简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

适用于 ONTAP 的 FSX 的安全组规则

Cloud Manager 会创建 AWS 安全组,其中包含 Cloud Manager 和适用于 ONTAP 的 FSX 成功运行所需的入站和出站规则。您可能需要参考端口进行测试,或者需要使用自己的端口。

适用于 ONTAP 的 FSX 的规则

ONTAP 的 FSX 安全组需要入站和出站规则。此图显示了适用于 ONTAP 的 FSX 网络配置和安全组要求。

ONTAP 安全组配置的 FSX 示意图。

您需要使用 AWS 管理控制台查找与 Enis 关联的安全组。

步骤
  1. 在 AWS 管理控制台中打开适用于 ONTAP 的 FSX 文件系统,然后单击文件系统 ID 链接。

    AWS 管理控制台中的 FSX 文件系统 ID 的屏幕截图。

  2. 在 * 网络和安全 * 选项卡上,单击首选子网或备用子网的网络接口 ID 。

    ONTAP ENI ID 的 FSX 的屏幕截图。

  3. 单击网络接口表中的安全组或网络接口的 * 详细信息 * 部分。

    ONTAP 安全组 ID 的 FSX 的屏幕截图。

入站规则

协议 Port 目的

所有 ICMP

全部

Ping 实例

HTTPS

443.

从Connector访问fsxadmin管理LIF、以便向FSX发送API调用

SSH

22.

SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址

TCP

111.

远程过程调用 NFS

TCP

139.

用于 CIFS 的 NetBIOS 服务会话

TCP

161-162.

简单网络管理协议

TCP

445

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

635

NFS 挂载

TCP

749

Kerberos

TCP

2049.

NFS 服务器守护进程

TCP

3260

通过 iSCSI 数据 LIF 进行 iSCSI 访问

TCP

4045

NFS 锁定守护进程

TCP

4046

NFS 的网络状态监视器

TCP

10000

使用 NDMP 备份

TCP

11104.

管理 SnapMirror 的集群间通信会话

TCP

11105.

使用集群间 LIF 进行 SnapMirror 数据传输

UDP

111.

远程过程调用 NFS

UDP

161-162.

简单网络管理协议

UDP

635

NFS 挂载

UDP

2049.

NFS 服务器守护进程

UDP

4045

NFS 锁定守护进程

UDP

4046

NFS 的网络状态监视器

UDP

4049.

NFS Rquotad 协议

出站规则

FSX for ONTAP 的预定义安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。

基本外向规则

FSX for ONTAP 的预定义安全组包括以下出站规则。

协议 Port 目的

所有 ICMP

全部

所有出站流量

所有 TCP

全部

所有出站流量

所有 UDP

全部

所有出站流量

高级出站规则

您无需为调解器打开特定端口,也无需在适用于 ONTAP 的 FSx 中的节点之间打开特定端口。

注 源是 ONTAP 系统上的 FSX 接口( IP 地址)。
服务 协议 Port 目标 目的

Active Directory

TCP

88

节点管理 LIF

Active Directory 目录林

Kerberos V 身份验证

UDP

137.

节点管理 LIF

Active Directory 目录林

NetBIOS 名称服务

UDP

138.

节点管理 LIF

Active Directory 目录林

NetBIOS 数据报服务

TCP

139.

节点管理 LIF

Active Directory 目录林

NetBIOS 服务会话

TCP 和 UDP

389.

节点管理 LIF

Active Directory 目录林

LDAP

TCP

445

节点管理 LIF

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

464.

节点管理 LIF

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

UDP

464.

节点管理 LIF

Active Directory 目录林

Kerberos 密钥管理

TCP

749

节点管理 LIF

Active Directory 目录林

Kerberos V 更改和设置密码( RPCSEC_GSS )

TCP

88

数据 LIF ( NFS , CIFS , iSCSI )

Active Directory 目录林

Kerberos V 身份验证

UDP

137.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 名称服务

UDP

138.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 数据报服务

TCP

139.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

NetBIOS 服务会话

TCP 和 UDP

389.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

LDAP

TCP

445

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

464.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

UDP

464.

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos 密钥管理

TCP

749

数据 LIF ( NFS 、 CIFS )

Active Directory 目录林

Kerberos V 更改和设置密码( RPCSEC_GSS )

备份到 S3

TCP

5010

集群间 LIF

备份端点或还原端点

备份到 S3 功能的备份和还原操作

DHCP

UDP

68

节点管理 LIF

DHCP

首次设置 DHCP 客户端

DHCP

UDP

67

节点管理 LIF

DHCP

DHCP 服务器

DNS

UDP

53.

节点管理 LIF 和数据 LIF ( NFS 、 CIFS )

DNS

DNS

NDMP

TCP

18600 – 18699

节点管理 LIF

目标服务器

NDMP 副本

SMTP

TCP

25.

节点管理 LIF

邮件服务器

SMTP 警报、可用于 AutoSupport

SNMP

TCP

161.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

UDP

161.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

TCP

162.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

UDP

162.

节点管理 LIF

监控服务器

通过 SNMP 陷阱进行监控

SnapMirror

TCP

11104.

集群间 LIF

ONTAP 集群间 LIF

管理 SnapMirror 的集群间通信会话

TCP

11105.

集群间 LIF

ONTAP 集群间 LIF

SnapMirror 数据传输

系统日志

UDP

514.

节点管理 LIF

系统日志服务器

系统日志转发消息

Connector 的规则

Connector 的安全组需要入站和出站规则。

入站规则

协议 Port 目的

SSH

22.

提供对 Connector 主机的 SSH 访问

HTTP

80

提供从客户端 Web 浏览器到本地用户界面的 HTTP 访问以及从 Cloud Data sense 建立的连接

HTTPS

443.

提供从客户端 Web 浏览器到本地用户界面的 HTTPS 访问

TCP

3128

如果您的 AWS 网络不使用 NAT 或代理,则可为云数据感知实例提供 Internet 访问

出站规则

连接器的预定义安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。

基本外向规则

Connector 的预定义安全组包括以下出站规则。

协议 Port 目的

所有 TCP

全部

所有出站流量

所有 UDP

全部

所有出站流量

高级出站规则

如果您需要对出站流量设置严格的规则,则可以使用以下信息仅打开 Connector 进行出站通信所需的端口。

注 源 IP 地址是 Connector 主机。
服务 协议 Port 目标 目的

Active Directory

TCP

88

Active Directory 目录林

Kerberos V 身份验证

TCP

139.

Active Directory 目录林

NetBIOS 服务会话

TCP

389.

Active Directory 目录林

LDAP

TCP

445

Active Directory 目录林

Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧

TCP

464.

Active Directory 目录林

Kerberos V 更改和设置密码( set_change )

TCP

749

Active Directory 目录林

Active Directory Kerberos V 更改和设置密码( RPCSEC_GSS )

UDP

137.

Active Directory 目录林

NetBIOS 名称服务

UDP

138.

Active Directory 目录林

NetBIOS 数据报服务

UDP

464.

Active Directory 目录林

Kerberos 密钥管理

API 调用和 AutoSupport

HTTPS

443.

出站 Internet 和 ONTAP 集群管理 LIF

API 调用 AWS 和 ONTAP 、并将 AutoSupport 消息发送到 NetApp

API 调用

TCP

8088

备份到 S3

对备份到 S3 进行 API 调用

DNS

UDP

53.

DNS

用于云管理器进行 DNS 解析

云数据感知

HTTP

80

云数据感知实例

适用于 Cloud Volumes ONTAP 的云数据感知