本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon VPC 進行檔案系統存取控制
您可以使用其中一個端點的 DNS 名稱或 IP 位址來存取適用於 NetApp ONTAP 檔案系統和 SVM 的 Amazon FSx,視其存取類型而定。DNS 名稱會對應至 VPC 中檔案系統或 SVM elastic network interface 的私有 IP 位址。只有相關 VPC 中的資源,或與相關 VPC AWS Direct Connect 或 VPN 連接的資源,才能透過 NFS、SMB 或 iSCSI 通訊協定存取檔案系統中的資料。如需詳細資訊,請參閱什麼是 Amazon VPC? 在 Amazon VPC 用戶指南中。
警告
您不得修改或刪除與檔案系統相關聯的 elastic network interface。修改或刪除網路介面可能會導致 VPC 與檔案系統之間的連線永久中斷。
Amazon VPC 安全群組
安全群組可做為 ONTAP 檔案系統 FSx 的虛擬防火牆,以控制傳入和傳出流量。輸入規則會控制檔案系統的傳入流量,輸出規則則會控制來自檔案系統的傳出流量。建立檔案系統時,您可以指定建立該檔案系統的 VPC,並套用該 VPC 的預設安全性群組。您可以將規則新增至每個安全性群組,以允許進出其關聯檔案系統和 SVM 的流量。您可隨時修改安全群組規則。新規則和修改過的規則會自動套用至與安全性群組相關聯的所有資源。當 Amazon FSx 決定是否允許流量到達資源時,它會評估與資源相關聯的所有安全群組中的所有規則。
若要使用安全群組控制對 Amazon FSx 檔案系統的存取,請新增輸入和輸出規則。輸入規則可控制傳入流量,而輸出規則則會控制來自檔案系統的傳出流量。確保安全群組中有正確的網路流量規則,以將 Amazon FSx 檔案系統的檔案共用對應到受支援運算執行個體上的資料夾。
如需有關安全群組規則的詳細資訊,請參閱 Amazon EC2 使用者指南中的安全群組規則。
建立 VPC 安全群組
若要為 Amazon FSx 建立安全群組
-
在以下位置打開 Amazon EC2 控制台 https://console.aws.amazon.com/ec2
。 -
在導覽窗格中,選擇 Security Groups (安全群組)。
-
選擇 Create Security Group (建立安全群組)。
-
指定安全群組的名稱和描述。
-
對於 VPC,請選擇與檔案系統關聯的 Amazon VPC,以在該 VPC 內建立安全群組。
對於輸出規則,允許所有通訊埠上的所有流量。
-
將下列規則新增至安全性群組的輸入連接埠。在來源欄位中,您應該選擇 [自訂],然後輸入與需要存取您的 FSx for ONTAP 檔案系統的執行個體相關聯的安全群組或 IP 位址範圍,包括:
透過 NFS、中小企業或 iSCSI 存取檔案系統中資料的 Linux、視窗及/或 macOS 用戶端。
將對等至檔案系統的任何ONTAP 檔案系統/集 (例如,要使用 SnapMirror SnapVault、或)。 FlexCache
您將用來存取 ONTAP REST API、CLI 或 ZAPI 的任何用戶端 (例如,擷取/Grafana 執行個體、連接器或 BlueExp)。 NetApp NetApp
通訊協定
連接埠
角色
所有 ICMP
全部
偵測執行個體
SSH
22
透過 SSH 存取叢集管理 LIF 或節點管理 LIF 的 IP 位址
TCP
111
遠端程序呼叫 NFS
TCP
135
CIFS 的遠端程序呼叫
TCP
139
CIFS 的 NetBIOS 服務工作階段
TCP 161-162 簡易網路管理通訊協定 (SNMP)
TCP
443
對叢集管理 LIF 或 SVM 管理 LIF 的 IP 位址的 ONTAP REST API 存取
TCP
445
Microsoft 中小型企業通過 TCP 與 NetBIOS 框架
TCP
635
NFS 掛載
TCP
749
Kerberos
TCP
2049
NFS 伺服器精靈
TCP
3260
透過 iSCSI 資料 LIF 存取
TCP
4045
NFS 鎖定常駐程式
TCP
4046
NFS 的網路狀態監視器
TCP
10000
網路資料管理通訊協定 (NDMP) 與叢 NetApp SnapMirror 集間通訊
TCP 11104 NetApp SnapMirror 集群間通信的管理 TCP 11105 SnapMirror 使用叢集間 LIF 進行資料傳輸 UDP 111 遠端程序呼叫 NFS UDP
135
CIFS 的遠端程序呼叫
UDP
137
CIFS 的 NetBIOS 名稱解析
UDP
139
CIFS 的 NetBIOS 服務工作階段
UDP 161-162 簡易網路管理通訊協定 (SNMP)
UDP
635
NFS 掛載
UDP
2049
NFS 伺服器精靈
UDP
4045
NFS 鎖定常駐程式
UDP
4046
NFS 的網路狀態監視器
UDP
4049
NFS 配額通訊協定
-
將安全性群組新增至檔案系統的 elastic network interface。
不允許存取檔案系統
若要暫時禁止從所有用戶端存取檔案系統的網路,您可以移除與檔案系統 elastic network interface 相關聯的所有安全性群組,並將其取代為沒有入站/輸出規則的群組。