Regras do grupo de segurança para o Azure
Sugerir alterações
PDFs
O Cloud Manager cria grupos de segurança do Azure que incluem as regras de entrada e saída que o Cloud Manager e o Cloud Volumes ONTAP precisam para operar com sucesso. Você pode querer consultar as portas para fins de teste ou se preferir que o use seus próprios grupos de segurança.
Regras para o Cloud Manager
O grupo de segurança do Cloud Manager requer regras de entrada e saída.
Regras de entrada para o Cloud Manager
A origem das regras de entrada no grupo de segurança predefinido é 0,0.0,0/0.
| Porta | Protocolo | Finalidade |
|---|---|---|
22 |
SSH |
Fornece acesso SSH ao host do Cloud Manager |
80 |
HTTP |
Fornece acesso HTTP a partir de navegadores da Web cliente para o console da Web do Cloud Manager |
443 |
HTTPS |
Fornece acesso HTTPS a partir de navegadores da Web cliente para o console da Web do Cloud Manager |
Regras de saída para o Cloud Manager
O grupo de segurança predefinido do Cloud Manager abre todo o tráfego de saída. Se isso for aceitável, siga as regras básicas de saída. Se você precisar de regras mais rígidas, use as regras de saída avançadas.
Regras básicas de saída
O grupo de segurança predefinido do Cloud Manager inclui as seguintes regras de saída.
| Porta | Protocolo | Finalidade |
|---|---|---|
Tudo |
Todo o TCP |
Todo o tráfego de saída |
Tudo |
Todos os UDP |
Todo o tráfego de saída |
Regras de saída avançadas
Se você precisar de regras rígidas para o tráfego de saída, use as informações a seguir para abrir apenas as portas necessárias para a comunicação de saída pelo Cloud Manager.
|
O endereço IP de origem é o host do Cloud Manager. |
| Serviço | Porta | Protocolo | Destino | Finalidade |
|---|---|---|---|---|
Ative Directory |
88 |
TCP |
Floresta do ative Directory |
Autenticação Kerberos V. |
139 |
TCP |
Floresta do ative Directory |
Sessão de serviço NetBIOS |
|
389 |
TCP |
Floresta do ative Directory |
LDAP |
|
445 |
TCP |
Floresta do ative Directory |
Microsoft SMB/CIFS sobre TCP com enquadramento NetBIOS |
|
464 |
TCP |
Floresta do ative Directory |
Kerberos V alterar e definir senha (SET_CHANGE) |
|
749 |
TCP |
Floresta do ative Directory |
Palavra-passe de alteração e definição Kerberos V do ative Directory (RPCSEC_GSS) |
|
137 |
UDP |
Floresta do ative Directory |
Serviço de nomes NetBIOS |
|
138 |
UDP |
Floresta do ative Directory |
Serviço de datagrama NetBIOS |
|
464 |
UDP |
Floresta do ative Directory |
Administração de chaves Kerberos |
|
Chamadas de API e AutoSupport |
443 |
HTTPS |
LIF de gerenciamento de cluster de ONTAP e Internet de saída |
Chamadas de API para AWS e ONTAP e envio de mensagens AutoSupport para o NetApp |
Chamadas de API |
3000 |
TCP |
LIF de gerenciamento de clusters ONTAP |
Chamadas de API para ONTAP |
DNS |
53 |
UDP |
DNS |
Usado para resolução de DNS pelo Cloud Manager |
Regras para Cloud Volumes ONTAP
O grupo de segurança do Cloud Volumes ONTAP requer regras de entrada e saída.
Regras de entrada para sistemas de nó único
As regras listadas abaixo permitem tráfego, a menos que a descrição observe que bloqueia tráfego de entrada específico.
