Amazon VPC によるファイルシステムアクセスコントロール - FSx for ONTAP
Amazon VPC セキュリティグループ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon VPC によるファイルシステムアクセスコントロール

Amazon FSx for NetApp ONTAP ファイルシステムおよび SVM にアクセスするには、アクセスタイプによって、そのエンドポイントの DNS 名または IP アドレスを使用します。DNS 名は、VPC 内のファイルシステムまたは SVM の Elastic Network Interface プライベート IP アドレスにマッピングされます。関連付けられた VPC 内のリソース、または AWS Direct Connect または VPN によって関連付けられた VPC に接続されたリソースのみが、NFS、SMB、または iSCSI プロトコルを介してファイルシステム内のデータにアクセスできます。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

警告

ファイルシステムに関連付けられている Elastic Network Interface を変更または削除してはいけません。このネットワークインターフェイスを変更または削除すると、VPC とファイルシステムとの間の接続が完全に失われる可能性があります。

Amazon VPC セキュリティグループ

セキュリティグループは、FSx for ONTAP ファイルシステムの仮想ファイアウォールとして機能し、受信トラフィックと送信トラフィックをコントロールします。インバウンドルールはファイルシステムへの受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。ファイルシステムを作成するときは、作成する VPC を指定するとその VPC のデフォルトのセキュリティグループが適用されます。各セキュリティグループに対してルールを追加し、関連付けられたファイルシステムおよび SVM に対するトラフィックを許可できます。セキュリティグループのルールはいつでも変更できます。新規または変更したルールは、セキュリティグループに関連付けられたすべてのリソースに自動的に適用されます。Amazon FSx は、トラフィックがリソースに到達することを許可するかどうか判断する際に、リソースに関連付けられているすべてのセキュリティグループのすべてのルールを評価します。

セキュリティグループを使用して Amazon FSx ファイルシステムへのアクセスをコントロールするには、インバウンドとアウトバウンドのルールを追加します。インバウンドルールは受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピュートインスタンス上のフォルダーにマッピングするため、適切なネットワークトラフィックルールがセキュリティグループにあることを確認します。

セキュリティグループの詳細については、「Amazon EC2 ユーザーガイド」の「セキュリティグループルール」を参照してください。

VPC セキュリティグループを作成する

Amazon FSx のセキュリティグループを作成するには

  1. https://console.aws.amazon.com/ec2 で Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[セキュリティグループ] を選択します。

  3. [Create Security Group] (セキュリティグループの作成) を選択します。

  4. セキュリティグループの名前と説明を指定します。

  5. VPC で、ファイルシステムに関連付けられている Amazon VPC を選択して、その VPC 内にセキュリティグループを作成します。

  6. アウトバウンドルールについて、すべてのポート上のすべてのトラフィックを許可します。

  7. セキュリティグループの着信ポートに次のルールを追加します。出典 フィールドでは [Custom] (カスタム) を選択し、FSx for ONTAP ファイルシステムにアクセスする必要があるインスタンスに関連付けられているセキュリティグループまたは IP アドレス範囲を入力する必要があります。これには、次のものが含まれます。

    • NFS、SMB、または iSCSI 経由でファイルシステム内のデータにアクセスする Linux、Windows、macOS クライアント。

    • ファイルシステムにピアリングする ONTAP ファイルシステム / クラスター (SnapMirror、SnapVault、FlexCache など)。

    • ONTAP REST API、CLI、または ZAPI にアクセスするために使用するすべてのクライアント (例えば、Harvest / Grafana インスタンス、NetApp Connector、または NetApp BlueXP)。

    プロトコル

    ポート

    ロール

    すべての ICMP

    すべて

    インスタンスへの ping を実行する

    SSH

    22

    クラスター管理 LIF またはノード管理 LIF の IP アドレスへの SSH アクセス

    TCP

    111

    NFS のリモートプロシージャコール

    TCP

    135

    CIFS のリモートプロシージャコール

    TCP

    139

    CIFS 用の NetBIOS サービスセッション
    TCP 161-162

    SNMP (簡易ネットワーク管理プロトコル)

    TCP

    443

    ONTAP REST API は、クラスター管理 LIF または SVM 管理 LIF の IP アドレスにアクセスします

    TCP

    445

    NetBIOS フレーミングを使用した Microsoft SMB / CIFS over TCP

    TCP

    635

    NFS マウント

    TCP

    749

    Kerberos

    TCP

    2049

    NFS サーバーデーモン

    TCP

    3260

    iSCSI データ LIF 経由の iSCSI アクセス

    TCP

    4045

    NFS ロックデーモン

    TCP

    4046

    NFS のネットワークステータスモニタリング

    TCP

    10000

    ネットワークデータ管理プロトコル (NDMP) および NetApp SnapMirror クラスター間通信
    TCP 11104 NetApp SnapMirror のクラスター間通信の管理
    TCP 11105 クラスター間 LIF を使用した SnapMirror データ転送
    UDP 111 NFS のリモートプロシージャコール

    UDP

    135

    CIFS のリモートプロシージャコール

    UDP

    137

    CIFS の NetBIOS 名解像度

    UDP

    139

    CIFS 用の NetBIOS サービスセッション
    UDP 161-162

    SNMP (簡易ネットワーク管理プロトコル)

    UDP

    635

    NFS マウント

    UDP

    2049

    NFS サーバーデーモン

    UDP

    4045

    NFS ロックデーモン

    UDP

    4046

    NFS のネットワークステータスモニタリング

    UDP

    4049

    NFS クォータプロトコル

  8. ファイルシステムの Elastic Network Interface にセキュリティグループを追加します。

ファイルシステムへのアクセスを許可しない

すべてのクライアントからファイルシステムへのネットワークアクセスを一時的に無効にするには、ファイルシステムの Elastic Network Interface (複数も可) に関連付けられているすべてのセキュリティグループを削除し、インバウンド / アウトバウンドルールを持たないグループに置き換えます。