本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon VPC 进行文件系统访问控制
<a name="limit-access-security-groups"></a>

Amazon FSx 文件系统可通过虚拟私有云（VPC）中的弹性网络接口访问，该接口基于您与文件系统关联的 Amazon VPC 服务。您可以通过其 DNS 名称访问您的 Amazon FSx 文件系统，该名称映射到文件系统的网络接口。只有关联 VPC 或对等 VPC 中的资源才能访问文件系统的网络接口。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[什么是 Amazon VPC？](https://docs.amazonaws.cn/vpc/latest/userguide/what-is-amazon-vpc.html)。

**警告**  
您不得修改或删除 Amazon FSx 弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

## Amazon VPC 安全组
<a name="fsx-vpc-security-groups"></a>

为了进一步控制通过 VPC 内文件系统网络接口的网络流量，您可以使用安全组来限制对文件系统的访问。*安全组*充当虚拟防火墙，为其关联的资源控制流量。在这种情况下，关联的资源就是文件系统的网络接口。您还可以使用 VPC 安全组来控制 Lustre 客户端的网络流量。

### 使用入站和出站规则控制访问权限
<a name="inbound-outbound-rules"></a>

要使用安全组控制对 Amazon FSx 文件系统和 Lustre 客户端的访问权限，您可以添加入站规则和出站规则以控制来自您的文件系统和 Lustre 客户端的传入和传出流量。确保您的安全组中有正确的网络流量规则，以便将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息，请参阅*《Amazon EC2 用户指南》*中的[安全组规则](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-security-groups.html#security-group-rules)。<a name="create-security-group"></a>

**为 Amazon FSx 文件系统创建安全组**

1. 通过以下网址打开 Amazon EC2 控制台：[https://console.aws.amazon.com/ec2](https://console.amazonaws.cn/ec2)。

1. 在导航窗格中，选择**安全组**。

1. 选择**创建安全组**。

1. 为安全组指定名称和描述。

1. 对于 **VPC**，选择与您的 Amazon FSx 文件系统关联的 VPC，以在该 VPC 中创建安全组。

1.  选择**创建**以创建安全组。

接下来，向刚刚创建的安全组添加入站规则，以启用 FSx for Lustre 文件服务器之间的 Lustre 流量。

**将入站规则添加到安全组**

1. 如果尚未选择您刚刚创建的安全组，请选择该安全组。对于**操作**，请选择**编辑入站规则**。

1. 添加以下入站规则。    
[See the AWS documentation website for more details](http://docs.amazonaws.cn/fsx/latest/LustreGuide/limit-access-security-groups.html)

1. 选择**保存**以保存并应用新的入站规则。

默认情况下，安全组规则允许所有出站流量（所有，0.0.0.0/0）。如果您的安全组不允许所有出站流量，则将以下出站规则添加到您的安全组。这些规则允许 FSx for Lustre 文件服务器和 Lustre 客户端之间以及 Lustre 文件服务器之间的流量。

**将出站规则添加到安全组**

1.  选择刚刚向其添加入站规则的同一安全组。对于**操作**，请选择**编辑出站规则**。

1. 添加以下出站规则。    
[See the AWS documentation website for more details](http://docs.amazonaws.cn/fsx/latest/LustreGuide/limit-access-security-groups.html)

1. 选择**保存**以保存并应用新的出站规则。

**添加与您的 Amazon FSx 文件系统关联的安全组**

1. 通过以下网址打开 Amazon FSx 控制台：[https://console.aws.amazon.com/fsx/](https://console.amazonaws.cn/fsx/)。

1. 在控制台控制面板上，选择您的文件系统以查看其详细信息。

1. 在**网络和安全**选项卡上，单击**网络接口**下的 **Amazon EC2 控制台**链接，查看文件系统的所有网络接口。

1. 对于每个网络接口，选择**操作**，然后选择**更改安全组**。

1. 在**更改安全组**中，选择要与网络接口关联的安全组。

1. 选择**保存**。

## Lustre 客户端 VPC 安全组规则
<a name="lustre-client-inbound-outbound-rules"></a>

您可以使用 VPC 安全组来控制对 Lustre 客户端的访问权限，方法是添加入站规则和出站规则以控制来自 Lustre 客户端的传入和传出流量。确保您的安全组中有正确的网络流量规则，以确保 Lustre 流量可以在您的 Lustre 客户端和 Amazon FSx 文件系统之间流动。

将以下入站规则添加到应用于 Lustre 客户端的安全组中。


| 类型 | 协议 | 端口范围 | 源 | 描述 | 
| --- | --- | --- | --- | --- | 
| 自定义 TCP 规则 | TCP | 988 | 选择自定义，然后输入应用于 Lustre 客户端的安全组的安全组 ID | 允许 Lustre 客户端之间的 Lustre 流量 | 
| 自定义 TCP 规则 | TCP | 988 | 选择自定义，然后输入与 FSx for Lustre 文件系统关联的安全组的安全组 ID  | 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量 | 
| 自定义 TCP 规则 | TCP | 1018-1023 | 选择自定义，然后输入应用于 Lustre 客户端的安全组的安全组 ID | 允许 Lustre 客户端之间的 Lustre 流量 | 
| 自定义 TCP 规则 | TCP | 1018-1023 | 选择自定义，然后输入与 FSx for Lustre 文件系统关联的安全组的安全组 ID  | 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量 | 

将以下出站规则添加到应用于 Lustre 客户端的安全组中。


| 类型 | 协议 | 端口范围 | 源 | 描述 | 
| --- | --- | --- | --- | --- | 
| 自定义 TCP 规则 | TCP | 988 | 选择自定义，然后输入应用于 Lustre 客户端的安全组的安全组 ID | 允许 Lustre 客户端之间的 Lustre 流量 | 
| 自定义 TCP 规则 | TCP | 988 | 选择自定义，然后输入与 FSx for Lustre 文件系统关联的安全组的安全组 ID | 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量 | 
| 自定义 TCP 规则 | TCP | 1018-1023 | 选择自定义，然后输入应用于 Lustre 客户端的安全组的安全组 ID | 允许 Lustre 客户端之间的 Lustre 流量 | 
| 自定义 TCP 规则 | TCP | 1018-1023 | 选择自定义，然后输入与 FSx for Lustre 文件系统关联的安全组的安全组 ID | 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量 |