使用 Amazon 进行文件系统访问控制 VPC - FSx 适用于 Windows 文件服务器的亚马逊
亚马逊VPC安全组亚马逊VPC网络 ACLs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 进行文件系统访问控制 VPC

您可以通过弹性网络接口访问您的亚马逊FSx文件系统。此网络接口位于基于您与文件系统关联的亚马逊虚拟私有云 (AmazonVPC) 服务的虚拟私有云 () 中。VPC您可以通过其域名服务 (DNS) 名称连接到您的 Amazon FSx 文件系统。该DNS名称映射到您的文件系统的 elastic network interface 的私有 IP 地址VPC。只有关联的资源VPC、与或关联VPC的资源 Amazon Direct Connect 或对VPN等节点内的资源VPCs才能访问文件系统的网络接口。有关更多信息,请参阅什么是亚马逊VPC? 在《亚马逊VPC用户指南》中。

警告

不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除网络接口可能会导致您VPC和您的文件系统之间的连接永久中断。

FSxfor Windows File Server 支持VPC共享,这使您可以查看、创建、修改和删除其他 Amazon 帐户VPC拥有的共享子网中的资源。有关更多信息,请参阅《Amazon VPC 用户指南》VPCs中的 “使用共享”。

亚马逊VPC安全组

要进一步控制通过文件系统内的 elastic network interface 的网络流量VPC,请使用安全组来限制对文件系统的访问。安全组是一种状态防火墙,用于控制进出其关联网络接口的流量。在这种情况下,关联的资源就是文件系统的网络接口。

要使用安全组控制对您的 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,可以将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅 Amazon EC2 用户指南中的安全组规则

为 Amazon 创建安全组 FSx

  1. https://console.aws.amazon.com/ec2 上打开亚马逊EC2控制台。

  2. 在导航窗格中,选择安全组

  3. 选择创建安全组

  4. 为安全组指定名称和描述。

  5. 对于 VPC,请选择与您的文件系统VPC关联的 Amazon,在其中创建安全组VPC。

  6. 添加以下规则以允许以下端口上的出站网络流量:

    1. 对于VPC安全组,您的默认 Amazon 的默认安全组VPC已在控制台中添加到您的文件系统中。请确保您创建FSx文件系统的子网的安全组和VPC网络ACLs允许端口上的流量,并遵循下图所示的方向。

      FSx适用于 Windows File Server VPC 的安全组和创建文件系统的子网的网络ACLs端口配置要求。

      下表确定了每个端口的作用。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻量级目录访问协议 (LDAP)
      UDP 123

      网络时间协议 (NTP)
      TCP 135

      分布式计算环境/端点映射器 (DCE/EPMAP)

      TCP

      445

      目录服务SMB文件共享

      TCP

      636

      TLS/SSL(LDAPS) 上的轻量级目录访问协议

      TCP

      3268

      Microsoft 全局目录

      TCP

      3269

      微软全球目录结束 SSL

      TCP

      5985

      WinRM 2.0(Microsoft Windows 远程管理)

      TCP

      9389

      微软 AD DS 网络服务, PowerShell

      TCP

      49152 - 65535

      临时端口 RPC
      重要

      单可用区 2 和所有多可用区文件系统部署都需要允许TCP端口 9389 上的出站流量。

    2. 确保这些流量规则也镜像到适用于每个 AD 域控制器、DNS服务器、FSx客户端和管理员的防火墙上。FSx

      重要

      虽然 Amazon VPC 安全组要求仅在网络流量启动的方向上打开端口,但大多数 Windows 防火墙和VPC网络都ACLs要求双向打开端口。

    注意

    如果您定义了 Active Directory 站点,则必须确保与您的 Amazon FSx 文件系统VPC关联的子网是在 Active Directory 站点中定义的,VPC并且您的子网与其他站点的子网之间不存在冲突。您可以使用 Active Directory 网站和服务MMC管理单元查看和更改这些设置。

    注意

    在某些情况下,您可能已经修改了 Amazon Managed Microsoft AD 安全组规则的默认设置。如果是,请确保此安全组具有允许来自您的 Amazon FSx 文件系统的流量所需的入站规则。有关必需的入站规则的更多信息,请参阅《Amazon Directory Service 管理指南》中的Amazon Managed Microsoft AD 先决条件

现在,您已经创建了安全组,可以将其与 Amazon FSx 文件系统的弹性网络接口相关联。

将安全组与您的 Amazon FSx 文件系统关联

  1. 打开亚马逊FSx控制台,网址为https://console.aws.amazon.com/fsx/

  2. 在控制面板上,选择您的文件系统以查看其详细信息。

  3. 选择 “网络和安全” 选项卡,然后选择文件系统的网络接口;例如,ENI-0 1234567890123456。对于单可用区文件系统,您将看到单个网络接口。对于多可用区文件系统,您将在首选子网和备用子网中分别看到一个网络接口。

  4. 对于每个网络接口,选择网络接口,然后在操作中选择更改安全组

  5. 更改安全组对话框中,选择要使用的安全组,然后选择保存

禁止访问文件系统

要暂时禁止所有客户端通过网络访问您的文件系统,可以删除与文件系统的弹性网络接口关联的所有安全组,并将其替换为没有入站/出站规则的组。

亚马逊VPC网络 ACLs

保护对您内部文件系统的访问的另一种VPC方法是建立网络访问控制列表(网络ACLs)。网络与安全组ACLs是分开的,但具有相似的功能,可以为您的资源增加额外的安全层VPC。有关网络的更多信息ACLs,请参阅 Amazon VPC 用户指南ACLs中的网络