Amazon VPC를 사용한 파일 시스템 액세스 제어 - FSx for ONTAP
Amazon VPC 보안 그룹

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon VPC를 사용한 파일 시스템 액세스 제어

액세스 유형에 따라 엔드포인트 중 하나의 DNS 이름 또는 IP 주소를 사용하여 Amazon FSx NetApp for ONTAP 파일 시스템 및 SVM에 액세스합니다. DNS 이름은 VPC에 있는 파일 시스템 또는 SVM의 탄력적 네트워크 인터페이스의 프라이빗 IP 주소에 매핑됩니다. 연결된 VPC 내의 리소스 또는 VPN 또는 VPN을 통해 연결된 VPC와 연결된 리소스만 NFS, SMB AWS Direct Connect 또는 iSCSI 프로토콜을 통해 파일 시스템의 데이터에 액세스할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC란 무엇인가요?를 참조하세요.

주의

파일 시스템과 연결된 탄력적 네트워크 인터페이스를 수정하거나 삭제해서는 안 됩니다. 네트워크 인터페이스를 수정하거나 삭제하면 VPC와 파일 시스템 간의 연결이 영구적으로 손실될 수 있습니다.

Amazon VPC 보안 그룹

보안 그룹은 FSx for ONTAP 파일 시스템에 대해 수신 및 발신 트래픽을 제어하는 가상 방화벽 역할을 합니다. 인바운드 규칙은 파일 시스템에 들어오는 트래픽을 제어하고 아웃바운드 규칙은 파일 시스템에서 나가는 트래픽을 제어합니다. 파일 시스템을 생성할 때 파일 시스템이 생성될 VPC를 지정하면 해당 VPC의 기본 보안 그룹이 적용됩니다. 연결된 파일 시스템 및 SVM에서 트래픽을 주고 받을 수 있도록 하는 규칙을 각 보안 그룹에 추가할 수 있습니다. 언제든지 보안 그룹에 대한 규칙을 수정할 수 있습니다. 새 규칙 및 수정된 규칙은 보안 그룹에 연결된 모든 리소스에 자동으로 적용됩니다. Amazon FSx는 트래픽이 리소스에 도달하도록 허용할지 여부를 결정할 때 리소스와 연결된 모든 보안 그룹에서 모든 규칙을 평가합니다.

보안 그룹을 사용하여 Amazon FSx 파일 시스템에 대한 액세스를 제어하려면 인바운드 및 아웃바운드 규칙을 추가합니다. 인바운드 규칙은 들어오는 트래픽을 제어하고 아웃바운드 규칙은 파일 시스템에서 나가는 트래픽을 제어합니다. Amazon FSx 파일 시스템의 파일 공유를 지원되는 컴퓨팅 인스턴스의 폴더에 매핑하려면 보안 그룹에 올바른 네트워크 트래픽 규칙이 있는지 확인합니다.

보안 그룹 규칙에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서보안 그룹 규칙을 참조하세요.

VPC 보안 그룹 생성

Amazon FSx에 대한 보안 그룹 생성

  1. https://console.aws.amazon.com/ec2 에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 보안 그룹을 선택합니다.

  3. 보안 그룹 생성을 선택합니다.

  4. 보안 그룹의 이름과 설명을 지정합니다.

  5. VPC의 경우 파일 시스템과 연결된 Amazon VPC를 선택하여 해당 VPC 내에 보안 그룹을 생성합니다.

  6. 아웃바운드 규칙의 경우 모든 포트의 모든 트래픽을 허용합니다.

  7. 다음 규칙을 보안 그룹의 인바운드 포트에 추가합니다. 소스 필드에서 사용자 지정을 선택하고 다음을 포함하여 FSx for ONTAP 파일 시스템에 액세스해야 하는 인스턴스와 연결된 보안 그룹 또는 IP 주소 범위를 입력해야 합니다.

    • NFS, SMB 또는 iSCSI를 통해 파일 시스템의 데이터에 액세스하는 Linux, Windows 및/또는 MacOS 클라이언트.

    • 파일 시스템에 피어링할 모든 ONTAP 파일 시스템/클러스터 (예:, 또는 사용 SnapMirror) SnapVault FlexCache

    • ONTAP REST API, CLI 또는 API에 액세스하는 데 사용할 모든 클라이언트 (예: 하베스트/그라파나 인스턴스, 커넥터 또는 BlueXP) NetApp NetApp

    프로토콜

    포트

    역할

    모든 ICMP

    모두

    인스턴스에 Ping 실행

    SSH

    22

    클러스터 관리 LIF 또는 노드 관리 LIF의 IP 주소에 대한 SSH 액세스

    TCP

    111

    NFS에 대한 원격 프로시저 호출

    TCP

    135

    CIFS에 대한 원격 프로시저 호출

    TCP

    139

    CIFS에 대한 NetBIOS 서비스 세션
    TCP 161-162

    Simple Network Management Protocol(SNMP)

    TCP

    443

    클러스터 관리 LIF 또는 SVM 관리 LIF의 IP 주소에 대한 ONTAP REST API 액세스

    TCP

    445

    NetBIOS 프레이밍을 사용하는 TCP를 통한 Microsoft SMB/CIFS

    TCP

    635

    NFS 마운트

    TCP

    749

    Kerberos

    TCP

    2049

    NFS 서버 대몬(daemon)

    TCP

    3260

    iSCSI 데이터 LIF를 통한 iSCSI 액세스

    TCP

    4045

    NFS 잠금 대몬(daemon)

    TCP

    4046

    NFS에 대한 네트워크 상태 모니터

    TCP

    10000

    네트워크 데이터 관리 프로토콜 (NDMP) 및 NetApp SnapMirror 클러스터 간 통신
    TCP 11104 클러스터 NetApp SnapMirror 간 통신 관리
    TCP 11105 SnapMirror 인터클러스터 LIF를 사용한 데이터 전송
    UDP 111 NFS에 대한 원격 프로시저 호출

    UDP

    135

    CIFS에 대한 원격 프로시저 호출

    UDP

    137

    CIFS에 대한 NetBIOS 이름 확인

    UDP

    139

    CIFS에 대한 NetBIOS 서비스 세션
    UDP 161-162

    Simple Network Management Protocol(SNMP)

    UDP

    635

    NFS 마운트

    UDP

    2049

    NFS 서버 대몬(daemon)

    UDP

    4045

    NFS 잠금 대몬(daemon)

    UDP

    4046

    NFS에 대한 네트워크 상태 모니터

    UDP

    4049

    NFS 할당량 프로토콜

  8. 파일 시스템의 탄력적 네트워크 인터페이스에 보안 그룹을 추가합니다.

파일 시스템에 대한 액세스 허용 해제

모든 클라이언트에서 파일 시스템에 대한 네트워크 액세스에 대한 허용을 일시적으로 해제하려면 파일 시스템의 탄력적 네트워크 인터페이스와 연결된 모든 보안 그룹을 제거하고 인바운드 또는 아웃바운드 규칙이 없는 그룹으로 바꾸면 됩니다.