在虚拟私有云中创建服务器 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在虚拟私有云中创建服务器

您可以将服务器的终端节点托管在虚拟私有云 (VPC) 中,用于在 Amazon S3 存储桶或 Amazon EFS 文件系统之间传输数据,而无需通过公共互联网。

注意

2021 年 5 月 19 日之后,如果您的Amazon账户在 2021 年 5 月 19 日之前尚未创建服务器,则您将无法在账户EndpointType=VPC_ENDPOINT中使用创建服务器。如果您在 2021 年 2 月 21 日当天或之前已经在Amazon账户EndpointType=VPC_ENDPOINT中创建了服务器,则不会受到影响。在此日期之后,使用EndpointType =VPC。有关更多信息,请参阅 停止使用 VPC_ENDPOINT

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管Amazon资源,则可以在您的 VPC 和服务器之间建立私有连接。然后,您可以使用此服务器通过客户端将数据传入和传出 Amazon S3 存储桶,而无需通过公共互联网。

使用 Amazon VPC,您可以在自定义虚拟网络中启动Amazon资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅 Amazon VPC 是什么? 亚马逊 VPC 用户指南中。

在接下来的部分中,找到有关如何创建 VPC 并将其连接到服务器的说明。概括而言,您可以按如下方式执行此操作:

  1. 使用 VPC 终端节点设置服务器。

  2. 通过 VPC 端点使用 VPC 内部的客户端Connect 服务器。这样,您就可以使用以下方法通过客户端传输存储在 Amazon S3 存储桶中的数据Amazon Transfer Family。即使网络与公共互联网断开连接,您也可以执行此传输。

  3. 此外,如果您选择将服务器的终端节点设置为面向互联网,则可以将 Elastic IP 地址与您的终端节点关联。这样做可以让您的 VPC 外部的客户端连接到您的服务器。您可以使用 VPC 安全组控制对经过身份验证的用户的访问权限,这些用户的请求仅来自允许的地址。

创建只能在您的 VPC 内访问的服务器终端节点

在以下步骤中,您将创建一个服务器终端节点,该终端节点只能由您的 VPC 内的资源访问。

在 VPC 内创建服务器终端节点
  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 从导航窗格中选择 “服务器”,然后选择 “创建服务器”。

  3. “选择协议” 中,选择一个或多个协议,然后选择 “下一步”。有关协议的更多信息,请参阅步骤 2:创建支持 SFTP 的服务器

  4. “选择身份提供商” 中,选择 “管理用于存储用户身份和密钥的服务”Amazon Transfer Family,然后选择 “下一步”。

    注意

    此过程使用服务管理选项。如果您选择自定义,则需要提供一个 AAmazon API Gateway 终端节点和一个Amazon Identity and Access Management (IAM) 角色来访问该终端节点。这样,您就可以集成目录服务来对用户进行身份验证和授权。要了解有关使用自定义身份提供商的更多信息,请参阅与自定义身份提供者合作

  5. “选择端点” 中,执行以下操作:

    注意

    Transfer Family 的 FTP 和 FTPS 服务器通过端口 21(控制通道)和端口范围 8192-8200(数据通道)运行。

    1. 对于终端节点类型,选择 VPC 托管的终端节点类型来托管服务器的终端节点。

    2. 对于 Acces s,选择 In ter nal 以使您的终端节点仅供使用该终端节点的私有 IP 地址的客户端访问。

      注意

      有关 “面向互联网” 选项的详细信息,请参阅为服务器创建面向 Internet 的端点。在 VPC 中创建的仅供内部访问的服务器不支持自定义主机名。

    3. 对于 VPC,选择现有的 VPC ID 或选择创建 VPC 来创建新的 VPC。

    4. 可用区部分中,最多选择三个可用区和关联子网。

    5. 在 “安全组” 部分中,选择一个或多个现有的安全组 ID 或选择创建安全组来创建新的安全组。有关安全组的更多信息,请参阅 Amazon Virtual Private Cloud 用户指南中的您的 VPC 的安全组。要创建安全组,请参阅 Amazon Virtual Private Cloud 用户指南中的创建安全组

      注意

      您的 VPC 会自动带有默认的安全组。如果您在启动服务器时没有指定其他安全组,我们会将默认安全组与您的服务器相关联。

    6. (可选)对于 FIPS 已启用,请选中 FIPS 启用的端点复选框以确保该端点符合联邦信息处理标准 (FIPS)。

      注意

      启用 FIPS 的终端节点仅在北美Amazon地区可用。有关可用区域,请参阅《Amazon一般参考》中的Amazon Transfer Family终端节点和配额。有关 FIPS 的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版

    7. 选择 Next(下一步)

