Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo degli accessi ai file system con Amazon VPC
Accedi ai tuoi file system Amazon FSx for NetApp ONTAP SVMs utilizzando il nome DNS o l'indirizzo IP di uno dei loro endpoint, a seconda del tipo di accesso. Il nome DNS viene mappato all'indirizzo IP privato dell'interfaccia di rete elastica del file system o SVM nel tuo VPC. Solo le risorse all'interno del VPC associato o le risorse collegate al VPC associato tramite una VPN possono accedere ai dati del file system tramite i protocolli NFS, SMB AWS Direct Connect o iSCSI. Per ulteriori informazioni, consulta Cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC.
avvertimento
Non è necessario modificare o eliminare le interfacce elastiche di rete associate al file system. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra il VPC e il file system.
Gruppi di sicurezza Amazon VPC
Un gruppo di sicurezza funge da firewall virtuale per i file system FSx for ONTAP per controllare il traffico in entrata e in uscita. Le regole in entrata controllano il traffico in entrata verso il file system e le regole in uscita controllano il traffico in uscita dal file system. Quando si crea un file system, si specifica il VPC in cui viene creato e viene applicato il gruppo di sicurezza predefinito per quel VPC. È possibile aggiungere regole a ciascun gruppo di sicurezza che consentano il traffico da o verso i file system associati e. SVMs Puoi modificare le regole di un gruppo di sicurezza in qualsiasi momento. Le regole nuove e modificate vengono applicate automaticamente a tutte le risorse associate al gruppo di sicurezza. Quando Amazon FSx decide se consentire al traffico di raggiungere una risorsa, valuta tutte le regole di tutti i gruppi di sicurezza associati alla risorsa.
Per utilizzare un gruppo di sicurezza per controllare l'accesso al tuo FSx file system Amazon, aggiungi regole in entrata e in uscita. Le regole in entrata controllano il traffico in entrata e le regole in uscita controllano il traffico in uscita dal tuo file system. Assicurati di avere le regole del traffico di rete corrette nel tuo gruppo di sicurezza per mappare la condivisione di FSx file del tuo file system Amazon su una cartella sull'istanza di calcolo supportata.
Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le regole del gruppo di sicurezza nella Amazon EC2 User Guide.
Creazione di un gruppo di sicurezza VPC
Per creare un gruppo di sicurezza per Amazon FSx
-
Apri la EC2 console Amazon in https://console.aws.amazon.com/ec2.
-
Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.
-
Scegliere Create Security Group (Crea un gruppo di sicurezza).
-
Specificare un nome e una descrizione per il gruppo di sicurezza.
-
Per VPC, scegli Amazon VPC associato al tuo file system per creare il gruppo di sicurezza all'interno di quel VPC.
Per le regole in uscita, consenti tutto il traffico su tutte le porte.
-
Aggiungi le seguenti regole alle porte in entrata del tuo gruppo di sicurezza. Per il campo di origine, devi scegliere Personalizzato e inserire i gruppi di sicurezza o gli intervalli di indirizzi IP associati alle istanze che devono accedere al file system FSx for ONTAP, tra cui:
Client Linux, Windows e/o macOS che accedono ai dati del file system tramite NFS, SMB o iSCSI.
Qualsiasi file system/cluster ONTAP da collegare al file system (ad esempio, da utilizzare o). SnapMirror SnapVault FlexCache
Qualsiasi client che utilizzerai per accedere all'API REST ONTAP, alla CLI ZAPIs o (ad esempio, un'istanza NetApp Harvest/Grafana, Connector o BlueXP). NetApp
Protocollo
Porte
Ruolo
Tutte le regole ICMP
Tutti
Ping dell'istanza
SSH
22
Accesso SSH all'indirizzo IP del LIF di gestione del cluster o di un LIF di gestione dei nodi
TCP
111
Chiamata di procedura remota per NFS
TCP
135
Chiamata di procedura remota per CIFS
TCP
139
Sessione di servizio NetBIOS per CIFS
TCP 161-162 Protocollo di gestione della rete semplice (SNMP)
TCP
443
Accesso tramite API REST ONTAP all'indirizzo IP del LIF di gestione del cluster o a un LIF di gestione SVM
TCP
445
Microsoft SMB/CIFS su TCP con framing NetBIOS
TCP
635
Montaggio NFS
TCP
749
Kerberos
TCP
2049
demone del server NFS
TCP
3260
Accesso iSCSI tramite il LIF dei dati iSCSI
TCP
4045
demone di blocco NFS
TCP
4046
Monitoraggio dello stato della rete per NFS
TCP
10000
Protocollo di gestione dei dati di rete (NDMP) e NetApp SnapMirror comunicazione tra cluster
TCP 11104 Gestione della comunicazione NetApp SnapMirror tra cluster TCP 11105 SnapMirror trasferimento dati tramite intercluster LIFs UDP 111 chiamata di procedura remota per NFS UDP
135
Chiamata di procedura remota per CIFS
UDP
137
Risoluzione dei nomi NetBIOS per CIFS
UDP
139
Sessione di servizio NetBIOS per CIFS
UDP 161-162 Protocollo di gestione della rete semplice (SNMP)
UDP
635
Montaggio NFS
UDP
2049
demone del server NFS
UDP
4045
demone di blocco NFS
UDP
4046
Monitoraggio dello stato della rete per NFS
UDP
4049
Protocollo di quota NFS
-
Aggiungi il gruppo di sicurezza all'interfaccia elastica di rete del file system.
Impedisci l'accesso a un file system
Per impedire temporaneamente l'accesso di rete al file system da parte di tutti i client, è possibile rimuovere tutti i gruppi di sicurezza associati alle elastic network interface del file system e sostituirli con un gruppo privo di regole in entrata/in uscita.