Reglas de entrada y salida del grupo de seguridad de AWS para Cloud Volumes ONTAP
Sugerir cambios
PDF
La consola de NetApp crea grupos de seguridad de AWS que incluyen las reglas de entrada y salida que Cloud Volumes ONTAP necesita para funcionar correctamente. Es posible que desees consultar los puertos para fines de prueba o si prefieres utilizar tus propios grupos de seguridad.
Reglas para Cloud Volumes ONTAP
El grupo de seguridad de Cloud Volumes ONTAP requiere reglas entrantes y salientes.
Reglas de entrada
Cuando agrega un sistema Cloud Volumes ONTAP y elige un grupo de seguridad predefinido, puede optar por permitir el tráfico dentro de uno de los siguientes:
-
Solo VPC seleccionada: la fuente del tráfico entrante es el rango de subred de la VPC para el sistema Cloud Volumes ONTAP y el rango de subred de la VPC donde reside el agente de la consola. Esta es la opción recomendada.
-
Todas las VPC: la fuente del tráfico entrante es el rango de IP 0.0.0.0/0.
| Protocolo | Puerto | Objetivo |
|---|---|---|
Todos los ICMP |
Todo |
Haciendo ping a la instancia |
HTTP |
80 |
Acceso HTTP a la consola web de ONTAP System Manager mediante la dirección IP del LIF de administración del clúster |
HTTPS |
443 |
Conectividad con el agente de la consola y acceso HTTPS a la consola web de ONTAP System Manager mediante la dirección IP del LIF de administración del clúster |
SSH |
22 |
Acceso SSH a la dirección IP del LIF de administración del clúster o de un LIF de administración de nodos |
TCP |
111 |
Llamada a procedimiento remoto para NFS |
TCP |
139 |
Sesión de servicio NetBIOS para CIFS |
TCP |
161-162 |
Protocolo simple de gestión de red |
TCP |
445 |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
TCP |
635 |
Montaje NFS |
TCP |
749 |
Kerberos |
TCP |
2049 |
Demonio del servidor NFS |
TCP |
3260 |
Acceso iSCSI a través del LIF de datos iSCSI |
TCP |
4045 |
Demonio de bloqueo NFS |
TCP |
4046 |
Monitor de estado de red para NFS |
TCP |
10000 |
Copia de seguridad mediante NDMP |
TCP |
11104 |
Gestión de sesiones de comunicación entre clústeres para SnapMirror |
TCP |
11105 |
Transferencia de datos de SnapMirror mediante LIF entre clústeres |
UDP |
111 |
Llamada a procedimiento remoto para NFS |
UDP |
161-162 |
Protocolo simple de gestión de red |
UDP |
635 |
Montaje NFS |
UDP |
2049 |
Demonio del servidor NFS |
UDP |
4045 |
Demonio de bloqueo NFS |
UDP |
4046 |
Monitor de estado de red para NFS |
UDP |
4049 |
Protocolo rquotad de NFS |
Reglas de salida
El grupo de seguridad predefinido para Cloud Volumes ONTAP abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de salida. Si necesita reglas más rígidas, utilice las reglas de salida avanzadas.
Reglas básicas de salida
El grupo de seguridad predefinido para Cloud Volumes ONTAP incluye las siguientes reglas de salida.
| Protocolo | Puerto | Objetivo |
|---|---|---|
Todos los ICMP |
Todo |
Todo el tráfico saliente |
Todos los TCP |
Todo |
Todo el tráfico saliente |
Todos los UDP |
Todo |
Todo el tráfico saliente |
Reglas de salida avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede usar la siguiente información para abrir solo aquellos puertos que Cloud Volumes ONTAP requiere para la comunicación saliente.
