ONTAP용 FSx에 대한 보안 그룹 규칙입니다
BlueXP는 ONTAP용 BlueXP 및 FSx의 성공적인 운영에 필요한 인바운드 및 아웃바운드 규칙을 포함하는 AWS 보안 그룹을 생성합니다. 테스트 목적으로 또는 자체 포트를 사용해야 하는 경우 포트를 참조할 수 있습니다.
ONTAP의 FSx 규칙
ONTAP용 FSx 보안 그룹에는 인바운드 및 아웃바운드 규칙이 모두 필요합니다. 이 다이어그램은 ONTAP 네트워킹 구성 및 보안 그룹 요구 사항에 대한 FSx를 보여 줍니다.
AWS 관리 콘솔을 사용하여 ENIs와 연결된 보안 그룹을 찾아야 합니다.
-
AWS 관리 콘솔에서 ONTAP용 FSx 파일 시스템을 열고 파일 시스템 ID 링크를 클릭합니다.
-
네트워크 및 보안* 탭에서 기본 설정 또는 대기 서브넷의 네트워크 인터페이스 ID를 클릭합니다.
-
네트워크 인터페이스 표에서 보안 그룹을 클릭하거나 네트워크 인터페이스의 * 세부 정보 * 섹션을 클릭합니다.
인바운드 규칙
프로토콜 | 포트 | 목적 |
---|---|---|
모든 ICMP |
모두 |
인스턴스에 Ping을 수행 중입니다 |
HTTPS |
443 |
Connector에서 fsxadmin 관리 LIF로 액세스하여 FSx로 API 호출을 전송합니다 |
SSH를 클릭합니다 |
22 |
클러스터 관리 LIF 또는 노드 관리 LIF의 IP 주소에 SSH를 액세스할 수 있습니다 |
TCP |
111 |
NFS에 대한 원격 프로시저 호출 |
TCP |
139 |
CIFS에 대한 NetBIOS 서비스 세션입니다 |
TCP |
161-162 |
단순한 네트워크 관리 프로토콜 |
TCP |
445 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
TCP |
635 |
NFS 마운트 |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS 서버 데몬 |
TCP |
3260 |
iSCSI 데이터 LIF를 통한 iSCSI 액세스 |
TCP |
4045 |
NFS 잠금 데몬 |
TCP |
4046 |
NFS에 대한 네트워크 상태 모니터 |
TCP |
10000입니다 |
NDMP를 사용한 백업 |
TCP |
11104 |
SnapMirror에 대한 인터클러스터 통신 세션의 관리 |
TCP |
11105 |
인터클러스터 LIF를 사용하여 SnapMirror 데이터 전송 |
UDP입니다 |
111 |
NFS에 대한 원격 프로시저 호출 |
UDP입니다 |
161-162 |
단순한 네트워크 관리 프로토콜 |
UDP입니다 |
635 |
NFS 마운트 |
UDP입니다 |
2049 |
NFS 서버 데몬 |
UDP입니다 |
4045 |
NFS 잠금 데몬 |
UDP입니다 |
4046 |
NFS에 대한 네트워크 상태 모니터 |
UDP입니다 |
4049 |
NFS rquotad 프로토콜 |
아웃바운드 규칙
ONTAP용 FSx에 대해 미리 정의된 보안 그룹은 모든 아웃바운드 트래픽을 엽니다. 허용 가능한 경우 기본 아웃바운드 규칙을 따릅니다. 더 엄격한 규칙이 필요한 경우 고급 아웃바운드 규칙을 사용합니다.
기본 아웃바운드 규칙
ONTAP용 FSx에 대해 미리 정의된 보안 그룹에는 다음과 같은 아웃바운드 규칙이 포함됩니다.
프로토콜 | 포트 | 목적 |
---|---|---|
모든 ICMP |
모두 |
모든 아웃바운드 트래픽 |
모든 TCP |
모두 |
모든 아웃바운드 트래픽 |
모든 UDP |
모두 |
모든 아웃바운드 트래픽 |
고급 아웃바운드 규칙
ONTAP용 FSx에서 중재자를 위해 또는 노드 간에 특정 포트를 열 필요가 없습니다.
