使用 Amazon VPC 进行文件系统访问控制 - Amazon FSx for Windows File Server
Amazon VPC 安全组Amazon VPC 网络 ACL
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon VPC 进行文件系统访问控制

您可以通过 elastic network interface 访问 Amazon FSX 文件系统。此网络接口驻留在基于您与您的文件系统关联的 Amazon Virtual Private Cloud (Amazon VPC) 服务的虚拟私有 Cloud (VPC) 中。您通过 Amazon FSx 文件系统的域名服务 (DNS) 名称连接到 Amazon FSx 文件系统。DNS 名称映射到 VPC 中文件系统 elastic network interface 的私有 IP 地址。仅关联 VPC 内的资源,与关联 VPC 连接的资源Amazon Direct Connect或 VPN,或对等 VPC 中的资源可以访问您的文件系统的网络接口。有关更多信息,请参阅 。Amazon VPC 是什么?中的Amazon VPC 用户指南。

警告

不得修改或删除与文件系统关联的 elastic network interface。修改或删除网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

适用于 Windows 文件服务器的 Amazon FSX 支持 VPC 共享,使您能够查看、创建、修改和删除其他 VPC 所拥有的共享子网中的资源Amazonaccount. 有关更多信息,请参阅 。使用共享 VPC中的Amazon VPC 用户指南

Amazon VPC 安全组

要进一步控制通过 VPC 内文件系统 elastic network interface 的网络流量,您可以使用安全组来限制对文件系统的访问。A安全组是有状态防火墙,用于控制进出其关联网络接口的流量。在这种情况下,关联的资源是您的文件系统的网络接口。

要使用安全组控制对 Amazon FSX 文件系统的访问,请添加入站和出站规则。入站规则控制传入流量,出站规则控制从文件系统传出的流量。确保您的安全组中具有正确的网络流量规则,以将 Amazon FSX 文件系统的文件共享映射到受支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅安全组规则中的适用于 Linux 实例的 Amazon EC2 用户指南。

为 Amazon FSx 创建安全组

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2

  2. 在导航窗格中,选择 Security Groups

  3. 选择 Create Security Group

  4. 为安全组指定名称和描述。

  5. 适用于VPC中,选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。

  6. 添加以下规则以允许以下端口上的出站网络流量:

    1. 适用于VPC 安全组,您的默认 Amazon VPC 的默认安全组已在控制台中添加到您的文件系统中。请确保您正在创建 FSX 文件系统的子网的安全组和 VPC 网络 ACL 允许端口上的流量以及下图所示方向上的流量。

      Amazon FSx for Windows File Server 端口配置要求 VPC 安全组和要创建文件系统的子网的网络 ACL。

      下表列出了每个端口的角色。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻型目录访问协议 (LDAP)
      UDP 123

      网络时间协议 (NTP)
      TCP 135

      分布式计算环境/端点映射器 (DCE/EPMAP)

      TCP

      445

      目录服务 SMB 文件共享

      TCP

      636

      基于 TLS/SSL 的轻量级目录访问协议 (LDAPS)

      TCP

      3268

      Microsoft 全球编录

      TCP

      3269

      通过 SSL 进行的微软全局编录

      TCP

      5985

      WinRM 2.0(微软视窗远程管理)

      TCP

      9389

      微软广告 DS 网络服务

      TCP

      49152 - 65535

      RPC 的临时端口临时 RPC
      重要

      单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    2. 确保这些流量规则也在应用于每个 AD 域控制器、DNS 服务器、FSX 客户端和 FSX 管理员的防火墙上进行镜像。

      重要

      虽然 Amazon VPC 安全组要求端口仅在启动网络流量的方向打开,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求端口双向打开。

    注意

    如果您已定义 Active Directory 站点,您必须确保在 Active Directory 站点中您 Amazon Fsx 文件系统相关联的 VPC 内定义了子网,并且 VPC 中的子网与您其他站点中的子网之间不存在冲突。您可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

    注意

    在某些情况下,您可能已经修改了Amazon Managed Microsoft AD安全组(从默认设置中)。如果是这样,请确保此安全组具有所需的入站规则,以允许来自 Amazon FSX 文件系统的流量。有关所需入站规则的更多信息,请参阅Amazon Managed Microsoft AD先决条件中的Amazon Directory Service管理指南

现在您已创建安全组,您可以将其与 Amazon FSX 文件系统的 elastic network interface 相关联。

将安全组与您的 Amazon FSX 文件系统关联

  1. 通过以下网址打开 Amazon FSx 控制台:https://console.aws.amazon.com/fsx/

  2. 在控制板上,选择您的文件系统以查看其详细信息。

  3. 选择网络和安全性选项卡,然后选择文件系统的网络接口 ID(例如ENI-034568903456)。

  4. 适用于操作中,选择更改安全组

  5. 更改安全组对话框中,选择要使用的安全组,然后选择Save

禁止访问文件系统

要暂时禁止所有客户端对文件系统进行网络访问,您可以删除与文件系统的 elastic network interface 相关联的所有安全组,并将其替换为没有入站/出站规则的组。

Amazon VPC 网络 ACL

另一个保护 VPC 中文件系统访问权限的选择是建立网络访问控制列表(网络 ACL)。网络 ACL 与安全组分开,但具有类似的功能,可以为 VPC 中的资源添加额外安全层。有关网络 ACL 的更多信息,请参阅网络 ACL中的Amazon VPC 用户指南。