Azure的安全性群組規則
建議變更
PDF
Cloud Manager會建立Azure安全性群組、其中包含Cloud Manager和Cloud Volumes ONTAP NetApp成功運作所需的傳入和傳出規則。您可能需要參照連接埠進行測試、或是偏好使用自己的安全性群組。
Cloud Manager規則
Cloud Manager的安全性群組需要傳入和傳出規則。
Cloud Manager的傳入規則
預先定義之安全性群組中的傳入規則來源為 0.00.0.0/0 。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
SSH |
22 |
提供對Cloud Manager主機的SSH存取權 |
HTTP |
80 |
提供從用戶端網頁瀏覽器到Cloud Manager網頁主控台的HTTP存取 |
HTTPS |
443.. |
提供從用戶端網頁瀏覽器到Cloud Manager網頁主控台的HTTPS存取 |
Cloud Manager的傳出規則
Cloud Manager的預先定義安全性群組會開啟所有傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
Cloud Manager預先定義的安全性群組包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟Cloud Manager傳出通訊所需的連接埠。
|
來源IP位址為Cloud Manager主機。 |
| 服務 | 傳輸協定 | 連接埠 | 目的地 | 目的 |
|---|---|---|---|---|
Active Directory |
TCP |
88 |
Active Directory 樹系 |
Kerberos V 驗證 |
TCP |
139. |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP |
389 |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
TCP |
749 |
Active Directory 樹系 |
Active Directory Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
UDP |
137. |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
Active Directory 樹系 |
NetBios 資料報服務 |
|
UDP |
464.64 |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
API 呼叫與 AutoSupport 功能 |
HTTPS |
443.. |
傳出網際網路和 ONTAP 叢集管理 LIF |
API 呼叫 AWS 和 ONTAP es供 、並傳送 AutoSupport 不只是功能的訊息給 NetApp |
API 呼叫 |
TCP |
3000 |
叢集管理 LIF ONTAP |
API 呼叫 ONTAP 至 |
DNS |
UDP |
53. |
DNS |
用於 Cloud Manager 的 DNS 解析 |
規則 Cloud Volumes ONTAP
適用於此功能的安全性群組 Cloud Volumes ONTAP 需要傳入和傳出規則。
單一節點系統的傳入規則
| 優先順序 | 名稱 | 連接埠 | 傳輸協定 | 來源 | 目的地 | 行動 | 說明 |
|---|---|---|---|---|---|---|---|
1000 |
inbound(傳入)_ssh |
22 |
TCP |
任何 |
任何 |
允許 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
1001 |
inbound http |
80 |
TCP |
任何 |
任何 |
允許 |
使用叢集管理 LIF 的 IP 位址、以 HTTP 存取 System Manager Web 主控台 |
1002.. |
inbound(傳入)_111_TCP |
111. |
TCP |
任何 |
任何 |
允許 |
遠端程序需要 NFS |
1003. |
inbound(傳入)_111_udp |
111. |
UDP |
任何 |
任何 |
允許 |
遠端程序需要 NFS |
1004. |
傳入_139 |
139. |
TCP |
任何 |
任何 |
允許 |
CIFS 的 NetBios 服務工作階段 |
1005. |
inbound(傳入)_161-162 _tcp |
161-162 |
TCP |
任何 |
任何 |
允許 |
簡單的網路管理傳輸協定 |
1006 |
傳入_161-162 _udp |
161-162 |
UDP |
任何 |
任何 |
允許 |
簡單的網路管理傳輸協定 |
1007. |
傳入_443 |
443.. |
TCP |
任何 |
任何 |
允許 |
使用叢集管理 LIF 的 IP 位址、以 HTTPS 存取 System Manager 網路主控台 |
1008. |
傳入_445 |
445 |
TCP |
任何 |
任何 |
允許 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
1009. |
inbound(傳入)_6335_tcp |
635 |
TCP |
任何 |
任何 |
允許 |
NFS 掛載 |
1010 |
inbound(傳入)_6335_udp |
635 |
TCP |
任何 |
任何 |
允許 |
NFS 掛載 |
1011. |
傳入_749 |
749 |
TCP |
任何 |
任何 |
允許 |
Kerberos |
1012. |
inbound(傳入)_2049_tcp |
2049 |
TCP |
任何 |
任何 |
允許 |
NFS 伺服器精靈 |
1013. |
inbound(傳入)_2049_udp |
2049 |
UDP |
任何 |
任何 |
允許 |
NFS 伺服器精靈 |
1014 |
inbound(傳入)_3260 |
3260 |
TCP |
任何 |
任何 |
允許 |
透過 iSCSI 資料 LIF 存取 iSCSI |
1015 |
inbound(傳入)_4045-4046_tcp |
4045-4046 |
TCP |
任何 |
任何 |
允許 |
NFS 鎖定精靈和網路狀態監控 |
1016 |
傳入_4045-4046_udp |
4045-4046 |
UDP |
任何 |
任何 |
允許 |
NFS 鎖定精靈和網路狀態監控 |
1017 |
傳入_10000 |
10000 |
TCP |
任何 |
任何 |
允許 |
使用 NDMP 備份 |
1018 |
inbound(傳入)_11104-11105 |
11104-11105 |
TCP |
任何 |
任何 |
允許 |
SnapMirror 資料傳輸 |
3000 |
inbound拒絕_all_tcp |
任何 |
TCP |
任何 |
任何 |
拒絕 |
封鎖所有其他 TCP 傳入流量 |
3001. |
inbound拒絕_all_udp |
任何 |
UDP |
任何 |
任何 |
拒絕 |
封鎖所有其他的 UDP 傳入流量 |
65000 |
允許VnetInBound |
任何 |
任何 |
虛擬網路 |
虛擬網路 |
允許 |
來自 vnet 的傳入流量 |
65001 |
允許AzureLoad BalancerInBound |
