日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Cloud Volumes ONTAPの AWS セキュリティグループのインバウンドおよびアウトバウンドルール

10/06/2025 共同作成者

NetAppコンソールは、Cloud Volumes ONTAP が正常に動作するために必要なインバウンドルールとアウトバウンドルールを含む AWS セキュリティグループを作成します。テスト目的の場合、または独自のセキュリティグループを使用する場合は、ポートを参照することをお勧めします。

Cloud Volumes ONTAPのルール

Cloud Volumes ONTAPのセキュリティグループには、インバウンドルールとアウトバウンドルールの両方が必要です。

インバウンドルール

Cloud Volumes ONTAPシステムを追加し、定義済みのセキュリティグループを選択すると、次のいずれかの範囲内でトラフィックを許可することを選択できます。

選択した VPC のみ: 受信トラフィックのソースは、Cloud Volumes ONTAPシステムの VPC のサブネット範囲と、コンソールエージェントが存在する VPC のサブネット範囲です。これは推奨されるオプションです。
すべての VPC: 受信トラフィックのソースは 0.0.0.0/0 IP 範囲です。

プロトコル	ポート	目的
すべてのICMP	全て	インスタンスにpingを実行する
HTTP	80	クラスタ管理LIFのIPアドレスを使用してONTAP System Manager WebコンソールにHTTPアクセスする
HTTPS	443	コンソールエージェントとの接続と、クラスタ管理LIFのIPアドレスを使用したONTAP System Manager WebコンソールへのHTTPSアクセス
SSH	22	クラスタ管理LIFまたはノード管理LIFのIPアドレスへのSSHアクセス
TCP	111	NFS のリモートプロシージャコール
TCP	139	CIFSのNetBIOSサービスセッション
TCP	161-162	簡易ネットワーク管理プロトコル
TCP	445	NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS
TCP	635	NFSマウント
TCP	749	Kerberos
TCP	2049	NFSサーバデーモン
TCP	3260	iSCSI データ LIF を介した iSCSI アクセス
TCP	4045	NFSロックデーモン
TCP	4046	NFS のネットワークステータスモニター
TCP	10000	NDMPを使用したバックアップ
TCP	11104	SnapMirrorのクラスタ間通信セッションの管理
TCP	11105	クラスタ間LIFを使用したSnapMirrorデータ転送
UDP	111	NFS のリモートプロシージャコール
UDP	161-162	簡易ネットワーク管理プロトコル
UDP	635	NFSマウント
UDP	2049	NFSサーバデーモン
UDP	4045	NFSロックデーモン
UDP	4046	NFS のネットワークステータスモニター
UDP	4049	NFS rquotadプロトコル

プロトコル

ポート

目的

すべてのICMP

全て

インスタンスにpingを実行する

HTTP

クラスタ管理LIFのIPアドレスを使用してONTAP System Manager WebコンソールにHTTPアクセスする

HTTPS

443

コンソールエージェントとの接続と、クラスタ管理LIFのIPアドレスを使用したONTAP System Manager WebコンソールへのHTTPSアクセス

SSH

クラスタ管理LIFまたはノード管理LIFのIPアドレスへのSSHアクセス

TCP

111

NFS のリモートプロシージャコール

TCP

139

CIFSのNetBIOSサービスセッション

TCP

161-162

簡易ネットワーク管理プロトコル

TCP

445

NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS

TCP

635

NFSマウント

TCP

749

Kerberos

TCP

2049

NFSサーバデーモン

TCP

3260

iSCSI データ LIF を介した iSCSI アクセス

TCP

4045

NFSロックデーモン

TCP

4046

NFS のネットワークステータスモニター

TCP

10000

NDMPを使用したバックアップ

TCP

11104

SnapMirrorのクラスタ間通信セッションの管理

TCP

11105

クラスタ間LIFを使用したSnapMirrorデータ転送

UDP

111

NFS のリモートプロシージャコール

UDP

161-162

簡易ネットワーク管理プロトコル

UDP

635

NFSマウント

UDP

2049

NFSサーバデーモン

UDP

4045

NFSロックデーモン

UDP

4046

NFS のネットワークステータスモニター

UDP

4049

NFS rquotadプロトコル

アウトバウンドルール

Cloud Volumes ONTAPの定義済みセキュリティグループは、すべての送信トラフィックを開きます。それが許容できる場合は、基本的な送信ルールに従ってください。より厳格なルールが必要な場合は、高度な送信ルールを使用します。

基本的なアウトバウンドルール

Cloud Volumes ONTAPの定義済みセキュリティグループには、次の送信ルールが含まれています。

プロトコル	ポート	目的
すべてのICMP	全て	すべての送信トラフィック
すべてTCP	全て	すべての送信トラフィック
すべてUDP	全て	すべての送信トラフィック