소스는 ONTAP 시스템용 FSx의 인터페이스(IP 주소)입니다. |
서비스 | 프로토콜 | 포트 | 출처 | 목적지 | 목적 |
---|---|---|---|---|---|
Active Directory를 클릭합니다 |
TCP |
88 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
UDP입니다 |
137 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
UDP입니다 |
138 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
TCP |
139 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
TCP 및 UDP |
389 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
TCP |
445 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
TCP |
464 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
UDP입니다 |
464 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
TCP |
749 |
노드 관리 LIF |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
TCP |
88 |
데이터 LIF(NFS, CIFS, iSCSI) |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
|
UDP입니다 |
137 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
UDP입니다 |
138 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
TCP |
139 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
TCP 및 UDP |
389 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
TCP |
445 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
TCP |
464 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
UDP입니다 |
464 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
TCP |
749 |
데이터 LIF(NFS, CIFS) |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
S3로 백업 |
TCP |
5010 |
인터클러스터 LIF |
엔드포인트 백업 또는 복원 |
S3로 백업 기능의 백업 및 복원 작업 |
DHCP를 선택합니다 |
UDP입니다 |
68 |
노드 관리 LIF |
DHCP를 선택합니다 |
처음으로 설정하는 DHCP 클라이언트 |
DHCPS |
UDP입니다 |
67 |
노드 관리 LIF |
DHCP를 선택합니다 |
DHCP 서버 |
DNS |
UDP입니다 |
53 |
노드 관리 LIF 및 데이터 LIF(NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
노드 관리 LIF |
대상 서버 |
NDMP 복제 |
SMTP |
TCP |
25 |
노드 관리 LIF |
메일 서버 |
AutoSupport에 사용할 수 있는 SMTP 경고 |
SNMP를 선택합니다 |
TCP |
161 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
UDP입니다 |
161 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
TCP |
162 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
UDP입니다 |
162 |
노드 관리 LIF |
서버 모니터링 |
SNMP 트랩으로 모니터링 |
|
SnapMirror를 참조하십시오 |
TCP |
11104 |
인터클러스터 LIF |
ONTAP 인터클러스터 LIF |
SnapMirror에 대한 인터클러스터 통신 세션의 관리 |
TCP |
11105 |
인터클러스터 LIF |
ONTAP 인터클러스터 LIF |
SnapMirror 데이터 전송 |
|
Syslog를 클릭합니다 |
UDP입니다 |
514 |
노드 관리 LIF |
Syslog 서버 |
Syslog 메시지를 전달합니다 |
커넥터 규칙
Connector의 보안 그룹에는 인바운드 및 아웃바운드 규칙이 모두 필요합니다.
인바운드 규칙
프로토콜 | 포트 | 목적 |
---|---|---|
SSH를 클릭합니다 |
22 |
커넥터 호스트에 대한 SSH 액세스를 제공합니다 |
HTTP |
80 |
클라이언트 웹 브라우저에서 로컬 사용자 인터페이스에 대한 HTTP 액세스 및 BlueXP 분류 인스턴스의 연결을 제공합니다 |
HTTPS |
443 |
클라이언트 웹 브라우저에서 로컬 사용자 인터페이스로 HTTPS 액세스를 제공합니다 |
TCP |
3128 |
AWS 네트워크에서 NAT 또는 프록시를 사용하지 않는 경우 인터넷 액세스가 가능한 BlueXP 분류 인스턴스를 제공합니다 |
아웃바운드 규칙
Connector에 대해 미리 정의된 보안 그룹은 모든 아웃바운드 트래픽을 엽니다. 허용 가능한 경우 기본 아웃바운드 규칙을 따릅니다. 더 엄격한 규칙이 필요한 경우 고급 아웃바운드 규칙을 사용합니다.
기본 아웃바운드 규칙
Connector에 대해 미리 정의된 보안 그룹에는 다음과 같은 아웃바운드 규칙이 포함됩니다.
프로토콜 | 포트 | 목적 |
---|---|---|
모든 TCP |
모두 |
모든 아웃바운드 트래픽 |
모든 UDP |
모두 |
모든 아웃바운드 트래픽 |
고급 아웃바운드 규칙
아웃바운드 트래픽에 대해 엄격한 규칙이 필요한 경우 다음 정보를 사용하여 Connector의 아웃바운드 통신에 필요한 포트만 열 수 있습니다.
소스 IP 주소는 커넥터 호스트입니다. |
서비스 | 프로토콜 | 포트 | 목적지 | 목적 |
---|---|---|---|---|
Active Directory를 클릭합니다 |
TCP |
88 |
Active Directory 포리스트입니다 |
Kerberos V 인증 |
TCP |
139 |
Active Directory 포리스트입니다 |
NetBIOS 서비스 세션입니다 |
|
TCP |
389 |
Active Directory 포리스트입니다 |
LDAP를 지원합니다 |
|
TCP |
445 |
Active Directory 포리스트입니다 |
Microsoft SMB/CIFS over TCP 및 NetBIOS 프레임 |
|
TCP |
464 |
Active Directory 포리스트입니다 |
Kerberos V 변경 및 암호 설정(set_change) |
|
TCP |
749 |
Active Directory 포리스트입니다 |
Active Directory Kerberos V 변경 및 암호 설정(RPCSEC_GSS) |
|
UDP입니다 |
137 |
Active Directory 포리스트입니다 |
NetBIOS 이름 서비스입니다 |
|
UDP입니다 |
138 |
Active Directory 포리스트입니다 |
NetBIOS 데이터그램 서비스 |
|
UDP입니다 |
464 |
Active Directory 포리스트입니다 |
Kerberos 키 관리 |
|
API 호출 및 AutoSupport |
HTTPS |
443 |
아웃바운드 인터넷 및 ONTAP 클러스터 관리 LIF |
API는 AWS 및 ONTAP를 호출하고 AutoSupport 메시지를 NetApp에 보냅니다 |
API 호출 |
TCP |
8088 |
S3로 백업 |
API에서 S3로 백업을 호출합니다 |
DNS |
UDP입니다 |
53 |
DNS |
BlueXP에서 DNS Resolve에 사용됩니다 |
BlueXP 분류 |
HTTP |
80 |
BlueXP 분류 |
Cloud Volumes ONTAP에 대한 BlueXP 분류 |