| Prioridade e nome | Porta e protocolo | Origem e destino | Descrição |
|---|---|---|---|
1000 inbound_ssh |
22 TCP |
Qualquer a qualquer |
Acesso SSH ao endereço IP do LIF de gerenciamento de cluster ou um LIF de gerenciamento de nó |
1001 inbound_http |
80 TCP |
Qualquer a qualquer |
Acesso HTTP ao console da Web do System Manager usando o endereço IP do LIF de gerenciamento de cluster |
1002 inbound_111_tcp |
111 TCP |
Qualquer a qualquer |
Chamada de procedimento remoto para NFS |
1003 inbound_111_udp |
111 UDP |
Qualquer a qualquer |
Chamada de procedimento remoto para NFS |
1004 inbound_139 |
139 TCP |
Qualquer a qualquer |
Sessão de serviço NetBIOS para CIFS |
1005 inbound_161-162 _tcp |
161-162 TCP |
Qualquer a qualquer |
Protocolo de gerenciamento de rede simples |
1006 inbound_161-162 _udp |
161-162 UDP |
Qualquer a qualquer |
Protocolo de gerenciamento de rede simples |
1007 inbound_443 |
443 TCP |
Qualquer a qualquer |
Acesso HTTPS ao console da Web do System Manager usando o endereço IP do LIF de gerenciamento de cluster |
1008 inbound_445 |
445 TCP |
Qualquer a qualquer |
Microsoft SMB/CIFS sobre TCP com enquadramento NetBIOS |
1009 inbound_635_tcp |
635 TCP |
Qualquer a qualquer |
Montagem em NFS |
1010 inbound_635_udp |
635 UDP |
Qualquer a qualquer |
Montagem em NFS |
1011 inbound_749 |
749 TCP |
Qualquer a qualquer |
Kerberos |
1012 inbound_2049_tcp |
2049 TCP |
Qualquer a qualquer |
Daemon do servidor NFS |
1013 inbound_2049_udp |
2049 UDP |
Qualquer a qualquer |
Daemon do servidor NFS |
1014 inbound_3260 |
3260 TCP |
Qualquer a qualquer |
Acesso iSCSI através do iSCSI data LIF |
1015 inbound_4045-4046_tcp |
4045-4046 TCP |
Qualquer a qualquer |
Daemon de bloqueio NFS e monitor de status da rede |
1016 inbound_4045-4046_udp |
4045-4046 UDP |
Qualquer a qualquer |
Daemon de bloqueio NFS e monitor de status da rede |
1017 inbound_10000 |
10000 TCP |
Qualquer a qualquer |
Backup usando NDMP |
1018 inbound_11104-11105 |
11104-11105 TCP |
Qualquer a qualquer |
Transferência de dados SnapMirror |
3000 inbound_deny _all_tcp |
Qualquer porta TCP |
Qualquer a qualquer |
Bloquear todo o outro tráfego de entrada TCP |
3001 inbound_deny _all_udp |
Qualquer porta UDP |
Qualquer a qualquer |
Bloqueie todo o outro tráfego de entrada UDP |
65000 AllowVnetInBound |
Qualquer porta de qualquer protocolo |
VirtualNetwork para VirtualNetwork |
Tráfego de entrada de dentro da VNet |
65001 AllowAzureLoad BalancerInBound |
Qualquer porta de qualquer protocolo |
AzureLoadBalancer para qualquer |
Tráfego de dados do Azure Standard Load Balancer |
65500 DenyAllInBound |
Qualquer porta de qualquer protocolo |
Qualquer a qualquer |
Bloquear todo o outro tráfego de entrada |
Regras de entrada para sistemas HA
As regras listadas abaixo permitem tráfego, a menos que a descrição observe que bloqueia tráfego de entrada específico.
|
|
Os SISTEMAS HA têm menos regras de entrada do que os sistemas de nó único porque o tráfego de dados de entrada passa pelo Azure Standard Load Balancer. Devido a isso, o tráfego do Load Balancer deve estar aberto, como mostrado na regra "AllowAzureLoadBalancerInBound". |
| Prioridade e nome | Porta e protocolo | Origem e destino | Descrição |
|---|---|---|---|
100 inbound_443 |
443 qualquer protocolo |
Qualquer a qualquer |
Acesso HTTPS ao console da Web do System Manager usando o endereço IP do LIF de gerenciamento de cluster |
101 inbound_111_tcp |
111 qualquer protocolo |
Qualquer a qualquer |
Chamada de procedimento remoto para NFS |
102 inbound_2049_tcp |
2049 qualquer protocolo |
Qualquer a qualquer |
Daemon do servidor NFS |
111 inbound_ssh |
22 qualquer protocolo |
Qualquer a qualquer |
Acesso SSH ao endereço IP do LIF de gerenciamento de cluster ou um LIF de gerenciamento de nó |
121 inbound_53 |
53 qualquer protocolo |
Qualquer a qualquer |
DNS e CIFS |
65000 AllowVnetInBound |
Qualquer porta de qualquer protocolo |
VirtualNetwork para VirtualNetwork |
Tráfego de entrada de dentro da VNet |
65001 AllowAzureLoad BalancerInBound |
Qualquer porta de qualquer protocolo |
AzureLoadBalancer para qualquer |
Tráfego de dados do Azure Standard Load Balancer |
65500 DenyAllInBound |
Qualquer porta de qualquer protocolo |
Qualquer a qualquer |
Bloquear todo o outro tráfego de entrada |
Regras de saída para Cloud Volumes ONTAP
O grupo de segurança predefinido para o Cloud Volumes ONTAP abre todo o tráfego de saída. Se isso for aceitável, siga as regras básicas de saída. Se você precisar de regras mais rígidas, use as regras de saída avançadas.
