Amazon FSx for Windows File Server 支持的客户、访问方法和环境 - Amazon FSx for Windows File Server
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon FSx for Windows File Server 支持的客户、访问方法和环境

您可以使用各种受支持的客户端和方法访问 Amazon FSX 文件系统Amazon和本地环境。

支持的客户

Amazon FSX 支持从各种计算实例和操作系统连接到您的文件系统。它通过支持通过服务器消息块 (SMB) 协议(版本 2.0 到 3.1.1)进行访问来实现此目的。

以下Amazon计算实例支持与 Amazon FSX 配合使用:

支持以下操作系统与 Amazon FSx 配合使用:

  • Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019。

  • 视窗维斯塔、视窗 7、视窗 8、Windows 8.1 和视窗 10(包括 WorkSpaces 的 Windows 7 和 Windows 10 桌面体验)。

  • Linux,使用cifs-utils工具。

支持的访问方法

您可以使用 Amazon FSx 使用以下访问方法和方法。

使用默认 DNS 名称访问文件系统

Amazon FSx for Windows File Server 为每个文件系统提供域名系统 (DNS) 名称。通过使用此 DNS 名称将计算实例上的驱动器号映射到 Amazon FSX 文件共享,您可以访问您的 Windows 文件服务器 Amazon FSX 文件系统。要了解更多信息,请参阅“使用微软 Windows 文件共享”。

重要

如果您使用 Microsoft DNS 作为默认 DNS,Amazon FSX 仅注册文件系统的 DNS 记录。如果您使用的是第三方 DNS,则必须为 Amazon FSX 文件系统手动设置 DNS 条目。有关为文件系统选择正确 IP 地址的信息,请参阅获取用于 DNS 的正确文件系统 IP 地址

查找 DNS 名称:

  • 在亚马逊 FSX 控制台中,选择文件系统,然后选择详细信息。查看 DNS 名称在网络和安全性部分。

  • 或者,在CreateFileSystem或者DescribeFileSystemsAPI 命令。

对于所有加入到Amazon托管微软活动目录,DNS 名称如下所示:fs-0123456789abcdef0.ad-domain.com

对于加入到自我管理的 Active Directory 的所有单可用区文件系统以及任何多可用区文件系统,DNS 名称如下所示:amznfsxaa11bb22.ad-domain.com

使用 DNS 名称与 Kerberos 身份验证

我们建议您在通过 Amazon FSX 传输过程中使用基于 Kerberos 的身份验证和加密。Kerberos 为访问您的文件系统的客户端提供最安全的身份验证。要为 SMB 会话启用基于 Kerberos 的身份验证和传输中的数据加密,请使用 Amazon FSX 提供的文件系统 DNS 名称访问您的文件系统。

如果您在Amazon托管的 Microsoft 活动目录和您的本地活动目录,要使用带 Kerberos 身份验证的 Amazon FSX 远程 PowerShell,您必须在客户端上配置本地组策略以进行林搜索顺序。有关更多信息,请参阅 。配置克贝罗斯林搜索顺序 (KFSO)在微软文档中。

使用 DNS 别名访问文件系统

适用于 Windows 文件服务器的 Amazon FSX 为每个文件系统提供一个 DNS 名称,您可以使用这些文件系统访问您的文件共享。您还可以通过为 Windows 文件服务器文件系统的亚马逊 FSX 注册别名以外的 DNS 名称启用对 Amazon FSX 的访问。

使用 DNS 别名,您可以将 Windows 文件共享数据移动到 Amazon FSX,并继续使用您现有的 DNS 名称访问亚马逊 FSX 上的数据。DNS 别名还允许您使用有意义的名称,从而更轻松地管理连接到 Amazon FSX 文件系统的工具和应用程序。有关更多信息,请参阅 管理 DNS 别名

使用 DNS 别名与 Kerberos 身份验证

我们建议您在通过 Amazon FSX 传输过程中使用基于 Kerberos 的身份验证和加密。Kerberos 为访问您的文件系统的客户端提供最安全的身份验证。要为使用 DNS 别名访问 Amazon FSX 的客户端启用 Kerberos 身份验证,您必须在 Amazon FSX 文件系统的活动目录计算机对象上添加与 DNS 别名相对应的服务主体名称 (SPN)。

您可以选择性地强制使用 DNS 别名访问文件系统的客户端使用 Kerberos 身份验证和加密,方法是在 Active Directory 中设置以下组策略对象 (GPO):

  • 限制 NTLM: 传出 NTLM 流量到远程服务器-使用此策略设置拒绝或审核从计算机到运行 Windows 操作系统的任何远程服务器的传出 NTLM 流量。

  • 限制 NTLM: 为 NTLM 身份验证添加远程服务器例外-使用此策略设置创建允许客户端设备使用 NTLM 身份验证的远程服务器的例外列表,如果网络安全性:限制 NTLM: 传出 NTLM 流量到远程服务器策略设置。

