在 Virtual Private Cloud 中创建服务器 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Virtual Private Cloud 中创建服务器

您可以在虚拟私有云 (VPC) 中托管服务器的终端节点,用于在 Amazon S3 存储桶或 Amazon EFS 文件系统之间传输数据,而无需通过公共互联网。

注意

在 2021 年 5 月 19 日之后,您将无法使用EndpointType=VPC_ENDPOINT中的Amazon帐户(如果您的帐户在 2021 年 5 月 19 日之前尚未执行此操作)。如果您已经创建了EndpointType=VPC_ENDPOINT中的Amazon帐户在 2021 年 2 月 21 日或之前,您将不会受到影响。在此日期之后,使用EndpointType=VPC. 有关更多信息,请参阅 停止使用 VPC_端点

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 托管您的Amazon资源,您可以在 VPC 和服务器之间建立私有连接。然后,您可以使用此服务器通过客户端与 Amazon S3 存储桶传输数据而不流经公共 Internet。

使用 Amazon VPC,您可以启动Amazon自定义虚拟网络中的资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关 VPC 的更多信息,请参阅什么是 Amazon VPC?中的Amazon VPC User Guide.

在下一节中,找到有关如何创建 VPC 并将 VPC 连接到服务器的说明。作为一个概述,您可以按如下方式执行此操作:

  1. 使用 VPC 终端节点设置服务器。

  2. 通过 VPC 终端节点使用位于 VPC 中的客户端 Connect 到服务器。执行此操作后,您可以使用,通过客户端传输存储在 Amazon S3 存储桶中的数据。Amazon Transfer Family. 即使网络与公共 Internet 断开连接,您也可以执行此转移。

  3. 此外,如果您选择使服务器端点面向 Internet,则可以将弹性 IP 地址与终端节点相关联。这样做可以让 VPC 外部的客户端连接到您的服务器。您可以使用 VPC 安全组控制对经过身份验证的用户的访问,这些用户的请求仅来自允许的地址。

创建只能在 VPC 内访问的服务器终端节点

在以下过程中,您将创建一个服务器终端节点,该终端节点只能由 VPC 中的资源访问。

在 VPC 内创建服务器终端节点

  1. 打开Amazon Transfer Family控制台位于https://console.aws.amazon.com/transfer/.

  2. 选择 Create server (创建服务器)

  3. In选择协议,选择一个或多个协议,然后选择下一步. 有关协议的更多信息,请参阅第 2 步:创建启用 SFTP 的服务器.

  4. In选择身份提供商中,选择Managed Servect将用户身份和密钥存储在Amazon Transfer Family,然后选择下一步.

    注意

    此过程使用服务托管选项。如果选择Custom (自定义),您可以提供 Amazon API Gateway 终端节点和Amazon Identity and Access Management(IAM) 角色访问终端节点。执行此操作后,您可以集成目录服务,用于对用户进行身份验证和授权。要了解有关使用自定义身份提供商的更多信息,请参阅使用自定义身份提供商

  5. In选择终端节点中,执行以下操作:

    注意

    用于 Transfer Family 的 FTP 和 FTPS 服务器通过端口 21(控制通道)和端口范围 8192-8200(数据通道)运行。

    1. 适用于终端节点类型中,选择托管的 VPC端点类型来托管服务器的终端节点。

    2. 适用于访问中,选择内部,以使您的终端节点仅供使用终端节点的私有 IP 地址的客户端访问。

      注意

      有关详细信息面向 Internet 的选项,请参阅为服务器创建面向 Internet 的终端节点. 在 VPC 中创建的服务器仅供内部访问,不支持自定义主机名。

    3. 适用于VPC,选择现有 VPC ID 或选择创建 VPC创建新的 VPC。

    4. 可用区部分中,选择多达三个可用区和相关子网。

    5. 个安全组部分中,选择一个或多个安全组 ID,或选择创建安全组以创建新安全组。有关安全组的更多信息,请参见。您的 VPC 的安全组中的Amazon Virtual Private Cloud 用户指南. 要创建安全组,请参阅创建安全组中的Amazon Virtual Private Cloud 用户指南.

      注意

      您的 VPC 会自动带有默认的安全组。如果您在启动服务器时没有指定其他安全组,我们会将默认安全组与您的服务器相关联。

    6. (可选)用于FIPS 启用中,选择FIPS 启用终端节点复选框,确保终端节点符合联邦信息处理标准 (FIPS)。

      注意

      启用 FIPS 的端点仅在北美提供Amazon区域。有关可用区域,请参阅Amazon Transfer Family终端节点和配额中的Amazon一般参考. 有关 FIPS 的更多信息,请参阅美国联邦信息处理标准 (FIPS) 140-2.

