Amazon によるファイルシステムのアクセスコントロール VPC - ONTAP に関する FSx
Amazon VPC セキュリティグループ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon によるファイルシステムのアクセスコントロール VPC

Amazon NetApp ONTAP for FSx ファイルシステムにアクセスし、アクセスのタイプに応じて、エンドポイントの名前DNSまたは IP アドレスSVMsを使用します。DNS 名前は、 内のファイルシステムの または の Elastic Network Interface SVMのプライベート IP アドレスにマッピングされますVPC。関連付けられた 内のリソースVPC、または AWS Direct Connect または VPCによって関連付けられた に接続されたリソースのみがVPN、NFS、、SMBまたは iSCSI プロトコルを介してファイルシステム内のデータにアクセスできます。詳細については、「Amazon ユーザーガイド」の「Amazon とはVPCVPC」を参照してください。

警告

ファイルシステムに関連付けられている Elastic Network Interface を変更または削除してはいけません。ネットワークインターフェイスを変更または削除すると、 VPCとファイルシステム間の接続が永続的に失われる可能性があります。

Amazon VPC セキュリティグループ

セキュリティグループは、FSxONTAPファイルシステムが送受信トラフィックを制御するための の仮想ファイアウォールとして機能します。インバウンドルールはファイルシステムへの受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。ファイルシステムを作成するときは、VPC作成する と、その のデフォルトのセキュリティグループVPCを指定します。関連するファイルシステム および との間のトラフィックを許可するルールを各セキュリティグループに追加できますSVMs。セキュリティグループのルールはいつでも変更できます。新規または変更したルールは、セキュリティグループに関連付けられたすべてのリソースに自動的に適用されます。Amazon は、トラフィックがリソースに到達することを許可するかどうかFSxを決定すると、リソースに関連付けられているすべてのセキュリティグループのすべてのルールを評価します。

セキュリティグループを使用して Amazon FSx ファイルシステムへのアクセスを制御するには、インバウンドルールとアウトバウンドルールを追加します。インバウンドルールは受信トラフィックをコントロールし、アウトバウンドルールはファイルシステムからの送信トラフィックをコントロールします。セキュリティグループに、Amazon FSx ファイルシステムのファイル共有をサポートされているコンピューティングインスタンスのフォルダにマッピングするための適切なネットワークトラフィックルールがあることを確認してください。

セキュリティグループルールの詳細については、「Amazon ユーザーガイド」の「セキュリティグループルール」を参照してください。 EC2

VPC セキュリティグループの作成

Amazon のセキュリティグループを作成するには FSx

  1. https://console.aws.amazon.com/ec2 で Amazon EC2コンソールを開きます。

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. [Create Security Group] (セキュリティグループの作成) を選択します。

  4. セキュリティグループの名前と説明を指定します。

  5. VPC、ファイルシステムVPCに関連付けられている Amazon を選択して、その 内にセキュリティグループを作成しますVPC。

  6. アウトバウンドルールについて、すべてのポート上のすべてのトラフィックを許可します。

  7. セキュリティグループの着信ポートに次のルールを追加します。ソースフィールドでは、カスタム を選択し、FSxONTAPファイルシステムの にアクセスする必要があるインスタンスに関連付けられたセキュリティグループまたは IP アドレス範囲を入力します。これには、以下が含まれます。

    • 、、または i を介してファイルシステム内のデータにアクセスする LinuxNFS、WindowsSMB、macOS クライアントSCSI。

    • ファイルシステムにピアリングするONTAPファイルシステム/クラスター (、 SnapMirror SnapVault、 など) FlexCache。

    • ONTAP REST API、、CLIまたは へのアクセスに使用するすべてのクライアント ZAPIs (Harvest/Grafana インスタンス、 NetApp Connector、 NetApp BlueXP など)。

    [プロトコル]

    ポート

    ロール

    すべて ICMP

    すべて

    インスタンスへの ping を実行する

    SSH

    22

    SSH クラスター管理LIFまたはノード管理の IP アドレスへのアクセス LIF

    TCP

    111

    のリモートプロシージャ呼び出し NFS

    TCP

    135

    のリモートプロシージャ呼び出し CIFS

    TCP

    139

    のネットBIOSサービスセッション CIFS
    TCP 161-162

    シンプルなネットワーク管理プロトコル (SNMP)

    TCP

    443

    ONTAP REST API クラスター管理LIFまたは SVM管理の IP アドレスへのアクセス LIF

    TCP

    445

    Microsoft SMB/CIFS NetBIOS Framing TCPで 以上

    TCP

    635

    NFS マウント

    TCP

    749

    Kerberos

    TCP

    2049

    NFS サーバーデーモン

    TCP

    3260

    iSCSI データ経由でアクセスするSCSI LIF

    TCP

    4045

    NFS デーモンをロックする

    TCP

    4046

    のネットワークステータスモニター NFS

    TCP

    10000

    ネットワークデータ管理プロトコル (NDMP) とクラスター NetApp SnapMirror 間通信
    TCP 11104 クラスター NetApp SnapMirror 間通信の管理
    TCP 11105 SnapMirror クラスター間を使用したデータ転送 LIFs
    UDP 111 のリモートプロシージャ呼び出し NFS

    UDP

    135

    のリモートプロシージャ呼び出し CIFS

    UDP

    137

    のネットBIOSネーム解決 CIFS

    UDP

    139

    のネットBIOSサービスセッション CIFS
    UDP 161-162

    シンプルなネットワーク管理プロトコル (SNMP)

    UDP

    635

    NFS マウント

    UDP

    2049

    NFS サーバーデーモン

    UDP

    4045

    NFS デーモンをロックする

    UDP

    4046

    のネットワークステータスモニター NFS

    UDP

    4049

    NFS クォータプロトコル

  8. ファイルシステムの Elastic Network Interface にセキュリティグループを追加します。

ファイルシステムへのアクセスを許可しない

すべてのクライアントからファイルシステムへのネットワークアクセスを一時的に無効にするには、ファイルシステムの Elastic Network Interface (複数も可) に関連付けられているすべてのセキュリティグループを削除し、インバウンド / アウトバウンドルールを持たないグループに置き換えます。