使用 Amazon VPC 进行文件系统访问控制
您可以使用其中一个端点的 DNS 名称或 IP 地址访问 Amazon FSx for NetApp ONTAP 文件系统和 SVM,具体取决于访问类型。DNS 名称映射到文件系统的私有 IP 地址或您 VPC 中 SVM 的弹性网络接口。只有关联 VPC 中的资源,或者通过 AWS Direct Connect 或 VPN 与关联 VPC 连接的资源,才能通过 NFS、SMB 或 iSCSI 协议访问文件系统中的数据。有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC?。
警告
不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。
Amazon VPC 安全组
安全组充当 FSx for ONTAP 文件系统的虚拟防火墙,用于控制传入和传出流量。入站规则控制传入到文件系统的流量,出站规则控制从文件系统传出的流量。创建文件系统时,您需要指定要在其中创建文件系统的 VPC,并应用该 VPC 的默认安全组。您可以为每个安全组添加规则,规定流入或流出其关联文件系统的流量。您可以随时修改安全组的规则。新规则和修改后的规则将自动应用到与安全组相关联的所有资源。在 Amazon FSx 确定是否允许流量到达资源时,它会评估与资源关联的所有安全组中的所有规则。
要使用安全组控制对 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。
有关安全组规则的更多信息,请参阅《Amazon EC2 用户指南》中的安全组规则。
创建 VPC 安全组
为 Amazon FSx 创建安全组
-
通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2
。 -
在导航窗格中,选择安全组。
-
选择创建安全组。
-
为安全组指定名称和描述。
-
对于 VPC,请选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。
对于出站规则,允许所有端口上的所有流量传输。
-
将以下规则添加到安全组的入站端口。在源字段中,您应选择自定义,然后输入与需要访问 FSx for ONTAP 文件系统的实例关联的安全组或 IP 地址范围,包括:
通过 NFS、SMB 或 iSCSI 访问文件系统中数据的 Linux、Windows 和/或 macOS 客户端。
您将与文件系统对等的任何 ONTAP 文件系统/集群(例如,使用 SnapMirror、SnapVault 或 FlexCache)。
您将用于访问 ONTAP REST API、CLI 或 ZAPI 的任何客户端(例如 Harvest/Grafana 实例、NetApp Connector 或 NetApp BlueXP)。
协议
端口
角色
所有 ICMP
全部
对实例执行 ping 操作
SSH
22
通过 SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址
TCP
111
NFS 的远程过程调用
TCP
135
CIFS 的远程过程调用
TCP
139
CIFS 的 NetBIOS 服务会话
TCP 161-162 简单网络管理协议(SNMP)
TCP
443
通过 ONTAP REST API 访问集群管理 LIF 或 SVM 管理 LIF 的 IP 地址
TCP
445
通过 TCP 和 NetBIOS 帧进行的 Microsoft SMB/CIFS
TCP
635
NFS 挂载
TCP
749
Kerberos
TCP
2049
NFS 服务器进程守护程序
TCP
3260
通过 iSCSI 数据 LIF 进行 iSCSI 访问
TCP
4045
NFS 锁定进程守护程序
TCP
4046
NFS 网络状态监控
TCP
10000
网络数据管理协议(NDMP)和 NetApp SnapMirror 集群间通信
TCP 11104 NetApp SnapMirror 集群间通信管理 TCP 11105 使用集群间 LIF 传输 SnapMirror 数据 UDP 111 NFS 的远程过程调用 UDP
135
CIFS 的远程过程调用
UDP
137
CIFS 的 NetBIOS 名称解析
UDP
139
CIFS 的 NetBIOS 服务会话
UDP 161-162 简单网络管理协议(SNMP)
UDP
635
NFS 挂载
UDP
2049
NFS 服务器进程守护程序
UDP
4045
NFS 锁定进程守护程序
UDP
4046
NFS 网络状态监控
UDP
4049
NFS 配额协议
-
将安全组添加到文件系统的弹性网络接口。
禁止访问文件系统
要暂时禁止所有客户端通过网络访问您的文件系统,可以删除与文件系统的弹性网络接口关联的所有安全组,并将其替换为没有入站/出站规则的组。