任何 |
任何 |
AzureLoadBalancer |
任何 |
允許 |
Azure Standard 負載平衡器的資料流量 |
65500 |
DenyAllInBound |
任何 |
任何 |
任何 |
任何 |
拒絕 |
封鎖所有其他傳入流量 |
HA 系統的傳入規則
|
|
HA 系統的傳入規則少於單一節點系統、因為傳入資料流量會流經 Azure Standard Load Balancer 。因此、來自負載平衡器的流量應開啟、如「 AllowAzureLoadBalancerInBound 」規則所示。 |
| 優先順序 | 名稱 | 連接埠 | 傳輸協定 | 來源 | 目的地 | 行動 | 說明 |
|---|---|---|---|---|---|---|---|
100 |
傳入_443 |
443.. |
任何 |
任何 |
任何 |
允許 |
使用叢集管理 LIF 的 IP 位址、以 HTTPS 存取 System Manager 網路主控台 |
101. |
inbound(傳入)_111_TCP |
111. |
任何 |
任何 |
任何 |
允許 |
遠端程序需要 NFS |
102. |
inbound(傳入)_2049_tcp |
2049 |
任何 |
任何 |
任何 |
允許 |
NFS 伺服器精靈 |
111. |
inbound(傳入)_ssh |
22 |
任何 |
任何 |
任何 |
允許 |
SSH 存取叢集管理 LIF 的 IP 位址或節點管理 LIF |
121. |
傳入_53 |
53. |
任何 |
任何 |
任何 |
允許 |
DNS 與 CIFS |
65000 |
允許VnetInBound |
任何 |
任何 |
虛擬網路 |
虛擬網路 |
允許 |
來自 vnet 的傳入流量 |
65001 |
允許AzureLoad BalancerInBound |
任何 |
任何 |
AzureLoadBalancer |
任何 |
允許 |
Azure Standard 負載平衡器的資料流量 |
65500 |
DenyAllInBound |
任何 |
任何 |
任何 |
任何 |
拒絕 |
封鎖所有其他傳入流量 |
適用於的傳出規則Cloud Volumes ONTAP
預先定義 Cloud Volumes ONTAP 的 Security Group for the 旅行團會開啟所有的傳出流量。如果可以接受、請遵循基本的傳出規則。如果您需要更嚴格的規則、請使用進階的傳出規則。
基本傳出規則
適用於此功能的預先定義安全性群組 Cloud Volumes ONTAP 包括下列傳出規則。
| 傳輸協定 | 連接埠 | 目的 |
|---|---|---|
所有 TCP |
全部 |
所有傳出流量 |
所有的 udp |
全部 |
所有傳出流量 |
進階傳出規則
如果您需要嚴格的傳出流量規則、可以使用下列資訊、僅開啟 Cloud Volumes ONTAP 那些由真人進行傳出通訊所需的連接埠。
|
|
來源是 Cloud Volumes ONTAP 指在整個系統上的介面( IP 位址)。 |
| 服務 | 傳輸協定 | 連接埠 | 來源 | 目的地 | 目的 |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 驗證 |
UDP |
137. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
節點管理 LIF |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
節點管理 LIF |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP |
389 |
節點管理 LIF |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
節點管理 LIF |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
節點管理 LIF |
Active Directory 樹系 |
Kerberos V 變更與設定密碼( RPCSEC_GSS ) |
|
TCP |
88 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 驗證 |
|
UDP |
137. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 名稱服務 |
|
UDP |
138 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 資料報服務 |
|
TCP |
139. |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
NetBios 服務工作階段 |
|
TCP |
389 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
LDAP |
|
TCP |
445 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Microsoft SMB/CIFS over TCP 搭配 NetBios 架構 |
|
TCP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( Set_change ) |
|
UDP |
464.64 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos 金鑰管理 |
|
TCP |
749 |
資料 LIF ( NFS 、 CIFS ) |
Active Directory 樹系 |
Kerberos V 變更及設定密碼( RPCSEC_GSS ) |
|
DHCP |
UDP |
68 |
節點管理 LIF |
DHCP |
第一次設定的 DHCP 用戶端 |
DHCPS |
UDP |
67 |
節點管理 LIF |
DHCP |
DHCP 伺服器 |
DNS |
UDP |
53. |
節點管理 LIF 與資料 LIF ( NFS 、 CIFS ) |
DNS |
DNS |
NDMP |
TCP |
18600 – 18699 |
節點管理 LIF |
目的地伺服器 |
NDMP 複本 |
SMTP |
TCP |
25 |
節點管理 LIF |
郵件伺服器 |
可以使用 SMTP 警示 AutoSupport 來執行功能 |
SNMP |
TCP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
UDP |
161. |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
TCP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
UDP |
162% |
節點管理 LIF |
監控伺服器 |
透過 SNMP 設陷進行監控 |
|
SnapMirror |
TCP |
11104. |
叢集間 LIF |
叢集間 LIF ONTAP |
管理 SnapMirror 的叢集間通訊工作階段 |
TCP |
11105. |
叢集間 LIF |
叢集間 LIF ONTAP |
SnapMirror 資料傳輸 |
|
系統記錄 |
UDP |
514 |
節點管理 LIF |
系統記錄伺服器 |
系統記錄轉送訊息 |