Skip to main content
Tutti i cloud provider
  • Amazon Web Services
  • Google Cloud
  • Microsoft Azure
  • Tutti i cloud provider
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Regole del gruppo di sicurezza per AWS

Collaboratori
PDF

BlueXP crea gruppi di sicurezza AWS che includono le regole in entrata e in uscita di cui Cloud Volumes ONTAP ha bisogno per funzionare correttamente. Si consiglia di fare riferimento alle porte a scopo di test o se si preferisce utilizzare i propri gruppi di protezione.

Regole per Cloud Volumes ONTAP

Il gruppo di sicurezza per Cloud Volumes ONTAP richiede regole sia in entrata che in uscita.

Regole in entrata

Quando si crea un ambiente di lavoro e si sceglie un gruppo di protezione predefinito, è possibile scegliere di consentire il traffico all'interno di una delle seguenti opzioni:

  • Selezionato solo VPC: L'origine del traffico in entrata è l'intervallo di sottorete del VPC per il sistema Cloud Volumes ONTAP e l'intervallo di sottorete del VPC in cui si trova il connettore. Questa è l'opzione consigliata.

  • Tutti i VPC: L'origine del traffico in entrata è l'intervallo IP 0.0.0.0/0.

Protocollo Porta Scopo

Tutti gli ICMP

Tutto

Eseguire il ping dell'istanza

HTTP

80

Accesso HTTP alla console web di ONTAP System Manager usando l'indirizzo IP della LIF di gestione cluster

HTTPS

443

Connettività con il connettore e accesso HTTPS alla console web di ONTAP System Manager usando l'indirizzo IP della LIF di gestione del cluster

SSH

22

Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi

TCP

111

Chiamata a procedura remota per NFS

TCP

139

Sessione del servizio NetBIOS per CIFS

TCP

161-162

Protocollo di gestione di rete semplice

TCP

445

Microsoft SMB/CIFS su TCP con frame NetBIOS

TCP

635

Montaggio NFS

TCP

749

Kerberos

TCP

2049

Daemon del server NFS

TCP

3260

Accesso iSCSI tramite LIF dei dati iSCSI

TCP

4045

Daemon di blocco NFS

TCP

4046

Network status monitor per NFS

TCP

10000

Backup con NDMP

TCP

11104

Gestione delle sessioni di comunicazione tra cluster per SnapMirror

TCP

11105

Trasferimento dei dati SnapMirror con LIF intercluster

UDP

111

Chiamata a procedura remota per NFS

UDP

161-162

Protocollo di gestione di rete semplice

UDP

635

Montaggio NFS

UDP

2049

Daemon del server NFS

UDP

4045

Daemon di blocco NFS

UDP

4046

Network status monitor per NFS

UDP

4049

Protocollo NFS rquotad

Regole in uscita

Il gruppo di protezione predefinito per Cloud Volumes ONTAP apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.

Regole di base in uscita

Il gruppo di protezione predefinito per Cloud Volumes ONTAP include le seguenti regole in uscita.

Protocollo Porta Scopo

Tutti gli ICMP

Tutto

Tutto il traffico in uscita

Tutti i TCP

Tutto

Tutto il traffico in uscita

Tutti gli UDP

Tutto

Tutto il traffico in uscita

Regole avanzate in uscita

Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per le comunicazioni in uscita da Cloud Volumes ONTAP.

Nota L'origine è l'interfaccia (indirizzo IP) del sistema Cloud Volumes ONTAP.
Servizio Protocollo Porta Origine Destinazione Scopo

Active Directory

TCP

88

LIF di gestione dei nodi

Insieme di strutture di Active Directory

Autenticazione Kerberos V.

UDP

137

LIF di gestione dei nodi

Insieme di strutture di Active Directory

Servizio nomi NetBIOS

UDP

138

LIF di gestione dei nodi

Insieme di strutture di Active Directory

Servizio datagramma NetBIOS

TCP

139

LIF di gestione dei nodi

Insieme di strutture di Active Directory

Sessione del servizio NetBIOS

TCP E UDP

389

LIF di gestione dei nodi

Insieme di strutture di Active Directory

LDAP

TCP

445

LIF di gestione dei nodi

Insieme di strutture di Active Directory

Microsoft SMB/CIFS su TCP con frame NetBIOS

TCP

464

LIF di gestione dei nodi

Insieme di strutture di Active Directory

Kerberos V change & set password (SET_CHANGE)

UDP

464

LIF di gestione dei nodi

Insieme di strutture di Active Directory

Amministrazione delle chiavi Kerberos

TCP

749

LIF di gestione dei nodi

Insieme di strutture di Active Directory

Kerberos V change & set Password (RPCSEC_GSS)

TCP

88

Data LIF (NFS, CIFS, iSCSI)

Insieme di strutture di Active Directory

Autenticazione Kerberos V.

