Regole del gruppo di sicurezza per Azure
Suggerisci modifiche
PDF
Cloud Manager crea gruppi di sicurezza Azure che includono le regole in entrata e in uscita di cui Cloud Manager e Cloud Volumes ONTAP hanno bisogno per funzionare correttamente. È possibile fare riferimento alle porte a scopo di test o se si preferisce utilizzare i propri gruppi di protezione.
Regole per Cloud Manager
Il gruppo di sicurezza per Cloud Manager richiede regole sia in entrata che in uscita.
Regole in entrata per Cloud Manager
L'origine delle regole in entrata nel gruppo di sicurezza predefinito è 0.0.0.0/0.
| Protocollo | Porta | Scopo |
|---|---|---|
SSH |
22 |
Fornisce l'accesso SSH all'host Cloud Manager |
HTTP |
80 |
Fornisce l'accesso HTTP dai browser Web client alla console Web di Cloud Manager |
HTTPS |
443 |
Fornisce l'accesso HTTPS dai browser Web client alla console Web di Cloud Manager |
Regole in uscita per Cloud Manager
Il gruppo di sicurezza predefinito per Cloud Manager apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Il gruppo di sicurezza predefinito per Cloud Manager include le seguenti regole in uscita.
| Protocollo | Porta | Scopo |
|---|---|---|
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per le comunicazioni in uscita da Cloud Manager.
|
L'indirizzo IP di origine è l'host Cloud Manager. |
| Servizio | Protocollo | Porta | Destinazione | Scopo |
|---|---|---|---|---|
Active Directory |
TCP |
88 |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
TCP |
139 |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP |
389 |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
TCP |
749 |
Insieme di strutture di Active Directory |
Modifica e impostazione della password Kerberos V di Active Directory (RPCSEC_GSS) |
|
UDP |
137 |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
UDP |
464 |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
Chiamate API e AutoSupport |
HTTPS |
443 |
LIF gestione cluster ONTAP e Internet in uscita |
Chiamate API ad AWS e ONTAP e invio di messaggi AutoSupport a NetApp |
Chiamate API |
TCP |
3000 |
LIF gestione cluster ONTAP |
Chiamate API a ONTAP |
DNS |
UDP |
53 |
DNS |
Utilizzato per la risoluzione DNS da parte di Cloud Manager |
Regole per Cloud Volumes ONTAP
Il gruppo di sicurezza per Cloud Volumes ONTAP richiede regole sia in entrata che in uscita.
Regole in entrata per sistemi a nodo singolo
| Priorità | Nome | Porta | Protocollo | Origine | Destinazione | Azione | Descrizione |
|---|---|---|---|---|---|---|---|
1000 |
inbound_ssh |
22 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
1001 |
inbound_http |
80 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Accesso HTTP alla console Web di System Manager utilizzando l'indirizzo IP della LIF di gestione del cluster |
1002 |
inbound_111_tcp |
111 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Chiamata a procedura remota per NFS |
1003 |
inbound_111_udp |
111 |
UDP |
Qualsiasi |
Qualsiasi |
Consentire |
Chiamata a procedura remota per NFS |
1004 |
inbound_139 |
139 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Sessione del servizio NetBIOS per CIFS |
1005 |
inbound_161-162 _tcp |
161-162 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Protocollo di gestione di rete semplice |
1006 |
inbound_161-162 _udp |
161-162 |
UDP |
Qualsiasi |
Qualsiasi |
Consentire |
Protocollo di gestione di rete semplice |
1007 |
inbound_443 |
443 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Accesso HTTPS alla console Web di System Manager utilizzando l'indirizzo IP della LIF di gestione del cluster |
1008 |
inbound_445 |
445 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
1009 |
inbound_635_tcp |
635 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Montaggio NFS |
1010 |
inbound_635_udp |
635 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Montaggio NFS |
1011 |
inbound_749 |
749 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Kerberos |
1012 |
inbound_2049_tcp |
2049 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Daemon del server NFS |
1013 |
inbound_2049_udp |
2049 |
UDP |
Qualsiasi |
Qualsiasi |
Consentire |
Daemon del server NFS |
1014 |
inbound_3260 |
3260 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Accesso iSCSI tramite LIF dei dati iSCSI |
1015 |
inbound_4045-4046_tcp |
4045-4046 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
NFS lock daemon e network status monitor |
1016 |
inbound_4045-4046_udp |
4045-4046 |
UDP |
Qualsiasi |
Qualsiasi |
Consentire |
NFS lock daemon e network status monitor |
1017 |
inbound_10000 |
10000 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Backup con NDMP |
1018 |
inbound_11104-11105 |
11104-11105 |
TCP |
Qualsiasi |
Qualsiasi |
Consentire |
Trasferimento dei dati SnapMirror |
3000 |
inbound_deny _all_tcp |
Qualsiasi |
TCP |
