Firewall-Regeln für GCP
Cloud Manager erstellt die GCP-Firewall-Regeln und enthält die ein- und ausgehenden Regeln, die für den erfolgreichen Betrieb von Cloud Manager und Cloud Volumes ONTAP gelten. Sie können die Ports zu Testzwecken oder zur Verwendung eigener Sicherheitsgruppen verwenden.
Regeln für Cloud Manager
Die Firewall-Regeln für Cloud Manager erfordern sowohl ein- als auch ausgehende Regeln.
Eingehende Regeln für Cloud Manager
Die Quelle für eingehende Regeln in den vordefinierten Firewall-Regeln ist 0.0.0.0/0.
Protokoll | Port | Zweck |
---|---|---|
SSH |
22 |
Bietet SSH-Zugriff auf den Cloud Manager-Host |
HTTP |
80 |
Bietet HTTP-Zugriff von Client-Webbrowsern auf die Cloud Manager-Webkonsole |
HTTPS |
443 |
Bietet HTTPS-Zugriff von Client-Webbrowsern auf die Cloud Manager-Webkonsole |
Outbound-Regeln für Cloud Manager
Die vordefinierten Firewall-Regeln für Cloud Manager öffnen den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.
Grundlegende Regeln für ausgehende Anrufe
Die vordefinierten Firewall-Regeln für Cloud Manager umfassen die folgenden Outbound-Regeln.
Protokoll | Port | Zweck |
---|---|---|
Alle TCP |
Alle |
Gesamter abgehender Datenverkehr |
Alle UDP-Protokolle |
Alle |
Gesamter abgehender Datenverkehr |
Erweiterte Outbound-Regeln
Wenn Sie starre Regeln für ausgehenden Datenverkehr benötigen, können Sie die folgenden Informationen verwenden, um nur die Ports zu öffnen, die für die ausgehende Kommunikation durch Cloud Manager erforderlich sind.
Die Quell-IP-Adresse ist der Cloud Manager-Host. |
Service | Protokoll | Port | Ziel | Zweck |
---|---|---|---|---|
Active Directory |
TCP |
88 |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
TCP |
139 |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
TCP |
389 |
Active Directory-Gesamtstruktur |
LDAP |
|
TCP |
445 |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
TCP |
464 |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
TCP |
749 |
Active Directory-Gesamtstruktur |
Active Directory Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS) |
|
UDP |
137 |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
UDP |
138 |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
UDP |
464 |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
API-Aufrufe und AutoSupport |
HTTPS |
443 |
Outbound-Internet und ONTAP Cluster Management LIF |
API ruft GCP und ONTAP ab und sendet AutoSupport Nachrichten an NetApp |
API-Aufrufe |
TCP |
3000 |
ONTAP Cluster Management LIF |
API-Aufrufe für ONTAP |
DNS |
UDP |
53 |
DNS |
Wird für die DNS-Auflösung durch Cloud Manager verwendet |
Regeln für Cloud Volumes ONTAP
Die Sicherheitsgruppe für Cloud Volumes ONTAP erfordert sowohl eingehende als auch ausgehende Regeln.
Eingehende Regeln für Cloud Volumes ONTAP
Die Quelle für eingehende Regeln in der vordefinierten Sicherheitsgruppe ist 0.0.0.0/0.
Protokoll | Port | Zweck |
---|---|---|
Alle ICMP |
Alle |
Pingen der Instanz |
HTTP |
80 |
HTTP-Zugriff auf die System Manager Webkonsole mit der IP-Adresse der Cluster-Management-LIF |
HTTPS |
443 |
HTTPS-Zugriff auf die System Manager-Webkonsole unter Verwendung der IP-Adresse der Cluster-Management-LIF |
SSH |
22 |
SSH-Zugriff auf die IP-Adresse der Cluster Management LIF oder einer Node Management LIF |
TCP |
111 |
Remote-Prozeduraufruf für NFS |
TCP |
139 |
NetBIOS-Servicesitzung für CIFS |
TCP |
161-162 |
Einfaches Netzwerkverwaltungsprotokoll |
TCP |
445 |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
TCP |
635 |
NFS-Mount |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS-Server-Daemon |
TCP |
3260 |
ISCSI-Zugriff über die iSCSI-Daten-LIF |
TCP |
4045 |
NFS-Sperr-Daemon |
TCP |
4046 |
Netzwerkstatusüberwachung für NFS |
TCP |
10.000 |
Backup mit NDMP |
TCP |
11104 |
Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror |
TCP |
11105 |
SnapMirror Datenübertragung über Cluster-interne LIFs |
UDP |
111 |
Remote-Prozeduraufruf für NFS |
UDP |
161-162 |
Einfaches Netzwerkverwaltungsprotokoll |
UDP |
635 |
NFS-Mount |
UDP |
2049 |
NFS-Server-Daemon |
UDP |
4045 |
NFS-Sperr-Daemon |
UDP |
4046 |
Netzwerkstatusüberwachung für NFS |
UDP |
4049 |
NFS rquotad-Protokoll |
Outbound-Regeln für Cloud Volumes ONTAP
Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.