|
La fuente es la interfaz (dirección IP) en el sistema Cloud Volumes ONTAP . |
| Servicio | Protocolo | Puerto | Fuente | Destino | Objetivo |
|---|---|---|---|---|---|
Directorio activo |
TCP |
88 |
LIF de gestión de nodos |
Bosque de Active Directory |
Autenticación Kerberos V |
UDP |
137 |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
LIF de gestión de nodos |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
TCP |
139 |
LIF de gestión de nodos |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP y UDP |
389 |
LIF de gestión de nodos |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
LIF de gestión de nodos |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
LIF de gestión de nodos |
Bosque de Active Directory |
Cambiar y establecer contraseña de Kerberos V (SET_CHANGE) |
|
UDP |
464 |
LIF de gestión de nodos |
Bosque de Active Directory |
Administración de claves Kerberos |
|
TCP |
749 |
LIF de gestión de nodos |
Bosque de Active Directory |
Cambiar y establecer contraseña de Kerberos V (RPCSEC_GSS) |
|
TCP |
88 |
Datos LIF (NFS, CIFS, iSCSI) |
Bosque de Active Directory |
Autenticación Kerberos V |
|
UDP |
137 |
Datos LIF (NFS, CIFS) |
Bosque de Active Directory |
Servicio de nombres NetBIOS |
|
UDP |
138 |
Datos LIF (NFS, CIFS) |
Bosque de Active Directory |
Servicio de datagramas NetBIOS |
|
TCP |
139 |
Datos LIF (NFS, CIFS) |
Bosque de Active Directory |
Sesión de servicio NetBIOS |
|
TCP y UDP |
389 |
Datos LIF (NFS, CIFS) |
Bosque de Active Directory |
LDAP |
|
TCP |
445 |
Datos LIF (NFS, CIFS) |
Bosque de Active Directory |
Microsoft SMB/CIFS sobre TCP con trama NetBIOS |
|
TCP |
464 |
Datos LIF (NFS, CIFS) |
Bosque de Active Directory |
Cambiar y establecer contraseña de Kerberos V (SET_CHANGE) |
|
UDP |
464 |
Datos LIF (NFS, CIFS) |
Bosque de Active Directory |
Administración de claves Kerberos |
|
TCP |
749 |
Datos LIF (NFS, CIFS) |
Bosque de Active Directory |
Cambiar y establecer contraseña de Kerberos V (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
LIF de gestión de nodos |
mysupport.netapp.com |
AutoSupport (HTTPS es el predeterminado) |
HTTP |
80 |
LIF de gestión de nodos |
mysupport.netapp.com |
AutoSupport (solo si el protocolo de transporte se cambia de HTTPS a HTTP) |
|
TCP |
3128 |
LIF de gestión de nodos |
Agente de consola |
Envío de mensajes de AutoSupport a través de un servidor proxy en el agente de la consola, si no hay una conexión a Internet saliente disponible |
|
Copia de seguridad en S3 |
TCP |
5010 |
LIF entre clústeres |
Realizar una copia de seguridad del punto final o restaurarlo |
Operaciones de copia de seguridad y restauración para la función Copia de seguridad en S3 |
Grupo |
Todo el tráfico |
Todo el tráfico |
Todos los LIF en un nodo |
Todos los LIF en el otro nodo |
Comunicaciones entre clústeres (solo Cloud Volumes ONTAP HA) |
TCP |
3000 |
LIF de gestión de nodos |
mediador de HA |
Llamadas ZAPI (solo Cloud Volumes ONTAP HA) |
|
ICMP |
1 |
LIF de gestión de nodos |
mediador de HA |
Mantener activo (solo Cloud Volumes ONTAP HA) |
|
Copias de seguridad de configuración |
HTTP |
80 |
LIF de gestión de nodos |
http://<dirección IP del agente de consola>/occm/offboxconfig |
Envía copias de seguridad de la configuración al agente de la consola."Documentación de ONTAP" |
DHCP |
UDP |
68 |
LIF de gestión de nodos |
DHCP |
Cliente DHCP para la primera configuración |
DHCP |
UDP |
67 |
LIF de gestión de nodos |
DHCP |
Servidor DHCP |
DNS |
UDP |
53 |
LIF de gestión de nodos y LIF de datos (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
