Skip to main content
Alle Cloud-Provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Alle Cloud-Provider
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Sicherheitsgruppenregeln für AWS

Beitragende

BlueXP erstellt AWS Sicherheitsgruppen mit den ein- und ausgehenden Regeln, die für den erfolgreichen Betrieb von Cloud Volumes ONTAP erforderlich sind. Sie können sich zu Testzwecken auf die Ports beziehen oder wenn Sie Ihre eigenen Sicherheitsgruppen verwenden möchten.

Regeln für Cloud Volumes ONTAP

Die Sicherheitsgruppe für Cloud Volumes ONTAP erfordert sowohl eingehende als auch ausgehende Regeln.

Regeln für eingehende Anrufe

Wenn Sie eine Arbeitsumgebung erstellen und eine vordefinierte Sicherheitsgruppe auswählen, können Sie den Datenverkehr innerhalb einer der folgenden Optionen zulassen:

  • Nur gewählte VPC: Die Quelle für eingehenden Datenverkehr ist der Subnetz-Bereich des VPC für das Cloud Volumes ONTAP-System und der Subnetz-Bereich des VPC, in dem sich der Connector befindet. Dies ist die empfohlene Option.

  • Alle VPCs: Die Quelle für eingehenden Datenverkehr ist der IP-Bereich 0.0.0.0/0.

Protokoll Port Zweck

Alle ICMP

Alle

Pingen der Instanz

HTTP

80

HTTP-Zugriff auf die Web-Konsole von ONTAP System Manager mithilfe der IP-Adresse der Cluster-Management-LIF

HTTPS

443

Konnektivität mit dem Connector und HTTPS-Zugriff auf die ONTAP System Manager Webkonsole mithilfe der IP-Adresse der Cluster-Management-LIF

SSH

22

SSH-Zugriff auf die IP-Adresse der Cluster Management LIF oder einer Node Management LIF

TCP

111

Remote-Prozeduraufruf für NFS

TCP

139

NetBIOS-Servicesitzung für CIFS

TCP

161-162

Einfaches Netzwerkverwaltungsprotokoll

TCP

445

Microsoft SMB/CIFS über TCP mit NETBIOS-Framing

TCP

635

NFS-Mount

TCP

749

Kerberos

TCP

2049

NFS-Server-Daemon

TCP

3260

ISCSI-Zugriff über die iSCSI-Daten-LIF

TCP

4045

NFS-Sperr-Daemon

TCP

4046

Netzwerkstatusüberwachung für NFS

TCP

10.000

Backup mit NDMP

TCP

11104

Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror

TCP

11105

SnapMirror Datenübertragung über Cluster-interne LIFs

UDP

111

Remote-Prozeduraufruf für NFS

UDP

161-162

Einfaches Netzwerkverwaltungsprotokoll

UDP

635

NFS-Mount

UDP

2049

NFS-Server-Daemon

UDP

4045

NFS-Sperr-Daemon

UDP

4046

Netzwerkstatusüberwachung für NFS

UDP

4049

NFS rquotad-Protokoll

Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.

Grundlegende Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP enthält die folgenden ausgehenden Regeln.

Protokoll Port Zweck

Alle ICMP

Alle

Gesamter abgehender Datenverkehr

Alle TCP

Alle

Gesamter abgehender Datenverkehr

Alle UDP-Protokolle

Alle

Gesamter abgehender Datenverkehr

Erweiterte Outbound-Regeln

Wenn Sie strenge Regeln für ausgehenden Datenverkehr benötigen, können Sie mit den folgenden Informationen nur die Ports öffnen, die für die ausgehende Kommunikation durch Cloud Volumes ONTAP erforderlich sind.

Hinweis Die Quelle ist die Schnittstelle (IP-Adresse) auf dem Cloud Volumes ONTAP System.
Service Protokoll Port Quelle Ziel Zweck

Active Directory

TCP

88

Node Management-LIF

Active Directory-Gesamtstruktur

Kerberos V-Authentifizierung

UDP

137

Node Management-LIF

Active Directory-Gesamtstruktur

NetBIOS-Namensdienst

UDP

138

Node Management-LIF

Active Directory-Gesamtstruktur

Netbios Datagramm-Dienst

TCP

139

Node Management-LIF

Active Directory-Gesamtstruktur

Sitzung für den NETBIOS-Dienst

TCP UND UDP

389

Node Management-LIF

Active Directory-Gesamtstruktur

LDAP

TCP

445

Node Management-LIF

Active Directory-Gesamtstruktur

Microsoft SMB/CIFS über TCP mit NETBIOS-Framing

TCP

464

Node Management-LIF

Active Directory-Gesamtstruktur

Kerberos V Passwort ändern und festlegen (SET_CHANGE)

UDP

464

Node Management-LIF

Active Directory-Gesamtstruktur

Kerberos-Schlüsselverwaltung

TCP

749

Node Management-LIF

Active Directory-Gesamtstruktur

Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS)

TCP

88

Daten-LIF (NFS, CIFS, iSCSI)

Active Directory-Gesamtstruktur

Kerberos V-Authentifizierung

UDP

137

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

NetBIOS-Namensdienst

UDP

138

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Netbios Datagramm-Dienst

TCP

139

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Sitzung für den NETBIOS-Dienst

TCP UND UDP

389

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

LDAP

TCP

445

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Microsoft SMB/CIFS über TCP mit NETBIOS-Framing

TCP

464

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Kerberos V Passwort ändern und festlegen (SET_CHANGE)

UDP

464

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Kerberos-Schlüsselverwaltung

