| sidebar | permalink | keywords | summary |
|---|---|---|---|
sidebar |
reference-security-groups.html |
security group, security groups, rules, ports, aws, inbound, outbound, rules |
BlueXP crea gruppi di sicurezza AWS che includono le regole in entrata e in uscita di cui Cloud Volumes ONTAP ha bisogno per funzionare correttamente. Si consiglia di fare riferimento alle porte a scopo di test o se si preferisce utilizzare i propri gruppi di protezione. |
BlueXP crea gruppi di sicurezza AWS che includono le regole in entrata e in uscita di cui Cloud Volumes ONTAP ha bisogno per funzionare correttamente. Si consiglia di fare riferimento alle porte a scopo di test o se si preferisce utilizzare i propri gruppi di protezione.
Il gruppo di sicurezza per Cloud Volumes ONTAP richiede regole sia in entrata che in uscita.
Quando si crea un ambiente di lavoro e si sceglie un gruppo di protezione predefinito, è possibile scegliere di consentire il traffico all’interno di una delle seguenti opzioni:
-
Selezionato solo VPC: L’origine del traffico in entrata è l’intervallo di sottorete del VPC per il sistema Cloud Volumes ONTAP e l’intervallo di sottorete del VPC in cui si trova il connettore. Questa è l’opzione consigliata.
-
Tutti i VPC: L’origine del traffico in entrata è l’intervallo IP 0.0.0.0/0.
| Protocollo | Porta | Scopo |
|---|---|---|
Tutti gli ICMP |
Tutto |
Eseguire il ping dell’istanza |
HTTP |
80 |
Accesso HTTP alla console web di ONTAP System Manager usando l’indirizzo IP della LIF di gestione cluster |
HTTPS |
443 |
Connettività con il connettore e accesso HTTPS alla console web di ONTAP System Manager usando l’indirizzo IP della LIF di gestione del cluster |
SSH |
22 |
Accesso SSH all’indirizzo IP della LIF di gestione del cluster o di una LIF di gestione dei nodi |
TCP |
111 |
Chiamata a procedura remota per NFS |
TCP |
139 |
Sessione del servizio NetBIOS per CIFS |
TCP |
161-162 |
Protocollo di gestione di rete semplice |
TCP |
445 |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
TCP |
635 |
Montaggio NFS |
TCP |
749 |
Kerberos |
TCP |
2049 |
Daemon del server NFS |
TCP |
3260 |
Accesso iSCSI tramite LIF dei dati iSCSI |
TCP |
4045 |
Daemon di blocco NFS |
TCP |
4046 |
Network status monitor per NFS |
TCP |
10000 |
Backup con NDMP |
TCP |
11104 |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
TCP |
11105 |
Trasferimento dei dati SnapMirror con LIF intercluster |
UDP |
111 |
Chiamata a procedura remota per NFS |
UDP |
161-162 |
Protocollo di gestione di rete semplice |
UDP |
635 |
Montaggio NFS |
UDP |
2049 |
Daemon del server NFS |
UDP |
4045 |
Daemon di blocco NFS |
UDP |
4046 |
Network status monitor per NFS |
UDP |
4049 |
Protocollo NFS rquotad |
Il gruppo di protezione predefinito per Cloud Volumes ONTAP apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Il gruppo di protezione predefinito per Cloud Volumes ONTAP include le seguenti regole in uscita.
| Protocollo | Porta | Scopo |
|---|---|---|
Tutti gli ICMP |
Tutto |
Tutto il traffico in uscita |
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte richieste per le comunicazioni in uscita da Cloud Volumes ONTAP.