Regras básicas de saída
O grupo de segurança predefinido para o Cloud Volumes ONTAP inclui as seguintes regras de saída.
| Porta | Protocolo | Finalidade |
|---|---|---|
Tudo |
Todo o TCP |
Todo o tráfego de saída |
Tudo |
Todos os UDP |
Todo o tráfego de saída |
Regras de saída avançadas
Se você precisar de regras rígidas para o tráfego de saída, você pode usar as seguintes informações para abrir apenas as portas necessárias para a comunicação de saída pelo Cloud Volumes ONTAP.
|
|
A origem é a interface (endereço IP) no sistema Cloud Volumes ONTAP. |
| Serviço | Porta | Protocolo | Fonte | Destino | Finalidade |
|---|---|---|---|---|---|
Ative Directory |
88 |
TCP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
Autenticação Kerberos V. |
137 |
UDP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
Serviço de nomes NetBIOS |
|
138 |
UDP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
Serviço de datagrama NetBIOS |
|
139 |
TCP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
Sessão de serviço NetBIOS |
|
389 |
TCP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
LDAP |
|
445 |
TCP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
Microsoft SMB/CIFS sobre TCP com enquadramento NetBIOS |
|
464 |
TCP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
Kerberos V alterar e definir senha (SET_CHANGE) |
|
464 |
UDP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
Administração de chaves Kerberos |
|
749 |
TCP |
LIF de gerenciamento de nós |
Floresta do ative Directory |
Kerberos V alterar e definir senha (RPCSEC_GSS) |
|
88 |
TCP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
Autenticação Kerberos V. |
|
137 |
UDP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
Serviço de nomes NetBIOS |
|
138 |
UDP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
Serviço de datagrama NetBIOS |
|
139 |
TCP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
Sessão de serviço NetBIOS |
|
389 |
TCP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
LDAP |
|
445 |
TCP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
Microsoft SMB/CIFS sobre TCP com enquadramento NetBIOS |
|
464 |
TCP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
Kerberos V alterar e definir senha (SET_CHANGE) |
|
464 |
UDP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
Administração de chaves Kerberos |
|
749 |
TCP |
DATA LIF (NFS, CIFS) |
Floresta do ative Directory |
Palavra-passe de alteração e definição Kerberos V (RPCSEC_GSS) |
|
DHCP |
68 |
UDP |
LIF de gerenciamento de nós |
DHCP |
Cliente DHCP para configuração pela primeira vez |
DHCPS |
67 |
UDP |
LIF de gerenciamento de nós |
DHCP |
Servidor DHCP |
DNS |
53 |
UDP |
LIF e LIF de dados de gerenciamento de nós (NFS, CIFS) |
DNS |
DNS |
NDMP |
18600–18699 |
TCP |
LIF de gerenciamento de nós |
Servidores de destino |
Cópia NDMP |
SMTP |
25 |
TCP |
LIF de gerenciamento de nós |
Servidor de correio |
Alertas SMTP, podem ser usados para AutoSupport |
SNMP |
161 |
TCP |
LIF de gerenciamento de nós |
Monitorar o servidor |
Monitoramento por traps SNMP |
161 |
UDP |
LIF de gerenciamento de nós |
Monitorar o servidor |
Monitoramento por traps SNMP |
|
162 |
TCP |
LIF de gerenciamento de nós |
Monitorar o servidor |
Monitoramento por traps SNMP |
|
162 |
UDP |
LIF de gerenciamento de nós |
Monitorar o servidor |
Monitoramento por traps SNMP |
|
SnapMirror |
11104 |
TCP |
LIF entre clusters |
LIFs ONTAP entre clusters |
Gestão de sessões de comunicação entre clusters para SnapMirror |
11105 |
TCP |
LIF entre clusters |
LIFs ONTAP entre clusters |
Transferência de dados SnapMirror |
|
Syslog |
514 |
UDP |
LIF de gerenciamento de nós |
Servidor syslog |
Mensagens de encaminhamento do syslog |