使用 Amazon VPC 进行文件系统访问控制 - FSx for ONTAP
Amazon VPC 安全组
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon VPC 进行文件系统访问控制

您可以使用其中一个终端节点的 DNS 名称或 IP 地址访问适用于 NetApp ONTAP 文件系统和 SVM 的 Amazon FSx,具体取决于访问类型。DNS 名称映射到文件系统的私有 IP 地址或您 VPC 中 SVM 的弹性网络接口。只有关联 VPC 中的资源,或者通过 Amazon Direct Connect 或 VPN 与关联 VPC 连接的资源,才能通过 NFS、SMB 或 iSCSI 协议访问文件系统中的数据。有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC?

警告

不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

Amazon VPC 安全组

安全组充当 FSx for ONTAP 文件系统的虚拟防火墙,用于控制传入和传出流量。入站规则控制传入到文件系统的流量,出站规则控制从文件系统传出的流量。创建文件系统时,您需要指定要在其中创建文件系统的 VPC,并应用该 VPC 的默认安全组。您可以为每个安全组添加规则,规定流入或流出其关联文件系统的流量。您可以随时修改安全组的规则。新规则和修改后的规则将自动应用到与安全组相关联的所有资源。在 Amazon FSx 确定是否允许流量到达资源时,它会评估与资源关联的所有安全组中的所有规则。

要使用安全组控制对 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的安全组规则

创建 VPC 安全组

为 Amazon FSx 创建安全组

  1. 打开 Amazon EC2 控制台,网址为 https://console.aws.amazon.com/ec2

  2. 在导航窗格中,选择安全组

  3. 选择创建安全组

  4. 为安全组指定名称和描述。

  5. 对于 VPC,请选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。

  6. 对于出站规则,允许所有端口上的所有流量传输。

  7. 将以下规则添加到安全组的入站端口。在字段中,您应选择自定义,然后输入与需要访问 FSx for ONTAP 文件系统的实例关联的安全组或 IP 地址范围,包括:

    • 通过 NFS、SMB 或 iSCSI 访问文件系统中数据的 Linux、Windows 和/或 macOS 客户端。

    • 您将与您的文件系统对等的任何 ONTAP 文件系统/集群(例如,使用 SnapMirror SnapVault、或)。 FlexCache

    • 您将用于访问 ONTAP REST API、CLI 或 zAPI 的任何客户端(例如 Harvest/Grafana 实例、Connector 或 BlueXP)。 NetApp NetApp

    协议

    端口

    角色

    所有 ICMP

    全部

    对实例执行 ping 操作

    SSH

    22

    通过 SSH 访问集群管理 LIF 或节点管理 LIF 的 IP 地址

    TCP

    111

    NFS 的远程过程调用

    TCP

    135

    CIFS 的远程过程调用

    TCP

    139

    CIFS 的 NetBIOS 服务会话
    TCP 161-162

    简单网络管理协议(SNMP)

    TCP

    443

    通过 ONTAP REST API 访问集群管理 LIF 或 SVM 管理 LIF 的 IP 地址

    TCP

    445

    通过 TCP 和 NetBIOS 帧进行的 Microsoft SMB/CIFS

    TCP

    635

    NFS 挂载

    TCP

    749

    Kerberos

    TCP

    2049

    NFS 服务器进程守护程序

    TCP

    3260

    通过 iSCSI 数据 LIF 进行 iSCSI 访问

    TCP

    4045

    NFS 锁定进程守护程序

    TCP

    4046

    NFS 网络状态监控

    TCP

    10000

    网络数据管理协议 (NDMP) 和集群 NetApp SnapMirror 间通信
    TCP 11104 管理 NetApp SnapMirror 集群间通信
    TCP 11105 SnapMirror 使用集群间 LIF 进行数据传输
    UDP 111 NFS 的远程过程调用

    UDP

    135

    CIFS 的远程过程调用

    UDP

    137

    CIFS 的 NetBIOS 名称解析

    UDP

    139

    CIFS 的 NetBIOS 服务会话
    UDP 161-162

    简单网络管理协议(SNMP)

    UDP

    635

    NFS 挂载

    UDP

    2049

    NFS 服务器进程守护程序

    UDP

    4045

    NFS 锁定进程守护程序

    UDP

    4046

    NFS 网络状态监控

    UDP

    4049

    NFS 配额协议

  8. 将安全组添加到文件系统的弹性网络接口。

禁止访问文件系统

要暂时禁止所有客户端通过网络访问您的文件系统,可以删除与文件系统的弹性网络接口关联的所有安全组,并将其替换为没有入站/出站规则的组。