TCP

749

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Kerberos V - Passwort ändern und festlegen (RPCSEC_GSS)

AutoSupport

HTTPS

443

Node Management-LIF

support.netapp.com

AutoSupport (HTTPS ist der Standard)

HTTP

80

Node Management-LIF

support.netapp.com

AutoSupport (nur wenn das Transportprotokoll von HTTPS zu HTTP geändert wird)

TCP

3128

Node Management-LIF

Stecker

Senden von AutoSupport-Nachrichten über einen Proxy-Server auf dem Connector, falls keine ausgehende Internetverbindung verfügbar ist

Backup auf S3

TCP

5010

Intercluster-LIF

Backup-Endpunkt oder Wiederherstellungsendpunkt

Backup- und Restore-Vorgänge für die Funktion „Backup in S3“

Cluster

Gesamter Datenverkehr

Gesamter Datenverkehr

Alle LIFs auf einem Node

Alle LIFs auf dem anderen Node

Kommunikation zwischen Clustern (nur Cloud Volumes ONTAP HA)

TCP

3000

Node Management-LIF

Ha Mediator

ZAPI-Aufrufe (nur Cloud Volumes ONTAP HA)

ICMP

1

Node Management-LIF

Ha Mediator

Bleiben Sie am Leben (nur Cloud Volumes ONTAP HA)

Konfigurations-Backups

HTTP

80

Node Management-LIF

\Http://<connector-IP-address>/occm/offboxconfig

Senden Sie Konfigurationssicherungen an den Connector. "Informationen zu Backup-Dateien für die Konfiguration".

DHCP

UDP

68

Node Management-LIF

DHCP

DHCP-Client für die erstmalige Einrichtung

DHCPS

UDP

67

Node Management-LIF

DHCP

DHCP-Server

DNS

UDP

53

Node Management LIF und Daten LIF (NFS, CIFS)

DNS

DNS

NDMP

TCP

18600-18699

Node Management-LIF

Zielserver

NDMP-Kopie

SMTP

TCP

25

Node Management-LIF

Mailserver

SMTP-Warnungen können für AutoSupport verwendet werden

SNMP

TCP

161

Node Management-LIF

Server überwachen

Überwachung durch SNMP-Traps

UDP

161

Node Management-LIF

Server überwachen

Überwachung durch SNMP-Traps

TCP

162

Node Management-LIF

Server überwachen

Überwachung durch SNMP-Traps

UDP

162

Node Management-LIF

Server überwachen

Überwachung durch SNMP-Traps

SnapMirror

TCP

11104

Intercluster-LIF

ONTAP Intercluster-LIFs

Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror

TCP

11105

Intercluster-LIF

ONTAP Intercluster-LIFs

SnapMirror Datenübertragung

Syslog

UDP

514

Node Management-LIF

Syslog-Server

Syslog-Weiterleitungsmeldungen

Regeln für die externe Sicherheitsgruppe des HA Mediators

Die vordefinierte externe Sicherheitsgruppe für den Cloud Volumes ONTAP HA Mediator enthält die folgenden Regeln für ein- und ausgehende Anrufe.

Regeln für eingehende Anrufe

Die vordefinierte Sicherheitsgruppe für den HA-Mediator umfasst die folgende eingehende Regel.

Protokoll Port Quelle Zweck

TCP

3000

CIDR des Connectors

RESTful API-Zugriff über den Connector

Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für den HA-Vermittler öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.

Grundlegende Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für den HA-Vermittler enthält die folgenden Regeln für ausgehende Anrufe.

Protokoll Port Zweck

Alle TCP

Alle

Gesamter abgehender Datenverkehr

Alle UDP-Protokolle

Alle

Gesamter abgehender Datenverkehr

Erweiterte Outbound-Regeln

Wenn Sie starre Regeln für ausgehenden Datenverkehr benötigen, können Sie die folgenden Informationen verwenden, um nur die Ports zu öffnen, die für die ausgehende Kommunikation durch den HA-Vermittler erforderlich sind.

Protokoll Port Ziel Zweck

HTTP

80

IP-Adresse des Connectors auf der AWS EC2 Instanz

Lade Upgrades für den Mediator herunter

HTTPS

443

ec2.amazonaws.com

Unterstützung bei Storage Failover

UDP

53

ec2.amazonaws.com

Unterstützung bei Storage Failover

Hinweis Anstatt die Ports 443 und 53 zu öffnen, können Sie einen VPC-Endpunkt des Zielsubnetzen zum AWS EC2 Service erstellen.

Regeln für die interne Sicherheitsgruppe der HA-Konfiguration

Die vordefinierte interne Sicherheitsgruppe für eine Cloud Volumes ONTAP HA-Konfiguration umfasst die folgenden Regeln: Diese Sicherheitsgruppe ermöglicht die Kommunikation zwischen den HA-Nodes und zwischen dem Mediator und den Nodes.

BlueXP erstellt diese Sicherheitsgruppe immer. Sie haben nicht die Möglichkeit, Ihre eigenen zu verwenden.

Regeln für eingehende Anrufe

Die vordefinierte Sicherheitsgruppe enthält die folgenden Regeln für eingehende Anrufe.

Protokoll Port Zweck

Gesamter Datenverkehr

Alle

Kommunikation zwischen HA-Mediator und HA-Knoten

Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe enthält die folgenden ausgehenden Regeln.

Protokoll Port Zweck

Gesamter Datenverkehr

Alle

Kommunikation zwischen HA-Mediator und HA-Knoten