托管 Amazon FSx 文件网关资源 - Amazon Storage Gatewa
网关状态了解文件系统状态编辑基本网关信息设置网关安全级别编辑 FSx 文件网关的 Active Directory 设置编辑 Amazon FSx 文件系统的设置分离 Amazon FSx 文件系统
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon FSx 文件网关不再向新客户开放。 FSx File Gateway 的现有客户可以继续正常使用该服务。有关与 FSx 文件网关类似的功能,请访问此博客文章

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

托管 Amazon FSx 文件网关资源

以下各节提供有关如何托管 Amazon FSx 文件网关(FSx 文件网关)资源的信息(包括附加和分离 Amazon FSx 文件系统以及配置 Microsoft Active Directory 设置)。

了解网关状态

Amazon Storage Gateway 部署中的每个网关都有一个关联的状态,让您可以一目了然地了解网关的运行状况。大多数情况下,该状态表示网关运行正常,无需您采取任何措施。在某些情况下,状态指示有问题,可能需要您执行相关操作,也可能不需要。

您可以在 Storage Gateway 控制台的网关页面上查看部署中每个网关的状态。网关状态显示在网关名称旁边的状态栏中。运行正常的网关状态为 RUNNING

下表列出了每个网关状态的说明,以及您是否应该根据该状态采取相应措施。网关在使用期间应始终或大部分时间保持 RUNNING 状态。

状态 含义
RUNNING

网关配置正确,可供使用。
OFFLINE

网关可能由于以下一个或多个原因处于 OFFLINE 状态:

  • 网关无法到达 Storage Gateway 服务端点。

  • 网关意外关闭。

  • 网关关联的缓存磁盘已断开连接、已被修改或发生故障。

了解文件系统状态

您可以通过查看文件系统的状态来快速了解其运行状况。如果状态显示文件系统运行正常,则无需您采取任何操作。如果状态显示存在问题,您可以进行调查以确定是否需要采取措施。

您可以在 Storage Gateway 控制台的状态栏中查看文件系统的状态。运行正常的文件系统状态显示为“可用”。大多数情况下,都应处于此状态。

下表列出了文件共享状态、其含义以及是否需要采取措施。

状态 含义
AVAILABLE

文件系统已正确配置,可供使用。这是文件系统正常运行的标准状态。
CREATING

文件系统尚未完全创建,尚不可用。CREATING (正在创建) 状态是过渡型状态。无需采取行动。如果文件系统卡在此状态,可能是由于网关 VM 与 Amazon 的连接断开。
UPDATING

文件系统配置正在更新。“正在更新”状态为过渡状态。无需采取行动。如果文件系统卡在此状态,可能是由于网关 VM 与 Amazon 的连接断开。
DELETING

正在删除文件系统。文件系统只有在所有数据上传到 Amazon 后才会被删除。DELETING 状态是过渡型状态,无需执行任何操作。
FORCE_DELETING

正在强制删除文件系统。文件系统将被立即删除,数据不会上传到 Amazon。FORCE_DELETING 状态是过渡性质的,无需执行任何操作。
ERROR

文件系统处于不佳状态。需要执行操作。可能的原因包括访问凭证或权限问题、连接问题或文件系统存储空间不足。在解决导致状态不佳的问题后,文件系统将恢复到 AVAILABLE 状态。

编辑 FSx 文件网关的基本信息

您可以使用 Storage Gateway 控制台来编辑现有网关的基本信息,包括网关名称、时区和 CloudWatch 日志组。

编辑现有网关的基本信息

  1. 打开 Storage Gateway 控制台,网址为 https://console.aws.amazon.com/storagegateway/home

  2. 选择网关,然后选择要为其编辑基本信息的网关。

  3. 操作下拉菜单中,选择编辑网关信息

  4. 对于 Gateway name (网关名称),输入网关的名称。可以搜索此名称,以便在 Storage Gateway 控制台中的列表页面上找到您的网关。

    注意

    网关名称必须介于 2 到 255 个字符之间,并且不能包含斜杠(\/)。

    更改网关名称将断开为监控网关而设置的任何 CloudWatch 警报的连接。要重新连接警报,请在 CloudWatch 控制台中更新每个警报的 GatewayName

  5. 对于网关时区,选择要在其中部署网关的地区的本地时区。

  6. 对于选择如何设置日志组,选择如何设置 Amazon CloudWatch Logs 来监控网关的运行状况。可从以下选项中进行选择:

    • 创建新日志组:设置新的日志组来监控您的网关。

    • 使用现有的日志组:从相应的下拉列表中选择现有日志组。

    • 停用日志记录:请勿使用 Amazon CloudWatch Logs 来监控您的网关。

  7. 完成修改要更改的设置时,选择保存更改

设置网关的安全级别

您可以为 FSx 文件网关配置 SMB 安全级别,以指定网关是否需要服务器消息块(SMB)签名或 SMB 加密。

配置安全级别

  1. 打开 Storage Gateway 控制台,网址为 https://console.aws.amazon.com/storagegateway/home

  2. 选择网关,然后选择要编辑其 S​​MB 设置的网关。

  3. 操作下拉菜单中,选择编辑 SMB 设置,然后选择 SMB 安全设置

  4. 对于 Security level (安全级别),请选择下列选项之一:

    注意

    有关使用 Amazon API 配置此设置的信息,请参阅《Amazon Storage Gateway API 参考》中的 UpdateSMBSecurityStrategy

    较高的安全级别可能会影响性能。

    • 强制性加密:如果选择此选项,则 FSx 文件网关仅允许使用 256 位 AES 加密算法的 SMBv3 客户端连接。不允许使用 128 位算法。对于处理敏感数据的环境,建议使用此选项。此选项适用于 Microsoft Windows 8、Windows Server 2012 或更高版本上的 SMB 客户端。

