AWS의 보안 그룹 규칙
BlueXP는 Cloud Volumes ONTAP의 성공적인 운영에 필요한 인바운드 및 아웃바운드 규칙을 포함하는 AWS 보안 그룹을 생성합니다. 테스트 목적으로 또는 자체 보안 그룹을 사용하려는 경우 포트를 참조할 수 있습니다.
Cloud Volumes ONTAP 규칙
Cloud Volumes ONTAP의 보안 그룹에는 인바운드 및 아웃바운드 규칙이 모두 필요합니다.
인바운드 규칙
작업 환경을 만들고 미리 정의된 보안 그룹을 선택할 때 다음 중 한 가지 내에서 트래픽을 허용하도록 선택할 수 있습니다.
-
* 선택한 VPC만 해당 *: 인바운드 트래픽의 소스는 Cloud Volumes ONTAP 시스템용 VPC의 서브넷 범위와 커넥터가 상주하는 VPC의 서브넷 범위입니다. 이 옵션을 선택하는 것이 좋습니다.
-
* 모든 VPC *: 인바운드 트래픽의 소스는 0.0.0.0/0 IP 범위입니다.
프로토콜 | 포트 | 목적 |
---|---|---|
모든 ICMP |
모두 |
인스턴스에 Ping을 수행 중입니다 |
HTTP |
80 |
클러스터 관리 LIF의 IP 주소를 사용하여 ONTAP System Manager 웹 콘솔에 대한 HTTP 액세스 |
HTTPS |
443 |
커넥터 및 HTTPS로 연결 클러스터 관리 LIF의 IP 주소를 사용하여 ONTAP System Manager 웹 콘솔에 액세스합니다 |
SSH를 클릭합니다 |
22 |
클러스터 관리 LIF 또는 노드 관리 LIF의 IP 주소에 SSH를 액세스할 수 있습니다 |
TCP |
111 |
NFS에 대한 원격 프로시저 호출 |
TCP |
139 |
CIFS에 대한 NetBIOS 서비스 세션입니다 |
TCP |
161-162 |
단순한 네트워크 관리 프로토콜 |
TCP |
445 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
TCP |
635 |
NFS 마운트 |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS 서버 데몬 |
TCP |
3260 |
iSCSI 데이터 LIF를 통한 iSCSI 액세스 |
TCP |
4045 |
NFS 잠금 데몬 |
TCP |
4046 |
NFS에 대한 네트워크 상태 모니터 |
TCP |
10000입니다 |
NDMP를 사용한 백업 |
TCP |
11104 |
SnapMirror에 대한 인터클러스터 통신 세션의 관리 |
TCP |
11105 |
인터클러스터 LIF를 사용하여 SnapMirror 데이터 전송 |
UDP입니다 |
111 |
NFS에 대한 원격 프로시저 호출 |
UDP입니다 |
161-162 |
단순한 네트워크 관리 프로토콜 |
UDP입니다 |
635 |
NFS 마운트 |
UDP입니다 |
2049 |
NFS 서버 데몬 |
UDP입니다 |
4045 |
NFS 잠금 데몬 |
UDP입니다 |
4046 |
NFS에 대한 네트워크 상태 모니터 |
UDP입니다 |
4049 |
NFS rquotad 프로토콜 |
아웃바운드 규칙
Cloud Volumes ONTAP에 대해 미리 정의된 보안 그룹은 모든 아웃바운드 트래픽을 엽니다. 허용 가능한 경우 기본 아웃바운드 규칙을 따릅니다. 더 엄격한 규칙이 필요한 경우 고급 아웃바운드 규칙을 사용합니다.
기본 아웃바운드 규칙
Cloud Volumes ONTAP에 대해 미리 정의된 보안 그룹에는 다음과 같은 아웃바운드 규칙이 포함됩니다.
프로토콜 | 포트 | 목적 |
---|---|---|
모든 ICMP |
모두 |
모든 아웃바운드 트래픽 |
모든 TCP |
모두 |
모든 아웃바운드 트래픽 |
모든 UDP |
모두 |
모든 아웃바운드 트래픽 |
고급 아웃바운드 규칙
아웃바운드 트래픽에 대해 엄격한 규칙이 필요한 경우 다음 정보를 사용하여 Cloud Volumes ONTAP의 아웃바운드 통신에 필요한 포트만 열 수 있습니다.
