Skip to main content
すべてのクラウドプロバイダ
  • Amazon Web Services の
  • Google Cloud
  • Microsoft Azure
  • すべてのクラウドプロバイダ
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

AWS のセキュリティグループルール

共同作成者
PDF

BlueXPでは、Cloud Volumes ONTAP が正常に動作するために必要なインバウンドとアウトバウンドのルールを含むAWSセキュリティグループが作成されます。テスト目的または独自のセキュリティグループを使用する場合は、ポートを参照してください。

Cloud Volumes ONTAP のルール

Cloud Volumes ONTAP のセキュリティグループには、インバウンドルールとアウトバウンドルールの両方が必要です。

インバウンドルール

作業環境を作成し、事前定義されたセキュリティグループを選択する場合、次のいずれかの範囲内でトラフィックを許可するように選択できます。

  • 選択したVPCのみ:インバウンドトラフィックのソースは、Cloud Volumes ONTAP システムのVPCのサブネット範囲、およびコネクタが存在するVPCのサブネット範囲です。これが推奨されるオプションです。

  • *すべてのVPC *:インバウンドトラフィックのソースは0.0.0.0/0のIP範囲です。

プロトコル ポート 目的

すべての ICMP

すべて

インスタンスの ping を実行します

HTTP

80

クラスタ管理LIFのIPアドレスを使用したONTAP System Manager WebコンソールへのHTTPアクセス

HTTPS

443

コネクタとの接続、およびクラスタ管理LIFのIPアドレスを使用したONTAP System Manager WebコンソールへのHTTPSアクセス

SSH

22

クラスタ管理 LIF またはノード管理 LIF の IP アドレスへの SSH アクセス

TCP

111

NFS のリモートプロシージャコール

TCP

139

CIFS の NetBIOS サービスセッション

TCP

161-162

簡易ネットワーク管理プロトコル

TCP

445

NetBIOS フレーム同期を使用した Microsoft SMB over TCP

TCP

635

NFS マウント

TCP

749

Kerberos

TCP

2049

NFS サーバデーモン

TCP

3260

iSCSI データ LIF を介した iSCSI アクセス

TCP

4045

NFS ロックデーモン

TCP

4046

NFS のネットワークステータスモニタ

TCP

10000

NDMP を使用したバックアップ

TCP

11104

SnapMirror のクラスタ間通信セッションの管理

TCP

11105

クラスタ間 LIF を使用した SnapMirror データ転送

UDP

111

NFS のリモートプロシージャコール

UDP

161-162

簡易ネットワーク管理プロトコル

UDP

635

NFS マウント

UDP

2049

NFS サーバデーモン

UDP

4045

NFS ロックデーモン

UDP

4046

NFS のネットワークステータスモニタ

UDP

4049

NFS rquotad プロトコル

アウトバウンドルール

Cloud Volumes 用の事前定義済みセキュリティグループ ONTAP は、すべての発信トラフィックをオープンします。これが可能な場合は、基本的なアウトバウンドルールに従います。より厳格なルールが必要な場合は、高度なアウトバウンドルールを使用します。

基本的なアウトバウンドルール

Cloud Volumes ONTAP 用の定義済みセキュリティグループには、次のアウトバウンドルールが含まれています。

プロトコル ポート 目的

すべての ICMP

すべて

すべての発信トラフィック

すべての TCP

すべて

すべての発信トラフィック

すべての UDP

すべて

すべての発信トラフィック

高度なアウトバウンドルール

発信トラフィックに厳格なルールが必要な場合は、次の情報を使用して、 Cloud Volumes ONTAP による発信通信に必要なポートのみを開くことができます。

メモ source は、 Cloud Volumes ONTAP システムのインターフェイス( IP アドレス)です。
サービス プロトコル ポート ソース 宛先 目的

Active Directory

TCP

88

ノード管理 LIF

Active Directory フォレスト

Kerberos V 認証

UDP

137

ノード管理 LIF

Active Directory フォレスト

NetBIOS ネームサービス

UDP

138

ノード管理 LIF

Active Directory フォレスト

NetBIOS データグラムサービス

TCP

139

ノード管理 LIF

Active Directory フォレスト

NetBIOS サービスセッション

TCP および UDP

389

ノード管理 LIF

Active Directory フォレスト

LDAP

TCP

445

ノード管理 LIF

Active Directory フォレスト

NetBIOS フレーム同期を使用した Microsoft SMB over TCP

TCP

464

ノード管理 LIF

Active Directory フォレスト

Kerberos V パスワードの変更と設定( SET_CHANGE )

UDP

464

ノード管理 LIF

Active Directory フォレスト

Kerberos キー管理

TCP

749

ノード管理 LIF

Active Directory フォレスト

Kerberos V Change & Set Password ( RPCSEC_GSS )

TCP

88

データ LIF ( NFS 、 CIFS 、 iSCSI )

Active Directory フォレスト

Kerberos V 認証

UDP

137

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

NetBIOS ネームサービス

UDP

138

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

NetBIOS データグラムサービス

TCP

139

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

NetBIOS サービスセッション

TCP および UDP

389

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

LDAP

TCP

445

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

NetBIOS フレーム同期を使用した Microsoft SMB over TCP

TCP

464

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

Kerberos V パスワードの変更と設定( SET_CHANGE )

