发行说明
AWS 的安全组规则
建议更改
PDF
BlueXP会创建AWS安全组、其中包含Cloud Volumes ONTAP 成功运行所需的入站和出站规则。您可能需要参考端口进行测试,或者如果您希望使用自己的安全组。
Cloud Volumes ONTAP 的规则
Cloud Volumes ONTAP 的安全组需要入站和出站规则。
入站规则
在创建工作环境并选择预定义的安全组时、您可以选择允许以下其中一个范围内的流量:
-
仅选定VPC:入站流量的源是Cloud Volumes ONTAP 系统的VPC子网范围以及连接器所在VPC的子网范围。这是建议的选项。
-
所有vPC:入站流量的源IP范围为0.0.0.0/0。
| 协议 | Port | 目的 |
|---|---|---|
所有 ICMP |
全部 |
Ping 实例 |
HTTP |
80 |
使用集群管理 LIF 的 IP 地址对系统管理器 Web 控制台进行 HTTP 访问 |
HTTPS |
443. |
使用集群管理LIF的IP地址连接Connector并通过HTTPS访问System Manager Web控制台 |
SSH |
22. |
SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址 |
TCP |
111. |
远程过程调用 NFS |
TCP |
139. |
用于 CIFS 的 NetBIOS 服务会话 |
TCP |
161-162. |
简单网络管理协议 |
TCP |
445 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
TCP |
635 |
NFS 挂载 |
TCP |
749 |
Kerberos |
TCP |
2049. |
NFS 服务器守护进程 |
TCP |
3260 |
通过 iSCSI 数据 LIF 进行 iSCSI 访问 |
TCP |
4045 |
NFS 锁定守护进程 |
TCP |
4046 |
NFS 的网络状态监视器 |
TCP |
10000 |
使用 NDMP 备份 |
TCP |
11104. |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
使用集群间 LIF 进行 SnapMirror 数据传输 |
UDP |
111. |
远程过程调用 NFS |
UDP |
161-162. |
简单网络管理协议 |
UDP |
635 |
NFS 挂载 |
UDP |
2049. |
NFS 服务器守护进程 |
UDP |
4045 |
NFS 锁定守护进程 |
UDP |
4046 |
NFS 的网络状态监视器 |
UDP |
4049. |
NFS Rquotad 协议 |
出站规则
为 Cloud Volumes ONTAP 预定义的安全组将打开所有出站流量。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
为 Cloud Volumes ONTAP 预定义的安全组包括以下出站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有 ICMP |
全部 |
所有出站流量 |
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
如果您需要严格的出站流量规则、则可以使用以下信息仅打开 Cloud Volumes ONTAP 出站通信所需的端口。
|
源是 Cloud Volumes ONTAP 系统上的接口( IP 地址)。 |
| 服务 | 协议 | Port | 源 | 目标 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 身份验证 |
UDP |
137. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
节点管理 LIF |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
节点管理 LIF |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
节点管理 LIF |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
节点管理 LIF |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
节点管理 LIF |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
TCP |
88 |
数据 LIF ( NFS , CIFS , iSCSI ) |
Active Directory 目录林 |
Kerberos V 身份验证 |
|
UDP |
137. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 名称服务 |
|
UDP |
138. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 数据报服务 |
|
TCP |
139. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
NetBIOS 服务会话 |
|
TCP 和 UDP |
389. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
LDAP |
|
TCP |
445 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Microsoft SMB/CIFS over TCP (通过 TCP )和 NetBIOS 成帧 |
|