プロトコル

ポート

目的

すべてのICMP

全て

すべての送信トラフィック

すべてTCP

全て

すべての送信トラフィック

すべてUDP

全て

すべての送信トラフィック

高度なアウトバウンドルール

送信トラフィックに厳格なルールが必要な場合は、次の情報を使用して、 Cloud Volumes ONTAPによる送信通信に必要なポートのみを開くことができます。

ソースは、Cloud Volumes ONTAPシステム上のインターフェース (IP アドレス) です。

サービス	プロトコル	ポート	ソース	デスティネーション	目的
Active Directory	TCP	88	ノード管理LIF	アクティブディレクトリフォレスト	Kerberos V認証
UDP	137	ノード管理LIF	アクティブディレクトリフォレスト	NetBIOSネームサービス
UDP	138	ノード管理LIF	アクティブディレクトリフォレスト	NetBIOSデータグラムサービス
TCP	139	ノード管理LIF	アクティブディレクトリフォレスト	NetBIOSサービスセッション
TCPとUDP	389	ノード管理LIF	アクティブディレクトリフォレスト	LDAP
TCP	445	ノード管理LIF	アクティブディレクトリフォレスト	NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS
TCP	464	ノード管理LIF	アクティブディレクトリフォレスト	Kerberos V パスワードの変更と設定 (SET_CHANGE)
UDP	464	ノード管理LIF	アクティブディレクトリフォレスト	Kerberos鍵管理
TCP	749	ノード管理LIF	アクティブディレクトリフォレスト	Kerberos V パスワードの変更と設定 (RPCSEC_GSS)
TCP	88	データ LIF (NFS、CIFS、iSCSI)	アクティブディレクトリフォレスト	Kerberos V認証
UDP	137	データ LIF (NFS、CIFS)	アクティブディレクトリフォレスト	NetBIOSネームサービス
UDP	138	データ LIF (NFS、CIFS)	アクティブディレクトリフォレスト	NetBIOSデータグラムサービス
TCP	139	データ LIF (NFS、CIFS)	アクティブディレクトリフォレスト	NetBIOSサービスセッション
TCPとUDP	389	データ LIF (NFS、CIFS)	アクティブディレクトリフォレスト	LDAP
TCP	445	データ LIF (NFS、CIFS)	アクティブディレクトリフォレスト	NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS
TCP	464	データ LIF (NFS、CIFS)	アクティブディレクトリフォレスト	Kerberos V パスワードの変更と設定 (SET_CHANGE)
UDP	464	データ LIF (NFS、CIFS)	アクティブディレクトリフォレスト	Kerberos鍵管理
TCP	749	データ LIF (NFS、CIFS)	アクティブディレクトリフォレスト	Kerberos V パスワードの変更と設定 (RPCSEC_GSS)
AutoSupport	HTTPS	443	ノード管理LIF	mysupport.netapp.com	AutoSupport （HTTPSがデフォルト）
HTTP	80	ノード管理LIF	mysupport.netapp.com	AutoSupport （トランスポートプロトコルが HTTPS から HTTP に変更された場合のみ）
TCP	3128	ノード管理LIF	コンソールエージェント	アウトバウンドインターネット接続が利用できない場合、コンソールエージェント上のプロキシサーバーを介してAutoSupportメッセージを送信する
S3へのバックアップ	TCP	5010	クラスタ間LIF	バックアップエンドポイントまたは復元エンドポイント	S3へのバックアップ機能のバックアップと復元操作
クラスタ	すべてのトラフィック	すべてのトラフィック	すべてのLIFを1つのノードに	他のノード上のすべてのLIF	クラスタ間通信（Cloud Volumes ONTAP HAのみ）
TCP	3000	ノード管理LIF	HA Mediator	ZAPI 呼び出し (Cloud Volumes ONTAP HA のみ)
ICMP	1	ノード管理LIF	HA Mediator	キープアライブ（Cloud Volumes ONTAP HAのみ）
構成のバックアップ	HTTP	80	ノード管理LIF	http://<コンソールエージェントのIPアドレス>/occm/offboxconfig	構成のバックアップをコンソールエージェントに送信します。"ONTAPのドキュメント"
DHCP	UDP	68	ノード管理LIF	DHCP	初回セットアップ用のDHCPクライアント
DHCP	UDP	67	ノード管理LIF	DHCP	DHCP サーバ
DNS	UDP	53	ノード管理LIFとデータLIF（NFS、CIFS）	DNS	DNS
NDMP	TCP	18600～18699	ノード管理LIF	宛先サーバー	NDMPコピー
SMTP	TCP	25	ノード管理LIF	メールサーバ	SMTPアラートはAutoSupportに使用できます
SNMP	TCP	161	ノード管理LIF	監視サーバー	SNMPトラップによる監視
UDP	161	ノード管理LIF	監視サーバー	SNMPトラップによる監視
TCP	162	ノード管理LIF	監視サーバー	SNMPトラップによる監視
UDP	162	ノード管理LIF	監視サーバー	SNMPトラップによる監視
SnapMirror	TCP	11104	クラスタ間LIF	ONTAPクラスタ間LIF	SnapMirrorのクラスタ間通信セッションの管理
TCP	11105	クラスタ間LIF	ONTAPクラスタ間LIF	SnapMirrorデータ転送
syslog	UDP	514	ノード管理LIF	syslogサーバ	Syslog転送メッセージ

