Skip to main content
Cloud Manager 3.8
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Sicherheitsgruppenregeln für AWS

Beitragende

Cloud Manager erstellt AWS Sicherheitsgruppen mit den ein- und ausgehenden Regeln, die für den erfolgreichen Betrieb von Connector und Cloud Volumes ONTAP erforderlich sind. Sie können die Ports zu Testzwecken oder zur Verwendung eigener Sicherheitsgruppen verwenden.

Regeln für Cloud Volumes ONTAP

Die Sicherheitsgruppe für Cloud Volumes ONTAP erfordert sowohl eingehende als auch ausgehende Regeln.

Regeln für eingehende Anrufe

Die Quelle für eingehende Regeln in der vordefinierten Sicherheitsgruppe ist 0.0.0.0/0.

Protokoll Port Zweck

Alle ICMP

Alle

Pingen der Instanz

HTTP

80

HTTP-Zugriff auf die System Manager Webkonsole mit der IP-Adresse der Cluster-Management-LIF

HTTPS

443

HTTPS-Zugriff auf die System Manager-Webkonsole unter Verwendung der IP-Adresse der Cluster-Management-LIF

SSH

22

SSH-Zugriff auf die IP-Adresse der Cluster Management LIF oder einer Node Management LIF

TCP

111

Remote-Prozeduraufruf für NFS

TCP

139

NetBIOS-Servicesitzung für CIFS

TCP

161-162

Einfaches Netzwerkverwaltungsprotokoll

TCP

445

Microsoft SMB/CIFS über TCP mit NETBIOS-Framing

TCP

635

NFS-Mount

TCP

749

Kerberos

TCP

2049

NFS-Server-Daemon

TCP

3260

ISCSI-Zugriff über die iSCSI-Daten-LIF

TCP

4045

NFS-Sperr-Daemon

TCP

4046

Netzwerkstatusüberwachung für NFS

TCP

10.000

Backup mit NDMP

TCP

11104

Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror

TCP

11105

SnapMirror Datenübertragung über Cluster-interne LIFs

UDP

111

Remote-Prozeduraufruf für NFS

UDP

161-162

Einfaches Netzwerkverwaltungsprotokoll

UDP

635

NFS-Mount

UDP

2049

NFS-Server-Daemon

UDP

4045

NFS-Sperr-Daemon

UDP

4046

Netzwerkstatusüberwachung für NFS

UDP

4049

NFS rquotad-Protokoll

Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.

Grundlegende Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für Cloud Volumes ONTAP enthält die folgenden ausgehenden Regeln.

Protokoll Port Zweck

Alle ICMP

Alle

Gesamter abgehender Datenverkehr

Alle TCP

Alle

Gesamter abgehender Datenverkehr

Alle UDP-Protokolle

Alle

Gesamter abgehender Datenverkehr

Erweiterte Outbound-Regeln

Wenn Sie strenge Regeln für ausgehenden Datenverkehr benötigen, können Sie mit den folgenden Informationen nur die Ports öffnen, die für die ausgehende Kommunikation durch Cloud Volumes ONTAP erforderlich sind.

Hinweis Die Quelle ist die Schnittstelle (IP-Adresse) auf dem Cloud Volumes ONTAP System.
Service Protokoll Port Quelle Ziel Zweck

Active Directory

TCP

88

Node Management-LIF

Active Directory-Gesamtstruktur

Kerberos V-Authentifizierung

UDP

137

Node Management-LIF

Active Directory-Gesamtstruktur

NetBIOS-Namensdienst

UDP

138

Node Management-LIF

Active Directory-Gesamtstruktur

Netbios Datagramm-Dienst

TCP

139

Node Management-LIF

Active Directory-Gesamtstruktur

Sitzung für den NETBIOS-Dienst

TCP UND UDP

389

Node Management-LIF

Active Directory-Gesamtstruktur

LDAP

TCP

445

Node Management-LIF

Active Directory-Gesamtstruktur

Microsoft SMB/CIFS über TCP mit NETBIOS-Framing

TCP

464

Node Management-LIF

Active Directory-Gesamtstruktur

Kerberos V Passwort ändern und festlegen (SET_CHANGE)

UDP

464

Node Management-LIF

Active Directory-Gesamtstruktur

Kerberos-Schlüsselverwaltung

TCP

749

Node Management-LIF

Active Directory-Gesamtstruktur

Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS)

TCP

88

Daten-LIF (NFS, CIFS, iSCSI)

