Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Control de acceso al sistema de archivos con Amazon VPC
Accedes a tu Amazon FSx for NetApp ONTAP file systems y SVMs utilizas el DNS nombre o la dirección IP de uno de sus puntos finales, según el tipo de acceso del que se trate. El DNS nombre se asigna a la dirección IP privada de la interfaz de red elástica del sistema de archivos o SVM de la interfaz de red elástica de suVPC. Solo los recursos del sistema de archivos asociadoVPC, o los recursos conectados al asociado VPC por AWS Direct Connect oVPN, pueden acceder a los datos del sistema de archivos a través de SCSI los protocolos NFSSMB, o i. Para obtener más información, consulta ¿Qué es AmazonVPC? en la Guía del VPC usuario de Amazon.
aviso
No debe modificar ni eliminar las interfaces elásticas de red asociadas al sistema de archivos. La modificación o eliminación de la interfaz de red puede provocar una pérdida permanente de la conexión entre su sistema de archivos VPC y el suyo.
Grupos de VPC seguridad de Amazon
Un grupo de seguridad actúa como un firewall virtual FSx para sus cuatro sistemas de ONTAP archivos a fin de controlar el tráfico entrante y saliente. Las reglas de entrada controlan el tráfico entrante a su sistema de archivos y las reglas de salida controlan el tráfico saliente de su sistema de archivos. Al crear un sistema de archivos, se especifica en qué VPC se crea y se aplica el grupo de seguridad predeterminado al que VPC se va a crear. Puede agregar reglas a cada grupo de seguridad que permitan el tráfico hacia o desde sus sistemas de archivos asociados ySVMs. Puede modificar las reglas de un grupo de seguridad en cualquier momento. Las reglas nuevas y modificadas se aplican automáticamente a todos los recursos que están asociados al grupo de seguridad. Cuando Amazon FSx decide si permite que el tráfico llegue a un recurso, evalúa todas las reglas de todos los grupos de seguridad asociados al recurso.
Para usar un grupo de seguridad para controlar el acceso a tu sistema de FSx archivos de Amazon, añade reglas de entrada y salida. Las reglas de entrada controlan el tráfico que ingresa a la instancia, y las de salida, el que sale. Asegúrese de tener las reglas de tráfico de red correctas en su grupo de seguridad para asignar el recurso compartido de FSx archivos de su sistema de archivos de Amazon a una carpeta de la instancia de procesamiento compatible.
Para obtener más información sobre las reglas de los grupos de seguridad, consulte Reglas de grupos de seguridad en la Guía del EC2 usuario de Amazon.
Crear un grupo VPC de seguridad
Para crear un grupo de seguridad para Amazon FSx
-
Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2.
-
En el panel de navegación, elija Security Groups.
-
Elija Crear grupo de seguridad.
-
Especifique un nombre y una descripción para el grupo de seguridad.
-
Para VPCello, elija el Amazon VPC asociado a su sistema de archivos para crear el grupo de seguridad dentro de élVPC.
Para las reglas de salida, permita todo el tráfico en todos los puertos.
-
Agregue las siguientes reglas de entrada al grupo de seguridad. Para el campo de origen, debe elegir Personalizado e introducir los grupos de seguridad o los rangos de direcciones IP asociados a las instancias que necesitan acceder a su FSx sistema de ONTAP archivos, incluidos:
Clientes de Linux, Windows y/o macOS que acceden a los datos de su sistema de archivos a través de NFSSMB, o iSCSI.
Cualquier sistema o clúster de ONTAP archivos que vaya a vincular a su sistema de archivos (por ejemplo, para usar SnapMirror SnapVault, o FlexCache).
Cualquier cliente que vaya a utilizar para acceder a, o ZAPIs (por ejemplo ONTAP REST APICLI, una instancia de Harvest/Grafana, NetApp Connector o BlueXP). NetApp
Protocolo
Puertos
Rol
Todos ICMP
Todos
Hacer ping a la instancia
SSH
22
SSHacceso a la dirección IP de la administración de clústeres LIF o de una administración de nodos LIF
TCP
111
Solicitud de procedimiento remoto para NFS
TCP
135
Solicitud de procedimiento remoto para CIFS
TCP
139
Sesión BIOS de servicio de red para CIFS
TCP 161-162 Protocolo simple de administración de redes () SNMP
TCP
443
ONTAPRESTAPIacceso a la dirección IP de la administración del clúster LIF o de una SVM administración LIF
TCP
445
SMBCIFSMicrosoft//Se acabó TCP con Net BIOS Framing
TCP
635
NFSmontar
TCP
749
Kerberos
TCP
2049
NFSdaemon de servidor
TCP
3260
SCSIaccedo a través de los datos i SCSI LIF
TCP
4045
NFSdemonio de bloqueo
TCP
4046
Monitor de estado de la red para NFS
TCP
10000
Protocolo de administración de datos de red (NDMP) y comunicación NetApp SnapMirror entre clústeres
TCP 11104 Gestión de la comunicación NetApp SnapMirror entre clústeres TCP 11105 SnapMirror transferencia de datos mediante interclúster LIFs UDP 111 Solicitud de procedimiento remoto para NFS UDP
135
Solicitud de procedimiento remoto para CIFS
UDP
137
Resolución de BIOS nombres de red para CIFS
UDP
139
Sesión BIOS de servicio de red para CIFS
UDP 161-162 Protocolo simple de administración de redes () SNMP
UDP
635
NFSmontar
UDP
2049
NFSdaemon de servidor
UDP
4045
NFSdemonio de bloqueo
UDP
4046
Monitor de estado de la red para NFS
UDP
4049
NFSprotocolo de cuotas
-
Agregue el grupo de seguridad a la interfaz de red elástica del sistema de archivos.
Denegar el acceso a un sistema de archivos
Para impedir temporalmente que los clientes tengan acceso de red al sistema de archivos, puede eliminar los grupos de seguridad asociados a las interfaces de red elásticas del sistema de archivos y sustituirlos por un grupo que no tenga reglas de entrada y salida.