|
Note
|
L’origine è l’interfaccia (indirizzo IP) del sistema Cloud Volumes ONTAP. |
| Servizio | Protocollo | Porta | Origine | Destinazione | Scopo |
|---|---|---|---|---|---|
Active Directory |
TCP |
88 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
UDP |
137 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
TCP |
139 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP E UDP |
389 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
UDP |
464 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
TCP |
749 |
LIF di gestione dei nodi |
Insieme di strutture di Active Directory |
Kerberos V change & set Password (RPCSEC_GSS) |
|
TCP |
88 |
Data LIF (NFS, CIFS, iSCSI) |
Insieme di strutture di Active Directory |
Autenticazione Kerberos V. |
|
UDP |
137 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio nomi NetBIOS |
|
UDP |
138 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Servizio datagramma NetBIOS |
|
TCP |
139 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Sessione del servizio NetBIOS |
|
TCP E UDP |
389 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
LDAP |
|
TCP |
445 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Microsoft SMB/CIFS su TCP con frame NetBIOS |
|
TCP |
464 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (SET_CHANGE) |
|
UDP |
464 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Amministrazione delle chiavi Kerberos |
|
TCP |
749 |
LIF DATI (NFS, CIFS) |
Insieme di strutture di Active Directory |
Kerberos V change & set password (RPCSEC_GSS) |
|
AutoSupport |
HTTPS |
443 |
LIF di gestione dei nodi |
support.netapp.com |
AutoSupport (HTTPS è l’impostazione predefinita) |
HTTP |
80 |
LIF di gestione dei nodi |
support.netapp.com |
AutoSupport (solo se il protocollo di trasporto viene modificato da HTTPS a HTTP) |
|
TCP |
3128 |
LIF di gestione dei nodi |
Connettore |
Invio di messaggi AutoSupport tramite un server proxy sul connettore, se non è disponibile una connessione Internet in uscita |
|
Backup su S3 |
TCP |
5010 |
LIF intercluster |
Endpoint di backup o endpoint di ripristino |
Operazioni di backup e ripristino per la funzione Backup in S3 |
Cluster |
Tutto il traffico |
Tutto il traffico |
Tutte le LIF su un nodo |
Tutte le LIF sull’altro nodo |
Comunicazioni tra cluster (solo Cloud Volumes ONTAP ha) |
TCP |
3000 |
LIF di gestione dei nodi |
MEDIATORE HA |
Chiamate ZAPI (solo Cloud Volumes ONTAP ha) |
|
ICMP |
1 |
LIF di gestione dei nodi |
MEDIATORE HA |
Mantieni attivo (solo Cloud Volumes ONTAP ha) |
|
Backup della configurazione |
HTTP |
80 |
LIF di gestione dei nodi |
Http://<connector-IP-address>/occm/offboxconfig |
Inviare i backup della configurazione al connettore. "Informazioni sui file di backup della configurazione". |
DHCP |
UDP |
68 |
LIF di gestione dei nodi |
DHCP |
Client DHCP per la prima installazione |
DHCPS |
UDP |
67 |
LIF di gestione dei nodi |
DHCP |
Server DHCP |
DNS |
UDP |
53 |
LIF di gestione dei nodi e LIF dei dati (NFS, CIFS) |
DNS |
DNS |
NDMP |
TCP |
18600–18699 |
LIF di gestione dei nodi |
Server di destinazione |
Copia NDMP |
SMTP |
TCP |
25 |
LIF di gestione dei nodi |
Server di posta |
Gli avvisi SMTP possono essere utilizzati per AutoSupport |
SNMP |
TCP |
161 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
UDP |
161 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
TCP |
162 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
UDP |
162 |
LIF di gestione dei nodi |
Monitorare il server |
Monitoraggio mediante trap SNMP |
|
SnapMirror |
TCP |
11104 |
LIF intercluster |
ONTAP Intercluster LIF |
Gestione delle sessioni di comunicazione tra cluster per SnapMirror |
TCP |
11105 |
LIF intercluster |
ONTAP Intercluster LIF |
Trasferimento dei dati SnapMirror |
|
Syslog |
UDP |
514 |
LIF di gestione dei nodi |
Server syslog |
Messaggi di inoltro syslog |
Il gruppo di sicurezza esterno predefinito per il mediatore Cloud Volumes ONTAP ha include le seguenti regole in entrata e in uscita.
Il gruppo di sicurezza predefinito per il mediatore ha include la seguente regola inbound.
| Protocollo | Porta | Origine | Scopo |
|---|---|---|---|
TCP |
3000 |
CIDR del connettore |
Accesso API RESTful dal connettore |
Il gruppo di sicurezza predefinito per il mediatore ha apre tutto il traffico in uscita. Se questo è accettabile, attenersi alle regole di base per le chiamate in uscita. Se sono necessarie regole più rigide, utilizzare le regole avanzate in uscita.
Il gruppo di protezione predefinito per il mediatore ha include le seguenti regole in uscita.
| Protocollo | Porta | Scopo |
|---|---|---|
Tutti i TCP |
Tutto |
Tutto il traffico in uscita |
Tutti gli UDP |
Tutto |
Tutto il traffico in uscita |
Se sono necessarie regole rigide per il traffico in uscita, è possibile utilizzare le seguenti informazioni per aprire solo le porte necessarie per la comunicazione in uscita dal mediatore ha.
| Protocollo | Porta | Destinazione | Scopo |
|---|---|---|---|
HTTP |
80 |
Indirizzo IP del connettore sull’istanza AWS EC2 |
Scarica gli aggiornamenti per il mediatore |
HTTPS |
443 |
ec2.amazonaws.com |
Assistenza per il failover dello storage |
UDP |
53 |
ec2.amazonaws.com |
Assistenza per il failover dello storage |
|
Note
|
Anziché aprire le porte 443 e 53, è possibile creare un endpoint VPC di interfaccia dalla subnet di destinazione al servizio AWS EC2. |
Il gruppo di protezione interno predefinito per una configurazione Cloud Volumes ONTAP ha include le seguenti regole. Questo gruppo di sicurezza consente la comunicazione tra i nodi ha e tra il mediatore e i nodi.
BlueXP crea sempre questo gruppo di protezione. Non hai la possibilità di utilizzare il tuo.
Il gruppo di sicurezza predefinito include le seguenti regole in entrata.
| Protocollo | Porta | Scopo |
|---|---|---|
Tutto il traffico |
Tutto |
Comunicazione tra il mediatore ha e i nodi ha |