Notas de la versión
Reglas de grupos de seguridad para AWS
Sugerir cambios
PDF
Cloud Manager crea grupos de seguridad de AWS que incluyen las reglas entrantes y salientes que Connector y Cloud Volumes ONTAP necesitan para funcionar correctamente. Tal vez desee consultar los puertos para fines de prueba o si prefiere utilizar sus propios grupos de seguridad.
Reglas para Cloud Volumes ONTAP
El grupo de seguridad para Cloud Volumes ONTAP requiere reglas tanto entrantes como salientes.
Reglas de entrada
El origen de las reglas entrantes en el grupo de seguridad predefinido es 0.0.0.0/0.
| Protocolo | Puerto | Específico |
|---|---|---|
Todos los ICMP |
Todo |
Hacer ping a la instancia |
HTTP |
80 |
Acceso HTTP a la consola web de System Manager mediante el La dirección IP de la LIF de gestión del clúster |
HTTPS |
443 |
Acceso HTTPS a la consola web de System Manager mediante el La dirección IP de la LIF de gestión del clúster |
SSH |
22 |
Acceso SSH a la dirección IP de administración del clúster LIF o una LIF de gestión de nodos |
TCP |
111 |
Llamada a procedimiento remoto para NFS |
TCP |
139 |
Sesión de servicio NetBIOS para CIFS |
TCP |
161-162 |
Protocolo simple de gestión de red |
TCP |
445 |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
TCP |
635 |
Montaje NFS |
TCP |
749 |
Kerberos |
TCP |
2049 |
Daemon del servidor NFS |
TCP |
3260 |
Acceso iSCSI mediante la LIF de datos iSCSI |
TCP |
4045 |
Daemon de bloqueo NFS |
TCP |
4046 |
Supervisor de estado de red para NFS |
TCP |
10000 |
Backup con NDMP |
TCP |
11104 |
Gestión de sesiones de comunicación de interconexión de clústeres para SnapMirror |
TCP |
11105 |
Transferencia de datos de SnapMirror mediante LIF de interconexión de clústeres |
UDP |
111 |
Llamada a procedimiento remoto para NFS |
UDP |
161-162 |
Protocolo simple de gestión de red |
UDP |
635 |
Montaje NFS |
UDP |
2049 |
Daemon del servidor NFS |
UDP |
4045 |
Daemon de bloqueo NFS |
UDP |
4046 |
Supervisor de estado de red para NFS |
UDP |
4049 |
Protocolo rquotad NFS |
Reglas de salida
El grupo de seguridad predefinido para Cloud Volumes ONTAP abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
El grupo de seguridad predefinido para Cloud Volumes ONTAP incluye las siguientes reglas de salida.
| Protocolo | Puerto | Específico |
|---|---|---|
Todos los ICMP |
Todo |
Todo el tráfico saliente |
Todos los TCP |
Todo |
Todo el tráfico saliente |
Todas las UDP |
Todo |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por Cloud Volumes ONTAP.
|
El origen es la interfaz (dirección IP) en el sistema Cloud Volumes ONTAP. |
| Servicio | Protocolo | Puerto | Origen | Destino | Específico |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
LIF de gestión de nodos |
Bosque de Active Directory |
Autenticación Kerberos V. |
UDP |
137 |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
TCP |
139 |
LIF de gestión de nodos |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP Y UDP |
389 |
LIF de gestión de nodos |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
LIF de gestión de nodos |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
LIF de gestión de nodos |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
UDP |
464 |
LIF de gestión de nodos |
Bosque de Active Directory |
Administración de claves Kerberos |
|
TCP |
749 |
LIF de gestión de nodos |
Bosque de Active Directory |
Contraseña de Kerberos V Change & Set (RPCSEC_GSS) |
|
TCP |
88 |
LIF de datos (NFS, CIFS e iSCSI) |
Bosque de Active Directory |
Autenticación Kerberos V. |
|
UDP |
137 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
TCP |
139 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP Y UDP |
389 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
UDP |
464 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Administración de claves Kerberos |
|
TCP |
749 |
LIF DE DATOS (NFS, CIFS) |
Bosque de Active Directory |
Contraseña de Kerberos V change & set (RPCSEC_GSS) |
|
Backup en S3 |
TCP |
5010 |
LIF entre clústeres |
Extremo de backup o extremo de restauración |
Realizar backups y restaurar operaciones para el backup en S3 función |
Clúster |
Todo el tráfico |
Todo el tráfico |
Todos los LIF de un nodo |
Todas las LIF del otro nodo |
Comunicaciones de interconexión de clústeres (solo Cloud Volumes ONTAP de alta disponibilidad) |
TCP |
3000 |
LIF de gestión de nodos |
Mediador DE ALTA DISPONIBILIDAD |
Llamadas ZAPI (solo alta disponibilidad de Cloud Volumes ONTAP) |
|
ICMP |
1 |
LIF de gestión de nodos |
Mediador DE ALTA DISPONIBILIDAD |
Mantener activos (solo alta disponibilidad de Cloud Volumes ONTAP) |
|
DHCP |
UDP |
68 |
LIF de gestión de nodos |
DHCP |
Cliente DHCP para la configuración inicial |
DHCPS |
UDP |
67 |
LIF de gestión de nodos |
DHCP |
Servidor DHCP |
DNS |
UDP |
53 |
LIF de gestión de nodos y LIF de datos (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
LIF de gestión de nodos |
Servidores de destino |
Copia NDMP |
SMTP |
TCP |
25 |
LIF de gestión de nodos |
Servidor de correo |
Alertas SMTP, que se pueden utilizar para AutoSupport |
SNMP |
TCP |
161 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
UDP |
161 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
TCP |
162 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
UDP |
162 |
LIF de gestión de nodos |
Servidor de supervisión |
Supervisión mediante capturas SNMP |
|
SnapMirror |
TCP |
11104 |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Gestión de sesiones de comunicación de interconexión de clústeres para SnapMirror |
TCP |
11105 |
LIF entre clústeres |
LIF de interconexión de clústeres de ONTAP |
Transferencia de datos de SnapMirror |
|
Syslog |
UDP |
514 |
LIF de gestión de nodos |
Servidor de syslog |
Mensajes de syslog Reenviar |
Reglas para el grupo de seguridad externo de mediador de alta disponibilidad
El grupo de seguridad externo predefinido para el mediador de alta disponibilidad de Cloud Volumes ONTAP incluye las siguientes reglas de entrada y salida.
