Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Zugriffskontrolle für Dateisysteme mit Amazon VPC
Auf ein Amazon FSx-Dateisystem kann über eine elastic network interface zugegriffen werden, die sich in der Virtual Private Cloud (VPC) befindet, die auf dem Amazon VPC-Service basiert, den Sie mit Ihrem Dateisystem verknüpfen. Sie greifen auf Ihr Amazon FSx-Dateisystem über seinen DNS-Namen zu, der der Netzwerkschnittstelle des Dateisystems zugeordnet ist. Nur Ressourcen innerhalb der zugehörigen VPC oder einer Peer-VPC können auf die Netzwerkschnittstelle Ihres Dateisystems zugreifen. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon VPC-Benutzerhandbuch.
Warnung
Sie dürfen die elastic network interface von Amazon FSx nicht ändern oder löschen. Das Ändern oder Löschen der Netzwerkschnittstelle kann zu einem dauerhaften Verbindungsverlust zwischen Ihrer VPC und Ihrem Dateisystem führen.
Amazon VPC-Sicherheitsgruppen
Um den Netzwerkverkehr, der über die Netzwerkschnittstelle Ihres Dateisystems innerhalb Ihrer VPC fließt, weiter zu kontrollieren, verwenden Sie Sicherheitsgruppen, um den Zugriff auf Ihre Dateisysteme zu beschränken. Eine Sicherheitsgruppe fungiert als virtuelle Firewall, um den Datenverkehr für die zugehörigen Ressourcen zu kontrollieren. In diesem Fall ist die zugehörige Ressource die Netzwerkschnittstelle Ihres Dateisystems. Sie verwenden auch VPC-Sicherheitsgruppen, um den Netzwerkverkehr für Ihre Lustre Clients zu kontrollieren.
EFA-enabled Sicherheitsgruppen
Für EFA-enabled FSx for Lustre-Dateisysteme müssen die Dateisystem- und Client-Sicherheitsgruppen den gesamten Verkehr zueinander und voneinander zulassen, und die Dateisystem-Sicherheitsgruppe muss auch den gesamten Verkehr zu und von sich selbst zulassen.
Wichtig
CIDR-based Regeln, einschließlich0.0.0.0/0, erfüllen nicht die EFA-Anforderungen, auch wenn sie den gesamten Verkehr auf allen Ports zulassen. Sie müssen explizit eine Sicherheitsgruppen-ID als Quelle oder Ziel für alle EFA-Verkehrsregeln angeben.
In der folgenden Tabelle sind die erforderlichen Regeln für die Dateisystem-Sicherheitsgruppe aufgeführt.
| Typ | Protocol (Protokoll) | Port-Bereich | Source/Destination |
|---|---|---|---|
| Eingehend — Gesamter Verkehr | Alle | Alle | Sicherheitsgruppen-ID des Dateisystems (selbstreferenzierend) |
| Eingehend — Gesamter Verkehr | Alle | Alle | LustreID der Client-Sicherheitsgruppe |
| Ausgehend — Gesamter Verkehr | Alle | Alle | Sicherheitsgruppen-ID des Dateisystems (selbstreferenzierend) |
| Ausgehend — Gesamter Verkehr | Alle | Alle | LustreID der Client-Sicherheitsgruppe |
In der folgenden Tabelle sind die erforderlichen Regeln für die Lustre Client-Sicherheitsgruppe aufgeführt.
| Typ | Protocol (Protokoll) | Port-Bereich | Source/Destination |
|---|---|---|---|
| Eingehend — Gesamter Verkehr | Alle | Alle | ID der Sicherheitsgruppe des Dateisystems |
| Ausgehend — Gesamter Verkehr | Alle | Alle | ID der Sicherheitsgruppe des Dateisystems |
Anmerkung
Wenn das Dateisystem und die Clients dieselbe Sicherheitsgruppe verwenden, erfüllen die selbstreferenzierenden Regeln für diese Sicherheitsgruppe beide Anforderungen.
