本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
FSx for Windows File Server 最佳实践
在使用 Amazon FSx for Windows File Server 时,我们建议您遵循以下最佳实践。单击以下链接,了解有关所讨论主题的更多信息。
一般最佳实践
创建监控计划
您可以使用文件系统指标来监控存储使用情况和性能,了解您的使用模式,并在使用量接近文件系统的存储或性能限制时触发通知。通过监控您的 Amazon FSx 文件系统以及应用程序环境的其余部分,您可以快速调试任何可能影响性能的问题。
确保您的文件系统有足够的资源
资源不足会导致延迟增加和 I/O 请求排队,这可能显示为文件系统完全或部分不可用。有关监控性能以及访问性能警告和建议的更多信息,请参阅监控 Windows File Server 文件系统的 FSx。
安全最佳实操
在管理文件系统安全性和访问控制方面,我们建议您遵循以下最佳实践。有关配置 Amazon FSx 以实现您的安全性和合规性目标的更多详细信息,请参阅 Amazon FSx 中的安全性。
网络安全
请勿修改或删除与您的文件系统关联的 ENI
您的 Amazon FSx 文件系统可通过虚拟私有云(VPC)中的弹性网络接口(ENI)访问,该接口与文件系统关联。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。
使用安全组和网络 ACL
您可以使用安全组和网络访问控制列表(ACL)限制对文件系统的访问。对于 VPC 安全组,默认安全组已添加到控制台中的文件系统。确保您创建文件系统的子网的安全组和网络 ACL 允许端口流量。有关更多信息,请参阅 Amazon VPC 安全组。
Active Directory
创建 Amazon FSx 文件系统时,您可以将其加入您的 Microsoft AD 域,以提供用户身份验证以及共享、文件和文件夹级别的访问控制授权。您的用户可以使用其现有的 AD 账户连接到文件共享并访问其中的文件和文件夹。此外,您还可以将现有安全 ACL 配置迁移到 Amazon FSx,而无需进行任何修改。Amazon FSx 为 Active Directory 提供了两个选项:Amazon 托管的 Microsoft AD 或自行管理的 Microsoft AD。
如果您使用的是 Amazon 托管的 Microsoft AD,我们建议您保留 AD 安全组的默认设置。如果要修改这些设置,请确保使用满足网络要求的网络配置。有关更多信息,请参阅 联网先决条件。
如果您使用的是自行管理的 Microsoft AD,则还可以通过其他选项配置文件系统。在结合使用 Amazon FSx 与自行管理的 Microsoft AD 时,我们建议您遵循以下最佳实践:
-
将子网分配给单个 AD 站点:如果您的 AD 环境有大量域控制器,请使用 Active Directory 站点和服务将 Amazon FSx 文件系统使用的子网分配给可用性和可靠性最高的单个 AD 站点。确保 VPC 安全组、VPC 网络 ACL、您的 DC 上的 Windows 防火墙规则以及您的 AD 基础设施中的任何其他网络路由控制允许 Amazon FSx 通过所需端口进行通信。这允许 Windows 在无法使用分配的 AD 站点时还原至其他 DC。有关更多信息,请参阅 使用 Amazon VPC 进行文件系统访问控制。
-
使用单独的组织单位(OU):为您的 Amazon FSx 文件系统使用与您可能拥有的任何其他组织单位分开的 OU。
-
使用所需的最低权限配置您的服务账户:使用所需的最低权限配置或委托您提供给 Amazon FSx 的服务账户。有关更多信息,请参阅 使用自行管理的 Microsoft Active Directory 的先决条件 和 向 Amazon FSx 服务账户委派权限 。
-
持续验证您的 Amazon FSx 配置:创建 Amazon FSx 文件系统之前,针对您的 AD 配置运行 Amazon FSx Active Directory 验证工具,以验证您的配置是否适用于 Amazon FSx,并发现该工具可能暴露的任何警告和错误。
避免因 AD 配置错误而失去可用性