サービス

プロトコル

ポート

ソース

デスティネーション

目的

Active Directory

TCP

ノード管理LIF

アクティブディレクトリフォレスト

Kerberos V認証

UDP

137

ノード管理LIF

アクティブディレクトリフォレスト

NetBIOSネームサービス

UDP

138

ノード管理LIF

アクティブディレクトリフォレスト

NetBIOSデータグラムサービス

TCP

139

ノード管理LIF

アクティブディレクトリフォレスト

NetBIOSサービスセッション

TCPとUDP

389

ノード管理LIF

アクティブディレクトリフォレスト

LDAP

TCP

445

ノード管理LIF

アクティブディレクトリフォレスト

NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS

TCP

464

ノード管理LIF

アクティブディレクトリフォレスト

Kerberos V パスワードの変更と設定 (SET_CHANGE)

UDP

464

ノード管理LIF

アクティブディレクトリフォレスト

Kerberos鍵管理

TCP

749

ノード管理LIF

アクティブディレクトリフォレスト

Kerberos V パスワードの変更と設定 (RPCSEC_GSS)

TCP

データ LIF (NFS、CIFS、iSCSI)

アクティブディレクトリフォレスト

Kerberos V認証

UDP

137

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

NetBIOSネームサービス

UDP

138

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

NetBIOSデータグラムサービス

TCP

139

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

NetBIOSサービスセッション

TCPとUDP

389

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

LDAP

TCP

445

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

NetBIOS フレームを使用した TCP 経由の Microsoft SMB/CIFS

TCP

464

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

Kerberos V パスワードの変更と設定 (SET_CHANGE)

UDP

464

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

Kerberos鍵管理

TCP

749

データ LIF (NFS、CIFS)

アクティブディレクトリフォレスト

Kerberos V パスワードの変更と設定 (RPCSEC_GSS)

AutoSupport

HTTPS

443

ノード管理LIF

mysupport.netapp.com

AutoSupport （HTTPSがデフォルト）

HTTP

ノード管理LIF

mysupport.netapp.com

AutoSupport （トランスポートプロトコルが HTTPS から HTTP に変更された場合のみ）

TCP

3128

ノード管理LIF

コンソールエージェント

アウトバウンドインターネット接続が利用できない場合、コンソールエージェント上のプロキシサーバーを介してAutoSupportメッセージを送信する

S3へのバックアップ

TCP

5010

クラスタ間LIF

バックアップエンドポイントまたは復元エンドポイント

S3へのバックアップ機能のバックアップと復元操作

クラスタ

すべてのトラフィック

すべてのLIFを1つのノードに

他のノード上のすべてのLIF

クラスタ間通信（Cloud Volumes ONTAP HAのみ）

TCP

3000

ノード管理LIF

HA Mediator

ZAPI 呼び出し (Cloud Volumes ONTAP HA のみ)

ICMP

ノード管理LIF

HA Mediator

キープアライブ（Cloud Volumes ONTAP HAのみ）

構成のバックアップ

HTTP

ノード管理LIF

http://<コンソールエージェントのIPアドレス>/occm/offboxconfig

構成のバックアップをコンソールエージェントに送信します。"ONTAPのドキュメント"

