Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポートの設定

DCアシュアランスには、Apstra VMとFlowサーバーからクラウドサービスや内部システムへの特定のアウトバウンドおよびインバウンドネットワーク接続が必要です。ネットワークチームとセキュリティチームは、ファイアウォールルールを設定して、これらのポートおよび必要なエンドポイントへのトラフィックを許可する必要があります。

表1 に、ファイアウォールで有効にする必要があるポートとednpointを示します。

表1:ポート設定

方向

サービスタイプ

ポータル

ポート番号

説明

アウトバウンド

DCアシュアランス管理ポータル

dc.ai.juniper.net

TCP 443

DC アシュアランス GUI を開きます。

アウトバウンド

Apstraエッジからジュニパークラウドへの接続

ep-term.ai.juniper.net

TCP 443

インフラストラクチャとの安全な通信のために、Apstraエッジからクラウド終端サービスへの接続クラウド確立します。

アウトバウンド

Apstra EdgeからAmazon S3バケットへ

  • usw2-ai-prod-dc-payloads.s3.us-west-2.amazonaws.com

  • usw2-ai-prod-apstra-edge-repo.s3.us-west-2.amazonaws.com

TCP 443

Apstra Edgeは、Amazon S3バケットと対話して以下を行います。

  • JCloudからのリモートアップグレード中にエッジバイナリをダウンロードします。

  • テレメトリデータをアップロードします。

詳細については、以下の「 AWS S3バケットにアクセスするためのファイアウォールの設定 」を参照してください。

アウトバウンド

ApstraエッジからApstraコントローラへ

IP address of the Apstra instance

TCP 443

Apstraコントローラから設定を実行し、ブループリントや異常などのデータを取得します。

インバウンド

Apstraの異常がレシーバーをApstra Edgeにストリーミング

ローカルホスト

TCP 9595

Apstraストリームレシーバーからプッシュされた異常データを受信します。

インバウンド

ApstraメトリックがレシーバーをApstraエッジにストリーミング

ローカルホスト

TCP 9797

Apstraストリームレシーバーからプッシュされたメトリックデータを受信します。

インバウンド

ローカル管理サーバーからApstra Edgeへ

  • ローカルホスト

  • 0.0.0.0

TCP 8081

内部のヘルスチェック、メトリック、REST APIアクセスに使用されます。

アウトバウンド

Apstraエッジからフローサーバーへ

FlowServer OpenSearch エンドポイント

TCP 9200

OpenSearch にフロー データと分析データをクエリーします。

アウトバウンド

Apstraエッジからフローサーバーへ

メトリックエンドポイント

TCP 8080

コントローラによって公開されるメトリックを取得します。

アウトバウンド

 ApstraエッジからvCenterサーバーへのAPI

vCenterサーバーAPI

TCP 443

vSphere API(SOAP/SDK)は、VMware SDK クライアントによって vCenter の認証とインベントリのクエリに使用されます。

アウトバウンド

 Apstra EdgeからSlurmへ

IP address of the Slurm REST API Server instance

TCP 6820

Slurm REST APIサーバーに定期的にクエリを実行して、ワークロード/ジョブ情報を取得します。

AWS S3バケットにアクセスするためのファイアウォールの設定

FQDNベースのファイアウォールルールを設定する(推奨)

ファイアウォールがFQDN/DNSベースのルールをサポートしている場合は、このアプローチに従います。

AWS S3は動的IPアドレスを使用し、FQDNルールはIPアドレスの変更を自動的に追跡します。これにより、特定のバケットへのアクセスのみを制限でき、継続的なIPメンテナンスは必要ありません。

許可するもの—エッジサービスから特定のS3バケットホスト名へのアウトバウンドHTTPS(TCP 443)( bucket-name.s3.regionの形式)。amazonaws.com

IPベースのファイアウォールルールを設定する

ファイアウォールがFQDNベースのルールをサポートしていない場合、AWSが公開したIP範囲を使用してアクセスを許可できます。

AWS S3のIP範囲は静的ではなく、いつでも変更される可能性があります。そのため、サービスの中断を避けるために、ファイアウォールルールを最新の状態に保つ必要があります。また、エッジサービスは、DNS経由でAWSエンドポイントを解決できる必要があります。DNSリゾルバーへのアウトバウンドアクセスが許可されていることを確認する必要があります。

許可するもの—エッジサービスから、S3 AWSサービスおよびサービスで使用されるAWSリージョンに対応する宛先IP範囲へのアウトバウンドHTTPS(TCP 443)。

AWSリージョンとIPアドレス範囲の全リストについては、「 https://ip-ranges.amazonaws.com/ip-ranges.json」を参照してください。

注:

全リストから関連する地域とIP範囲の検索を絞り込むには、以下でエントリーをフィルタリングします。

  • "service":"S3"

  • "region":"applicable-region"