Grundlegende Regeln für ausgehende Anrufe
Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP enthält die folgenden ausgehenden Regeln.
Protokoll | Port | Zweck |
---|---|---|
Alle ICMP |
Alle |
Gesamter abgehender Datenverkehr |
Alle TCP |
Alle |
Gesamter abgehender Datenverkehr |
Alle UDP-Protokolle |
Alle |
Gesamter abgehender Datenverkehr |
Erweiterte Outbound-Regeln
Wenn Sie strenge Regeln für ausgehenden Datenverkehr benötigen, können Sie mit den folgenden Informationen nur die Ports öffnen, die für die ausgehende Kommunikation durch Cloud Volumes ONTAP erforderlich sind.
Die Quelle ist die Schnittstelle (IP-Adresse) auf dem Cloud Volumes ONTAP System. |
Service | Protokoll | Port | Quelle | Ziel | Zweck |
---|---|---|---|---|---|
Active Directory |
TCP |
88 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
UDP |
137 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
UDP |
138 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
TCP |
139 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
TCP |
389 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
LDAP |
|
TCP |
445 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
TCP |
464 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
UDP |
464 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
TCP |
749 |
Node Management-LIF |
Active Directory-Gesamtstruktur |
Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS) |
|
TCP |
88 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V-Authentifizierung |
|
UDP |
137 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
NetBIOS-Namensdienst |
|
UDP |
138 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Netbios Datagramm-Dienst |
|
TCP |
139 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Sitzung für den NETBIOS-Dienst |
|
TCP |
389 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
LDAP |
|
TCP |
445 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Microsoft SMB/CIFS über TCP mit NETBIOS-Framing |
|
TCP |
464 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V Passwort ändern und festlegen (SET_CHANGE) |
|
UDP |
464 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos-Schlüsselverwaltung |
|
TCP |
749 |
Data LIF (NFS, CIFS) |
Active Directory-Gesamtstruktur |
Kerberos V - Passwort ändern und festlegen (RPCSEC_GSS) |
|
Cluster |
Gesamter Datenverkehr |
Gesamter Datenverkehr |
Alle LIFs auf einem Node |
Alle LIFs auf dem anderen Node |
Kommunikation zwischen Clustern (nur Cloud Volumes ONTAP HA) |
TCP |
3000 |
Node Management-LIF |
Ha Mediator |
ZAPI-Aufrufe (nur Cloud Volumes ONTAP HA) |
|
ICMP |
1 |
Node Management-LIF |
Ha Mediator |
Bleiben Sie am Leben (nur Cloud Volumes ONTAP HA) |
|
DHCP |
UDP |
68 |
Node Management-LIF |
DHCP |
DHCP-Client für die erstmalige Einrichtung |
DHCPS |
UDP |
67 |
Node Management-LIF |
DHCP |
DHCP-Server |
DNS |
UDP |
53 |
Node Management LIF und Daten LIF (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600-18699 |
Node Management-LIF |
Zielserver |
NDMP-Kopie |
SMTP |
TCP |
25 |
Node Management-LIF |
Mailserver |
SMTP-Warnungen können für AutoSupport verwendet werden |
SNMP |
TCP |
161 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
UDP |
161 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
TCP |
162 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
UDP |
162 |
Node Management-LIF |
Server überwachen |
Überwachung durch SNMP-Traps |
|
SnapMirror |
TCP |
11104 |
Intercluster-LIF |
ONTAP Intercluster-LIFs |
Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror |
TCP |
11105 |
Intercluster-LIF |
ONTAP Intercluster-LIFs |
SnapMirror Datenübertragung |
|
Syslog |
UDP |
514 |
Node Management-LIF |
Syslog-Server |
Syslog-Weiterleitungsmeldungen |