使用 Amazon VPC 进行文件系统访问控制 - Amazon FSx for Windows File Server
Amazon VPC 安全组Amazon VPC 网络 ACL
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon VPC 进行文件系统访问控制

您可以通过elastic network interface 访问您的 Amazon FSx 文件系统。该网络接口位于虚拟私有云 (VPC) 中,该VPC,该服务基于您与文件系统关联的亚马逊VPC。您可以通过其域名服务 (DNS) 名称连接到您的 Amazon FSx。DNS 名称映射到您的 VPC 中文件系统的elastic network interface 的私有 IP 地址。只有关联 VPC 中的资源、通过Amazon Direct Connect或 VPN 与关联 VPC 连接的资源或对等 VPC 中的资源才能访问文件系统的网络接口。有关更多信息,请参阅 Amazon VPC 是什么? Amazon VPC 用户指南中。

警告

您不得修改或删除与您的文件系统关联的elastic network interface。修改或删除网络接口可能会导致您的 VPC 与文件系统之间的连接永久中断。

FSx for Windows File Server 支持 VPC 共享,这使您能够查看、创建、修改和删除其他Amazon账户拥有的 VPC 中的共享子网中的资源。有关更多信息,请参阅 Amazon VPC 用户指南 中的使用共享 VPC

Amazon VPC 安全组

要进一步控制通过 VPC 内文件系统的elastic network interface 的网络流量,请使用安全组来限制对文件系统的访问。安全组是一种状态防火墙,用于控制进出其关联网络接口的流量。在这种情况下,关联的资源是文件系统的网络接口。

要使用安全组控制对 Amazon FSx 文件系统的访问权限,请添加入站和出站规则。入站规则控制传入流量,出站规则控制从您的文件系统传出的流量。确保您的安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的安全组规则

为 Amazon FSx 创建安全组

  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2

  2. 在导航窗格中,选择 Security Groups(安全组)。

  3. 选择 Create Security Group

  4. 为安全组指定名称和描述。

  5. 对于 VPC,选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。

  6. 添加以下规则以允许以下端口上的出站网络流量:

    1. 对于 VPC 安全组,您的默认 Amazon VPC 的默认安全组已添加到控制台中的文件系统。请确保您创建 FSx 文件系统的子网的安全组和 VPC 网络 ACL 允许端口和下图所示方向的流量。

      FSx for Windows File Server 对 VPC 安全组的端口配置要求以及创建文件系统的子网的网络 ACL。

      下表列出了每个端口的作用。

      协议

      端口

      角色

      TCP/UDP

      53

      域名系统 (DNS)

      TCP/UDP

      88

      Kerberos 身份验证

      TCP/UDP

      464

      更改/设置密码

      TCP/UDP

      389

      轻型目录访问协议 (LDAP)
      UDP 123

      网络时间协议 (NTP)
      TCP 135

      分布式计算环境/端点映射器 (DCE/EPMAP)

      TCP

      445

      目录服务 SMB 文件共享

      TCP

      636

      基于 TLS/SSL 的轻型目录访问协议 (LDAPS)

      TCP

      3268

      微软全球目录

      TCP

      3269

      基于 SSL 的微软全球目录

      TCP

      5985

      WinRM 2.0(微软 Windows 远程管理)

      TCP

      9389

      微软 AD DS Web 服务, PowerShell

      TCP

      49152 - 65535

      RPC 临时端口
      重要

      单可用区 2 和所有多可用区文件系统部署都需要允许 TCP 端口 9389 上的出站流量。

    2. 确保这些流量规则也镜像到适用于每个 AD 域控制器、DNS 服务器、FSx 客户端和 FSx 管理员的防火墙上。

      重要

      虽然 Amazon VPC 安全组要求仅在网络流量的启动方向上打开端口,但大多数 Windows 防火墙和 VPC 网络 ACL 都要求双向开放端口。

    注意

    如果您定义了 Active Directory 站点,则必须确保与 Amazon FSx 文件系统关联的 VPC 中的子网是在 Active Directory 站点中定义的,并且您的 VPC 中的子网与其他站点中的子网之间不存在冲突。您可以使用 Active Directory 站点和服务 MMC 管理单元查看和更改这些设置。

    注意

    在某些情况下,您可能已经修改了默认设置中的Amazon Managed Microsoft AD安全组规则。如果是,请确保此安全组具有所需的入站规则,以允许来自您的 Amazon FSx 文件系统的流量。有关所需入站规则的更多信息,请参阅《Amazon Directory Service管理指南》中的Amazon Managed Microsoft AD先决条件

现在您已经创建了安全组,可以将其与 Amazon FSx 文件系统的elastic network interface 关联起来。

将安全组与您的 Amazon FSx 文件系统关联

  1. 通过 https://console.aws.amazon.com/fsx/ 打开亚马逊 FSx 主机。

  2. 在控制面板上,选择您的文件系统以查看其详细信息。

  3. 选择 “网络和安全” 选项卡,然后选择文件系统的网络接口;例如,ENI-01234567890123456。对于单可用区文件系统,您将看到一个单一的网络接口。对于多可用区文件系统,您将在首选子网中看到一个网络接口,在备用子网中看到一个网络接口。

  4. 对于每个网络接口,选择网络接口,然后在操作中选择更改安全组

  5. 在 “更改安全组” 对话框中,选择要使用的安全组,然后选择保存

禁止访问文件系统

要暂时禁止所有客户端通过网络访问您的文件系统,您可以删除与文件系统的elastic network interface 关联的所有安全组,并将其替换为没有入站/出站规则的组。

Amazon VPC 网络 ACL

保护对您的 VPC 内文件系统的访问的另一种选择是建立网络访问控制列表(网络 ACL)。网络 ACL 与安全组分开,但具有相似功能,可为您的 VPC 中的资源添加额外安全层。有关网络 ACL 的更多信息,请参阅 Amazon VPC 用户指南中的网络 ACL