使用 Amazon 进行文件系统访问控制 VPC - FSx for ONTAP
亚马逊VPC安全组

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 进行文件系统访问控制 VPC

您可以使用 NetApp ONTAP文件系统访问您FSx的 Amazon,并SVMs使用其中一个终端节点的DNS名称或 IP 地址,具体取决于访问的类型。该DNS名称映射到您的文件系统或的 elastic network interface SVM 的私有 IP 地址VPC。只有关联VPC的资源或VPC通过 AWS Direct Connect 或关联的资源才能通过VPNNFSSMB、或 i SCSI 协议访问文件系统中的数据。有关更多信息,请参阅什么是亚马逊VPC? 在《亚马逊VPC用户指南》中。

警告

不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除网络接口可能会导致您VPC和您的文件系统之间的连接永久中断。

亚马逊VPC安全组

安全组充当ONTAP文件系统的虚拟防火墙,FSx用于控制传入和传出流量。入站规则控制传入到文件系统的流量,出站规则控制从文件系统传出的流量。创建文件系统时,需要指定在其中创建VPC该文件系统的,并应用该文件系统的默认安全组。VPC您可以向每个安全组添加规则,允许流入或来自其关联文件系统的流量,以及SVMs。您可以随时修改安全组的规则。新规则和修改后的规则将自动应用到与安全组相关联的所有资源。当 Amazon FSx 决定是否允许流量到达某个资源时,它会评估与该资源关联的所有安全组的所有规则。

要使用安全组控制对您的 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,可以将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅 Amazon EC2 用户指南中的安全组规则

创建VPC安全组

为 Amazon 创建安全组 FSx

  1. https://console.aws.amazon.com/ec2 上打开亚马逊EC2控制台。

  2. 在导航窗格中,选择安全组

  3. 选择创建安全组

  4. 为安全组指定名称和描述。

  5. 对于 VPC,请选择与您的文件系统VPC关联的 Amazon,在其中创建安全组VPC。

  6. 对于出站规则,允许所有端口上的所有流量传输。

  7. 将以下规则添加到安全组的入站端口。对于字段,您应选择自定义,然后输入与需要访问您的FSxONTAP文件系统的实例关联的安全组或 IP 地址范围,包括:

    • 通过、或 i 访问文件系统中数据的 Linux NFS SMB、Windows 和/或 macOS 客户端。SCSI

    • 您将与您的ONTAP文件系统对等的任何文件系统/群集(例如,使用 SnapMirror SnapVault、或 FlexCache)。

    • 您将用于访问、或的任何客户端ZAPIs(例如 ONTAP RESTAPI,CLIHarvest/Grafana 实例、Connector 或 BlueX NetApp P)。 NetApp

    协议

    端口

    角色

    全部 ICMP

    全部

    对实例执行 ping 操作

    SSH

    22

    SSH访问集群管理LIF或节点管理的 IP 地址 LIF

    TCP

    111

    远程过程调用 NFS

    TCP

    135

    远程过程调用 CIFS

    TCP

    139

    的网络BIOS服务会话 CIFS
    TCP 161-162

    简单网络管理协议 (SNMP)

    TCP

    443

    ONTAPRESTAPI访问集群管理LIF或管理的 IP 地址 SVM LIF

    TCP

    445

    MicrosoftSMB/CIFS结束了TCP网络BIOS框架

    TCP

    635

    NFS装载

    TCP

    749

    Kerberos

    TCP

    2049

    NFS服务器守护程序

    TCP

    3260

    我通过 i SCSI 数据进行SCSI访问 LIF

    TCP

    4045

    NFS锁定守护程序

    TCP

    4046

    的网络状态监视器 NFS

    TCP

    10000

    网络数据管理协议 (NDMP) 和 NetApp SnapMirror 集群间通信
    TCP 11104 管理 NetApp SnapMirror 集群间通信
    TCP 11105 SnapMirror 使用集群间进行数据传输 LIFs
    UDP 111 远程过程调用 NFS

    UDP

    135

    远程过程调用 CIFS

    UDP

    137

    的网络BIOS名称解析 CIFS

    UDP

    139

    的网络BIOS服务会话 CIFS
    UDP 161-162

    简单网络管理协议 (SNMP)

    UDP

    635

    NFS装载

    UDP

    2049

    NFS服务器守护程序

    UDP

    4045

    NFS锁定守护程序

    UDP

    4046

    的网络状态监视器 NFS

    UDP

    4049

    NFS配额协议

  8. 将安全组添加到文件系统的弹性网络接口。

禁止访问文件系统

要暂时禁止所有客户端通过网络访问您的文件系统,可以删除与文件系统的弹性网络接口关联的所有安全组,并将其替换为没有入站/出站规则的组。