有关更多信息,请参阅 演练 5:使用 DNS 别名访问您的文件系统

使用 Amazon FSx for Windows File Server 文件系统和 DFS 命名空间

适用于 Windows 文件服务器的亚马逊 FSX 支持使用微软分布式文件系统 (DFS) 命名空间。您可以使用 DFS 命名空间将多个文件系统上的文件共享组织成一个用于访问整个文件数据集的通用文件夹结构(命名空间)。您可以使用 DFS 命名空间中的名称来访问 Amazon FSX 文件系统,方法是将其链接目标配置为文件系统的 DNS 名称。有关更多信息,请参阅 使用 DFS 命名空间对多个文件系统进行分组

支持的环境

您可以从与文件系统位于同一 VPC 中的资源访问您的文件系统。有关更多信息和详细说明,请参阅演练 1:入门的先决条件

您还可以从本地资源和不同 VPC 中的资源访问 2019 年 2 月 22 日之后创建的文件系统Amazon账户或Amazon区域。下表说明了 Amazon FSX 支持从每个受支持环境中的客户端访问的环境,具体取决于文件系统的创建时间。

客户端位于... 访问 2019 年 2 月 22 日之前创建的文件系统 访问 2020 年 12 月 17 日之前创建的文件系统 访问 2020 年 12 月 17 日之后创建的文件系统

在其中创建文件系统的子网

创建文件系统的 VPC 的主 CIDR 块

创建文件系统的 VPC 的辅助 CIDR

具有 IP 地址的客户端RFC 1918私有 IP 地址范围:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

IP 地址超出以下 CIDR 块范围的客户端:198.19.0.0/16

其他 CIDR 或对等网络

注意

在某些情况下,您可能希望使用非私有 IP 地址范围从本地访问 2020 年 12 月 17 日之前创建的文件系统。为此,请从文件系统的备份创建一个新的文件系统。有关更多信息,请参阅 使用备份

下面,您可以找到有关如何从本地和不同的 VPC 访问适用于 Windows 文件服务器的 Amazon FSX 文件系统的信息,Amazon账户或Amazon区域。

从本地访问 Amazon FSx for Windows File Server 文件系统

Amazon FSx for Windows File Server 支持使用Amazon Direct Connect或者Amazon VPN从本地计算实例访问您的文件系统。支持Amazon Direct Connect,Windows 文件服务器的 Amazon FSX 使您能够通过专用网络连接从本地环境访问您的文件系统。支持Amazon VPN后,Amazon FSx for Windows File Server,您可以通过安全和私有隧道从本地设备访问您的文件系统。

将本地环境连接到与 Amazon FSX 文件系统关联的 VPC 后,您可以使用文件系统的 DNS 名称或 DNS 别名访问文件系统。您可以像从 VPC 内的计算实例执行此操作一样。有关 Amazon Direct Connect 的更多信息,请参阅 Amazon Direct Connect 用户指南。有关设置Amazon VPN连接,请参阅VPN 连接中的Amazon VPC 用户指南

适用于 Windows 文件服务器的 Amazon FSX 还支持使用 Amazon FSX 文件网关提供低延迟、无缝访问您的云中 Amazon FSx for Windows File Server 文件共享的内部部署计算实例。有关更多信息,请参阅 。亚马逊 FSX 文件网关用户指南

从另一 VPC、账户或Amazon区域

您可以从不同 VPC 中的计算实例访问 Amazon FSx for Windows File Server 文件系统Amazon账户或Amazon与您的文件系统关联的区域中的区域。为此,您可以使用 VPC 对等网关或传输网关。使用 VPC 对等连接或中转网关连接 VPC 时,一个 VPC 中的计算实例可以访问另一个 VPC 中的 Amazon FSX 文件系统。即使 VPC 属于不同的帐户,并且即使 VPC 位于不同的Amazon区域。

AVPC 对等连接是两个 VPC 之间的网络连接,您可以通过该连接使用私有 IPv4 或 IP 版本 6 (IPv6) 地址在两个 VPC 之间路由流量。您可以使用 VPC 对等来连接位于Amazon区域或之间Amazon区域。有关 VPC 对等的更多信息,请参阅什么是 VPC 对等?中的Amazon VPC 对等指南

中转网关 是网络中转中心,您可用它来互连 VPC 和本地网络。有关使用 VPC 中转网关的更多信息,请参阅中转网关入门中的Amazon VPC 中转网关

设置 VPC 对等连接或传输网关连接后,您可以使用文件系统的 DNS 名称访问文件系统。您可以像通过关联 VPC 内的计算实例执行此操作一样。