本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 FSx Windows 文件服务器的最佳实践
我们建议您在使用亚马逊 FSx Windows 文件服务器时遵循这些最佳实践。
一般最佳实践
创建监控计划
您可以使用文件系统指标来监控存储使用情况和性能,了解您的使用模式,并在使用量接近文件系统的存储或性能限制时触发通知。通过监控您 FSx 的 Amazon 文件系统以及应用程序环境的其余部分,您可以快速调试任何可能影响性能的问题。
确保您的文件系统有足够的资源
资源不足会导致延迟增加和 I/O 请求排队,这可能显示为文件系统完全或部分不可用。有关监控性能以及访问性能警告和建议的更多信息,请参阅性能警告和建议。
安全最佳实践
在管理文件系统安全性和访问控制方面,我们建议您遵循以下最佳实践。有关配置 Amazon FSx 以满足您的安全与合规目标的更多详细信息,请参阅Amazon 的安全 FSx。
网络安全
请勿修改或删除与您的文件系统关联的 ENI
您的亚马逊 FSx 文件系统可通过弹性网络接口 (ENI) 进行访问,该接口位于与您的文件系统关联的虚拟私有云 (VPC) 中。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。
使用安全组和网络 ACLs
您可以使用安全组和网络访问控制列表 (ACLs) 来限制对文件系统的访问。对于 VPC 安全组,默认安全组已添加到控制台中的文件系统。确保您创建文件系统的子网的安全组和网络 ACLs 允许端口上的流量。
Active Directory
创建亚马逊 FSx 文件系统时,您可以将其加入您的 Microsoft Active Directory 域,以提供用户身份验证以及共享、文件和文件夹级别的访问控制授权。您的用户可以使用其现有的 Active Directory 帐户连接到文件共享并访问其中的文件和文件夹。此外,您 FSx 无需进行任何修改即可将现有安全 ACL 配置迁移到 Amazon。亚马逊为您 FSx提供了两个活动目录选项:Amazon 托管的微软活动目录或自我管理的微软活动目录。
如果你使用的是Amazon 托管的 Microsoft Active Direct ory,我们建议你保留活动目录安全组的默认设置。如果要修改这些设置,请确保使用满足网络要求的网络配置。有关更多信息,请参阅 联网先决条件。
如果你使用的是自我管理的 Microsoft Active Directory,则还有其他选项可以配置文件系统。在将亚马逊 FSx 与自行管理的 Microsoft Active Directory 配合使用时,我们建议采用以下最佳做法进行初始配置:
-
将子网分配给单个 Active Directory 站点:如果您的 Active Directory 环境有大量域控制器,请使用 A ctive Directory 网站和服务将您的亚马逊 FSx 文件系统使用的子网分配给可用性和可靠性最高的单个 Active Directory 站点。确保 VPC 安全组、VPC 网络 ACL、您 DCs的 Windows 防火墙规则以及您的 Active Directory 基础设施中的任何其他网络路由控制允许亚马逊 FSx 通过所需端口进行通信。这允许 Windows 在无法使用分配的 Active Directory 站点时恢复到其他 DCs 站点。有关更多信息,请参阅 使用 Amazon VPC 进行文件系统访问控制。
-
使用单独的组织单位 (OU):对您的 Amazon FSx 文件系统使用与您可能拥有的任何其他组织单位分开的 OU。
-
使用所需@@ 的最低权限配置您的服务账户:使用所需的最低权限配置或委托您提供给 Amazon FSx 的服务账户。有关更多信息,请参阅 使用自行管理的 Microsoft Active Directory。
-
持续验证您的 Active Directory 配置 :在创建您的亚马逊 FSx FSx 文件系统之前,针对您的活动目录配置运行 Amazon Active Directory 验证工具 FSx,以验证您的配置是否适用于亚马逊,并发现该工具可能暴露的任何警告和错误。
避免由于活动目录配置错误而导致可用性丢失
将亚马逊 FSx 与自行管理的 Microsoft Active Directory 配合使用时,重要的是不仅要在创建文件系统时拥有有效的活动目录配置,还要确保持续的操作和可用性。在故障恢复事件、例行维护事件和吞吐量容量更新操作期间,Amazon 会将文件服务器资源 FSx重新加入您的 Active Directory。如果 Active Directory 配置在活动期间无效,则您的文件系统将变为 “配置错误”,并且有不可用的风险。以下是一些可避免失去可用性的方法:
-
使用 Amazon 更新您的 Active Directory 配置 FSx:如果您进行更改,例如重置服务账户的密码,请务必使用此服务账户更新所有文件系统的配置。
-
监控 Active Directory 配置错误:为自己设置配置错误的状态通知,以便在必要时可以重置文件系统的 Active Directory 配置。有关使用基于 Lambda 的解决方案实现这一目标的示例,请参阅使用 Amazon 监控亚马逊 FSx 文件系统的运行状况和
。 EventBridge Amazon Lambda -
定期验证您的 Active Directory 配置:如果您想主动检测 Active Directory 配置错误,我们建议您持续针对活动目录配置运行 Active Directory 验证工具。如果您在运行验证工具时收到警告或错误,则表示您的文件系统存在错误配置的风险。
-
请勿移动或修改由 FSx以下用户创建的计算机对象:Amazon 使用您提供的服务账户和权限在您的 Active Directory 中 FSx 创建和管理计算机对象。移动或修改这些计算机对象可能会导致文件系统错误配置。
窗户 ACLs
在 Amazon 中 FSx,您可以使用标准的 Windows 访问控制列表 (ACLs) 进行精细的共享、文件和文件夹级别的访问控制。亚马逊 FSx 文件系统会自动验证访问文件系统数据的用户的证书,以强制执行这些 Windows ACLs。
-
请勿更改系统用户的 NTFS ACL 权限:Amazon FSx 要求系统用户拥有对文件系统内所有文件夹的完全控制 NTFS ACL 权限。更改 SYSTEM 用户的 NTFS ACL 权限可能会导致您的文件系统无法访问,并且将来的文件系统备份可能无法使用。
配置文件系统并调整其大小
选择部署类型
Amazon FSx 提供两种部署选项:单可用区和多可用区。对于大多数要求共享 Windows 文件数据具有高可用性的生产工作负载,我们建议使用多可用区文件系统。有关更多信息,请参阅 可用性与持久性:单可用区和多可用区文件系统。
选择吞吐能力
为文件系统配置足够的吞吐能力,不仅要满足工作负载的预期流量,还要满足支持要在文件系统上启用的功能所需的额外性能资源。例如,如果您正在运行重复数据删除,则您选择的吞吐能力必须提供足够的内存,以便根据您拥有的存储空间运行重复数据删除。如果您使用的是影子副本,请将吞吐能力增加到至少为工作负载预期驱动值的三倍,以避免 Windows Server 删除影子副本。有关更多信息,请参阅 吞吐能力对性能的影响。
增加存储容量和吞吐容量
当文件系统的可用存储空间不足,或者您预计存储需求将超过当前存储限制时,请增加其存储容量。我们建议您的文件系统始终保持至少 20% 的可用存储容量。我们还建议在增加存储容量之前将吞吐量至少增加 20%,以抵消在增加存储空间期间对性能的任何影响。您可以使用该FreeStorageCapacity CloudWatch 指标来监控可用存储量并了解其趋势。有关更多信息,请参阅 管理存储容量。
如果您的工作负载受当前性能限制,则还应提高文件系统的吞吐能力。您可以使用 FSx 控制台上的 “监控和性能” 页面查看工作负载需求何时接近或超过性能限制,以确定您的文件系统是否为工作负载配置不足。
为了最大限度地缩短存储扩展的持续时间并避免写入性能降低,我们建议先提高文件系统的吞吐能力,再增加存储容量,存储容量增加完成后再降低吞吐能力。在存储扩展期间,大多数工作负载对性能的影响微乎其微。但是,具有 HDD 存储类型且工作负载涉及大量最终用户、高 I/O 级别或包含大量小文件的数据集的文件系统可能会暂时降低性能。有关更多信息,请参阅 增加存储容量并提升文件系统性能。
在空闲期间修改吞吐能力
更新吞吐能力会导致单可用区文件系统的可用性中断几分钟,并导致多可用区文件系统的失效转移和失效自动恢复。对于多可用区文件系统,如果在失效转移和失效自动恢复期间有持续的流量,则在此期间所做的任何数据更改都需要在文件服务器之间同步。对于写入量大和 IOPS 量大的工作负载,数据同步进程可能需要长达数小时。尽管在此期间您的文件系统将继续可用,但我们建议您在文件系统负载最小的空闲时段安排维护时段,并更新吞吐能力,以缩短数据同步的持续时间。要了解更多信息,请参阅管理吞吐能力。