    7. 选择 Next (下一步)

  6. In配置其他详细信息中,执行以下操作:

    1. 适用于CloudWatch 日志记录,选择以下选项之一,以启用 Amazon CloudWatch 记录您的用户活动:

      • 创建新角色,以允许 Transfer Family 自动创建 IAM 角色,只要您拥有创建新角色的正确权限。创建的 IAM 角色称为AWSTransferLoggingAccess.

      • 选择现有角色从您的账户中选择现有 IAM 角色。UNTER日志记录角色下,选择角色。此 IAM 角色应包括具有服务设置为transfer.amazonaws.com.

        有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch 视记录活动.

      注意
      • 如果未指定日志记录角色,则无法在 CloudWatch 中查看最终用户活动。

      • 如果您不想设置 CloudWatch 日志记录角色,请选择选择现有角色,但不要选择日志记录角色。

    2. 适用于加密算法选项中,选择包含服务器启用的加密算法的安全策略。

      注意

      默认情况下,TransferSecurityPolicy-2020-06安全策略附加到您的服务器,除非您选择不同的策略。

      有关安全策略的更多信息,请参阅使用安全策略

    3. (可选)用于服务器主机密钥中,输入 RSA 私有密钥,该密钥将用于在客户端通过 SFTP 连接到服务器时标识服务器。

      注意

      本节仅用于从已启用 SFTP 的现有服务器迁移用户。

    4. (可选)用于标签, 用于密钥,输入一个或多个标签作为键/值对,然后选择添加标签.

    5. 选择 Next (下一步)

  7. In审核和创建下,检查您所做的选择。如果您:

    • 想要编辑其中的任何一个,请选择编辑旁边的步骤。

      注意

      您需要在选择编辑的步骤之后查看每个步骤。

    • 没有更改,请选择创建服务器以创建服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。

您的新服务器的状态可能需要几分钟时间才能更改为在线. 到时候,您的服务器可以执行用户的文件操作。

为服务器创建面向 Internet 的终端节点

在以下过程中,您将创建一个服务器终端节点。此终端节点仅允许在 VPC 的默认安全组中使用源 IP 地址的客户端才能通过 Internet 访问。此外,通过使用弹性 IP 地址使终端面向 Internet,您的客户端可以使用弹性 IP 地址允许访问其防火墙中的终端节点。

注意

只能在面向互联网的 VPC 托管终端节点上使用 SFTP 和 FTPS。

创建面向 Internet 的终端节点

  1. 打开Amazon Transfer Family控制台位于https://console.aws.amazon.com/transfer/.

  2. 选择 Create server (创建服务器)

  3. In选择协议,选择一个或多个协议,然后选择下一步. 有关协议的更多信息,请参阅第 2 步:创建启用 SFTP 的服务器.

  4. In选择身份提供商中,选择Managed Servect将用户身份和密钥存储在Amazon Transfer Family,然后选择下一步.

    注意

    此过程使用服务托管选项。如果选择Custom (自定义),您可以提供 Amazon API Gateway 终端节点和Amazon Identity and Access Management(IAM) 角色访问终端节点。执行此操作后,您可以集成目录服务,用于对用户进行身份验证和授权。要了解有关使用自定义身份提供商的更多信息,请参阅使用自定义身份提供商

  5. In选择终端节点中,执行以下操作:

    1. 适用于终端节点类型中,选择托管的 VPC端点类型来托管服务器的终端节点。

    2. 适用于访问中,选择面向 Internet 的,使客户端可以通过互联网访问您的终端节点。

      注意

      如果选择面向 Internet 的,您可以在每个子网中选择一个或多个子网中现有的弹性 IP 地址。或者,您可以转到 VPC 控制台(https://console.aws.amazon.com/vpc/) 分配一个或多个新的弹性 IP 地址。这些地址可以由Amazon或者由你。您无法将已在使用的弹性 IP 地址与终端节点相关联。

    3. (可选)用于自定义主机名下,选择下列选项之一:

      • Amazon Route 53 别名― 如果您要使用的主机名已注册到 Route 53。然后,您可以输入主机名。

      • 其他 DNS— 如果要使用的主机名已注册到另一个 DNS 提供商。然后,您可以输入主机名。

      • — 使用服务器的终端节点,而不是使用自定义主机名。服务器主机名使用格式 serverId.server.transfer.regionId.amazonaws.com

        要了解有关使用自定义主机名的更多信息,请参阅使用自定义主机名.