DHCP

UDP

ノード管理LIF

DHCP

初回セットアップ用のDHCPクライアント

DHCP

UDP

ノード管理LIF

DHCP

DHCP サーバ

DNS

UDP

ノード管理LIFとデータLIF（NFS、CIFS）

DNS

NDMP

TCP

18600～18699

ノード管理LIF

宛先サーバー

NDMPコピー

SMTP

TCP

ノード管理LIF

メールサーバ

SMTPアラートはAutoSupportに使用できます

SNMP

TCP

161

ノード管理LIF

監視サーバー

SNMPトラップによる監視

UDP

161

ノード管理LIF

監視サーバー

SNMPトラップによる監視

TCP

162

ノード管理LIF

監視サーバー

SNMPトラップによる監視

UDP

162

ノード管理LIF

監視サーバー

SNMPトラップによる監視

SnapMirror

TCP

11104

クラスタ間LIF

ONTAPクラスタ間LIF

SnapMirrorのクラスタ間通信セッションの管理

TCP

11105

クラスタ間LIF

ONTAPクラスタ間LIF

SnapMirrorデータ転送

syslog

UDP

514

ノード管理LIF

syslogサーバ

Syslog転送メッセージ

HAメディエーター外部セキュリティグループのルール

Cloud Volumes ONTAP HA メディエーターの定義済み外部セキュリティグループには、次のインバウンドルールとアウトバウンドルールが含まれています。

インバウンドルール

HA メディエーターの定義済みセキュリティグループには、次の受信ルールが含まれています。

プロトコル	ポート	ソース	目的
TCP	3000	コンソールエージェントのCIDR	コンソールエージェントからのRESTful APIアクセス

プロトコル

ポート

ソース

目的

TCP

3000

コンソールエージェントのCIDR

コンソールエージェントからのRESTful APIアクセス

アウトバウンドルール

HA メディエーターの定義済みセキュリティグループは、すべての送信トラフィックを開きます。それが許容できる場合は、基本的な送信ルールに従ってください。より厳格なルールが必要な場合は、高度な送信ルールを使用します。

基本的なアウトバウンドルール

HA メディエーターの定義済みセキュリティグループには、次の送信ルールが含まれています。

プロトコル	ポート	目的
すべてTCP	全て	すべての送信トラフィック
すべてUDP	全て	すべての送信トラフィック

プロトコル

ポート

目的

すべてTCP

全て

すべての送信トラフィック

すべてUDP

全て

すべての送信トラフィック

高度なアウトバウンドルール

送信トラフィックに厳格なルールが必要な場合は、次の情報を使用して、HA メディエーターによる送信通信に必要なポートのみを開くことができます。

プロトコル	ポート	デスティネーション	目的
HTTP	80	AWS EC2 インスタンス上のコンソールエージェントの IP アドレス	メディエーターのアップグレードをダウンロード
HTTPS	443	ec2.amazonaws.com	ストレージフェイルオーバーの支援
UDP	53	ec2.amazonaws.com	ストレージフェイルオーバーの支援

プロトコル

ポート

デスティネーション

目的

HTTP

AWS EC2 インスタンス上のコンソールエージェントの IP アドレス

メディエーターのアップグレードをダウンロード

HTTPS

443

ec2.amazonaws.com

ストレージフェイルオーバーの支援

UDP

ec2.amazonaws.com

ストレージフェイルオーバーの支援

ポート 443 と 53 を開く代わりに、ターゲットサブネットから AWS EC2 サービスへのインターフェイス VPC エンドポイントを作成できます。

HA構成内部セキュリティグループのルール

Cloud Volumes ONTAP HA 構成の定義済み内部セキュリティグループには、次のルールが含まれています。このセキュリティグループにより、HA ノード間およびメディエーターとノード間の通信が可能になります。

コンソールは常にこのセキュリティグループを作成します。独自のものを使用するオプションはありません。

インバウンドルール

定義済みのセキュリティグループには、次の受信規則が含まれています。

プロトコル	ポート	目的
すべてのトラフィック	全て	HAメディエーターとHAノード間の通信

プロトコル

ポート

目的

すべてのトラフィック

全て

HAメディエーターとHAノード間の通信

アウトバウンドルール

定義済みのセキュリティグループには、次の送信ルールが含まれています。

プロトコル	ポート	目的
すべてのトラフィック	全て	HAメディエーターとHAノード間の通信

プロトコル

ポート

目的

すべてのトラフィック

全て

HAメディエーターとHAノード間の通信

コンソールエージェントのルール

"コンソールエージェントのセキュリティグループルールを表示する"

Cloud Volumes ONTAPの AWS セキュリティグループのインバウンドおよびアウトバウンドルール

Creating your file...

Cloud Volumes ONTAPのルール

インバウンドルール

アウトバウンドルール

基本的なアウトバウンドルール

高度なアウトバウンドルール

HAメディエーター外部セキュリティグループのルール

インバウンドルール

アウトバウンドルール

基本的なアウトバウンドルール

高度なアウトバウンドルール

HA構成内部セキュリティグループのルール

インバウンドルール

アウトバウンドルール

コンソールエージェントのルール