文件系统访问控制 Amazon VPC - 适用于Lustre的AmazonFSx
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

文件系统访问控制 Amazon VPC

一种 Amazon FSx 文件系统可通过驻留在虚拟私有云(VPC)中的弹性网络接口访问,该虚拟私有云基于 Amazon VPC 与文件系统关联的服务。您访问了 Amazon FSx 文件系统通过其DNS名称,该名称映射到文件系统的网络接口。只有关联的VPC或对等VPC中的资源才能访问文件系统的网络接口。有关更多信息,请参阅 什么是 Amazon VPC? Amazon VPC 用户指南.

警告

您不得修改或删除 Amazon FSx 弹性网络接口。修改或删除网络接口会导致VPC和文件系统之间的连接永久中断。

Amazon VPC 个安全组

要进一步控制通过VPC内文件系统网络接口的网络流量,您可以使用安全组来限制对文件系统的访问。甲 安全组 充当虚拟防火墙,以控制其相关资源的流量。在这种情况下,关联的资源是文件系统的网络接口。您还可以使用VPC安全组来控制Lustre客户端的网络流量。

ControllingAccessUsingInboundandOutboundRules

要使用授权组来控制对您的 Amazon FSx 文件系统和Lustre客户端,您可以添加入站规则以控制传入流量和出站规则,从而控制来自文件系统和Lustre客户端的传出流量。确保在安全组中拥有正确的网络流量规则,以映射您的 Amazon FSx 文件系统的文件共享到您支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅 安全组规则Amazon EC2 用户指南(适用于 Linux 实例).

为你创建授权组 Amazon FSx 文件系统

  1. 打开 Amazon EC2 控制台位于 https://console.amazonaws.cn/ec2的.

  2. 在导航窗格中,选择 Security Groups (安全组)

  3. 选择 Create Security Group

  4. 为安全组指定名称和描述。

  5. 对于 VPC副总裁,请选择与您的 Amazon FSx 文件系统,在该VPC中创建授权组。

  6. 选择 创建 创建授权组。

接下来,您将入站规则添加到您刚刚创建的授权组,以便在您的 Amazon FSx for Lustre 文件服务器。

将入站规则添加到授权组

  1. 如果尚未选择,请选择您刚刚创建的授权组。对于操作,请选择编辑入站规则

  2. 添加以下入站规则。

    Type 协议 端口范围 Description
    自定义 TCP 规则 TCP 988年 选择 自定义 然后输入您刚创建的安全组ID, 允许Lustre在 Amazon FSx for Lustre 文件服务器
    自定义 TCP 规则 TCP 988年 选择 自定义 然后输入与Lustre客户关联的授权组ID 允许Lustre在 Amazon FSx for Lustre 文件服务器和Lustre客户端
    自定义 TCP 规则 TCP 1021-1023年 选择 自定义 然后输入您刚创建的安全组ID, 允许Lustre在 Amazon FSx for Lustre 文件服务器
    自定义 TCP 规则 TCP 1021-1023年 选择 自定义 然后输入与Lustre客户关联的授权组ID 允许Lustre在 Amazon FSx for Lustre 文件服务器和Lustre客户端
  3. 选择 保存 保存并应用新的入站规则。

默认情况下,授权组规则允许所有出站流量(全部,0.0.0.0/0)。如果您的授权组不允许所有呼出流量,请将以下呼出规则添加到您的授权组。这些规则允许 Amazon FSx for Lustre 文件服务器和Lustre客户端之间,以及Lustre文件服务器之间。

要将出站规则添加到授权组

  1. 选择您刚刚向其添加入站规则的相同授权组。对于 操作,选择 编辑出站规则.

  2. 添加以下出站规则。

    Type 协议 端口范围 Description
    自定义 TCP 规则 TCP 988年 选择 自定义 然后输入您刚创建的安全组ID, 允许Lustre流量介于 Amazon FSx for Lustre 文件服务器
    自定义 TCP 规则 TCP 988年 选择 自定义 并输入与Lustre客户关联的授权组的安全组ID 允许Lustre流量介于 Amazon FSx for Lustre 文件服务器和Lustre客户端
    自定义 TCP 规则 TCP 1021-1023年 选择 自定义 然后输入您刚创建的安全组ID, 允许Lustre在 Amazon FSx for Lustre 文件服务器
    自定义 TCP 规则 TCP 1021-1023年 选择 自定义 然后输入与Lustre客户关联的授权组ID 允许Lustre在 Amazon FSx for Lustre 文件服务器和Lustre客户端
  3. 选择 保存 保存并应用新的出站规则。

将授权组与您的 Amazon FSx 文件系统

  1. 打开 Amazon FSx 控制台位于 https://console.amazonaws.cn/fsx/(fsx/).

  2. 在控制台仪表板上,选择文件系统以查看其详细信息。

  3. 网络与安全 选项卡,选择文件系统的网络接口ID(例如: ENI-01234567890123456)。此操作会将您重定向到 Amazon EC2 控制台。

  4. 选择每个网络接口ID。每个操作都会打开 Amazon EC2 控制台。对于每个授权组,选择 更改安全组操作.

  5. 更改安全组 对话框中,选择要使用的授权组,然后选择 保存.

Lustre客户端VPC安全组规则

您可以使用VPC安全组通过添加入站规则来控制对Lustre客户端的访问,以控制传入流量和出站规则来控制来自Lustre客户端的传出流量。确保在安全组中拥有正确的网络流量规则,以确保Lustre流量可以在您的Lustre客户端和您的 Amazon FSx 文件系统。

将以下入站规则添加到应用于Lustre客户端的安全组。

Type 协议 端口范围 Description
自定义 TCP 规则 TCP 988年 选择 自定义 然后输入应用于Lustre客户的安全组ID 允许Lustre客户端之间的Lustre通信
自定义 TCP 规则 TCP 988年 选择 自定义 并输入与您的安全组关联的安全组ID Amazon FSx for Lustre 文件系统 允许Lustre在 Amazon FSx for Lustre 文件服务器和Lustre客户端
自定义 TCP 规则 TCP 1021-1023年 选择 自定义 然后输入应用于Lustre客户的安全组ID 允许Lustre客户端之间的Lustre通信
自定义 TCP 规则 TCP 1021-1023年 选择 自定义 并输入与您的安全组关联的安全组ID Amazon FSx for Lustre 文件系统 允许Lustre在 Amazon FSx for Lustre 文件服务器和Lustre客户端

将以下出站规则添加到应用于Lustre客户端的安全组。

Type 协议 端口范围 Description
自定义 TCP 规则 TCP 988年 选择 自定义 然后输入应用于Lustre客户的安全组ID 允许Lustre客户端之间的Lustre通信
自定义 TCP 规则 TCP 988年 选择 自定义 并输入与您的安全组关联的安全组ID Amazon FSx for Lustre 文件系统 允许Lustre流量介于 Amazon FSx for Lustre 文件服务器和Lustre客户端
自定义 TCP 规则 TCP 1021-1023年 选择 自定义 然后输入应用于Lustre客户的安全组ID 允许Lustre客户端之间的Lustre通信
自定义 TCP 规则 TCP 1021-1023年 选择 自定义 并输入与您的安全组关联的安全组ID Amazon FSx for Lustre 文件系统 允许Lustre在 Amazon FSx for Lustre 文件服务器和Lustre客户端