    4. 适用于VPC,选择现有 VPC ID 或选择创建 VPC创建新的 VPC。

    5. 可用区部分中,选择多达三个可用区和相关子网。适用于IPv4 地址中,选择弹性 IP 地址对于每个子网。这是您的客户端可用于允许访问其防火墙中的终端节点的 IP 地址。

    6. 个安全组部分中,选择一个或多个安全组 ID,或选择创建安全组以创建新安全组。有关安全组的更多信息,请参见。您的 VPC 的安全组中的Amazon Virtual Private Cloud 用户指南. 要创建安全组,请参阅创建安全组中的Amazon Virtual Private Cloud 用户指南.

      注意

      您的 VPC 会自动带有默认的安全组。如果您在启动服务器时没有指定其他安全组,我们会将默认安全组与您的服务器相关联。

    7. (可选)用于FIPS 启用中,选择FIPS 启用终端节点复选框,确保终端节点符合联邦信息处理标准 (FIPS)。

      注意

      启用 FIPS 的端点仅在北美提供Amazon区域。有关可用区域,请参阅Amazon Transfer Family终端节点和配额中的Amazon一般参考. 有关 FIPS 的更多信息,请参阅美国联邦信息处理标准 (FIPS) 140-2.

    8. 选择 Next (下一步)

  6. In配置其他详细信息中,执行以下操作:

    1. 适用于CloudWatch 日志记录,选择以下选项之一,以启用 Amazon CloudWatch 记录您的用户活动:

      • 创建新角色,以允许 Transfer Family 自动创建 IAM 角色,只要您拥有创建新角色的正确权限。创建的 IAM 角色称为AWSTransferLoggingAccess.

      • 选择现有角色从您的账户中选择现有 IAM 角色。UNTER日志记录角色下,选择角色。此 IAM 角色应包括具有服务设置为transfer.amazonaws.com.

        有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch 视记录活动.

      注意
      • 如果未指定日志记录角色,则无法在 CloudWatch 中查看最终用户活动。

      • 如果您不想设置 CloudWatch 日志记录角色,请选择选择现有角色,但不要选择日志记录角色。

    2. 适用于加密算法选项中,选择包含服务器启用的加密算法的安全策略。

      注意

      默认情况下,TransferSecurityPolicy-2020-06安全策略附加到您的服务器,除非您选择不同的策略。

      有关安全策略的更多信息,请参阅使用安全策略

    3. (可选)用于服务器主机密钥中,输入 RSA 私有密钥,该密钥将用于在客户端通过 SFTP 连接到服务器时标识服务器。

      注意

      本节仅用于从已启用 SFTP 的现有服务器迁移用户。

    4. (可选)用于标签, 用于密钥,输入一个或多个标签作为键/值对,然后选择添加标签.

    5. 选择 Next (下一步)

  7. In审核和创建下,检查您所做的选择。如果您:

    • 想要编辑其中的任何一个,请选择编辑旁边的步骤。

      注意

      您需要在选择编辑的步骤之后查看每个步骤。

    • 没有更改,请选择创建服务器以创建服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。

您可以选择服务器 ID,以查看您刚刚创建的服务器的详细设置。在该列之后公有 IPv4 地址,则您提供的弹性 IP 地址将成功与服务器的终端节点关联。

注意

当 VPC 中的服务器处于联机状态时,只能修改子网,并且只能通过UpdateServerAPI。您必须要停止服务器添加或更改服务器终端节点的弹性 IP 地址。

更改服务器的终端节点类型

如果您现有的服务器可通过 Internet 访问(即,具有公有终端节点类型),您可以将其终端节点更改为 VPC 终端节点。

注意

如果 VPC 中的现有服务器显示为VPC_ENDPOINT,建议您将其修改为新 VPC 终端节点类型。使用此新的终端节点类型,您不再需要使用 Network Load Balancer (NLB) 将弹性 IP 地址与服务器的终端节点相关联。此外,您还可以使用 VPC 安全组来限制对服务器的访问。但是,您可以继续使用VPC_ENDPOINT端点类型。

以下过程假定您的服务器使用当前公有终端节点类型或较早的VPC_ENDPOINT

更改服务器的终端节点类型

  1. 打开Amazon Transfer Family控制台位于https://console.aws.amazon.com/transfer/.

  2. 在导航窗格中,选择 Servers (服务器)

  3. 选中您要更改终端节点类型的服务器的复选框。

    重要

    您必须先停止服务器,然后才能更改其终端节点。

  4. 对于 Actions (操作),选择 Stop (停止)

  5. 在随后显示的确认对话框中,选择停止以确认您要停止服务器。

    注意

    在继续下一步之前,请在端点详细信息,请等待状态的服务器更改为离线; 这可能需要几分钟时间。您可能必须选择刷新服务器页面以查看状态更改。

    您将无法进行任何编辑,直到服务器已完成离线.