Active Directory-Gesamtstruktur

Kerberos V-Authentifizierung

UDP

137

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

NetBIOS-Namensdienst

UDP

138

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Netbios Datagramm-Dienst

TCP

139

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Sitzung für den NETBIOS-Dienst

TCP UND UDP

389

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

LDAP

TCP

445

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Microsoft SMB/CIFS über TCP mit NETBIOS-Framing

TCP

464

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Kerberos V Passwort ändern und festlegen (SET_CHANGE)

UDP

464

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Kerberos-Schlüsselverwaltung

TCP

749

Data LIF (NFS, CIFS)

Active Directory-Gesamtstruktur

Kerberos V - Passwort ändern und festlegen (RPCSEC_GSS)

Backup auf S3

TCP

5010

Intercluster-LIF

Backup-Endpunkt oder Wiederherstellungsendpunkt

Backup- und Restore-Vorgänge für die Funktion „Backup in S3“

Cluster

Gesamter Datenverkehr

Gesamter Datenverkehr

Alle LIFs auf einem Node

Alle LIFs auf dem anderen Node

Kommunikation zwischen Clustern (nur Cloud Volumes ONTAP HA)

TCP

3000

Node Management-LIF

Ha Mediator

ZAPI-Aufrufe (nur Cloud Volumes ONTAP HA)

ICMP

1

Node Management-LIF

Ha Mediator

Bleiben Sie am Leben (nur Cloud Volumes ONTAP HA)

DHCP

UDP

68

Node Management-LIF

DHCP

DHCP-Client für die erstmalige Einrichtung

DHCPS

UDP

67

Node Management-LIF

DHCP

DHCP-Server

DNS

UDP

53

Node Management LIF und Daten LIF (NFS, CIFS)

DNS

DNS

NDMP

TCP

18600-18699

Node Management-LIF

Zielserver

NDMP-Kopie

SMTP

TCP

25

Node Management-LIF

Mailserver

SMTP-Warnungen können für AutoSupport verwendet werden

SNMP

TCP

161

Node Management-LIF

Server überwachen

Überwachung durch SNMP-Traps

UDP

161

Node Management-LIF

Server überwachen

Überwachung durch SNMP-Traps

TCP

162

Node Management-LIF

Server überwachen

Überwachung durch SNMP-Traps

UDP

162

Node Management-LIF

Server überwachen

Überwachung durch SNMP-Traps

SnapMirror

TCP

11104

Intercluster-LIF

ONTAP Intercluster-LIFs

Management von interclusterübergreifenden Kommunikationssitzungen für SnapMirror

TCP

11105

Intercluster-LIF

ONTAP Intercluster-LIFs

SnapMirror Datenübertragung

Syslog

UDP

514

Node Management-LIF

Syslog-Server

Syslog-Weiterleitungsmeldungen

Regeln für die externe Sicherheitsgruppe des HA Mediators

Die vordefinierte externe Sicherheitsgruppe für den Cloud Volumes ONTAP HA Mediator enthält die folgenden Regeln für ein- und ausgehende Anrufe.

Regeln für eingehende Anrufe

Die Quelle für eingehende Regeln ist 0.0.0.0/0.

Protokoll Port Zweck

SSH

22

SSH-Verbindungen zum HA-Vermittler

TCP

3000

RESTful API-Zugriff über den Connector

Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für den HA-Vermittler öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.

Grundlegende Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für den HA-Vermittler enthält die folgenden Regeln für ausgehende Anrufe.

Protokoll Port Zweck

Alle TCP

Alle

Gesamter abgehender Datenverkehr

Alle UDP-Protokolle

Alle

Gesamter abgehender Datenverkehr

Erweiterte Outbound-Regeln

Wenn Sie starre Regeln für ausgehenden Datenverkehr benötigen, können Sie die folgenden Informationen verwenden, um nur die Ports zu öffnen, die für die ausgehende Kommunikation durch den HA-Vermittler erforderlich sind.

Protokoll Port Ziel Zweck

HTTP

80

Anschluss-IP-Adresse

Lade Upgrades für den Mediator herunter

HTTPS

443

AWS API-Services

Unterstützung bei Storage Failover

UDP

53

AWS API-Services

Unterstützung bei Storage Failover

Hinweis Anstatt die Ports 443 und 53 zu öffnen, können Sie einen VPC-Endpunkt des Zielsubnetzen zum AWS EC2 Service erstellen.

