Amazon FSx for NetApp ONTAPのセキュリティグループを変更する方法

今回は Amazon FSx for NetApp ONTAP のセキュリティグループを変更する方法を紹介します。マネジメントコンソールからセキュリティグループを変更する場合は FSx for ONTAP の画面ではなく、Elastic Network Interface の画面から変更を行います。

FSx for ONTAP のセキュリティグループ変更方法

FSx for ONTAP のセキュリティグループは FSx for ONTAP 構築時に作成される Elastic Network Interface (ENI) に対して設定されているため、変更する場合は ENI の設定から変更する必要があります。

セキュリティグループを変更してみます。

はじめに FSx for ONTAP の画面からネットワークインターフェース（ENI）を確認します。マルチ AZ 構成の場合は、優先サブネットとスタンバイサブネットのそれぞれに ENI が関連付けられています。

優先サブネットのネットワークインタフェースから ENI を選択後に、セキュリティグループを変更します。

次にスタンバイサブネットのネットワークインタフェースから ENI を選択後に、セキュリティグループを変更します。

以上で変更は完了です。

シングル AZ 構成の場合は 1 つの ENI の変更のみですが、マルチ AZ 構成の場合は 2 つの ENI を変更する必要がありました。マルチ AZ の場合は次の構成イメージ図のように 2 つの ENI が構築されるためです。

マルチ AZ 構成についてはこちらのブログでも少し触れています。

FSx for ONTAP への疎通確認

セキュリティグループが意図した通りに設定できているかを確認するためには VPC Reachability Analyzer が便利です。

次の構成において、EC2 インスタンスから FSx for ONTAP の Elastic Network Interface (ENI) までのネットワーク到達性を確認してみます。

VPC の Reachability Analyzer サービスを選択して「パスの作成と分析」を行います。

送信元タイプには Instances を選択してインスタンス ID を指定し、送信先タイプには Network Interfaces を選択して FSx for ONTAP の優先サブネットの ENI を指定します。今回の例では管理インターフェースへの SSH 接続を確認するために TCP の 22 番ポートで確認します。

もう一つの ENI への到達性を確認するために、送信先をスタンバイサブネットの ENI に指定したパスも作成します。

両方の ENI まで「到達可能」であることを確認できました。

なお、到達不可能な場合には原因を確認することができます。例えば、次の図はセキュリティグループのインバウンド通信が許可されていないことが原因の例です。

以上のように、VPC Reachability Analyzer を利用することで、初期構築時の疎通確認やセキュリティグループ変更後の確認を行うことができます。

さいごに

Amazon FSx for NetApp ONTAP のセキュリティグループの変更方法を紹介しました。初期構築時にデフォルトのセキュリティグループを選択したまま構築してしまい、後から変更する機会があったため対応方法をまとめました。

この記事がどなたかのご参考になれば幸いです。

参考資料

What is Amazon FSx for NetApp ONTAP? - FSx for ONTAP