TCP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( set_change ) |
|
UDP |
464. |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos 密钥管理 |
|
TCP |
749 |
数据 LIF ( NFS 、 CIFS ) |
Active Directory 目录林 |
Kerberos V 更改和设置密码( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443. |
节点管理 LIF |
support.netapp.com |
AutoSupport (默认设置为 HTTPS ) |
HTTP |
80 |
节点管理 LIF |
support.netapp.com |
AutoSupport (仅当传输协议从 HTTPS 更改为 HTTP 时) |
|
TCP |
3128 |
节点管理 LIF |
连接器 |
如果出站Internet连接不可用、则通过Connector上的代理服务器发送AutoSupport 消息 |
|
备份到 S3 |
TCP |
5010 |
集群间 LIF |
备份端点或还原端点 |
备份到 S3 功能的备份和还原操作 |
集群 |
所有流量 |
所有流量 |
一个节点上的所有 LIF |
其它节点上的所有 LIF |
集群间通信(仅限 Cloud Volumes ONTAP HA ) |
TCP |
3000 |
节点管理 LIF |
HA 调解器 |
ZAPI 调用(仅适用于 Cloud Volumes ONTAP HA ) |
|
ICMP |
1. |
节点管理 LIF |
HA 调解器 |
保持活动状态(仅限 Cloud Volumes ONTAP HA ) |
|
配置备份 |
HTTP |
80 |
节点管理 LIF |
\http://occm/offboxconfig <connector-IP-address> |
将配置备份发送到Connector。 "了解配置备份文件"。 |
DHCP |
UDP |
68 |
节点管理 LIF |
DHCP |
首次设置 DHCP 客户端 |
DHCP |
UDP |
67 |
节点管理 LIF |
DHCP |
DHCP 服务器 |
DNS |
UDP |
53. |
节点管理 LIF 和数据 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
节点管理 LIF |
目标服务器 |
NDMP 副本 |
SMTP |
TCP |
25. |
节点管理 LIF |
邮件服务器 |
SMTP 警报、可用于 AutoSupport |
SNMP |
TCP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
UDP |
161. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
TCP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
UDP |
162. |
节点管理 LIF |
监控服务器 |
通过 SNMP 陷阱进行监控 |
|
SnapMirror |
TCP |
11104. |
集群间 LIF |
ONTAP 集群间 LIF |
管理 SnapMirror 的集群间通信会话 |
TCP |
11105. |
集群间 LIF |
ONTAP 集群间 LIF |
SnapMirror 数据传输 |
|
系统日志 |
UDP |
514. |
节点管理 LIF |
系统日志服务器 |
系统日志转发消息 |
HA 调解器外部安全组的规则
Cloud Volumes ONTAP HA 调解器的预定义外部安全组包括以下入站和出站规则。
入站规则
HA调解器的预定义安全组包括以下入站规则。
| 协议 | Port | 源 | 目的 |
|---|---|---|---|
TCP |
3000 |
连接器的CIDR |
从 Connector 进行 RESTful API 访问 |
出站规则
HA 调解器的预定义安全组将打开所有出站通信。如果可以接受,请遵循基本出站规则。如果您需要更严格的规则、请使用高级出站规则。
基本外向规则
HA 调解器的预定义安全组包括以下出站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有出站流量 |
所有 UDP |
全部 |
所有出站流量 |
高级出站规则
如果需要严格的出站通信规则、可以使用以下信息仅打开 HA 调解器出站通信所需的端口。
| 协议 | Port | 目标 | 目的 |
|---|---|---|---|
HTTP |
80 |
AWS EC2实例上连接器的IP地址 |
下载调解器升级 |
HTTPS |
443. |
ec2.amazonaws.com |
帮助进行存储故障转移 |
UDP |
53. |
ec2.amazonaws.com |
帮助进行存储故障转移 |
|
|
您可以创建从目标子网到 AWS EC2 服务的接口 VPC 端点,而不是打开端口 443 和 53 。 |
HA配置内部安全组的规则
为Cloud Volumes ONTAP HA配置预定义的内部安全组包括以下规则。通过此安全组、可以在HA节点之间以及调解器与节点之间进行通信。
BlueXP始终会创建此安全组。您没有使用自己的选项。
入站规则
预定义的安全组包括以下入站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有流量 |
全部 |
HA 调解器和 HA 节点之间的通信 |
出站规则
预定义的安全组包括以下出站规则。
| 协议 | Port | 目的 |
|---|---|---|
所有流量 |
全部 |
HA 调解器和 HA 节点之间的通信 |