIF

    TCP

    111

    Richiesta di procedura remota per NFS

    TCP

    135

    Chiamata di procedura remota per CIFS

    TCP

    139

    Sessione BIOS di servizio di rete per CIFS

    TCP 161-162

    Protocollo di gestione della rete semplice () SNMP

    TCP

    443

    ONTAPRESTAPIaccesso all'indirizzo IP della gestione del cluster LIF o di una SVM gestione LIF

    TCP

    445

    SMBCIFSMicrosoft./over TCP con Net BIOS framing

    TCP

    635

    NFSmontare

    TCP

    749

    Kerberos

    TCP

    2049

    NFSdemone del server

    TCP

    3260

    i) SCSI accesso tramite i dati SCSI LIF

    TCP

    4045

    NFSdaemon di blocco

    TCP

    4046

    Monitoraggio dello stato della rete per NFS

    TCP

    10000

    Protocollo di gestione dei dati di rete (NDMP) e NetApp SnapMirror comunicazione tra cluster

    TCP 11104 Gestione della comunicazione NetApp SnapMirror tra cluster
    TCP 11105 SnapMirror trasferimento dati tramite intercluster LIFs
    UDP 111 Richiesta di procedura remota per NFS

    UDP

    135

    Chiamata di procedura remota per CIFS

    UDP

    137

    Risoluzione dei BIOS nomi di rete per CIFS

    UDP

    139

    Sessione BIOS di servizio di rete per CIFS

    UDP 161-162

    Protocollo di gestione della rete semplice () SNMP

    UDP

    635

    NFSmontare

    UDP

    2049

    NFSdemone del server

    UDP

    4045

    NFSdaemon di blocco

    UDP

    4046

    Monitoraggio dello stato della rete per NFS

    UDP

    4049

    NFSprotocollo di quota

  8. Aggiungi il gruppo di sicurezza all'interfaccia elastica di rete del file system.

Impedisci l'accesso a un file system

Per impedire temporaneamente l'accesso di rete al file system da parte di tutti i client, è possibile rimuovere tutti i gruppi di sicurezza associati alle elastic network interface del file system e sostituirli con un gruppo privo di regole in entrata/in uscita.