Sicherheitsgruppenregeln für AWS
Änderungen vorschlagen
PDFs
BlueXP erstellt AWS Sicherheitsgruppen mit den ein- und ausgehenden Regeln, die für den erfolgreichen Betrieb von Cloud Volumes ONTAP erforderlich sind. Sie können sich zu Testzwecken auf die Ports beziehen oder wenn Sie Ihre eigenen Sicherheitsgruppen verwenden möchten.
Regeln für Cloud Volumes ONTAP
Die Sicherheitsgruppe für Cloud Volumes ONTAP erfordert sowohl eingehende als auch ausgehende Regeln.
Regeln für eingehende Anrufe
Wenn Sie eine Arbeitsumgebung erstellen und eine vordefinierte Sicherheitsgruppe auswählen, können Sie den Datenverkehr innerhalb einer der folgenden Optionen zulassen:
-
Nur gewählte VPC: Die Quelle für eingehenden Datenverkehr ist der Subnetz-Bereich des VPC für das Cloud Volumes ONTAP-System und der Subnetz-Bereich des VPC, in dem sich der Connector befindet. Dies ist die empfohlene Option.
-
Alle VPCs: Die Quelle für eingehenden Datenverkehr ist der IP-Bereich 0.0.0.0/0.
| Protokoll | Port | Zweck |
|---|---|---|
Alle ICMP |
Alle |
Pingen der Instanz |
HTTP |
80 |
HTTP-Zugriff auf die Web-Konsole von ONTAP System Manager mithilfe der IP-Adresse der Cluster-Management-LIF |
HTTPS |
443 |
Konnektivität mit dem Connector und HTTPS-Zugriff auf die ONTAP System Manager Webkonsole mithilfe der IP-Adresse der Cluster-Management-LIF |
SSH |
22 |
SSH-Zugriff auf die IP-Adresse der Cluster Management LIF oder einer Node Management LIF |
TCP |
111 |
Remote-Prozeduraufruf für NFS |
TCP |
139 |
NetBIOS-Servicesitzung für CIFS |
TCP |
161-162 |
Einfaches Netzwerkverwaltungsprotokoll |
TCP |
445 |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
TCP |
635 |
NFS-Mount |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS-Server-Daemon |
TCP |
3260 |
ISCSI-Zugriff über die iSCSI-Daten-LIF |
TCP |
4045 |
NFS-Sperr-Daemon |
TCP |
4046 |
Netzwerkstatusüberwachung für NFS |
TCP |
10.000 |
Backup mit NDMP |
TCP |
11104 |
Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror |
TCP |
11105 |
SnapMirror Datenübertragung über Cluster-interne LIFs |
UDP |
111 |
Remote-Prozeduraufruf für NFS |
UDP |
161-162 |
Einfaches Netzwerkverwaltungsprotokoll |
UDP |
635 |
NFS-Mount |
UDP |
2049 |
NFS-Server-Daemon |
UDP |
4045 |
NFS-Sperr-Daemon |
UDP |
4046 |
Netzwerkstatusüberwachung für NFS |
UDP |
4049 |
NFS rquotad-Protokoll |
Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.
Grundlegende Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP enthält die folgenden ausgehenden Regeln.
| Protokoll | Port | Zweck |
|---|---|---|
Alle ICMP |
Alle |
Gesamter abgehender Datenverkehr |
Alle TCP |
Alle |
Gesamter abgehender Datenverkehr |
Alle UDP-Protokolle |
Alle |
Gesamter abgehender Datenverkehr |
Erweiterte Outbound-Regeln
Wenn Sie strenge Regeln für ausgehenden Datenverkehr benötigen, können Sie mit den folgenden Informationen nur die Ports öffnen, die für die ausgehende Kommunikation durch Cloud Volumes ONTAP erforderlich sind.