Qualsiasi |
Qualsiasi |
Negare |
Blocca tutto il traffico TCP in entrata |
3001 |
inbound_deny _all_udp |
Qualsiasi |
UDP |
Qualsiasi |
Qualsiasi |
Negare |
Blocca tutto il traffico UDP in entrata |
65000 |
AllowVnetInBound |
Qualsiasi |
Qualsiasi |
VirtualNetwork |
VirtualNetwork |
Consentire |
Traffico in entrata dall'interno di VNET |
65001 |
AllowAzureLoad BalancerInBound |
Qualsiasi |
Qualsiasi |
AzureLoadBalancer |
Qualsiasi |
Consentire |
Traffico di dati dal bilanciamento del carico standard di Azure |
65500 |
DenyAllInBound |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Negare |
Bloccare tutto il traffico in entrata |
Regole in entrata per i sistemi ha
|
|
I sistemi HA hanno meno regole in entrata rispetto ai sistemi a nodo singolo perché il traffico dati in entrata passa attraverso il bilanciamento del carico standard di Azure. Per questo motivo, il traffico proveniente dal bilanciamento del carico deve essere aperto, come mostrato nella regola "AllowAzureLoadBalancerInBound". |
| Priorità | Nome | Porta | Protocollo | Origine | Destinazione | Azione | Descrizione |
|---|---|---|---|---|---|---|---|
100 |
inbound_443 |
443 |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Consentire |
Accesso HTTPS alla console Web di System Manager utilizzando l'indirizzo IP della LIF di gestione del cluster |
101 |
inbound_111_tcp |
111 |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Consentire |
Chiamata a procedura remota per NFS |
102 |
inbound_2049_tcp |
2049 |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Consentire |
Daemon del server NFS |
111 |
inbound_ssh |
22 |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Consentire |
Accesso SSH all'indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
121 |
inbound_53 |
53 |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Consentire |
DNS e CIFS |
65000 |
AllowVnetInBound |
Qualsiasi |
Qualsiasi |
VirtualNetwork |
VirtualNetwork |
Consentire |
Traffico in entrata dall'interno di VNET |
65001 |
AllowAzureLoad BalancerInBound |
Qualsiasi |
Qualsiasi |
AzureLoadBalancer |
Qualsiasi |
Consentire |
Traffico di dati dal bilanciamento del carico standard di Azure |
65500 |
DenyAllInBound |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Qualsiasi |
Negare |
Bloccare tutto il traffico in entrata |
Regole in uscita per Cloud Volumes ONTAP
Il gruppo di protezione predefinito per Cloud Volumes ONTAP apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Regole di base in uscita
Il gruppo di protezione predefinito per Cloud Volumes ONTAP include le seguenti regole in uscita.
| Protocollo | Porta | Scopo |
|---|---|---|
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Regole avanzate in uscita
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per le comunicazioni in uscita da Cloud Volumes ONTAP.
|
|
L'origine è l'interfaccia (indirizzo IP) del sistema Cloud Volumes ONTAP. |
| Servizio | Protocollo | Porta | Origine | Destinazione | Scopo |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
UDP |
137 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
TCP |
139 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP |
389 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
UDP |
464 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
TCP |
749 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set Password (RPCSEC_GSS) |
|
TCP |
88 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
|
UDP |
137 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
TCP |
139 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP |
389 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
UDP |
464 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
TCP |
749 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (RPCSEC_GSS) |
|
DHCP |
UDP |
68 |
LIF di gestione dei nodi |
DHCP |
Client DHCP per la prima installazione |
DHCPS |
UDP |
67 |
LIF di gestione dei nodi |
DHCP |
Server DHCP |
DNS |
UDP |
53 |
LIF di gestione dei nodi e LIF dei dati (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
LIF di gestione dei nodi |
Server di destinazione |
Copia NDMP |
SMTP |
TCP |
25 |
LIF di gestione dei nodi |
Server di posta |
Gli avvisi SMTP possono essere utilizzati per AutoSupport |
SNMP |
TCP |
161 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
UDP |
161 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
TCP |
162 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
UDP |
162 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
SnapMirror |
TCP |
11104 |
LIF intercluster |
ONTAP Intercluster LIF |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
TCP |
11105 |
LIF intercluster |
ONTAP Intercluster LIF |
Trasferimento dei dati SnapMirror |
|
Syslog |
UDP |
514 |
LIF di gestione dei nodi |
Server syslog |
Messaggi di inoltro syslog |