  6. Configure 其他详细信息中,执行以下操作:

    1. 要进行CloudWatch 登录,请选择以下选项之一以启用 Amazon CloudWatch 记录您的用户活动:

      • 创建一个新角色以允许 Transfer Family 自动创建 IAM 角色,前提是您拥有创建新角色的权限。创建的 IAM 角色被称为AWSTransferLoggingAccess

      • 选择一个现有角色以从您的账户中选择一个现有 IAM 角色。在 “记录角色” 下,选择角色。此 IAM 角色应包含将服务设置为的信任策略transfer.amazonaws.com

        有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch

      注意
      • CloudWatch 如果您不指定日志角色,则无法在中查看最终用户的活动。

      • 如果您不想设置 CloudWatch 日志角色,请选择选择现有角色,但不要选择日志角色。

    2. 对于加密算法选项,请选择包含允许服务器使用的加密算法的安全策略。

      注意

      除非选择不同的策略,否则TransferSecurityPolicy-2020-06安全策略将默认附加到服务器。

      有关安全策略的更多信息,请参阅使用安全策略

    3. (可选)对于服务器主机密钥,该私钥将用于在客户端通过 SFTP 连接到服务器时标识服务器。ED25519

      注意

      本部分仅适用于从启用 SFTP 的现有服务器迁移用户。

    4. (可选)对于标签,在中,输入一个或多个标签作为键值对,然后选择添加标签

    5. 选择 Next(下一步)

  7. 在 Rev iew and cre ate 中,审核您的选择。如果您:

    • 要编辑其中的任何一个,请选择该步骤旁边的 “编辑”

      注意

      在选择编辑的步骤之后,您需要查看每个步骤。

    • 不做任何更改,请选择 “创建服务器” 来创建您的服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。

可能需要几分钟才能将新服务器的状态更改为 “机”。到时候,您的服务器可以执行用户的文件操作。

为服务器创建面向 Internet 的端点

在以下过程中,您会创建服务器端点。只有在您的 VPC 的默认安全组中允许源 IP 地址的客户端通过 Internet 访问此终端节点。此外,通过使用弹性 IP 地址使您的终端节点面向互联网,您的客户端可以使用弹性 IP 地址在其防火墙中访问您的终端节点。

注意

只有 SFTP 和 FTPS 可以在面向互联网的 VPC 托管终端节点上使用。

创建面向 Internet 的端点
  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 从导航窗格中选择 “服务器”,然后选择 “创建服务器”。

  3. “选择协议” 中,选择一个或多个协议,然后选择 “下一步”。有关协议的更多信息,请参阅步骤 2:创建支持 SFTP 的服务器

  4. “选择身份提供商” 中,选择 “管理用于存储用户身份和密钥的服务”Amazon Transfer Family,然后选择 “下一步”。

    注意

    此过程使用服务管理选项。如果您选择自定义,则需要提供一个 AAmazon API Gateway 终端节点和一个Amazon Identity and Access Management (IAM) 角色来访问该终端节点。这样,您就可以集成目录服务来对用户进行身份验证和授权。要了解有关使用自定义身份提供商的更多信息,请参阅与自定义身份提供者合作

  5. “选择端点” 中,执行以下操作:

    1. 对于终端节点类型,选择 VPC 托管的终端节点类型来托管服务器的终端节点。

    2. 对于 “访问”,选择 “面向 Internet”,使客户端能够通过互联网访问您的终端节点。

      注意

      选择面向 Internet 时,可以在每个子网或子网中选择现有的弹性 IP 地址。或者您可以前往 VPC 控制台 (https://console.aws.amazon.com/vpc/) 分配一个或多个新的弹性 IP 地址。这些地址可以归您所有,也可以归您所有。Amazon您无法将已在使用的弹性 IP 地址与您的终端节点相关联。

    3. (可选)对于 Custom host name,选择下列选项之一:

      • Amazon Route 53 DNS 别名 — 如果您要使用的主机名已在 Route 53 中注册。然后,您可以输入主机名。

      • 其他 DNS — 如果您要使用的主机名已在另一个 DNS 提供商处注册。然后,您可以输入主机名。

      • — 使用服务器的端点而不使用自定义主机名。服务器主机名使用格式 server-id.server.transfer.region.amazonaws.com

        要了解有关使用自定义主机名的更多信息,请参阅使用自定义主机名

    4. 对于 VPC,选择现有的 VPC ID 或选择创建 VPC 来创建新的 VPC。

    5. 可用区部分中,最多选择三个可用区和关联子网。对于 IPv4 地址,为每个子网选择一个弹性 IP 地址。这是您的客户端可以用来允许在其防火墙中访问您的终端节点的 IP 地址。

