翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon によるファイルシステムのアクセスコントロール VPC
Amazon NetApp ONTAP for FSx ファイルシステムにアクセスし、アクセスのタイプに応じて、エンドポイントの名前DNSまたは IP アドレスSVMsを使用します。DNS 名前は、 内のファイルシステムの または の Elastic Network Interface SVMのプライベート IP アドレスにマッピングされますVPC。関連付けられた 内のリソースVPC、または AWS Direct Connect または VPCによって関連付けられた に接続されたリソースのみがVPN、NFS、、SMBまたは iSCSI プロトコルを介してファイルシステム内のデータにアクセスできます。詳細については、「Amazon ユーザーガイド」の「Amazon とはVPCVPC」を参照してください。
警告
ファイルシステムに関連付けられている Elastic Network Interface を変更または削除してはいけません。ネットワークインターフェイスを変更または削除すると、 VPCとファイルシステム間の接続が永続的に失われる可能性があります。
Amazon VPC セキュリティグループ
セキュリティグループは、FSxONTAPファイルシステムが送受信トラフィックを制御するための の仮想ファイアウォールとして機能します。インバウンドルールはファイルシステムへの受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。ファイルシステムを作成するときは、VPC作成する と、その のデフォルトのセキュリティグループVPCを指定します。関連するファイルシステム および との間のトラフィックを許可するルールを各セキュリティグループに追加できますSVMs。セキュリティグループのルールはいつでも変更できます。新規または変更したルールは、セキュリティグループに関連付けられたすべてのリソースに自動的に適用されます。Amazon は、トラフィックがリソースに到達することを許可するかどうかFSxを決定すると、リソースに関連付けられているすべてのセキュリティグループのすべてのルールを評価します。
セキュリティグループを使用して Amazon FSx ファイルシステムへのアクセスを制御するには、インバウンドルールとアウトバウンドルールを追加します。インバウンドルールは受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。セキュリティグループに、Amazon FSx ファイルシステムのファイル共有をサポートされているコンピューティングインスタンスのフォルダにマッピングするための適切なネットワークトラフィックルールがあることを確認してください。
セキュリティグループルールの詳細については、「Amazon ユーザーガイド」の「セキュリティグループルール」を参照してください。 EC2
VPC セキュリティグループの作成
Amazon のセキュリティグループを作成するには FSx
-
https://console.aws.amazon.com/ec2
で Amazon EC2コンソールを開きます。 -
ナビゲーションペインで、[Security Groups] を選択します。
-
[Create Security Group] (セキュリティグループの作成) を選択します。
-
セキュリティグループの名前と説明を指定します。
-
でVPC、ファイルシステムVPCに関連付けられている Amazon を選択して、その 内にセキュリティグループを作成しますVPC。
アウトバウンドルールについて、すべてのポート上のすべてのトラフィックを許可します。
-
セキュリティグループの着信ポートに次のルールを追加します。ソースフィールドでは、カスタム を選択し、FSxONTAPファイルシステムの にアクセスする必要があるインスタンスに関連付けられたセキュリティグループまたは IP アドレス範囲を入力します。これには、以下が含まれます。
、、または i を介してファイルシステム内のデータにアクセスする LinuxNFS、WindowsSMB、macOS クライアントSCSI。
ファイルシステムにピアリングするONTAPファイルシステム/クラスター (、 SnapMirror SnapVault、 など) FlexCache。
ONTAP REST API、、CLIまたは へのアクセスに使用するすべてのクライアント ZAPIs (Harvest/Grafana インスタンス、 NetApp Connector、 NetApp BlueXP など)。
[プロトコル]
ポート
ロール
すべて ICMP
すべて
インスタンスへの ping を実行する
SSH
22
SSH クラスター管理LIFまたはノード管理の IP アドレスへのアクセス LIF
TCP
111
のリモートプロシージャ呼び出し NFS
TCP
135
のリモートプロシージャ呼び出し CIFS
TCP
139
のネットBIOSサービスセッション CIFS
TCP 161-162 シンプルなネットワーク管理プロトコル (SNMP)
TCP
443
ONTAP REST API クラスター管理LIFまたは SVM管理の IP アドレスへのアクセス LIF
TCP
445
Microsoft SMB/CIFS NetBIOS Framing TCPで 以上
TCP
635
NFS マウント
TCP
749
Kerberos
TCP
2049
NFS サーバーデーモン
TCP
3260
iSCSI データ経由でアクセスするSCSI LIF
TCP
4045
NFS デーモンをロックする
TCP
4046
のネットワークステータスモニター NFS
TCP
10000
ネットワークデータ管理プロトコル (NDMP) とクラスター NetApp SnapMirror 間通信
TCP 11104 クラスター NetApp SnapMirror 間通信の管理 TCP 11105 SnapMirror クラスター間を使用したデータ転送 LIFs UDP 111 のリモートプロシージャ呼び出し NFS UDP
135
のリモートプロシージャ呼び出し CIFS
UDP
137
のネットBIOSネーム解決 CIFS
UDP
139
のネットBIOSサービスセッション CIFS
UDP 161-162 シンプルなネットワーク管理プロトコル (SNMP)
UDP
635
NFS マウント
UDP
2049
NFS サーバーデーモン
UDP
4045
NFS デーモンをロックする
UDP
4046
のネットワークステータスモニター NFS
UDP
4049
NFS クォータプロトコル
-
ファイルシステムの Elastic Network Interface にセキュリティグループを追加します。
ファイルシステムへのアクセスを許可しない
すべてのクライアントからファイルシステムへのネットワークアクセスを一時的に無効にするには、ファイルシステムの Elastic Network Interface (複数も可) に関連付けられているすべてのセキュリティグループを削除し、インバウンド / アウトバウンドルールを持たないグループに置き換えます。