Regeln für die interne Sicherheitsgruppe des HA-Vermittlers

Die vordefinierte interne Sicherheitsgruppe für den Cloud Volumes ONTAP HA Mediator enthält die folgenden Regeln. Cloud Manager erstellt immer diese Sicherheitsgruppe. Sie haben nicht die Möglichkeit, Ihre eigenen zu verwenden.

Regeln für eingehende Anrufe

Die vordefinierte Sicherheitsgruppe enthält die folgenden Regeln für eingehende Anrufe.

Protokoll Port Zweck

Gesamter Datenverkehr

Alle

Kommunikation zwischen HA-Mediator und HA-Knoten

Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe enthält die folgenden ausgehenden Regeln.

Protokoll Port Zweck

Gesamter Datenverkehr

Alle

Kommunikation zwischen HA-Mediator und HA-Knoten

Regeln für den Konnektor

Die Sicherheitsgruppe für den Konnektor erfordert sowohl ein- als auch ausgehende Regeln.

Regeln für eingehende Anrufe

Die Quelle für eingehende Regeln in der vordefinierten Sicherheitsgruppe ist 0.0.0.0/0.

Protokoll Port Zweck

SSH

22

Bietet SSH-Zugriff auf den Connector-Host

HTTP

80

Bietet HTTP-Zugriff von Client-Webbrowsern auf die lokale Benutzeroberfläche und Verbindungen von Cloud Compliance

HTTPS

443

Bietet HTTPS-Zugriff von Client-Webbrowsern auf die lokale Benutzeroberfläche

TCP

3128

Bietet die Cloud Compliance-Instanz einen Internetzugang, wenn Ihr AWS-Netzwerk keine NAT oder Proxy verwendet

Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für den Konnektor öffnet den gesamten ausgehenden Datenverkehr. Wenn dies akzeptabel ist, befolgen Sie die grundlegenden Regeln für ausgehende Anrufe. Wenn Sie strengere Regeln benötigen, verwenden Sie die erweiterten Outbound-Regeln.

Grundlegende Regeln für ausgehende Anrufe

Die vordefinierte Sicherheitsgruppe für den Connector enthält die folgenden ausgehenden Regeln.

Protokoll Port Zweck

Alle TCP

Alle

Gesamter abgehender Datenverkehr

Alle UDP-Protokolle

Alle

Gesamter abgehender Datenverkehr

Erweiterte Outbound-Regeln

Wenn Sie starre Regeln für ausgehenden Datenverkehr benötigen, können Sie die folgenden Informationen verwenden, um nur die Ports zu öffnen, die für die ausgehende Kommunikation durch den Konnektor erforderlich sind.

Hinweis Die Quell-IP-Adresse ist der Connector-Host.
Service Protokoll Port Ziel Zweck

Active Directory

TCP

88

Active Directory-Gesamtstruktur

Kerberos V-Authentifizierung

TCP

139

Active Directory-Gesamtstruktur

Sitzung für den NETBIOS-Dienst

TCP

389

Active Directory-Gesamtstruktur

LDAP

TCP

445

Active Directory-Gesamtstruktur

Microsoft SMB/CIFS über TCP mit NETBIOS-Framing

TCP

464

Active Directory-Gesamtstruktur

Kerberos V Passwort ändern und festlegen (SET_CHANGE)

TCP

749

Active Directory-Gesamtstruktur

Active Directory Kerberos V - Kennwort ändern und festlegen (RPCSEC_GSS)

UDP

137

Active Directory-Gesamtstruktur

NetBIOS-Namensdienst

UDP

138

Active Directory-Gesamtstruktur

Netbios Datagramm-Dienst

UDP

464

Active Directory-Gesamtstruktur

Kerberos-Schlüsselverwaltung

API-Aufrufe und AutoSupport

HTTPS

443

Outbound-Internet und ONTAP Cluster Management LIF

API-Aufrufe an AWS und ONTAP und Senden von AutoSupport Nachrichten an NetApp

API-Aufrufe

TCP

3000

ONTAP Cluster Management LIF

API-Aufrufe für ONTAP

TCP

8088

Backup auf S3

API-Aufrufe zur Sicherung in S3

DNS

UDP

53

DNS

Wird für die DNS-Auflösung durch Cloud Manager verwendet

Cloud-Compliance

HTTP

80

Cloud Compliance Instanz

Cloud Compliance für Cloud Volumes ONTAP