本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon 进行文件系统访问控制 VPC
亚马逊FSx文件系统可通过弹性网络接口进行访问,该接口位于虚拟私有云 (VPC) 中,该接口基于您与文件系统关联的亚马逊VPC服务。您可以通过其DNS名称访问您FSx的 Amazon 文件系统,该名称映射到文件系统的网络接口。只有关联或对VPC等节点中的资源才能访问您的文件系统的网络接口。VPC有关更多信息,请参阅什么是亚马逊VPC? 在《亚马逊VPC用户指南》中。
警告
您不得修改或删除亚马逊 e FSx lastic network interface。修改或删除网络接口可能会导致您VPC和您的文件系统之间的连接永久中断。
亚马逊VPC安全组
为了进一步控制通过文件系统内网络接口的网络流量VPC,您可以使用安全组来限制对文件系统的访问。安全组充当虚拟防火墙,为其关联的资源控制流量。在这种情况下,关联的资源就是文件系统的网络接口。您还可以使用VPC安全组来控制您的网络流量 Lustre 客户。
使用入站和出站规则控制访问权限
使用安全组控制对您的 Amazon FSx 文件系统的访问以及 Lustre 客户端,您可以添加入站规则来控制传入流量,添加出站规则来控制来自文件系统的传出流量,以及 Lustre 客户。确保您的安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。
有关安全组规则的更多信息,请参阅 Amazon EC2 用户指南中的安全组规则。
为您的 Amazon FSx 文件系统创建安全组
-
在 https://console.aws.amazon.com/ec2
上打开亚马逊EC2控制台。 -
在导航窗格中,选择安全组。
-
选择创建安全组。
-
为安全组指定名称和描述。
-
对于 VPC,请选择与您的 Amazon FSx 文件系统VPC关联的,以便在该文件系统中创建安全组VPC。
-
选择创建以创建安全组。
接下来,向刚才创建的安全组添加入站规则以启用 Lustre 您的 f FSx or Lustre 文件服务器之间的流量。
将入站规则添加到安全组
-
如果尚未选择您刚刚创建的安全组,请选择该安全组。对于操作,请选择编辑入站规则。
-
添加以下入站规则。
Type 协议 端口范围 源 描述 自定义TCP规则 TCP 988 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 Lustre Lustre 文件服务器之间的FSx流量 自定义TCP规则 TCP 988 选择 “自定义”,然后输入与您关联的安全组的安全组 IDs Lustre 客户端 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端 自定义TCP规则 TCP 1018-1023 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 Lustre Lustre 文件服务器之间的FSx流量 自定义TCP规则 TCP 1018-1023 选择 “自定义”,然后输入与您关联的安全组的安全组 IDs Lustre 客户端 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端 -
选择保存以保存并应用新的入站规则。
默认情况下,安全组规则允许所有出站流量(所有,0.0.0.0/0)。如果您的安全组不允许所有出站流量,则将以下出站规则添加到您的安全组。这些规则允许 Lustre 文件服务器和之间的FSx流量 Lustre 客户端,以及两者之间 Lustre 文件服务器。
将出站规则添加到安全组
-
选择刚刚向其添加入站规则的同一安全组。对于操作,请选择编辑出站规则。
-
添加以下出站规则。
Type 协议 端口范围 源 描述 自定义TCP规则 TCP 988 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 Lustre Lustre 文件服务器之间的FSx流量 自定义TCP规则 TCP 988 选择 “自定义”,然后输入与您的关联的安全组的安全组 IDs Lustre 客户端 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端 自定义TCP规则 TCP 1018-1023 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 Lustre Lustre 文件服务器之间的FSx流量 自定义TCP规则 TCP 1018-1023 选择 “自定义”,然后输入与您关联的安全组的安全组 IDs Lustre 客户端 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端 -
选择保存以保存并应用新的出站规则。
将安全组与您的 Amazon FSx 文件系统关联
-
打开 Amazon FSx 控制台,网址为https://console.aws.amazon.com/fsx/
。 -
在控制台控制面板上,选择您的文件系统以查看其详细信息。
-
在 “网络和安全” 选项卡上,单击 “网络接口” 下的 Amazon EC2 控制台链接,查看您的文件系统的所有网络接口。
-
对于每个网络接口,选择操作,然后选择更改安全组。
-
在更改安全组中,选择要与网络接口关联的安全组。
-
选择保存。
Lustre 客户端VPC安全组规则
您可以使用VPC安全组来控制对您的访问权限 Lustre 客户端,通过添加入站规则来控制传入流量,添加出站规则来控制来自你的传出流量 Lustre 客户。确保您的安全组中有正确的网络流量规则,以确保 Lustre 交通可以在你之间流动 Lustre 客户和您的 Amazon FSx 文件系统。
将以下入站规则添加到应用于您的安全组中 Lustre 客户。
Type | 协议 | 端口范围 | 源 | 描述 |
---|---|---|---|---|
自定义TCP规则 | TCP | 988 | 选择 “自定义”,然后输入应用于您的安全组的安全组 IDs Lustre 客户端 | 允许 Lustre 之间的交通 Lustre 客户端 |
自定义TCP规则 | TCP | 988 | 选择 “自定义”,然后在 Lustre 文件系统中输入与您FSx关联的安全组的安全组 IDs | 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端 |
自定义TCP规则 | TCP | 1018-1023 | 选择 “自定义”,然后输入应用于您的安全组的安全组 IDs Lustre 客户端 | 允许 Lustre 之间的交通 Lustre 客户端 |
自定义TCP规则 | TCP | 1018-1023 | 选择 “自定义”,然后在 Lustre 文件系统中输入与您FSx关联的安全组的安全组 IDs | 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端 |
将以下出站规则添加到应用于您的安全组中 Lustre 客户。
Type | 协议 | 端口范围 | 源 | 描述 |
---|---|---|---|---|
自定义TCP规则 | TCP | 988 | 选择 “自定义”,然后输入应用于您的安全组的安全组 IDs Lustre 客户端 | 允许 Lustre 之间的交通 Lustre 客户端 |
自定义TCP规则 | TCP | 988 | 选择 “自定义”,然后在 Lustre 文件系统中输入与您FSx关联的安全组的安全组 IDs | 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端 |
自定义TCP规则 | TCP | 1018-1023 | 选择 “自定义”,然后输入应用于您的安全组的安全组 IDs Lustre 客户端 | 允许 Lustre 之间的交通 Lustre 客户端 |
自定义TCP规则 | TCP | 1018-1023 | 选择 “自定义”,然后在 Lustre 文件系统中输入与您FSx关联的安全组的安全组 IDs | 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端 |