将 Amazon FSx 与自我托管式 Microsoft AD 配合使用时,拥有有效的 AD 配置对于创建文件系统,以及确保持续的操作和可用性都非常重要。在故障恢复事件、例行维护事件和吞吐能力更新操作期间,Amazon FSx 会将文件服务器资源重新加入您的 Active Directory。如果 AD 配置在事件期间无效,则您的文件系统状态将更改为错误配置,且存在不可用的风险。以下是一些可避免失去可用性的方法:
-
使用 Amazon FSx 更新您的 AD 配置:如果您进行更改,例如重置服务账户的密码,请务必使用此服务账户更新所有文件系统的配置。
-
监控 AD 配置错误:为自己设置“错误配置”状态通知,以便在必要时重置文件系统的 AD 配置。有关使用基于 Lambda 的解决方案实现这一目标的示例,请参阅使用 Amazon 和监控 Amazon FSx 文件系统的运行状况
。 EventBridge Amazon Lambda -
定期验证您的 AD 配置:如果您想主动检测 AD 配置错误,我们建议您针对您的 AD 配置持续运行 Active Directory 验证工具。如果您在运行验证工具时收到警告或错误,则表示您的文件系统存在错误配置的风险。
-
请勿移动或修改 FSx 创建的计算机对象:Amazon FSx 使用您提供的服务账户和权限在您的 AD 中创建和管理计算机对象。移动或修改这些计算机对象可能会导致文件系统错误配置。
Windows ACL
通过 Amazon FSx,您可以使用标准的 Windows 访问控制列表(ACL)进行精细的共享、文件和文件夹级别的访问控制。Amazon FSx 文件系统会自动验证访问文件系统数据的用户的凭证,以强制执行这些 Windows ACL。
-
请勿更改 SYSTEM 用户的 NTFS ACL 权限:Amazon FSx 要求 SYSTEM 用户拥有对文件系统内所有文件夹的完全控制 NTFS ACL 权限。更改 SYSTEM 用户的 NTFS ACL 权限可能会导致您的文件系统无法访问,并且将来的文件系统备份可能无法使用。
配置文件系统并调整其大小
选择部署类型
Amazon FSx 提供两种部署选项:单可用区和多可用区。对于大多数要求共享 Windows 文件数据具有高可用性的生产工作负载,我们建议使用多可用区文件系统。有关更多信息,请参阅 可用性与持久性:单可用区和多可用区文件系统。
选择吞吐能力
为文件系统配置足够的吞吐能力,不仅要满足工作负载的预期流量,还要满足支持要在文件系统上启用的功能所需的额外性能资源。例如,如果您正在运行重复数据删除,则您选择的吞吐能力必须提供足够的内存,以便根据您拥有的存储空间运行重复数据删除。如果您使用的是影子副本,请将吞吐能力增加到至少为工作负载预期驱动值的三倍,以避免 Windows Server 删除影子副本。有关更多信息,请参阅 吞吐能力对性能的影响。
增加存储容量和吞吐能力
当文件系统的可用存储空间不足,或者您预计存储需求将超过当前存储限制时,请增加其存储容量。我们建议在文件系统上始终保持至少 10% 的可用存储容量。我们还建议在扩展存储空间之前将存储容量至少增加 20%,因为在扩展过程中无法增加存储容量。您可以使用该FreeStorageCapacity CloudWatch 指标来监控可用存储量并了解其趋势。有关更多信息,请参阅 管理存储容量。
如果您的工作负载受当前性能限制,则还应提高文件系统的吞吐能力。您可以使用 FSx 控制台上的监控和性能页面查看工作负载需求何时接近或超过性能限制,从而确定文件系统对工作负载的配置是否不足。
为了最大限度地缩短存储扩展的持续时间并避免写入性能降低,我们建议先提高文件系统的吞吐能力,再增加存储容量,存储容量增加完成后再降低吞吐能力。在存储扩展期间,大多数工作负载对性能的影响微乎其微,但是具有大型活动数据集的写入量大的应用程序的写入性能可能会暂时降低一半。
在空闲期间修改吞吐能力
更新吞吐能力会导致单可用区文件系统的可用性中断几分钟,并导致多可用区文件系统的失效转移和失效自动恢复。对于多可用区文件系统,如果在失效转移和失效自动恢复期间有持续的流量,则在此期间所做的任何数据更改都需要在文件服务器之间同步。对于写入量大和 IOPS 量大的工作负载,数据同步进程可能需要长达数小时。尽管在此期间您的文件系统将继续可用,但我们建议您在文件系统负载最小的空闲时段安排维护时段,并更新吞吐能力,以缩短数据同步的持续时间。要了解更多信息,请参阅在 FSx 上管理 Windows File Server 文件系统的吞吐容量。