Portmap 服务配置
Portmap 服务将 RPC 服务映射至其侦听所在的端口。
Portmap 服务在 ONTAP 9.4 至 ONTAP 9.6 中变得可配置,从 ONTAP 9.7 开始可以自动管理。
- 从 ONTAP 9.4 到 ONTAP 9.6,可修改防火墙策略,以控制 Portmap 服务是否可在特定 LIF 上访问。
- 从 ONTAP 9.7 开始,删除了 Portmap 防火墙服务。相反,将为所有支持 NFS 服务的 LIF 自动打开 Portmap 端口。
在 ONTAP 9.4 至 ONTAP 9.6 中,在防火墙中可配置 Portmap 服务
本主题的其余部分讨论如何为 ONTAP 9.4 至 ONTAP 9.6 版本配置 Portmap 防火墙服务。
根据配置,或许可以不允许在特定类型的 LIF(通常为管理和集群间 LIF)上访问该服务。在某些情况下,甚至可以不允许在数据 LIF 上访问该服务。
预期行为
ONTAP 9.4 至 ONTAP 9.6 行为旨在实现升级后的无缝转换。如果已经通过特定类型的 LIF 访问 Portmap 服务,则可继续通过这些类型的 LIF 访问该服务。与之前的 ONTAP 版本相同,可以指定该 LIF 类型防火墙策略中防火墙内可访问的服务。
重要
集群中的所有节点必须运行 ONTAP 9.4 至 ONTAP 9.6 才能使该行为生效。仅入站流量会受到影响。
新规则如下:
- 升级到 9.4 至 9.6 版本后,ONTAP 将 Portmap 服务添加到现有的所有防火墙策略(包括默认或自定义策略)。
- 创建新集群或新 IPspace 时,ONTAP 将 Portmap 服务添加到默认数据策略,而非默认管理或集群间策略。
- 可根据需要将 Portmap 服务添加到默认或自定义策略,并根据需要删除该服务。
如何添加或删除 Portmap 服务
要将 Portmap 服务添加到 SVM 或集群防火墙策略(使其可在防火墙中访问),请输入:
cluster_1::> system services firewall policy create -vserver SVM -policy mgmt|intercluster|data|custom -service portmap
要从 SVM 或集群防火墙策略中删除 Portmap 服务(使其不可在防火墙中访问),请输入:
cluster_1::> system services firewall policy delete -vserver SVM -policy -policy mgmt|intercluster|data|custom -service portmap
可以使用 network interface modify 命令将防火墙策略应用于现有 LIF。有关完整的命令语法,请参阅手册页。
提供反馈