本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon 进行文件系统访问控制 VPC
您可以使用 NetApp ONTAP文件系统访问您FSx的 Amazon,并SVMs使用其中一个终端节点的DNS名称或 IP 地址,具体取决于访问的类型。该DNS名称映射到您的文件系统或的 elastic network interface SVM 的私有 IP 地址VPC。只有关联VPC的资源或VPC通过 Amazon Direct Connect 或关联的资源才能通过VPNNFSSMB、或 i SCSI 协议访问文件系统中的数据。有关更多信息,请参阅什么是亚马逊VPC? 在《亚马逊VPC用户指南》中。
警告
不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除网络接口可能会导致您VPC和您的文件系统之间的连接永久中断。
亚马逊VPC安全组
安全组充当ONTAP文件系统的虚拟防火墙,FSx用于控制传入和传出流量。入站规则控制传入到文件系统的流量,出站规则控制从文件系统传出的流量。创建文件系统时,需要指定在其中创建VPC该文件系统的,并应用该文件系统的默认安全组。VPC您可以向每个安全组添加规则,允许流入或来自其关联文件系统的流量,以及SVMs。您可以随时修改安全组的规则。新规则和修改后的规则将自动应用到与安全组相关联的所有资源。当 Amazon FSx 决定是否允许流量到达某个资源时,它会评估与该资源关联的所有安全组的所有规则。
要使用安全组控制对您的 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,可以将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。
有关安全组规则的更多信息,请参阅 Amazon EC2 用户指南中的安全组规则。
创建VPC安全组
为 Amazon 创建安全组 FSx
-
在 https://console.aws.amazon.com/ec2
上打开亚马逊EC2控制台。 -
在导航窗格中,选择安全组。
-
选择创建安全组。
-
为安全组指定名称和描述。
-
对于 VPC,请选择与您的文件系统VPC关联的 Amazon,在其中创建安全组VPC。
对于出站规则,允许所有端口上的所有流量传输。
-
将以下规则添加到安全组的入站端口。对于源字段,您应选择自定义,然后输入与需要访问您的FSxONTAP文件系统的实例关联的安全组或 IP 地址范围,包括:
通过、或 i 访问文件系统中数据的 Linux NFS SMB、Windows 和/或 macOS 客户端。SCSI
您将与您的ONTAP文件系统对等的任何文件系统/群集(例如,使用 SnapMirror SnapVault、或 FlexCache)。
您将用于访问、或的任何客户端ZAPIs(例如 ONTAP RESTAPI,CLIHarvest/Grafana 实例、Connector 或 BlueX NetApp P)。 NetApp
协议
端口
角色
所有 ICMP
全部
对实例执行 ping 操作
SSH
22
SSH访问集群管理LIF或节点管理的 IP 地址 LIF
TCP
111
远程过程调用 NFS
TCP
135
远程过程调用 CIFS
TCP
139
的网络BIOS服务会话 CIFS
TCP 161-162 简单网络管理协议 (SNMP)
TCP
443
ONTAPRESTAPI访问集群管理LIF或管理的 IP 地址 SVM LIF
TCP
445
MicrosoftSMB/CIFS结束了TCP网络BIOS框架
TCP
635
NFS装载
TCP
749
Kerberos
TCP
2049
NFS服务器守护程序
TCP
3260
我通过 i SCSI 数据进行SCSI访问 LIF
TCP
4045
NFS锁定守护程序
TCP
4046
的网络状态监视器 NFS
TCP
10000
网络数据管理协议 (NDMP) 和 NetApp SnapMirror 集群间通信
TCP 11104 管理 NetApp SnapMirror 集群间通信 TCP 11105 SnapMirror 使用集群间进行数据传输 LIFs UDP 111 远程过程调用 NFS UDP
135
远程过程调用 CIFS
UDP
137
的网络BIOS名称解析 CIFS
UDP
139
的网络BIOS服务会话 CIFS
UDP 161-162 简单网络管理协议 (SNMP)
UDP
635
NFS装载
UDP
2049
NFS服务器守护程序
UDP
4045
NFS锁定守护程序
UDP
4046
的网络状态监视器 NFS
UDP
4049
NFS配额协议
-
将安全组添加到文件系统的弹性网络接口。
禁止访问文件系统
要暂时禁止所有客户端通过网络访问您的文件系统,可以删除与文件系统的弹性网络接口关联的所有安全组,并将其替换为没有入站/出站规则的组。