소스는 Cloud Volumes ONTAP 시스템의 인터페이스(IP 주소)입니다. |
서비스 | 프로토콜 | 포트 | 출처 | 목적지 | 목적 |
---|---|---|---|---|---|
Active Directory를 클릭합니다 |
TCP |
88 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
UDP입니다 |
137 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
UDP입니다 |
138 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
TCP |
139 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
TCP 및 UDP |
389 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
TCP |
445 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
TCP |
464 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
UDP입니다 |
464 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
TCP |
749 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
TCP |
88 |
데이터 LIF(NFS, CIFS, iSCSI) |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
|
UDP입니다 |
137 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
UDP입니다 |
138 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
TCP |
139 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
TCP 및 UDP |
389 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
TCP |
445 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
TCP |
464 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
UDP입니다 |
464 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
TCP |
749 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
노드 관리 LIF |
support.netapp.com |
AutoSupport(기본값은 HTTPS) |
HTTP |
80 |
노드 관리 LIF |
support.netapp.com |
AutoSupport(전송 프로토콜이 HTTPS에서 HTTP로 변경된 경우에만 해당) |
|
TCP |
3128 |
노드 관리 LIF |
커넥터 |
아웃바운드 인터넷 연결을 사용할 수 없는 경우 커넥터의 프록시 서버를 통해 AutoSupport 메시지 보내기 |
|
S3로 백업 |
TCP |
5010 |
인터클러스터 LIF |
엔드포인트 백업 또는 복원 |
S3로 백업 기능의 백업 및 복원 작업 |
클러스터 |
모든 교통 정보 |
모든 교통 정보 |
모든 LIF가 하나의 노드에 있습니다 |
다른 노드의 모든 LIF |
인터클러스터 통신(Cloud Volumes ONTAP HA에만 해당) |
TCP |
3000입니다 |
노드 관리 LIF |
HA 중재자 |
ZAPI 호출(Cloud Volumes ONTAP HA 전용) |
|
ICMP |
1 |
노드 관리 LIF |
HA 중재자 |
활성 상태 유지(Cloud Volumes ONTAP HA만 해당) |
|
구성 백업 |
HTTP |
80 |
노드 관리 LIF |
Connector로 구성 백업을 보냅니다. "구성 백업 파일에 대해 자세히 알아보십시오". |
|
DHCP를 선택합니다 |
UDP입니다 |
68 |
노드 관리 LIF |
DHCP를 선택합니다 |
처음으로 설정하는 DHCP 클라이언트 |
DHCPS |
UDP입니다 |
67 |
노드 관리 LIF |
DHCP를 선택합니다 |
DHCP 서버 |
DNS |
UDP입니다 |
53 |
노드 관리 LIF 및 데이터 LIF(NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
노드 관리 LIF |
대상 서버 |
NDMP 복제 |
SMTP |
TCP |
25 |
노드 관리 LIF |
메일 서버 |
AutoSupport에 사용할 수 있는 SMTP 경고 |
SNMP를 선택합니다 |
TCP |
161 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
UDP입니다 |
161 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
TCP |
162 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
UDP입니다 |
162 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
SnapMirror를 참조하십시오 |
TCP |
11104 |
인터클러스터 LIF |
ONTAP 인터클러스터 LIF |
SnapMirror에 대한 인터클러스터 통신 세션의 관리 |
TCP |
11105 |
인터클러스터 LIF |
ONTAP 인터클러스터 LIF |
SnapMirror 데이터 전송 |
|
Syslog를 클릭합니다 |
UDP입니다 |
514 |
노드 관리 LIF |
Syslog 서버 |
Syslog 메시지를 전달합니다 |
외부 보안 그룹의 HA 중재자를 위한 규칙
Cloud Volumes ONTAP HA 중재자를 위해 미리 정의된 외부 보안 그룹에는 다음과 같은 인바운드 및 아웃바운드 규칙이 포함됩니다.
인바운드 규칙
HA 중재자를 위해 미리 정의된 보안 그룹에는 다음과 같은 인바운드 규칙이 포함됩니다.
프로토콜 | 포트 | 출처 | 목적 |
---|---|---|---|
TCP |
3000입니다 |
커넥터의 CIDR |
Connector에서 Restful API 액세스 |
아웃바운드 규칙
HA 중재자를 위한 사전 정의된 보안 그룹은 모든 아웃바운드 트래픽을 엽니다. 허용 가능한 경우 기본 아웃바운드 규칙을 따릅니다. 더 엄격한 규칙이 필요한 경우 고급 아웃바운드 규칙을 사용합니다.
기본 아웃바운드 규칙
HA 중재자를 위해 미리 정의된 보안 그룹에는 다음과 같은 아웃바운드 규칙이 포함됩니다.
프로토콜 | 포트 | 목적 |
---|---|---|
모든 TCP |
모두 |
모든 아웃바운드 트래픽 |
모든 UDP |
모두 |
모든 아웃바운드 트래픽 |
고급 아웃바운드 규칙
아웃바운드 트래픽에 대한 엄격한 규칙이 필요한 경우 다음 정보를 사용하여 HA 중재자의 아웃바운드 통신에 필요한 포트만 열 수 있습니다.
프로토콜 | 포트 | 목적지 | 목적 |
---|---|---|---|
HTTP |
80 |
AWS EC2 인스턴스에 있는 Connector의 IP 주소입니다 |
중재자를 위한 업그레이드 다운로드 |
HTTPS |
443 |
ec2.amazonaws.com |
스토리지 페일오버 지원 |
UDP입니다 |
53 |
ec2.amazonaws.com |
스토리지 페일오버 지원 |
포트 443과 53을 열지 않고 타겟 서브넷에서 AWS EC2 서비스로 인터페이스 VPC 엔드포인트를 생성할 수 있습니다. |
HA 구성 내부 보안 그룹에 대한 규칙입니다
Cloud Volumes ONTAP HA 구성에 대해 미리 정의된 내부 보안 그룹에는 다음 규칙이 포함됩니다. 이 보안 그룹은 HA 노드와 중재자 및 노드 간의 통신을 지원합니다.
BlueXP는 항상 이 보안 그룹을 만듭니다. 자신의 을(를) 사용할 수 있는 옵션이 없습니다.
인바운드 규칙
미리 정의된 보안 그룹에는 다음과 같은 인바운드 규칙이 포함됩니다.
프로토콜 | 포트 | 목적 |
---|---|---|
모든 교통 정보 |
모두 |
HA 중재자 및 HA 노드 간 통신 |
아웃바운드 규칙
미리 정의된 보안 그룹에는 다음과 같은 아웃바운드 규칙이 포함됩니다.
프로토콜 | 포트 | 목적 |
---|---|---|
모든 교통 정보 |
모두 |
HA 중재자 및 HA 노드 간 통신 |