  6. In端点详细信息中,选择编辑.

  7. In编辑终端节点配置中,执行以下操作:

    1. 适用于编辑终端节点类型中,选择托管的 VPC.

    2. 适用于访问下,选择下列选项之一:

      • 内部,以使您的终端节点仅供使用终端节点的私有 IP 地址的客户端访问。

      • 面向 Internet 的使客户端可通过公共 Internet 访问终端节点。

        注意

        如果选择面向 Internet 的,您可以在每个子网中选择一个或多个子网中现有的弹性 IP 地址。或者,您可以转到 VPC 控制台 (https://console.aws.amazon.com/vpc/) 分配一个或多个新的弹性 IP 地址。这些地址可以由Amazon或者由你。您无法将已在使用的弹性 IP 地址与终端节点相关联。

    3. (仅适用于面向互联网的访问)自定义主机名下,选择下列选项之一:

      • Amazon Route 53 别名― 如果您要使用的主机名已注册到 Route 53。然后,您可以输入主机名。

      • 其他 DNS— 如果要使用的主机名已注册到另一个 DNS 提供商。然后,您可以输入主机名。

      • — 使用服务器的终端节点,而不是使用自定义主机名。服务器主机名使用格式 serverId.server.transfer.regionId.amazonaws.com

        要了解有关使用自定义主机名的更多信息,请参阅使用自定义主机名.

    4. 适用于VPC,选择现有 VPC ID,或选择创建 VPC创建新的 VPC。

    5. 可用区部分中,选择多达三个可用区和相关子网。如果面向 Internet 的,还可为每个子网选择弹性 IP 地址。

      注意

      如果您最多需要三个可用区域,但没有足够的可用区域,请在 VPC 控制台 (https://console.aws.amazon.com/vpc/)。

      如果修改子网或弹性 IP 地址,服务器需要几分钟的时间来更新。在服务器更新完成之前,您无法保存更改。

    6. 选择 Save

  8. 适用于操作中,选择启动并等待服务器的状态变为在线; 这可能需要几分钟时间。

    注意

    如果您将公有终端节点类型更改为 VPC 终端节点类型,请注意终端节点类型为您的服务器更改为VPC.

默认安全组附加到终端节点。要更改或添加其他安全组,请参阅创建安全组.

停止使用 VPC_端点

Amazon Transfer Family正在停止创建具有EndpointType=VPC_ENDPOINT对于新的Amazon帐户。截至二零一五年五月十九日Amazon不拥有的帐户Amazon Transfer Family服务器的端点类型为VPC_ENDPOINT将无法创建新服务器EndpointType=VPC_ENDPOINT. 如果您已经拥有使用VPC_ENDPOINT终端节点类型,建议您开始使用EndpointType=VPC请尽快执行。有关详细信息,请参阅。更新您的Amazon Transfer Family从 VPC_端点到 VPC 的服务器终端节点类型.

我们推出了新的VPC终端节点类型。有关更多信息,请参阅 。Amazon Transfer Family支持 VPC 安全组和弹性 IP 地址. 这个新的终端节点功能更丰富,更具成本效益,并且不收取 PrivateLink 费用。有关更多信息,请参阅 。AmazonPrivateLink 定价.

此端点类型在功能上等同于以前的端点类型(VPC_ENDPOINT)。您可以将弹性 IP 地址直接附加到终端节点,使其面向互联网,并使用安全组进行源 IP 筛选。有关更多信息,请参阅 。使用 IP 允许列表来保护您的Amazon Transfer Family面向 SFTP 服务器的.

您还可以在共享 VPC 环境中托管此终端节点。有关更多信息,请参阅 。 Amazon Transfer Family现在支持共享服务 VPC 环境.

除了 SFTP 之外,您还可以使用 VPCEndpointType以启用 FTPS 和 FTP。我们不打算将这些功能和 FTPS/FTP 支持添加到EndpointType=VPC_ENDPOINT. 我们还将此终端节点类型作为Amazon Transfer Family控制台。

您可以使用 Tranisable (Transfer Family) 控制台 (Amazon CLI、API、开发工具包或)Amazon CloudFormation. 要更改服务器的终端节点类型,请参阅更新Amazon Transfer Family从 VPC_端点到 VPC 的服务器终端节点类型.

如果您有任何疑问,请联系Amazon Web Services Support或您的Amazon客户团队。

注意

我们不打算将这些功能和 FTPS 或 FTP 支持添加到终端类型 = VPC_ 终端节点。我们不再提供它作为Amazon Transfer Family控制台。

如果您有其他问题,您可以通过Amazon Web Services Support或您的客户团队。