使用 Amazon 进行文件系统访问控制 VPC - FSx为了光泽
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 进行文件系统访问控制 VPC

亚马逊FSx文件系统可通过弹性网络接口进行访问,该接口位于虚拟私有云 (VPC) 中,该接口基于您与文件系统关联的亚马逊VPC服务。您可以通过其DNS名称访问您FSx的 Amazon 文件系统,该名称映射到文件系统的网络接口。只有关联或对VPC等节点中的资源才能访问您的文件系统的网络接口。VPC有关更多信息,请参阅什么是亚马逊VPC? 在《亚马逊VPC用户指南》中。

警告

您不得修改或删除亚马逊 e FSx lastic network interface。修改或删除网络接口可能会导致您VPC和您的文件系统之间的连接永久中断。

亚马逊VPC安全组

为了进一步控制通过文件系统内网络接口的网络流量VPC,您可以使用安全组来限制对文件系统的访问。安全组充当虚拟防火墙,为其关联的资源控制流量。在这种情况下,关联的资源就是文件系统的网络接口。您还可以使用VPC安全组来控制您的网络流量 Lustre 客户。

使用入站和出站规则控制访问权限

使用安全组控制对您的 Amazon FSx 文件系统的访问以及 Lustre 客户端,您可以添加入站规则来控制传入流量,添加出站规则来控制来自文件系统的传出流量,以及 Lustre 客户。确保您的安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅 Amazon EC2 用户指南中的安全组规则

为您的 Amazon FSx 文件系统创建安全组
  1. https://console.aws.amazon.com/ec2 上打开亚马逊EC2控制台。

  2. 在导航窗格中,选择安全组

  3. 选择创建安全组

  4. 为安全组指定名称和描述。

  5. 对于 VPC,请选择与您的 Amazon FSx 文件系统VPC关联的,以便在该文件系统中创建安全组VPC。

  6. 选择创建以创建安全组。

接下来,向刚才创建的安全组添加入站规则以启用 Lustre 您的 f FSx or Lustre 文件服务器之间的流量。

将入站规则添加到安全组
  1. 如果尚未选择您刚刚创建的安全组,请选择该安全组。对于操作,请选择编辑入站规则

  2. 添加以下入站规则。

    Type 协议 端口范围 描述
    自定义TCP规则 TCP 988 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 Lustre Lustre 文件服务器之间的FSx流量
    自定义TCP规则 TCP 988 选择 “自定义”,然后输入与您关联的安全组的安全组 IDs Lustre 客户端 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端
    自定义TCP规则 TCP 1018-1023 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 Lustre Lustre 文件服务器之间的FSx流量
    自定义TCP规则 TCP 1018-1023 选择 “自定义”,然后输入与您关联的安全组的安全组 IDs Lustre 客户端 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端
  3. 选择保存以保存并应用新的入站规则。

默认情况下,安全组规则允许所有出站流量(所有,0.0.0.0/0)。如果您的安全组不允许所有出站流量,则将以下出站规则添加到您的安全组。这些规则允许 Lustre 文件服务器和之间的FSx流量 Lustre 客户端,以及两者之间 Lustre 文件服务器。

将出站规则添加到安全组
  1. 选择刚刚向其添加入站规则的同一安全组。对于操作,请选择编辑出站规则

  2. 添加以下出站规则。

    Type 协议 端口范围 描述
    自定义TCP规则 TCP 988 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 Lustre Lustre 文件服务器之间的FSx流量
    自定义TCP规则 TCP 988 选择 “自定义”,然后输入与您的关联的安全组的安全组 IDs Lustre 客户端 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端
    自定义TCP规则 TCP 1018-1023 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 Lustre Lustre 文件服务器之间的FSx流量
    自定义TCP规则 TCP 1018-1023 选择 “自定义”,然后输入与您关联的安全组的安全组 IDs Lustre 客户端 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端
  3. 选择保存以保存并应用新的出站规则。

将安全组与您的 Amazon FSx 文件系统关联
  1. 打开 Amazon FSx 控制台,网址为https://console.aws.amazon.com/fsx/

  2. 在控制台控制面板上,选择您的文件系统以查看其详细信息。

  3. 在 “网络和安全” 选项卡上,单击 “网络接口” 下的 Amazon EC2 控制台链接,查看您的文件系统的所有网络接口。

  4. 对于每个网络接口,选择操作,然后选择更改安全组

  5. 更改安全组中,选择要与网络接口关联的安全组。

  6. 选择保存

Lustre 客户端VPC安全组规则

您可以使用VPC安全组来控制对您的访问权限 Lustre 客户端,通过添加入站规则来控制传入流量,添加出站规则来控制来自你的传出流量 Lustre 客户。确保您的安全组中有正确的网络流量规则,以确保 Lustre 交通可以在你之间流动 Lustre 客户和您的 Amazon FSx 文件系统。

将以下入站规则添加到应用于您的安全组中 Lustre 客户。

Type 协议 端口范围 描述
自定义TCP规则 TCP 988 选择 “自定义”,然后输入应用于您的安全组的安全组 IDs Lustre 客户端 允许 Lustre 之间的交通 Lustre 客户端
自定义TCP规则 TCP 988 选择 “自定义”,然后在 Lustre 文件系统中输入与您FSx关联的安全组的安全组 IDs 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端
自定义TCP规则 TCP 1018-1023 选择 “自定义”,然后输入应用于您的安全组的安全组 IDs Lustre 客户端 允许 Lustre 之间的交通 Lustre 客户端
自定义TCP规则 TCP 1018-1023 选择 “自定义”,然后在 Lustre 文件系统中输入与您FSx关联的安全组的安全组 IDs 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端

将以下出站规则添加到应用于您的安全组中 Lustre 客户。

Type 协议 端口范围 描述
自定义TCP规则 TCP 988 选择 “自定义”,然后输入应用于您的安全组的安全组 IDs Lustre 客户端 允许 Lustre 之间的交通 Lustre 客户端
自定义TCP规则 TCP 988 选择 “自定义”,然后在 Lustre 文件系统中输入与您FSx关联的安全组的安全组 IDs 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端
自定义TCP规则 TCP 1018-1023 选择 “自定义”,然后输入应用于您的安全组的安全组 IDs Lustre 客户端 允许 Lustre 之间的交通 Lustre 客户端
自定义TCP规则 TCP 1018-1023 选择 “自定义”,然后在 Lustre 文件系统中输入与您FSx关联的安全组的安全组 IDs 允许 Lustre Lustre 文件服务器和之间的FSx流量 Lustre 客户端