入门
适用于 ONTAP 的 FSX 的安全组规则
建议更改
PDF
BlueXP创建了AWS安全组、其中包含了BlueXP和适用于ONTAP 的FSX成功运行所需的入站和出站规则。您可能需要参考端口进行测试,或者需要使用自己的端口。
适用于 ONTAP 的 FSX 的规则
ONTAP 的 FSX 安全组需要入站和出站规则。此图显示了适用于 ONTAP 的 FSX 网络配置和安全组要求。
您需要使用 AWS 管理控制台查找与 Enis 关联的安全组。
-
在 AWS 管理控制台中打开适用于 ONTAP 的 FSX 文件系统,然后单击文件系统 ID 链接。
-
在 * 网络和安全 * 选项卡上,单击首选子网或备用子网的网络接口 ID 。
-
单击网络接口表中的安全组或网络接口的 * 详细信息 * 部分。
入站规则
| 协议 | Port | 目的 |
|---|---|---|
所有 ICMP |
全部 |
Ping 实例 |
HTTPS |
443. |
从Connector访问fsxadmin管理LIF、以便向FSX发送API调用 |
SSH |
22. |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
TCP |
111. |
远程过程调用 NFS |
TCP |
139. |
用于 CIFS 的 NetBIOS 服务会话 |
TCP |
161-162. |
简单网络管理协议 |
TCP |
445 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
TCP |
635 |
NFS 挂载 |
TCP |
749 |
Kerberos |
TCP |
2049. |
NFS 服务器守护进程 |
TCP |
3260 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
TCP |
4045 |
NFS 锁定守护进程 |
TCP |
4046 |
NFS 的网络状态监视器 |
TCP |
10000 |
使用 NDMP 备份 |
TCP |
11104. |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
使用集群间 LIF 进行 SnapMirror 数据传输 |
UDP |
111. |
远程过程调用 NFS |
UDP |
161-162. |
简单网络管理协议 |
UDP |
635 |
NFS 挂载 |
UDP |
2049. |
NFS 服务器守护进程 |
UDP |
4045 |
NFS 锁定守护进程 |
UDP |
4046 |
NFS 的网络状态监视器 |
UDP |
4049. |
NFS Rquotad 协议 |
出站规则
FSX for ONTAP 的预定义安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
FSX for ONTAP 的预定义安全组包括以下出站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有 ICMP |
全部 |
所有出站流量 |
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
您无需为调解器打开特定端口,也无需在适用于 ONTAP 的 FSx 中的节点之间打开特定端口。
|
源是 ONTAP 系统上的 FSX 接口( IP 地址)。 |
| 服务 | 协议 | Port | 源 | 目标 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
UDP |
137. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
TCP |
88 |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
UDP |
137. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
备份到 S3 |
TCP |
5010 |
集群间 LIF |
备份端点或还原端点 |
备份到 S3 功能的备份和还原操作 |
DHCP |
UDP |
68 |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
UDP |
67 |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
UDP |
53. |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
TCP |
25. |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
TCP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
UDP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
TCP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
UDP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
TCP |
11104. |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
UDP |
514. |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
Connector 的规则
Connector 的安全组需要入站和出站规则。
入站规则
| 协议 | Port | 目的 |
|---|---|---|
SSH |
22. |
提供对 Connector 主机的 SSH 访问 |
HTTP |
80 |
提供从客户端Web浏览器到本地用户界面的HTTP访问以及从BlueXP分类实例进行的连接 |
HTTPS |
443. |
提供从客户端 Web 浏览器到本地用户界面的 HTTPS 访问 |
TCP |
3128 |
如果您的AWS网络不使用NAT或代理、则为BlueXP分类实例提供互联网访问 |
出站规则
连接器的预定义安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
Connector 的预定义安全组包括以下出站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
如果您需要对出站流量设置严格的规则,则可以使用以下信息仅打开 Connector 进行出站通信所需的端口。
|
|
源 IP 地址是 Connector 主机。 |
| 服务 | 协议 | Port | 目标 | 目的 |
|---|---|---|---|---|
Active Directory |
TCP |
88 |
Active Directory 目录林 |
Kerberos V 身份验证 |
TCP |
139. |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP |
389. |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
TCP |
749 |
Active Directory 目录林 |
Active Directory Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
UDP |
137. |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
UDP |
464. |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
API 调用和 AutoSupport |
HTTPS |
443. |
出站 Internet 和 ONTAP 集群管理 LIF |
API 调用 AWS 和 ONTAP 、并将 AutoSupport 消息发送到 NetApp |
API 调用 |
TCP |
8088 |
备份到 S3 |
对备份到 S3 进行 API 调用 |
DNS |
UDP |
53. |
DNS |
用于BlueXP的DNS解析 |
BlueXP分类 |
HTTP |
80 |
BlueXP分类 |
Cloud Volumes ONTAP的BlueXP分类 |