Reglas de entrada
La fuente de las reglas entrantes es 0.0.0.0/0.
| Protocolo | Puerto | Específico |
|---|---|---|
SSH |
22 |
Conexiones SSH al mediador de alta disponibilidad |
TCP |
3000 |
Acceso a API RESTful desde el conector |
Reglas de salida
El grupo de seguridad predefinido para el mediador ha abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
El grupo de seguridad predefinido para el mediador ha incluye las siguientes reglas de salida.
| Protocolo | Puerto | Específico |
|---|---|---|
Todos los TCP |
Todo |
Todo el tráfico saliente |
Todas las UDP |
Todo |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por parte del mediador ha.
| Protocolo | Puerto | Destino | Específico |
|---|---|---|---|
HTTP |
80 |
Dirección IP del conector |
Descargar actualizaciones para el mediador |
HTTPS |
443 |
Servicios API de AWS |
Ayudar en la recuperación tras fallos de almacenamiento |
UDP |
53 |
Servicios API de AWS |
Ayudar en la recuperación tras fallos de almacenamiento |
|
|
En lugar de abrir los puertos 443 y 53, puede crear un extremo de la interfaz VPC desde la subred de destino al servicio AWS EC2. |
Reglas para el grupo de seguridad interna de mediador de alta disponibilidad
El grupo de seguridad interna predefinido para el mediador de alta disponibilidad de Cloud Volumes ONTAP incluye las siguientes reglas. Cloud Manager siempre crea este grupo de seguridad. No tiene la opción de utilizar la suya propia.
Reglas de entrada
El grupo de seguridad predefinido incluye las siguientes reglas entrantes.
| Protocolo | Puerto | Específico |
|---|---|---|
Todo el tráfico |
Todo |
Comunicación entre el mediador de alta disponibilidad y los nodos de alta disponibilidad |
Reglas de salida
El grupo de seguridad predefinido incluye las siguientes reglas de salida.
| Protocolo | Puerto | Específico |
|---|---|---|
Todo el tráfico |
Todo |
Comunicación entre el mediador de alta disponibilidad y los nodos de alta disponibilidad |
Reglas para el conector
El grupo de seguridad del conector requiere reglas entrantes y salientes.
Reglas de entrada
El origen de las reglas entrantes en el grupo de seguridad predefinido es 0.0.0.0/0.
| Protocolo | Puerto | Específico |
|---|---|---|
SSH |
22 |
Proporciona acceso SSH al host de Connector |
HTTP |
80 |
Proporciona acceso HTTP desde navegadores web de cliente al local Interfaz de usuario y conexiones desde Cloud Compliance |
HTTPS |
443 |
Proporciona acceso HTTPS desde exploradores web de cliente al local interfaz de usuario |
TCP |
3128 |
Proporciona a la instancia de Cloud Compliance acceso a Internet si la red AWS no utiliza NAT o proxy |
Reglas de salida
El grupo de seguridad predefinido para el conector abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de la salida. Si necesita más reglas rígidas, utilice las reglas avanzadas de salida.
Reglas de salida básicas
El grupo de seguridad predefinido para el conector incluye las siguientes reglas de salida.
| Protocolo | Puerto | Específico |
|---|---|---|
Todos los TCP |
Todo |
Todo el tráfico saliente |
Todas las UDP |
Todo |
Todo el tráfico saliente |
Reglas salientes avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir sólo los puertos necesarios para la comunicación saliente por parte del conector.
|
|
La dirección IP de origen es el host del conector. |
| Servicio | Protocolo | Puerto | Destino | Específico |
|---|---|---|---|---|
Active Directory |
TCP |
88 |
Bosque de Active Directory |
Autenticación Kerberos V. |
TCP |
139 |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP |
389 |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
Bosque de Active Directory |
Kerberos V cambiar y establecer contraseña (SET_CHANGE) |
|
TCP |
749 |
Bosque de Active Directory |
Contraseña de modificación y definición de Kerberos V de Active Directory (RPCSEC_GSS) |
|
UDP |
137 |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
UDP |
464 |
Bosque de Active Directory |
Administración de claves Kerberos |
|
Llamadas API y AutoSupport |
HTTPS |
443 |
LIF de gestión de clústeres de ONTAP y Internet saliente |
API llama a AWS y ONTAP y envía mensajes de AutoSupport a NetApp |
Llamadas API |
TCP |
3000 |
LIF de gestión de clústeres de ONTAP |
Llamadas API a ONTAP |
TCP |
8088 |
Backup en S3 |
Llamadas API a Backup en S3 |
|
DNS |
UDP |
53 |
DNS |
Utilizado para resolver DNS por Cloud Manager |
Cumplimiento de normativas en el cloud |
HTTP |
80 |
Instancia de cumplimiento de normativas cloud |
Cumplimiento de normativas cloud para Cloud Volumes ONTAP |