    6. 在 “安全组” 部分中,选择一个或多个现有的安全组 ID 或选择创建安全组来创建新的安全组。有关安全组的更多信息,请参阅 Amazon Virtual Private Cloud 用户指南中的您的 VPC 的安全组。要创建安全组,请参阅 Amazon Virtual Private Cloud 用户指南中的创建安全组

      注意

      您的 VPC 会自动带有默认的安全组。如果您在启动服务器时没有指定其他安全组,我们会将默认安全组与您的服务器相关联。

    7. (可选)对于 FIPS 已启用,请选中 FIPS 启用的端点复选框以确保该端点符合联邦信息处理标准 (FIPS)。

      注意

      启用 FIPS 的终端节点仅在北美Amazon地区可用。有关可用区域,请参阅《Amazon一般参考》中的Amazon Transfer Family终端节点和配额。有关 FIPS 的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版

    8. 选择 Next(下一步)

  6. Configure 其他详细信息中,执行以下操作:

    1. 要进行CloudWatch 登录,请选择以下选项之一以启用 Amazon CloudWatch 记录您的用户活动:

      • 创建一个新角色以允许 Transfer Family 自动创建 IAM 角色,前提是您拥有创建新角色的权限。创建的 IAM 角色被称为AWSTransferLoggingAccess

      • 选择一个现有角色以从您的账户中选择一个现有 IAM 角色。在 “记录角色” 下,选择角色。此 IAM 角色应包含将服务设置为的信任策略transfer.amazonaws.com

        有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch

      注意
      • CloudWatch 如果您不指定日志角色,则无法在中查看最终用户的活动。

      • 如果您不想设置 CloudWatch 日志角色,请选择选择现有角色,但不要选择日志角色。

    2. 对于加密算法选项,请选择包含允许服务器使用的加密算法的安全策略。

      注意

      除非选择不同的策略,否则TransferSecurityPolicy-2020-06安全策略将默认附加到服务器。

      有关安全策略的更多信息,请参阅使用安全策略

    3. (可选)对于服务器主机密钥,该私钥将用于在客户端通过 SFTP 连接到服务器时标识服务器。ED25519

      注意

      本部分仅适用于从启用 SFTP 的现有服务器迁移用户。

    4. (可选)对于标签,在中,输入一个或多个标签作为键值对,然后选择添加标签

    5. 选择 Next(下一步)

    6. (可选)对于托管工作流,选择 Transfer Family 在执行工作流时应担任的工作流 ID(和相应的角色)。您可以选择一个工作流程在完成上载后执行,选择另一个工作流程在部分上传时执行。要了解有关使用托管工作流程处理文件的更多信息,请参阅Amazon Transfer Family托管工作流程

      
                                托管工作流控制台部分。
  7. 在 Rev iew and cre ate 中,审核您的选择。如果您:

    • 要编辑其中的任何一个,请选择该步骤旁边的 “编辑”

      注意

      在选择编辑的步骤之后,您需要查看每个步骤。

    • 不做任何更改,请选择 “创建服务器” 来创建您的服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。

您可以选择服务器 ID 来查看刚才创建的服务器的详细设置。填充公有 IPv4 地址列后,您提供的弹性 IP 地址将成功关联到服务器的终端节点。

注意

当您在 VPC 中的服务器处于联机状态时,只能修改子网,并且只能通过 UpdateServerAPI 进行修改。您必须停止服务器才能添加或更改服务器终端节点的弹性 IP 地址。

更改服务器的终端节点类型

如果您有可通过 Internet 访问的现有服务器(即具有公用终端节点类型),则可以将其终端节点更改为 VPC 终端节点。

注意

如果您在 VPC 中有显示为的现有服务器VPC_ENDPOINT,我们建议您将其修改为新的 VPC 终端节点类型。有了这种新的终端节点类型,您不再需要使用Network Load Balancer (NLB) 将弹性 IP 地址与服务器的终端节点关联起来。此外,您还可以使用 VPC 安全组来限制对服务器端点的访问。但是,您可以根据需要继续使用VPC_ENDPOINT端点类型。

以下过程假设您的服务器使用当前的公共端点类型或较旧的VPC_ENDPOINT类型。

更改服务器的端点类型
  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在导航窗格中,选择 Servers (服务器)

  3. 选中要更改其端点类型的服务器的复选框。

    重要

    您必须先停止服务器,然后才能更改其终端节点。

  4. 对于 Actions (操作),选择 Stop (停止)

  5. 在出现的确认对话框中,选择 Stop(停止)来确认您要停止服务器。

    注意

    在继续下一步之前,在端点详细信息中,等待服务器的状态更改为脱机;这可能需要几分钟。您可能需要在 “服务器” 页面上选择 “刷新” 才能看到状态更改。

    在服务器离线之前,您无法进行任何编辑。

  6. 端点详细信息中,选择编辑

  7. Edit 端点配置中,执行以下操作:

    1. 对于编辑终端节点类型,选择 VPC 托管

    2. 对于 “访问权限”,选择以下选项之一:

      • 内部,使得只有使用端点的私有 IP 地址的客户端才能访问您的终端节点。

      • 面向 Internet 可让客户端通过公共互联网访问您的终端节点。

        注意

        选择面向 Internet 时,可以在每个子网或子网中选择现有的弹性 IP 地址。或者,您可以前往 VPC 控制台 (https://console.aws.amazon.com/vpc/) 分配一个或多个新的弹性 IP 地址。这些地址可以归您所有,也可以归您所有。Amazon您无法将已在使用的弹性 IP 地址与您的终端节点相关联。

    3. (仅面向 Internet 的访问可选)对于自定义主机名,请选择以下选项之一:

      • Amazon Route 53 DNS 别名 — 如果您要使用的主机名已在 Route 53 中注册。然后,您可以输入主机名。

      • 其他 DNS — 如果您要使用的主机名已在另一个 DNS 提供商处注册。然后,您可以输入主机名。

      • — 使用服务器的端点而不使用自定义主机名。服务器主机名使用格式 serverId.server.transfer.regionId.amazonaws.com

        要了解有关使用自定义主机名的更多信息,请参阅使用自定义主机名

    4. 对于 VPC,选择现有的 VPC ID,或选择创建 VPC 来创建新的 VPC。

    5. 可用区部分中,最多选择三个可用区和关联子网。如果选择了面向互联网,则还要为每个子网选择一个弹性 IP 地址。

      注意

      如果您想要最多三个可用区,但可用区域不足,请在 VPC 控制台 (https://console.aws.amazon.com/vpc/) 中创建它们。

      如果您修改子网或弹性 IP 地址,则服务器需要几分钟才能更新。在服务器更新完成之前,您无法保存更改。

    6. 选择 Save(保存)。

  8. 对于 “操作”,选择 “启动”,然后等待服务器的状态更改为 “机”;这可能需要几分钟。

    注意

    如果您将公用终端节点类型更改为 VPC 终端节点类型,请注意您的服务器的终端节点类型已更改为 VPC

默认安全组已连接到端点。要更改或添加其他安全组,请参阅创建安全组

停止使用 VPC_ENDPOINT

Amazon Transfer Family将停止使用新Amazon帐户创建服务器EndpointType=VPC_ENDPOINT的功能。自 2021 年 5 月 19 日起,不拥有端点类型为的Amazon Transfer Family服务器的Amazon账户VPC_ENDPOINT将无法使用创建新服务器EndpointType=VPC_ENDPOINT。如果您已经拥有使用VPC_ENDPOINT端点类型的服务器,建议您EndpointType=VPC尽快开始使用。有关详细信息,请参阅将您的Amazon Transfer Family服务器终端节点类型从 VPC_ENDPOINT 更新为 VPC

我们在 2020 年初推出了新的VPC端点类型。有关更多信息,Amazon Transfer Family请参阅 SFTP 支持 VPC 安全组和弹性 IP 地址。这个新的端点功能更丰富,更具成本效益,而且不 PrivateLink 收费。有关更多信息,请参阅Amazon PrivateLink 定价

此端点类型在功能上等同于先前的端点类型 (VPC_ENDPOINT)。您可以将弹性 IP 地址直接连接到终端节点,使其面向互联网,并使用安全组进行源 IP 筛选。有关更多信息,请参阅使用 IP 允许列表保护您的 fAmazon Transfer Family or SFTP 服务器

您也可以在共享 VPC 环境中托管此终端节点。有关更多信息,请参阅Amazon Transfer Family现在支持共享服务 VPC 环境

除了 SFTP 之外,您还可以使用 VPCEndpointType 启用 FTPS 和 FTP。我们不打算添加这些功能和 FTPS/FTP 支持EndpointType=VPC_ENDPOINT。我们还从Amazon Transfer Family控制台中删除了此端点类型作为选项。

您可以使用 Transfer Family 控制台、APIAmazon CLI、SDK 或更改服务器的终端节点类型Amazon CloudFormation。要更改服务器的终端节点类型,请参阅将Amazon Transfer Family服务器终端节点类型从 VPC_ENDPOINT 更新到 VPC

如果您有任何问题,请联系Amazon Web Services Support或您的Amazon客户团队。

注意

我们不打算在 EndpointType =VPC_ENDPOINT 中添加这些功能以及 FTPS 或 FTP 支持。我们不再在Amazon Transfer Family控制台上将其作为选项提供。

如果您还有其他问题,可以通过Amazon Web Services Support或您的客户团队联系我们。