Weitere Informationen finden Sie unter Schritt 1: Eine EFA-enabled Sicherheitsgruppe vorbereiten im Amazon EC2 EC2-Benutzerhandbuch.
Steuern des Zugriffs mithilfe von Regeln für eingehenden und ausgehenden Datenverkehr
Um eine Sicherheitsgruppe zur Steuerung des Zugriffs auf Ihr Amazon FSx-Dateisystem und Ihre Lustre Clients zu verwenden, fügen Sie die eingehenden Regeln zur Steuerung des eingehenden Datenverkehrs und die ausgehenden Regeln zur Steuerung des ausgehenden Datenverkehrs von Ihrem Dateisystem und Ihren Clients hinzu. Lustre Stellen Sie sicher, dass Ihre Sicherheitsgruppe über die richtigen Regeln für den Netzwerkverkehr verfügt, um die Dateifreigabe Ihres Amazon FSx-Dateisystems einem Ordner auf Ihrer unterstützten Compute-Instance zuzuordnen.
Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln im Amazon EC2 EC2-Benutzerhandbuch.
Um eine Sicherheitsgruppe für Ihr Amazon FSx-Dateisystem zu erstellen
-
Öffnen Sie die Amazon-EC2-Konsole unter https://console.aws.amazon.com/ec2
. -
Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.
-
Wählen Sie Create Security Group aus.
-
Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe an.
-
Wählen Sie für VPC die mit Ihrem Amazon FSx-Dateisystem verknüpfte VPC aus, um die Sicherheitsgruppe innerhalb dieser VPC zu erstellen.
-
Wählen Sie Create (Erstellen) aus, um die Sicherheitsgruppe zu erstellen.
Als Nächstes fügen Sie der Sicherheitsgruppe, die Sie gerade erstellt haben, Regeln für eingehenden Datenverkehr hinzu, um den Lustre Datenverkehr zwischen Ihren FSx for Lustre-Dateiservern zu ermöglichen.
Um Ihrer Sicherheitsgruppe Regeln für eingehenden Datenverkehr hinzuzufügen
-
Wählen Sie die Sicherheitsgruppe aus, die Sie gerade erstellt haben, falls sie noch nicht ausgewählt ist. Wählen Sie unter Actions (Aktionen) die Option Edit inbound rules (Eingangsregeln bearbeiten) aus.
-
Fügen Sie die folgenden Regeln für eingehenden Datenverkehr hinzu.
Typ Protocol (Protokoll) Port-Bereich Quelle Description Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe ein, die Sie gerade erstellt haben Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren Lustre Clients zugeordnet sind Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern und Clients Lustre Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe ein, die Sie gerade erstellt haben Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren Clients zugeordnet sind Lustre Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern und Clients Lustre -
Wählen Sie Speichern, um die neuen Regeln für eingehenden Datenverkehr zu speichern und anzuwenden.
Standardmäßig lassen Sicherheitsgruppenregeln den gesamten ausgehenden Datenverkehr zu (All, 0.0.0. 0/0). Wenn Ihre Sicherheitsgruppe nicht den gesamten ausgehenden Datenverkehr zulässt, fügen Sie Ihrer Sicherheitsgruppe die folgenden Regeln für ausgehenden Datenverkehr hinzu. Diese Regeln ermöglichen den Verkehr zwischen FSx for Lustre-Dateiservern und Lustre -Clients sowie zwischen Lustre Dateiservern.
Um Ihrer Sicherheitsgruppe Regeln für ausgehenden Datenverkehr hinzuzufügen
-
Wählen Sie dieselbe Sicherheitsgruppe aus, zu der Sie gerade die Regeln für eingehenden Datenverkehr hinzugefügt haben. Wählen Sie für Aktionen die Option Regeln für ausgehenden Datenverkehr bearbeiten aus.
-
Fügen Sie die folgenden Regeln für ausgehenden Datenverkehr hinzu.
