管理 DNS 别名 - Amazon FSx for Windows File Server
使用 DNS 别名进行 Kerberos 身份验证进行使用查看与文件系统和备份相关的 DNS 别名DNS 别名状态创建新文件系统时关联 DNS 别名管理现有文件系统上的 DNS 别名
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 DNS 别名

FSx for Windows File Server 为每个文件系统提供默认域名系统 (DNS) 名称,您可以使用它来访问文件系统上的数据。您也可以使用自己选择的 DNS 别名访问您的文件系统。使用 DNS 别名,在将文件系统存储从本地迁移到 Amazon FSx 时,您可以继续使用现有 DNS 名称访问存储在 Amazon FSx 上的数据,无需更新任何工具或应用程序。有关更多信息,请参阅将现有文件存储迁移到 Amazon FSx

注意

美国东部时间 2020 年 11 月 9 日下午 12:00 之后创建的 FSx 为 Windows 文件服务器文件系统提供 DNS 别名Support。要在美国东部时间 2020 年 11 月 9 日下午 12:00 之前创建的文件系统上使用 DNS 别名,请执行以下操作:

  1. 备份现有文件系统。有关更多信息,请参阅使用用户启动的备份

  2. 将备份恢复到新的文件系统。有关更多信息,请参阅还原备份

新的文件系统可用后,您将能够使用本节提供的信息使用 DNS 别名来访问它。

注意

此处提供的信息假设您完全在 Active Directory 中工作,并且您没有使用外部 DNS 提供商。第三方 DNS 提供商可能会导致意外行为。

只有当你加入的 AD 域使用微软 DNS 作为默认 DNS 时,Amazon FSx 才会为文件系统注册 DNS 记录。如果您使用第三方 DNS,则需要在创建文件系统后手动为 Amazon FSx 文件系统设置 DNS 条目。有关选择用于文件系统的正确 IP 地址的更多信息,请参阅获取用于 DNS 的正确文件系统 IP 地址

在创建新文件系统以及从备份创建新文件系统时,您可以将 DNS 别名与 Windows 文件服务器文件系统的现有 FSx 相关联。您可以一次将最多 50 个 DNS 别名与文件系统关联。

除了将 DNS 别名与您的文件系统关联外,要使客户端使用 DNS 别名连接到文件系统,您还必须执行以下操作:

  • 为 Kerberos 身份验证和加密配置服务主体名称 (SPN)。

  • 为 DNS 别名配置 DNS 别名的 DNS 别名记录,该记录可解析为您的亚马逊 FSx 文件系统的默认 DNS 名称。

有关更多信息,请参阅演练 5:使用 DNS 别名访问您的文件系统

DNS 别名必须满足以下要求:

  • 必须格式化为完全限定域名 (FQDN)。

  • 可以包含字母数字字符和连字符 (-)。

  • 不得以连字符开头或结尾。

  • 可以使用数字开头。

对于 DNS 别名,Amazon FSx 会将字母字符存储为小写字母 (a-z),无论您指定将其存储为大写字母、小写字母还是转义码中的对应字母。

如果您尝试关联已经与文件系统关联的别名,则无效。如果您尝试取消别名与文件系统无关的文件系统的关联,Amazon FSx 会以错误的请求进行响应。

注意

当 Amazon FSx 在文件系统上添加或删除别名时,连接的客户端会暂时断开连接并自动重新连接到文件系统。在断开连接时由映射非持续可用(非 CA)共享的客户端打开的所有文件都必须由客户端重新打开。

使用 DNS 别名进行 Kerberos 身份验证进行使用

我们建议您在通过 Amazon FSx 传输时使用基于 Kerberos 的身份验证和加密。Kerberos 为访问您的文件系统的客户端提供最安全的身份验证。要为使用 DNS 别名访问您的 Amazon FSx 文件系统的客户端启用 Kerberos 身份验证,您必须配置与您的 Amazon FSx 文件系统的 Active Directory 计算机对象上的 DNS 别名对应的服务主体名称 (SPN)。

如果您在 Active Directory 中的计算机对象上为分配给其他文件系统的 DNS 别名配置了 SPN,则必须先删除这些 SPN,然后再将 SPN 添加到文件系统的计算机对象中。有关更多信息,请参阅演练 5:使用 DNS 别名访问您的文件系统

查看与文件系统和备份相关的 DNS 别名

您可以使用 Amazon FSx 控制台、CLI 以及亚马逊 FSx APAmazon I 和软件开发工具包查看当前与文件系统和备份关联的 DNS 别名。

要查看与文件系统关联的 DNS 别名,请执行以下操作:

  • 使用控制台-选择文件系统以查看文件系统详细信息页面。选择 “网络和安全” 选项卡查看 DNS 别名

  • 使用 CLI 或 API — 使用describe-file-system-aliases CLI 命令或 DescribeFileSystemAliasesAPI 操作。

要查看与备份相关的 DNS 别名,请执行以下操作:

  • 使用控制台-在导航窗格中,选择 Backups,然后选择您要查看的备份。在 “摘要” 窗格中,查看 DNS 别名字段。

  • 使用 CLI 或 API — 使用describe-backups CLI 命令或 DescribeBackupsAPI 操作。

DNS 别名状态

DNS 别名可以是以下值之一:

  • 可用 — DNS 别名与亚马逊 FSx 文件系统相关联。

  • 正在创建 — Amazon FSx 正在创建 DNS 别名并将其与文件系统关联。

  • 删除 — Amazon FSx 正在将 DNS 别名与文件系统解除关联并将其删除。

  • 创建失败 — Amazon FSx 无法将 DNS 别名与文件系统关联。

  • 删除失败 — Amazon FSx 无法解除 DNS 别名与文件系统的关联。

创建新文件系统时关联 DNS 别名

在从头开始创建新文件系统或从备份创建文件系统时,可以关联 DNS 别名。

  1. 通过 https://console.aws.amazon.com/fsx/ 打开亚马逊 FSx 控制台。

  2. 按照 “入门” 部分步骤 1中描述的创建新文件系统的步骤进行操作。

  3. 创建文件系统向导的 “访问-可选” 部分中,输入要与文件系统关联的 DNS 别名。

    创建文件系统向导的访问部分用于输入与新文件系统关联的 DNS 别名。

  4. 当文件系统可用时,您可以通过配置服务主体名称 (SPN) 以及更新或创建 DNS 别名记录来使用 DNS 别名访问该文件系统。有关更多信息,请参阅演练 5:使用 DNS 别名访问您的文件系统

  1. 创建新文件系统时,将 Ali as 属性与 CreateFileSystemAPI 操作一起使用,将 DNS 别名与新文件系统关联。

    aws fsx create-file-system \
  --file-system-type WINDOWS \
  --storage-capacity 2000 \
  --storage-type SSD \
  --subnet-ids subnet-123456 \
  --windows-configuration Aliases=[financials.corp.example.com,accts-rcv.corp.example.com]

  2. 当文件系统可用时,您可以通过配置服务主体名称 (SPN) 以及更新或创建 DNS 别名记录来使用 DNS 别名访问该文件系统。有关更多信息,请参阅演练 5:使用 DNS 别名访问您的文件系统

  1. 通过现有文件系统的备份创建新文件系统时,可以将 Alias es 属性与 CreateFileSystemFromBackupAPI 操作一起使用,如下所示:

    • 默认情况下,与备份相关的任何别名都与新文件系统相关联。

    • 要在不保留备份中的任何别名的情况下创建文件系统,请使用带有空集的Aliases属性。

      要关联其他 DNS 别名,请使用Aliases属性并包括与备份关联的原始别名和要关联的新别名。

    以下 CLI 命令将两个别名与 Amazon FSx 通过备份创建的文件系统相关联。

    aws fsx create-file-system-from-backup \
  --backup-id backup-0123456789abcdef0
  --storage-capacity 2000 \
  --storage-type HDD \
  --subnet-ids subnet-123456 \
  --windows-configuration Aliases=[transactions.corp.example.com,accts-rcv.corp.example.com]

  2. 当文件系统可用时,您可以通过配置服务主体名称 (SPN) 以及更新或创建 DNS 别名记录来使用 DNS 别名访问该文件系统。有关更多信息,请参阅演练 5:使用 DNS 别名访问您的文件系统

管理现有文件系统上的 DNS 别名

您可以在现有文件系统上添加和删除别名。

  1. 通过 https://console.aws.amazon.com/fsx/ 打开亚马逊 FSx 控制台。

  2. 导航到文件系统,然后选择要为其管理 DNS 别名的 Windows 文件系统。

  3. 在 “网络和安全” 选项卡上,选择 DNS 别名管理以显示 “管理 DNS 别名” 对话框。

    FSx 控制台管理 DNS 别名窗口,使用此窗口将 DNS 别名与 FSx for Windows File Server 系统关联和取消关联。

    • 关联 DNS 别名-在 “关联新别名” 框中,输入要关联的 DNS 别名。选择 Associate

    • 取消关联 DNS 别名-在 “当前别名” 列表中,选择要取消关联的别名。选择取消关联

    您可以在 “当前别名” 列表中监控您管理的别名的状态。刷新列表以更新状态。别名与文件系统关联或解除关联最多需要 2.5 分钟。

  4. 当别名可用时,您可以通过配置服务主体名称 (SPN) 以及更新或创建别名的 DNS CNAME 记录,使用 DNS 别名访问您的文件系统。有关更多信息,请参阅演练 5:使用 DNS 别名访问您的文件系统

  1. 使用associate-file-system-aliases CLI 命令或 AssociateFileSystemAliasesAPI 操作将 DNS 别名与现有文件系统关联。

    以下 CLI 请求将两个别名与指定的文件系统关联。

    aws fsx associate-file-system-aliases \
  --file-system-id fs-0123456789abcdef0 \
  --aliases financials.corp.example.com transfers.corp.example.com

    响应显示了 Amazon FSx 与文件系统关联的别名的状态。

    {
    "Aliases": [
        {
            "Name": "financials.corp.example.com",
            "Lifecycle": CREATING
        },
        {
            "Name": "transfers.corp.example.com",
            "Lifecycle": CREATING
        }
    ]
}

  2. 使用 Cdescribe-file-system-aliases LI 命令(DescribeFileSystemAliases等效的 API 操作)监控您关联的别名的状态。

  3. 当的值Lifecycle为 AVAILABLE(此过程最多需要 2.5 分钟)时,您可以通过配置服务主体名称 (SPN) 以及更新或创建 DNS 别名来访问您的文件系统。有关更多信息,请参阅演练 5:使用 DNS 别名访问您的文件系统

  • 使用disassociate-file-system-aliases CLI 命令或 DisassociateFileSystemAliasesAPI 操作解除 DNS 别名与现有文件系统的关联。

    以下命令解除一个别名与文件系统的关联。

    aws fsx disassociate-file-system-aliases \
  --file-system-id fs-0123456789abcdef0 \
  --aliases financials.corp.example.com

    响应显示了 Amazon FSx 正在与文件系统取消关联的别名的状态。

    {
    "Aliases": [
        {
            "Name": "financials.corp.example.com",
            "Lifecycle": DELETING
        }
    ]
}

    使用 Cdescribe-file-system-aliases LI 命令(DescribeFileSystemAliases等效的 API 操作)监控别名的状态。删除别名最多需要 2.5 分钟。