|
Die Quelle ist die Schnittstelle (IP-Adresse) auf dem Cloud Volumes ONTAP System. |
| Service | Protokoll | Port | Quelle | Ziel | Zweck |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
UDP |
137 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
UDP |
138 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
TCP |
139 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
TCP UND UDP |
389 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
LDAP |
|
TCP |
445 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
TCP |
464 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
UDP |
464 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
TCP |
749 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS) |
|
TCP |
88 |
Daten-LIF (NFS, CIFS, iSCSI) |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
|
UDP |
137 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
UDP |
138 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
TCP |
139 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
TCP UND UDP |
389 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
LDAP |
|
TCP |
445 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
TCP |
464 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
UDP |
464 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
TCP |
749 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V - Passwort ändern und festlegen (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
Node Management-LIF |
support.netapp.com |
AutoSupport (HTTPS ist der Standard) |
HTTP |
80 |
Node Management-LIF |
support.netapp.com |
AutoSupport (nur wenn das Transportprotokoll von HTTPS zu HTTP geändert wird) |
|
TCP |
3128 |
Node Management-LIF |
Stecker |
Senden von AutoSupport-Nachrichten über einen Proxy-Server auf dem Connector, falls keine ausgehende Internetverbindung verfügbar ist |
|
Backup auf S3 |
TCP |
5010 |
Intercluster-LIF |
Backup-Endpunkt oder Wiederherstellungsendpunkt |
Backup- und Restore-Vorgänge für die Funktion „Backup in S3“ |
Cluster |
Gesamter Datenverkehr |
Gesamter Datenverkehr |
Alle LIFs auf einem Node |
Alle LIFs auf dem anderen Node |
Kommunikation zwischen Clustern (nur Cloud Volumes ONTAP HA) |
TCP |
3000 |
Node Management-LIF |
Ha Mediator |
ZAPI-Aufrufe (nur Cloud Volumes ONTAP HA) |
|
ICMP |
1 |
Node Management-LIF |
Ha Mediator |
Bleiben Sie am Leben (nur Cloud Volumes ONTAP HA) |
|
Konfigurations-Backups |
HTTP |
80 |
Node Management-LIF |
\Http://<connector-IP-address>/occm/offboxconfig |
Senden Sie Konfigurationssicherungen an den Connector. "Informationen zu Backup-Dateien für die Konfiguration". |
DHCP |
UDP |
68 |
Node Management-LIF |
DHCP |
DHCP-Client für die erstmalige Einrichtung |
DHCPS |
UDP |
67 |
Node Management-LIF |
DHCP |
DHCP-Server |
DNS |
UDP |
53 |
Node Management LIF und Daten LIF (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600-18699 |
Node Management-LIF |
Zielserver |
NDMP-Kopie |
SMTP |
TCP |
25 |
Node Management-LIF |
Mailserver |
SMTP-Warnungen können für AutoSupport verwendet werden |
SNMP |
TCP |
161 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
UDP |
161 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
TCP |
162 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
UDP |
162 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
SnapMirror |
TCP |
11104 |
Intercluster-LIF |
ONTAP Intercluster-LIFs |
Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror |
TCP |
11105 |
Intercluster-LIF |
ONTAP Intercluster-LIFs |
SnapMirror Datenübertragung |
|
Syslog |
UDP |
514 |
Node Management-LIF |
Syslog-Server |
Syslog-Weiterleitungsmeldungen |
Regeln für die externe Sicherheitsgruppe des HA Mediators
Die vordefinierte externe Sicherheitsgruppe für den Cloud Volumes ONTAP HA Mediator enthält die folgenden Regeln für ein- und ausgehende Anrufe.
Regeln für eingehende Anrufe
Die vordefinierte Sicherheitsgruppe für den HA-Mediator umfasst die folgende eingehende Regel.
| Protokoll | Port | Quelle | Zweck |
|---|---|---|---|
TCP |
3000 |
CIDR des Connectors |
RESTful API-Zugriff über den Connector |
Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für den HA-Vermittler öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.
Grundlegende Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für den HA-Vermittler enthält die folgenden Regeln für ausgehende Anrufe.
| Protokoll | Port | Zweck |
|---|---|---|
Alle TCP |
Alle |
Gesamter abgehender Datenverkehr |
Alle UDP-Protokolle |
Alle |
Gesamter abgehender Datenverkehr |
Erweiterte Outbound-Regeln
Wenn Sie starre Regeln für ausgehenden Datenverkehr benötigen, können Sie die folgenden Informationen verwenden, um nur die Ports zu öffnen, die für die ausgehende Kommunikation durch den HA-Vermittler erforderlich sind.
| Protokoll | Port | Ziel | Zweck |
|---|---|---|---|
HTTP |
80 |
IP-Adresse des Connectors auf der AWS EC2 Instanz |
Lade Upgrades für den Mediator herunter |
HTTPS |
443 |
ec2.amazonaws.com |
Unterstützung bei Storage Failover |
UDP |
53 |
ec2.amazonaws.com |
Unterstützung bei Storage Failover |
|
|
Anstatt die Ports 443 und 53 zu öffnen, können Sie einen VPC-Endpunkt des Zielsubnetzen zum AWS EC2 Service erstellen. |
Regeln für die interne Sicherheitsgruppe der HA-Konfiguration
Die vordefinierte interne Sicherheitsgruppe für eine Cloud Volumes ONTAP HA-Konfiguration umfasst die folgenden Regeln: Diese Sicherheitsgruppe ermöglicht die Kommunikation zwischen den HA-Nodes und zwischen dem Mediator und den Nodes.
BlueXP erstellt diese Sicherheitsgruppe immer. Sie haben nicht die Möglichkeit, Ihre eigenen zu verwenden.
Regeln für eingehende Anrufe
Die vordefinierte Sicherheitsgruppe enthält die folgenden Regeln für eingehende Anrufe.
| Protokoll | Port | Zweck |
|---|---|---|
Gesamter Datenverkehr |
Alle |
Kommunikation zwischen HA-Mediator und HA-Knoten |
Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe enthält die folgenden ausgehenden Regeln.
| Protokoll | Port | Zweck |
|---|---|---|
Gesamter Datenverkehr |
Alle |
Kommunikation zwischen HA-Mediator und HA-Knoten |