Typ Protocol (Protokoll) Port-Bereich Quelle Description Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe ein, die Sie gerade erstellt haben LustreVerkehr zwischen FSx for Lustre-Dateiservern zulassen Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppe ein, die Ihren Lustre Clients zugeordnet ist LustreVerkehr zwischen FSx for Lustre-Dateiservern und Clients zulassen Lustre Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe ein, die Sie gerade erstellt haben Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren Clients zugeordnet sind Lustre Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern und Clients Lustre -
Wählen Sie Speichern, um die neuen Regeln für ausgehenden Datenverkehr zu speichern und anzuwenden.
So verknüpfen Sie eine Sicherheitsgruppe mit Ihrem Amazon FSx-Dateisystem
-
Öffnen Sie die Amazon FSx-Konsole unter https://console.aws.amazon.com/fsx/
. -
Wählen Sie im Konsolen-Dashboard Ihr Dateisystem aus, um dessen Details einzusehen.
-
Klicken Sie auf der Registerkarte Netzwerk und Sicherheit unter Netzwerkschnittstelle (n) auf den Link zur Amazon EC2 EC2-Konsole, um alle Netzwerkschnittstellen für Ihr Dateisystem anzuzeigen.
-
Wählen Sie für jede Netzwerkschnittstelle Aktionen und dann Sicherheitsgruppen ändern aus.
-
Wählen Sie im Dialogfeld Sicherheitsgruppen ändern die Sicherheitsgruppen aus, die Sie der Netzwerkschnittstelle zuordnen möchten.
-
Wählen Sie Speichern.
Glanz Regeln für Client-VPC-Sicherheitsgruppen
Sie verwenden VPC-Sicherheitsgruppen, um den Zugriff auf Ihre Lustre Clients zu kontrollieren, indem Sie eingehende Regeln hinzufügen, um den eingehenden Verkehr zu kontrollieren, und ausgehenden Regeln, um den ausgehenden Verkehr von Ihren Clients zu kontrollieren. Lustre Stellen Sie sicher, dass Ihre Sicherheitsgruppe über die richtigen Regeln für den Netzwerkverkehr verfügt, um sicherzustellen, dass der Lustre Verkehr zwischen Ihren Lustre Clients und Ihren Amazon FSx-Dateisystemen fließen kann.
Fügen Sie den Sicherheitsgruppen, die auf Ihre Lustre Clients angewendet werden, die folgenden Regeln für eingehenden Datenverkehr hinzu.
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Description |
|---|---|---|---|---|
| Benutzerdefinierte TCP-Regel | TCP | 988 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die auf Ihre Lustre Clients angewendet werden | Ermöglicht Lustre den Verkehr zwischen Lustre Clients |
| Benutzerdefinierte TCP-Regel | TCP | 988 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind | Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern und Clients Lustre |
| Benutzerdefinierte TCP-Regel | TCP | 1018-1023 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die auf Ihre Clients angewendet werden Lustre | Ermöglicht Lustre den Verkehr zwischen Lustre Clients |
| Benutzerdefinierte TCP-Regel | TCP | 1018-1023 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind | Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern und Clients Lustre |
Fügen Sie den Sicherheitsgruppen, die auf Ihre Clients angewendet werden, die folgenden Regeln für ausgehenden Datenverkehr hinzu. Lustre
| Typ | Protocol (Protokoll) | Port-Bereich | Quelle | Description |
|---|---|---|---|---|
| Benutzerdefinierte TCP-Regel | TCP | 988 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die auf Ihre Lustre Clients angewendet werden | Ermöglicht Lustre den Verkehr zwischen Lustre Clients |
| Benutzerdefinierte TCP-Regel | TCP | 988 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind | LustreVerkehr zwischen FSx for Lustre-Dateiservern und Clients zulassen Lustre |
| Benutzerdefinierte TCP-Regel | TCP | 1018-1023 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die auf Ihre Clients angewendet werden Lustre | Ermöglicht Lustre den Verkehr zwischen Lustre Clients |
| Benutzerdefinierte TCP-Regel | TCP | 1018-1023 | Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind | Ermöglicht den Lustre Verkehr zwischen FSx for Lustre-Dateiservern und Clients Lustre |