使用 Amazon VPC 进行文件系统访问控制 - FSx for Lustre
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon VPC 进行文件系统访问控制

基于您与文件系统关联的 Amazon VPC 服务,可以通过驻留在 Virtual Private Cloud (VPC) 中的 elastic network interface 进行访问 Amazon FSx 文件系统。您可以通过映射到文件系统的网络接口的 DNS 名称访问 Amazon FSx 文件系统。只有关联 VPC 或对等 VPC 内的资源才能访问文件系统的网络接口。有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC?

警告

您不得修改或删除 Amazon FSx elastic network interface。修改或删除网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

Amazon VPC 安全组

要进一步控制通过 VPC 内文件系统网络接口的网络流量,您可以使用安全组来限制对文件系统的访问。一个安全组充当虚拟防火墙以控制其关联资源的流量。在这种情况下,相关联的资源是您的文件系统的网络接口。您还会使用 VPC 安全组控制 Lustre 客户端的网络流量。

使用入站和出站规则控制访问

要使用安全组控制对 Amazon FSx 文件系统和 Lustre 客户端的访问,您可以添加入站规则以控制传入流量,添加出站规则以控制来自您的文件系统和 Lustre 客户端的传出流量。确保安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到受支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅安全组规则中的适用于 Linux 实例的 Amazon EC2 用户指南。

为 Amazon FSx 文件系统创建安全组

  1. 在以下网址打开 Amazon EC2 控制台https://console.aws.amazon.com/ec2.

  2. 在导航窗格中,选择 Security Groups

  3. 选择 Create Security Group

  4. 为安全组指定名称和描述。

  5. 适用于VPC中,选择与 Amazon FSx 文件系统相关联的 VPC 以在该 VPC 内创建安全组。

  6. 选择 Create(创建)以创建安全组。

接下来,您将入站规则添加到刚刚创建的安全组中,以便为 Lustre 文件服务器启用 FSx 之间的 Lustre 流量。

向安全组添加入站规则

  1. 选择您刚创建的安全组(如果尚未选择)。对于操作,请选择编辑入站规则

  2. 添加以下入站规则。

    类型 协议 端口范围 描述
    自定义 TCP 规则 TCP 988 选择Custom (自定义)输入您刚创建的安全组的安全组 ID 允许 Lustre 文件服务器在 FSx 之间的 Lustre 流量
    自定义 TCP 规则 TCP 988 选择Custom (自定义)输入与 Lustre 客户端相关联的安全组的安全组 ID 允许 Lustre 文件服务器和 Lustre 客户端之间的 FSx 之间的 Lustre 流量
    自定义 TCP 规则 TCP 1021-1023 选择Custom (自定义)输入您刚创建的安全组的安全组 ID 允许 Lustre 文件服务器在 FSx 之间的 Lustre 流量
    自定义 TCP 规则 TCP 1021-1023 选择Custom (自定义)输入与 Lustre 客户端相关联的安全组的安全组 ID 允许 Lustre 文件服务器和 Lustre 客户端之间的 FSx 之间的 Lustre 流量
  3. 选择Save(保存)以保存并应用新的入站规则。

默认情况下,安全组规则允许所有出站流量(All,0.0.0.0/0)。如果您的安全组不允许所有出站流量,请向安全组添加以下出站规则。这些规则允许 Lustre 文件服务器和 Lustre 客户端之间以及 Lustre 文件服务器之间的 FSx 流量。

向安全组添加出站规则

  1. 选择刚向其添加入站规则的同一安全组。适用于操作,选择编辑出站规则.

  2. 添加以下出站规则。

    类型 协议 端口范围 描述
    自定义 TCP 规则 TCP 988 选择Custom (自定义)输入您刚创建的安全组的安全组 ID 允许 Lustre 文件服务器在 FSx 之间的 Lustre 流量
    自定义 TCP 规则 TCP 988 选择Custom (自定义)输入与 Lustre 客户端相关联的安全组的安全组 ID 允许 Lustre 文件服务器和 Lustre 客户端之间的 FSx 之间的 Lustre 流量
    自定义 TCP 规则 TCP 1021-1023 选择Custom (自定义)输入您刚创建的安全组的安全组 ID 允许 Lustre 文件服务器在 FSx 之间的 Lustre 流量
    自定义 TCP 规则 TCP 1021-1023 选择Custom (自定义)输入与 Lustre 客户端相关联的安全组的安全组 ID 允许 Lustre 文件服务器和 Lustre 客户端之间的 FSx 之间的 Lustre 流量
  3. 选择Save(保存)以保存并应用新的出站规则。

将安全组与您的 Amazon FSx 文件系统关联

  1. 在以下网址打开 Amazon FSx 控制台https://console.aws.amazon.com/fsx/.

  2. 在控制台控制面板上,选择文件系统以查看其详细信息。

  3. 在存储库的网络 & 安全选项卡中,选择文件系统的网络接口 ID(例如,ENI-01234567890123456)。这样做会将您重定向到 Amazon EC2 控制台。

  4. 选择每个网络接口 ID。每个操作都会在您的浏览器中打开 Amazon EC2 控制台的新实例。对于每个安全组,选择更改安全组为了操作.

  5. 更改安全组对话框中,选择要使用的安全组,然后选择Save(保存).

Lustre 客户端 VPC 安全组规则

您可以通过添加入站规则以控制传入流量,添加出站规则以控制来自您的 Lustre 客户端的传出流量,可以使用 VPC 安全组控制来自您的 Lustre 客户端的传出流量。确保您的安全组中有正确的网络流量规则,以确保 Lustre 客户端和 Amazon FSx 文件系统之间可以流动 Lustre 流量。

将以下入站规则添加到应用于 Lustre 客户端的安全组中。

类型 协议 端口范围 描述
自定义 TCP 规则 TCP 988 选择Custom (自定义)然后输入应用于 Lustre 客户端的安全组 ID 允许 Lustre 客户之间的 Lustre 流量
自定义 TCP 规则 TCP 988 选择Custom (自定义)为 Lustre 文件系统输入与 FSx 相关联的安全组的安全组 ID 允许 Lustre 文件服务器和 Lustre 客户端之间的 FSx 之间的 Lustre 流量
自定义 TCP 规则 TCP 1021-1023 选择Custom (自定义)然后输入应用于 Lustre 客户端的安全组 ID 允许 Lustre 客户之间的 Lustre 流量
自定义 TCP 规则 TCP 1021-1023 选择Custom (自定义)为 Lustre 文件系统输入与 FSx 相关联的安全组的安全组 ID 允许 Lustre 文件服务器和 Lustre 客户端之间的 FSx 之间的 Lustre 流量

将以下出站规则添加到应用于 Lustre 客户端的安全组中。

类型 协议 端口范围 描述
自定义 TCP 规则 TCP 988 选择Custom (自定义)然后输入应用于 Lustre 客户端的安全组 ID 允许 Lustre 客户之间的 Lustre 流量
自定义 TCP 规则 TCP 988 选择Custom (自定义)为 Lustre 文件系统输入与 FSx 相关联的安全组的安全组 ID 允许 Lustre 文件服务器和 Lustre 客户端之间的 FSx 之间的 Lustre 流量
自定义 TCP 规则 TCP 1021-1023 选择Custom (自定义)然后输入应用于 Lustre 客户端的安全组 ID 允许 Lustre 客户之间的 Lustre 流量
自定义 TCP 规则 TCP 1021-1023 选择Custom (自定义)为 Lustre 文件系统输入与 FSx 相关联的安全组的安全组 ID 允许 Lustre 文件服务器和 Lustre 客户端之间的 FSx 之间的 Lustre 流量