Controle de acesso ao sistema de arquivos com Amazon VPC - FSx for ONTAP

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso ao sistema de arquivos com Amazon VPC

Você acessa seus sistemas de arquivos e SVMs do Amazon FSx for NetApp ONTAP usando o nome DNS ou o endereço IP de um de seus endpoints, dependendo do tipo de acesso. O nome DNS é mapeado para o endereço IP privado da elastic network interface do sistema de arquivos ou do SVM em sua VPC. Somente recursos dentro da VPC associada, ou recursos conectados à VPC associada por meioAWS Direct Connect de VPN, podem acessar os dados em seu sistema de arquivos pelos protocolos NFS, SMB ou iSCSI. Para obter mais informações, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Atenção

Você não deve modificar ou excluir as elastic network interface associadas ao seu sistema de arquivos. Modificar ou excluir a interface de rede pode causar uma perda permanente da conexão entre sua VPC e seu sistema de arquivos.

Grupos de segurança da Amazon VPC

Um grupo de segurança atua como firewall virtual para os sistemas de arquivos do FSx for ONTAP para controlar o tráfego de entrada e saída. As regras de entrada controlam o tráfego de entrada para o sistema de arquivos e as regras de saída controlam o tráfego de saída do sistema de arquivos. Ao criar um sistema de arquivos, você especifica a VPC na qual ele é criado e o grupo de segurança padrão para essa VPC é aplicado. Você pode adicionar regras a cada grupo de segurança que permite tráfego de entrada ou de saída nos sistemas de arquivos e SVMs associados. É possível modificar as regras de um grupo de segurança a qualquer momento. As regras novas e modificadas são aplicadas automaticamente para todos os recursos associados ao grupo de segurança. Quando o Amazon FSx decide se deve permitir que o tráfego atinja um recurso, ele avalia todas as regras de todos os grupos de segurança associados ao recurso.

Para usar um grupo de segurança para controlar o acesso ao seu sistema de arquivos Amazon FSx, adicione regras de entrada e saída. As regras de entrada controlam o tráfego de entrada e as regras de saída controlam o tráfego de saída do sistema de arquivos. Certifique-se de ter as regras de tráfego de rede corretas em seu grupo de segurança para mapear o compartilhamento de arquivos do seu sistema de arquivos Amazon FSx para uma pasta em sua instância computacional compatível.

Para mais informações sobre regras de grupo de segurança, consulte Security Group Rules no Guia do usuário do Amazon EC2 para instâncias do Linux.

Criar um grupo de segurança de VPC

Como criar um grupo de segurança para o Amazon FSx
  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2.

  2. No painel de navegação, escolha Grupos de segurança.

  3. Escolha Create Security Group.

  4. Especifique um nome e uma descrição para o grupo de segurança.

  5. Para VPC, escolha a Amazon VPC associada ao seu sistema de arquivos para criar o grupo de segurança dentro dessa VPC.

  6. Para regras de saída, permita todo o tráfego em todas as portas.

  7. Adicione as seguintes regras às portas de entrada do seu grupo de segurança. Para o campo de origem, você deve escolher Personalizado e inserir os grupos de segurança ou intervalos de endereços IP associados às instâncias que precisam acessar seu sistema de arquivos FSx for ONTAP, incluindo:

    • Clientes Linux, Windows e/ou macOS que acessam dados em seu sistema de arquivos via NFS, SMB ou iSCSI.

    • Qualquer sistema/cluster de arquivos ONTAP que você associará ao seu sistema de arquivos (por exemplo, para usar SnapMirror SnapVault, ou FlexCache).

    • Quaisquer clientes que você usará para acessar a API REST, CLI ou ZAPIs do ONTAP (por exemplo, uma instância Harvest/Grafana, NetApp Connector ou NetApp BlueXP).

    Protocolo

    Portas

    Função

    Todos os ICMP

    Tudo

    Como executar ping na instância

    SSH

    22

    Acesso SSH ao endereço IP do LIF de gerenciamento de cluster ou de um LIF de gerenciamento de nós

    TCP

    111

    Chamada de procedimento remoto para NFS

    TCP

    135

    Chamada de procedimento remoto para CIFS

    TCP

    139

    Sessão de serviço NetBIOS para CIFS

    TCP 161-162

    Protocolo simples de gerenciamento de rede (SNMP)

    TCP

    443

    Acesso da API ONTAP REST ao endereço IP do LIF de gerenciamento de cluster ou de um LIF de gerenciamento de SVM

    TCP

    445

    Microsoft SMB/CIFS sobre TCP com enquadramento NetBIOS

    TCP

    635

    montagem NFS

    TCP

    749

    Kerberos

    TCP

    2049

    Daemon do servidor NFS

    TCP

    3260

    Acesso iSCSI por meio do LIF de dados iSCSI

    TCP

    4045

    Daemon de bloqueio do NFS

    TCP

    4046

    Monitor de status de rede para NFS

    TCP

    10000

    Protocolo de gerenciamento de dados de rede (NDMP) e comunicação NetApp SnapMirror entre clusters

    TCP 11104 Gerenciamento da comunicação NetApp SnapMirror entre clusters
    TCP 11105 SnapMirror transferência de dados usando LIFs entre clusters
    UDP 111 Chamada de procedimento remoto para NFS

    UDP

    135

    Chamada de procedimento remoto para CIFS

    UDP

    137

    Resolução de nomes NetBIOS para CIFS

    UDP

    139

    Sessão de serviço NetBIOS para CIFS

    UDP 161-162

    Protocolo simples de gerenciamento de rede (SNMP)

    UDP

    635

    montagem NFS

    UDP

    2049

    Daemon do servidor NFS

    UDP

    4045

    Daemon de bloqueio do NFS

    UDP

    4046

    Monitor de status de rede para NFS

    UDP

    4049

    Protocolo de cota NFS

Proibir acesso a um sistema de arquivos

Para proibir temporariamente o acesso à rede ao seu sistema de arquivos de todos os clientes, você pode remover todos os grupos de segurança associados às elastic network interface do seu sistema de arquivos e substituí-los por um grupo que não tenha regras de entrada/saída.