LIF de gestión de nodos |
Servidores de destino |
Copia NDMP |
SMTP |
TCP |
25 |
LIF de gestión de nodos |
Servidor de correo |
Alertas SMTP, se pueden utilizar para AutoSupport |
SNMP |
TCP |
161 |
LIF de gestión de nodos |
Servidor de monitorización |
Monitoreo mediante trampas SNMP |
UDP |
161 |
LIF de gestión de nodos |
Servidor de monitorización |
Monitoreo mediante trampas SNMP |
|
TCP |
162 |
LIF de gestión de nodos |
Servidor de monitorización |
Monitoreo mediante trampas SNMP |
|
UDP |
162 |
LIF de gestión de nodos |
Servidor de monitorización |
Monitoreo mediante trampas SNMP |
|
SnapMirror |
TCP |
11104 |
LIF entre clústeres |
LIF entre clústeres de ONTAP |
Gestión de sesiones de comunicación entre clústeres para SnapMirror |
TCP |
11105 |
LIF entre clústeres |
LIF entre clústeres de ONTAP |
Transferencia de datos de SnapMirror |
|
Registro del sistema |
UDP |
514 |
LIF de gestión de nodos |
Servidor de syslog |
Mensajes de reenvío de syslog |
Reglas para el grupo de seguridad externo del mediador de HA
El grupo de seguridad externo predefinido para el mediador de Cloud Volumes ONTAP HA incluye las siguientes reglas de entrada y salida.
Reglas de entrada
El grupo de seguridad predefinido para el mediador de HA incluye la siguiente regla de entrada.
| Protocolo | Puerto | Fuente | Objetivo |
|---|---|---|---|
TCP |
3000 |
CIDR del agente de consola |
Acceso a la API RESTful desde el agente de la consola |
Reglas de salida
El grupo de seguridad predefinido para el mediador de HA abre todo el tráfico saliente. Si eso es aceptable, siga las reglas básicas de salida. Si necesita reglas más rígidas, utilice las reglas de salida avanzadas.
Reglas básicas de salida
El grupo de seguridad predefinido para el mediador de HA incluye las siguientes reglas de salida.
| Protocolo | Puerto | Objetivo |
|---|---|---|
Todos los TCP |
Todo |
Todo el tráfico saliente |
Todos los UDP |
Todo |
Todo el tráfico saliente |
Reglas de salida avanzadas
Si necesita reglas rígidas para el tráfico saliente, puede utilizar la siguiente información para abrir solo aquellos puertos que el mediador de HA requiere para la comunicación saliente.
| Protocolo | Puerto | Destino | Objetivo |
|---|---|---|---|
HTTP |
80 |
Dirección IP del agente de la consola en la instancia de AWS EC2 |
Descargar actualizaciones para el mediador |
HTTPS |
443 |
ec2.amazonaws.com |
Ayudar con la conmutación por error del almacenamiento |
UDP |
53 |
ec2.amazonaws.com |
Ayudar con la conmutación por error del almacenamiento |
|
|
En lugar de abrir los puertos 443 y 53, puede crear un punto final de interfaz VPC desde la subred de destino al servicio AWS EC2. |
Reglas para el grupo de seguridad interna de configuración de HA
El grupo de seguridad interna predefinido para una configuración de Cloud Volumes ONTAP HA incluye las siguientes reglas. Este grupo de seguridad permite la comunicación entre los nodos HA y entre el mediador y los nodos.
La consola siempre crea este grupo de seguridad. No tienes la opción de utilizar el tuyo propio.
Reglas de entrada
El grupo de seguridad predefinido incluye las siguientes reglas de entrada.
| Protocolo | Puerto | Objetivo |
|---|---|---|
Todo el tráfico |
Todo |
Comunicación entre el mediador de HA y los nodos de HA |
Reglas de salida
El grupo de seguridad predefinido incluye las siguientes reglas de salida.
| Protocolo | Puerto | Objetivo |
|---|---|---|
Todo el tráfico |
Todo |
Comunicación entre el mediador de HA y los nodos de HA |