AWS 的安全群組規則
建議變更
PDF
BlueXP會建立AWS安全性群組、其中包括Cloud Volumes ONTAP 需要順利運作的傳入和傳出規則。您可能想要參照連接埠進行測試、或是想要使用自己的安全性群組。
規則 Cloud Volumes ONTAP
適用於此功能的安全性群組 Cloud Volumes ONTAP 需要傳入和傳出規則。
傳入規則
當您建立工作環境並選擇預先定義的安全性群組時、可以選擇允許下列其中一項的流量:
-
*僅限選定VPC *:傳入流量的來源是VPC的子網路範圍(適用於Cloud Volumes ONTAP 整個系統)、以及連接器所在VPC的子網路範圍。這是建議的選項。
-
所有VPC:傳入流量的來源為0.00.0.0/0 IP範圍。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 ICMP |
全部 |
Ping 執行個體 |
HTTP |
80 |
使用叢集管理 LIF 的 IP 位址、透過 HTTP 存取 ONTAP 系統管理員網頁主控台 |
HTTPS |
443.. |
使用叢集管理 LIF 的 IP 位址、與連接器和 HTTPS 連線、存取 ONTAP 系統管理員網頁主控台 |
SSH |
22 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
TCP |
111. |
遠端程序需要 NFS |
TCP |
139. |
CIFS 的 NetBios 服務工作階段 |
TCP |
161-162 |
簡單的網路管理傳輸協定 |
TCP |
445 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
TCP |
635 |
NFS 掛載 |
TCP |
749 |
Kerberos |
TCP |
2049 |
NFS 伺服器精靈 |
TCP |
3260 |
透過 iSCSI 資料 LIF 存取 iSCSI |
TCP |
4045 |
NFS 鎖定精靈 |
TCP |
4046 |
NFS 的網路狀態監控 |
TCP |
10000 |
使用 NDMP 備份 |
TCP |
11104. |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
使用叢集間生命體進行 SnapMirror 資料傳輸 |
UDP |
111. |
遠端程序需要 NFS |
UDP |
161-162 |
簡單的網路管理傳輸協定 |
UDP |
635 |
NFS 掛載 |
UDP |
2049 |
NFS 伺服器精靈 |
UDP |
4045 |
NFS 鎖定精靈 |
UDP |
4046 |
NFS 的網路狀態監控 |
UDP |
4049 |
NFS rquotad 傳輸協定 |
傳出規則
預先定義 Cloud Volumes ONTAP 的 Security Group for the 旅行團會開啟所有的傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 ICMP |
全部 |
所有傳出流量 |
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟 Cloud Volumes ONTAP 那些由真人進行傳出通訊所需的連接埠。
|
來源是 Cloud Volumes ONTAP 指在整個系統上的介面( IP 位址)。 |
| 服務 | 傳輸協定 | 連接埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 驗證 |
UDP |
137. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
節點管理 LIF |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP 與 UDP |
389 |
節點管理 LIF |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
節點管理 LIF |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更與設定密碼( RPCSEC_GSS ) |
|
TCP |
88 |
資料 LIF ( NFS 、 CIFS 、 iSCSI ) |
Active Directory 樹系 |
Kerberos V 驗證 |
|
UDP |
137. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP 與 UDP |
389 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
AutoSupport |
HTTPS |
443.. |
節點管理 LIF |
support.netapp.com |
支援(預設為HTTPS)AutoSupport |
HTTP |
80 |
節點管理 LIF |
support.netapp.com |
僅當傳輸傳輸傳輸傳輸傳輸協定從HTTPS變更為HTTP時、AutoSupport |
|
TCP |
3128 |
節點管理 LIF |
連接器 |
如果無法使用傳出的網際網路連線、請透過Connector上的Proxy伺服器傳送AutoSupport 功能介紹訊息 |
|
備份至 S3 |
TCP |
5010. |
叢集間 LIF |
備份端點或還原端點 |
備份與還原備份至 S3 功能的作業 |
叢集 |
所有流量 |
所有流量 |
一個節點上的所有 LIF |
其他節點上的所有 LIF |
叢集間通訊( Cloud Volumes ONTAP 僅限不含 HA ) |
TCP |
3000 |
節點管理 LIF |
HA 中介 |
ZAPI 呼叫( Cloud Volumes ONTAP 僅限 RHA ) |
|
ICMP |
1. |
節點管理 LIF |
HA 中介 |
Keepive Alive ( Cloud Volumes ONTAP 僅限 HHA ) |
|
組態備份 |
HTTP |
80 |
節點管理 LIF |
\http://Wese/occm/offboxconfig <connector-IP-address> |
將組態備份傳送至Connector。 "深入瞭解組態備份檔案"。 |
DHCP |
UDP |
68 |
節點管理 LIF |
DHCP |
第一次設定的 DHCP 用戶端 |
DHCPS |
UDP |
67 |
節點管理 LIF |
DHCP |
DHCP 伺服器 |
DNS |
UDP |
53. |
節點管理 LIF 與資料 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
節點管理 LIF |
目的地伺服器 |
NDMP 複本 |
SMTP |
TCP |
25 |
節點管理 LIF |
郵件伺服器 |
可以使用 SMTP 警示 AutoSupport 來執行功能 |
SNMP |
TCP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
UDP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
TCP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
UDP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
SnapMirror |
TCP |
11104. |
叢集間 LIF |
叢集間 LIF ONTAP |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
叢集間 LIF |
叢集間 LIF ONTAP |
SnapMirror 資料傳輸 |
|
系統記錄 |
UDP |
514 |
節點管理 LIF |
系統記錄伺服器 |
系統記錄轉送訊息 |
HA 協調器外部安全群組的規則
針對此功能、預先定義 Cloud Volumes ONTAP 的外部安全群組包括下列傳入和傳出規則。
傳入規則
HA中介器的預先定義安全性群組包括下列傳入規則。
| 傳輸協定 | 連接埠 | 來源 | 目的 |
|---|---|---|---|
TCP |
3000 |
連接器的CIDR |
從 Connector 進行 RESTful API 存取 |
傳出規則
HA 中介器的預先定義安全性群組會開啟所有傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
HA 中介器的預先定義安全性群組包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、只開啟 HA 中介者傳出通訊所需的連接埠。
| 傳輸協定 | 連接埠 | 目的地 | 目的 |
|---|---|---|---|
HTTP |
80 |
AWS EC2執行個體上Connector的IP位址 |
下載中介程式升級 |
HTTPS |
443.. |
ec2.amazonaws.com |
協助進行儲存容錯移轉 |
UDP |
53. |
ec2.amazonaws.com |
協助進行儲存容錯移轉 |
|
|
您可以建立介面 VPC 端點、從目標子網路到 AWS EC2 服務、而非開啟連接埠 443 和 53 。 |
HA組態內部安全性群組的規則
針對某個不穩定的HA組態、預先定義的內部安全群組Cloud Volumes ONTAP 包括下列規則。此安全性群組可在HA節點之間以及中介器與節點之間進行通訊。
BlueXP一律會建立此安全性群組。您沒有使用自己的選項。
傳入規則
預先定義的安全性群組包含下列傳入規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有流量 |
全部 |
HA 中介器與 HA 節點之間的通訊 |
傳出規則
預先定義的安全性群組包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有流量 |
全部 |
HA 中介器與 HA 節點之間的通訊 |