UDP

464

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

Kerberos キー管理

TCP

749

データ LIF ( NFS 、 CIFS )

Active Directory フォレスト

Kerberos V Change & Set Password ( RPCSEC_GSS )

AutoSupport

HTTPS

443

ノード管理 LIF

support.netapp.com

AutoSupport (デフォルトは HTTPS )

HTTP

80

ノード管理 LIF

support.netapp.com

AutoSupport (転送プロトコルが HTTPS から HTTP に変更された場合のみ)

TCP

3128

ノード管理 LIF

コネクタ

アウトバウンドのインターネット接続が使用できない場合に、コネクタのプロキシサーバを介してAutoSupport メッセージを送信する

S3 へのバックアップ

TCP

5010

クラスタ間 LIF

バックアップエンドポイントまたはリストアエンドポイント

S3 へのバックアップ処理とリストア処理 フィーチャー( Feature )

クラスタ

すべてのトラフィック

すべてのトラフィック

1 つのノード上のすべての LIF

もう一方のノードのすべての LIF

クラスタ間通信( Cloud Volumes ONTAP HA のみ)

TCP

3000

ノード管理 LIF

HA メディエータ

ZAPI コール( Cloud Volumes ONTAP HA のみ)

ICMP

1.

ノード管理 LIF

HA メディエータ

キープアライブ( Cloud Volumes ONTAP HA のみ)

構成のバックアップ

HTTP

80

ノード管理 LIF

http://<connector-IP-address> /occm/offboxconfig

構成バックアップをコネクタに送信します。 "構成バックアップファイルについて説明します"

DHCP

UDP

68

ノード管理 LIF

DHCP

初回セットアップ用の DHCP クライアント

DHCP

UDP

67

ノード管理 LIF

DHCP

DHCP サーバ

DNS

UDP

53

ノード管理 LIF とデータ LIF ( NFS 、 CIFS )

DNS

DNS

NDMP

TCP

18600 ~ 18699

ノード管理 LIF

宛先サーバ

NDMP コピー

SMTP

TCP

25

ノード管理 LIF

メールサーバ

SMTP アラート。 AutoSupport に使用できます

SNMP

TCP

161

ノード管理 LIF

サーバを監視します

SNMP トラップによる監視

UDP

161

ノード管理 LIF

サーバを監視します

SNMP トラップによる監視

TCP

162

ノード管理 LIF

サーバを監視します

SNMP トラップによる監視

UDP

162

ノード管理 LIF

サーバを監視します

SNMP トラップによる監視

SnapMirror

TCP

11104

クラスタ間 LIF

ONTAP クラスタ間 LIF

SnapMirror のクラスタ間通信セッションの管理

TCP

11105

クラスタ間 LIF

ONTAP クラスタ間 LIF

SnapMirror によるデータ転送

syslog

UDP

514

ノード管理 LIF

syslog サーバ

syslog 転送メッセージ

HA Mediator 外部セキュリティグループのルール

Cloud Volumes ONTAP HA Mediator 用に事前定義された外部セキュリティグループには、次のインバウンドルールとアウトバウンドルールが含まれています。

インバウンドルール

HAメディエーターの事前定義されたセキュリティグループには、次のインバウンドルールが含まれています。

プロトコル ポート ソース 目的

TCP

3000

コネクタのCIDR

コネクタからの RESTful API アクセス

アウトバウンドルール

HA メディエータの定義済みセキュリティグループは、すべての発信トラフィックを開きます。これが可能な場合は、基本的なアウトバウンドルールに従います。より厳格なルールが必要な場合は、高度なアウトバウンドルールを使用します。

基本的なアウトバウンドルール

HA Mediator 用の定義済みセキュリティグループには、次のアウトバウンドルールが含まれます。

プロトコル ポート 目的

すべての TCP

すべて

すべての発信トラフィック

すべての UDP

すべて

すべての発信トラフィック

高度なアウトバウンドルール

発信トラフィックに厳格なルールが必要な場合は、次の情報を使用して、 HA メディエータによる発信通信に必要なポートだけを開くことができます。

プロトコル ポート 宛先 目的

HTTP

80

AWS EC2インスタンスのコネクタのIPアドレス

メディエーターのアップグレードをダウンロードします

HTTPS

443

ec2.amazonaws.com

ストレージのフェイルオーバーを支援します

UDP

53

ec2.amazonaws.com

ストレージのフェイルオーバーを支援します
メモ ポート 443 および 53 を開く代わりに、ターゲットサブネットから AWS EC2 サービスへのインターフェイス VPC エンドポイントを作成できます。

HA構成の内部セキュリティグループに関するルール

Cloud Volumes ONTAP HA構成用に事前定義された内部セキュリティグループには、次のルールが含まれています。このセキュリティグループを使用すると、HAノード間、メディエーターとノード間の通信が可能になります。

BlueXPでは常にこのセキュリティグループが作成されます。独自のオプションはありません。

インバウンドルール

事前定義されたセキュリティグループには、次の着信ルールが含まれています。

プロトコル ポート 目的

すべてのトラフィック

すべて

HA メディエータと HA ノード間の通信

アウトバウンドルール

定義済みのセキュリティグループには、次の発信ルールが含まれます。

プロトコル ポート 目的

すべてのトラフィック

すべて

HA メディエータと HA ノード間の通信

コネクタのルール

"コネクタのセキュリティグループルールを表示します"