UDP

137

LIF DATI (NFS, CIFS)

Insieme di strutture di Active Directory

Servizio nomi NetBIOS

UDP

138

LIF DATI (NFS, CIFS)

Insieme di strutture di Active Directory

Servizio datagramma NetBIOS

TCP

139

LIF DATI (NFS, CIFS)

Insieme di strutture di Active Directory

Sessione del servizio NetBIOS

TCP E UDP

389

LIF DATI (NFS, CIFS)

Insieme di strutture di Active Directory

LDAP

TCP

445

LIF DATI (NFS, CIFS)

Insieme di strutture di Active Directory

Microsoft SMB/CIFS su TCP con frame NetBIOS

TCP

464

LIF DATI (NFS, CIFS)

Insieme di strutture di Active Directory

Kerberos V change & set password (SET_CHANGE)

UDP

464

LIF DATI (NFS, CIFS)

Insieme di strutture di Active Directory

Amministrazione delle chiavi Kerberos

TCP

749

LIF DATI (NFS, CIFS)

Insieme di strutture di Active Directory

Kerberos V change & set password (RPCSEC_GSS)

AutoSupport

HTTPS

443

LIF di gestione dei nodi

support.netapp.com

AutoSupport (HTTPS è l'impostazione predefinita)

HTTP

80

LIF di gestione dei nodi

support.netapp.com

AutoSupport (solo se il protocollo di trasporto viene modificato da HTTPS a HTTP)

TCP

3128

LIF di gestione dei nodi

Connettore

Invio di messaggi AutoSupport tramite un server proxy sul connettore, se non è disponibile una connessione Internet in uscita

Backup su S3

TCP

5010

LIF intercluster

Endpoint di backup o endpoint di ripristino

Operazioni di backup e ripristino per la funzione Backup in S3

Cluster

Tutto il traffico

Tutto il traffico

Tutte le LIF su un nodo

Tutte le LIF sull'altro nodo

Comunicazioni tra cluster (solo Cloud Volumes ONTAP ha)

TCP

3000

LIF di gestione dei nodi

MEDIATORE HA

Chiamate ZAPI (solo Cloud Volumes ONTAP ha)

ICMP

1

LIF di gestione dei nodi

MEDIATORE HA

Mantieni attivo (solo Cloud Volumes ONTAP ha)

Backup della configurazione

HTTP

80

LIF di gestione dei nodi

Http://<connector-IP-address>/occm/offboxconfig

Inviare i backup della configurazione al connettore. "Informazioni sui file di backup della configurazione".

DHCP

UDP

68

LIF di gestione dei nodi

DHCP

Client DHCP per la prima installazione

DHCPS

UDP

67

LIF di gestione dei nodi

DHCP

Server DHCP

DNS

UDP

53

LIF di gestione dei nodi e LIF dei dati (NFS, CIFS)

DNS

DNS

NDMP

TCP

18600–18699

LIF di gestione dei nodi

Server di destinazione

Copia NDMP

SMTP

TCP

25

LIF di gestione dei nodi

Server di posta

Gli avvisi SMTP possono essere utilizzati per AutoSupport

SNMP

TCP

161

LIF di gestione dei nodi

Monitorare il server

Monitoraggio mediante trap SNMP

UDP

161

LIF di gestione dei nodi

Monitorare il server

Monitoraggio mediante trap SNMP

TCP

162

LIF di gestione dei nodi

Monitorare il server

Monitoraggio mediante trap SNMP

UDP

162

LIF di gestione dei nodi

Monitorare il server

Monitoraggio mediante trap SNMP

SnapMirror

TCP

11104

LIF intercluster

ONTAP Intercluster LIF

Gestione delle sessioni di comunicazione tra cluster per SnapMirror

TCP

11105

LIF intercluster

ONTAP Intercluster LIF

Trasferimento dei dati SnapMirror

Syslog

UDP

514

LIF di gestione dei nodi

Server syslog

Messaggi di inoltro syslog

Regole per il gruppo di sicurezza esterno del mediatore ha

Il gruppo di sicurezza esterno predefinito per il mediatore Cloud Volumes ONTAP ha include le seguenti regole in entrata e in uscita.

Regole in entrata

Il gruppo di sicurezza predefinito per il mediatore ha include la seguente regola inbound.

Protocollo Porta Origine Scopo

TCP

3000

CIDR del connettore

Accesso API RESTful dal connettore

Regole in uscita

Il gruppo di sicurezza predefinito per il mediatore ha apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.

Regole di base in uscita

Il gruppo di protezione predefinito per il mediatore ha include le seguenti regole in uscita.

Protocollo Porta Scopo

Tutti i TCP

Tutto

Tutto il traffico in uscita

Tutti gli UDP

Tutto

Tutto il traffico in uscita

Regole avanzate in uscita

Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte necessarie per la comunicazione in uscita dal mediatore ha.

Protocollo Porta Destinazione Scopo

HTTP

80

Indirizzo IP del connettore sull'istanza AWS EC2

Scarica gli aggiornamenti per il mediatore

HTTPS

443

ec2.amazonaws.com

Assistenza per il failover dello storage

UDP

53

ec2.amazonaws.com

Assistenza per il failover dello storage
Nota Anziché aprire le porte 443 e 53, è possibile creare un endpoint VPC di interfaccia dalla subnet di destinazione al servizio AWS EC2.

Regole per il gruppo di sicurezza interno della configurazione ha

Il gruppo di protezione interno predefinito per una configurazione Cloud Volumes ONTAP ha include le seguenti regole. Questo gruppo di sicurezza consente la comunicazione tra i nodi ha e tra il mediatore e i nodi.

BlueXP crea sempre questo gruppo di protezione. Non hai la possibilità di utilizzare il tuo.

Regole in entrata

Il gruppo di sicurezza predefinito include le seguenti regole in entrata.

Protocollo Porta Scopo

Tutto il traffico

Tutto

Comunicazione tra il mediatore ha e i nodi ha

Regole in uscita

Il gruppo di protezione predefinito include le seguenti regole in uscita.

Protocollo Porta Scopo

Tutto il traffico

Tutto

Comunicazione tra il mediatore ha e i nodi ha

Regole per il connettore

"Visualizzare le regole del gruppo di protezione per il connettore"