    • 强制加密:如果选择此选项,则 FSx 文件网关仅允许已开启加密的 SMBv3 客户端连接。允许 256 位和 128 位算法。对于处理敏感数据的环境,建议使用此选项。此选项适用于 Microsoft Windows 8、Windows Server 2012 或更高版本上的 SMB 客户端。

    • 强制签名:如果选择此选项,则 FSx 文件网关仅允许已开启签名的 SMBv2 或 SMBv3 客户端连接。此选项适用于 Microsoft Windows Vista、Windows Server 2008 或更高版本上的 SMB 客户端。

    注意

    FSx 文件网关的默认安全级别为强制加密

  5. 选择保存

编辑 FSx 文件网关的 Active Directory 设置

要使用企业 Microsoft Active Directory 或 Amazon Managed Microsoft AD 进行用户身份验证访问 Amazon FSx 文件系统,请编辑网关的 SMB 设置并提供 Active Directory 域凭证。这样做可以使网关加入 Active Directory 域并允许该域的成员访问文件系统。

注意

利用 Amazon Directory Service,您可以在 Amazon Web Services 云 中创建托管的 Active Directory 域服务。

要将 Amazon Managed Microsoft AD 与 Amazon EC2 网关配合使用,您必须在与 Amazon Managed Microsoft AD 相同的 VPC 中创建 Amazon EC2 实例,将 _workspaceMembers 安全组添加到 Amazon EC2 实例,并使用来自 Amazon Managed Microsoft AD 的管理员凭证加入 AD 域。

有关 Amazon Managed Microsoft AD 的更多信息,请参阅 Amazon Directory Service 管理员指南

有关 Amazon EC2 的更多信息,请参阅 Amazon Elastic Compute Cloud 文档

开启 Active Directory 身份验证

  1. 打开 Storage Gateway 控制台,网址为 https://console.aws.amazon.com/storagegateway/home

  2. 选择网关,然后选择要编辑其 S​​MB 设置的网关。

  3. 操作下拉菜单中,选择编辑 SMB 设置,然后选择Active Directory 设置

  4. 域名中,输入您希望网关加入的 Active Directory 域的名称。

    注意

    当网关从未加入域时,Active Directory status (Active Directory 状态) 显示 Detached (已分离)

    您的 Active Directory 服务账户必须具有必要的权限。有关更多信息,请参阅 Active Directory 服务账户权限要求

    加入域会在默认计算机容器(不是 OU)中创建一个 Active Directory 计算机账户,并使用网关的网关 ID 作为账户名(例如,SGW-1234ADE)。此账户的名称无法自定义。

    如果您的 Active Directory 环境要求您预先创建账户以简化加入域的流程,则需要提前创建此账户。

    如果您的 Active Directory 环境为新的计算机对象指定了 OU,则在加入域时必须指定该 OU。

    如果您的网关无法加入 Active Directory 目录,请尝试通过 JoinDomain API 操作使用目录的 IP 地址加入。

  5. 域用户域密码中,输入网关用于加入域的 Active Directory 服务账户的凭证。

  6. (可选)对于组织单元(OU),输入您的 Active Directory 用于新计算机对象的指定 OU。

  7. (可选)对于域控制器(DC),输入一个或多个域控制器的名称,您的网关将通过这些域控制器连接到 Active Directory。您可以输入多个 DC,用逗号分隔。您可以将此字段留空以允许 DNS 自动选择 DC。

  8. 选择保存更改

编辑 Amazon FSx 文件系统的设置

创建适用于 Windows File Server 的 Amazon FSx 文件系统后,您可以编辑 CloudWatch 日志、自动缓存刷新和 Amazon FSx 服务账户凭证的设置。

要编辑 Amazon FSx 文件系统设置,请执行以下操作:

  1. 打开 Storage Gateway 控制台,网址为 https://console.aws.amazon.com/storagegateway/home

  2. 在导航窗格中,选择文件系统,然后选择要编辑其设置的文件系统。

  3. 操作中,选择编辑文件系统设置

  4. 在文件系统设置部分,验证网关、Amazon FSx 位置和 IP 地址信息。

    注意

    将文件系统的 IP 地址附加到网关后,您就无法对其进行编辑。要更改 IP 地址,必须断开并重新连接文件系统。

  5. 审核日志部分,选择一个选项,使用 CloudWatch 日志组来监控对 Amazon FSx 文件系统的访问。您也可以使用现有日志组。

  6. 对于自动缓存刷新设置,请选择一个选项。如果选择设置刷新间隔,您可以使用生存时间(TTL)设置刷新文件系统缓存的时间(以天、小时和分钟为单位)。

    TTL 指的是自上次刷新以来的时间长度。在该时间段之后访问该目录时,文件网关会从 Amazon FSx 文件系统中刷新该目录的内容。

    注意

    有效的刷新间隔值介于 5 分钟到 30 天之间。

  7. 服务账户设置(可选)部分,输入用户名和密码。这些凭证适用于具有与您的 Amazon FSx 文件系统关联的 Active Directory 服务中的备份管理员角色的用户。

  8. 选择保存更改

分离 Amazon FSx 文件系统

在适用于 Windows File Server 的 FSx 上,分离文件系统不会删除您的数据。分离文件系统之前写入的数据仍会上传到您的适用于 Windows File Server 的 FSx。

要分离 Amazon FSx 文件系统,请执行以下操作:

  1. 打开 Storage Gateway 控制台,网址为 https://console.aws.amazon.com/storagegateway/home

  2. 选择 FSx 文件系统,然后选择一个或多个要分离的文件系统。

  3. 操作中,选择分离文件系统。此时会显示确认对话框。

  4. 确认要分离指定的文件系统,然后在确认框中键入分离,并选择分离