使用 Amazon VPC 進行檔案系統存取控制 - FSx for OnTAP
Amazon VPC 安全群組

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon VPC 進行檔案系統存取控制

您可以使用其中一個端點的 DNS 名稱或 IP 位址來存取適用於 NetApp ONTAP 檔案系統和 SVM 的 Amazon FSx,視其存取類型而定。DNS 名稱會對應至 VPC 中檔案系統或 SVM elastic network interface 的私有 IP 位址。只有相關 VPC 中的資源,或與相關 VPC AWS Direct Connect 或 VPN 連接的資源,才能透過 NFS、SMB 或 iSCSI 通訊協定存取檔案系統中的資料。如需詳細資訊,請參閱什麼是 Amazon VPC? 在 Amazon VPC 用戶指南中。

警告

您不得修改或刪除與檔案系統相關聯的 elastic network interface。修改或刪除網路介面可能會導致 VPC 與檔案系統之間的連線永久中斷。

Amazon VPC 安全群組

安全群組可做為 ONTAP 檔案系統 FSx 的虛擬防火牆,以控制傳入和傳出流量。輸入規則會控制檔案系統的傳入流量,輸出規則則會控制來自檔案系統的傳出流量。建立檔案系統時,您可以指定建立該檔案系統的 VPC,並套用該 VPC 的預設安全性群組。您可以將規則新增至每個安全性群組,以允許進出其關聯檔案系統和 SVM 的流量。您可隨時修改安全群組規則。新規則和修改過的規則會自動套用至與安全性群組相關聯的所有資源。當 Amazon FSx 決定是否允許流量到達資源時,它會評估與資源相關聯的所有安全群組中的所有規則。

若要使用安全群組控制對 Amazon FSx 檔案系統的存取,請新增輸入和輸出規則。輸入規則可控制傳入流量,而輸出規則則會控制來自檔案系統的傳出流量。確保安全群組中有正確的網路流量規則,以將 Amazon FSx 檔案系統的檔案共用對應到受支援運算執行個體上的資料夾。

如需有關安全群組規則的詳細資訊,請參閱 Amazon EC2 使用者指南中的安全群組規則

建立 VPC 安全群組

若要為 Amazon FSx 建立安全群組

  1. 在以下位置打開 Amazon EC2 控制台 https://console.aws.amazon.com/ec2

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)。

  4. 指定安全群組的名稱和描述。

  5. 對於 VPC,請選擇與檔案系統關聯的 Amazon VPC,以在該 VPC 內建立安全群組。

  6. 對於輸出規則,允許所有通訊埠上的所有流量。

  7. 將下列規則新增至安全性群組的輸入連接埠。在來源欄位中,您應該選擇 [自訂],然後輸入與需要存取您的 FSx for ONTAP 檔案系統的執行個體相關聯的安全群組或 IP 位址範圍,包括:

    • 透過 NFS、中小企業或 iSCSI 存取檔案系統中資料的 Linux、視窗及/或 macOS 用戶端。

    • 將對等至檔案系統的任何ONTAP 檔案系統/集 (例如,要使用 SnapMirror SnapVault、或)。 FlexCache

    • 您將用來存取 ONTAP REST API、CLI 或 ZAPI 的任何用戶端 (例如,擷取/Grafana 執行個體、連接器或 BlueExp)。 NetApp NetApp

    通訊協定

    連接埠

    角色

    所有 ICMP

    全部

    偵測執行個體

    SSH

    22

    透過 SSH 存取叢集管理 LIF 或節點管理 LIF 的 IP 位址

    TCP

    111

    遠端程序呼叫 NFS

    TCP

    135

    CIFS 的遠端程序呼叫

    TCP

    139

    CIFS 的 NetBIOS 服務工作階段
    TCP 161-162

    簡易網路管理通訊協定 (SNMP)

    TCP

    443

    對叢集管理 LIF 或 SVM 管理 LIF 的 IP 位址的 ONTAP REST API 存取

    TCP

    445

    Microsoft 中小型企業通過 TCP 與 NetBIOS 框架

    TCP

    635

    NFS 掛載

    TCP

    749

    Kerberos

    TCP

    2049

    NFS 伺服器精靈

    TCP

    3260

    透過 iSCSI 資料 LIF 存取

    TCP

    4045

    NFS 鎖定常駐程式

    TCP

    4046

    NFS 的網路狀態監視器

    TCP

    10000

    網路資料管理通訊協定 (NDMP) 與叢 NetApp SnapMirror 集間通訊
    TCP 11104 NetApp SnapMirror 集群間通信的管理
    TCP 11105 SnapMirror 使用叢集間 LIF 進行資料傳輸
    UDP 111 遠端程序呼叫 NFS

    UDP

    135

    CIFS 的遠端程序呼叫

    UDP

    137

    CIFS 的 NetBIOS 名稱解析

    UDP

    139

    CIFS 的 NetBIOS 服務工作階段
    UDP 161-162

    簡易網路管理通訊協定 (SNMP)

    UDP

    635

    NFS 掛載

    UDP

    2049

    NFS 伺服器精靈

    UDP

    4045

    NFS 鎖定常駐程式

    UDP

    4046

    NFS 的網路狀態監視器

    UDP

    4049

    NFS 配額通訊協定

  8. 將安全性群組新增至檔案系統的 elastic network interface。

不允許存取檔案系統

若要暫時禁止從所有用戶端存取檔案系統的網路,您可以移除與檔案系統 elastic network interface 相關聯的所有安全性群組,並將其取代為沒有入站/輸出規則的群組。