Zugriffskontrolle für Dateisysteme mit Amazon VPC - FSx für Lustre
Amazon VPC-SicherheitsgruppenVPC-Sicherheitsgruppenregeln für Lustre-Clients

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffskontrolle für Dateisysteme mit Amazon VPC

Auf ein Amazon FSx-Dateisystem kann über eine elastic network interface zugegriffen werden, die sich in der Virtual Private Cloud (VPC) befindet, die auf dem Amazon VPC-Service basiert, den Sie mit Ihrem Dateisystem verknüpfen. Sie greifen auf Ihr Amazon FSx-Dateisystem über seinen DNS-Namen zu, der der Netzwerkschnittstelle des Dateisystems zugeordnet ist. Nur Ressourcen innerhalb der zugehörigen VPC oder einer Peer-VPC können auf die Netzwerkschnittstelle Ihres Dateisystems zugreifen. Weitere Informationen finden Sie unter Was ist Amazon VPC? im Amazon VPC-Benutzerhandbuch.

Warnung

Sie dürfen die elastic network interface von Amazon FSx nicht ändern oder löschen. Das Ändern oder Löschen der Netzwerkschnittstelle kann zu einem dauerhaften Verbindungsverlust zwischen Ihrer VPC und Ihrem Dateisystem führen.

Amazon VPC-Sicherheitsgruppen

Um den Netzwerkverkehr, der über die Netzwerkschnittstelle Ihres Dateisystems innerhalb Ihrer VPC fließt, weiter zu kontrollieren, verwenden Sie Sicherheitsgruppen, um den Zugriff auf Ihre Dateisysteme zu beschränken. Eine Sicherheitsgruppe fungiert als virtuelle Firewall, um den Datenverkehr für die zugehörigen Ressourcen zu kontrollieren. In diesem Fall ist die zugehörige Ressource die Netzwerkschnittstelle Ihres Dateisystems. Sie verwenden auch VPC-Sicherheitsgruppen, um den Netzwerkverkehr für Ihre Lustre-Clients zu steuern.

Steuern des Zugriffs mithilfe von Regeln für eingehenden und ausgehenden Datenverkehr

Um eine Sicherheitsgruppe zur Steuerung des Zugriffs auf Ihr Amazon FSx-Dateisystem und Ihre Lustre-Clients zu verwenden, fügen Sie die eingehenden Regeln zur Steuerung des eingehenden Datenverkehrs und die ausgehenden Regeln zur Steuerung des ausgehenden Datenverkehrs von Ihrem Dateisystem und Lustre-Clients hinzu. Stellen Sie sicher, dass Ihre Sicherheitsgruppe über die richtigen Regeln für den Netzwerkverkehr verfügt, um die Dateifreigabe Ihres Amazon FSx-Dateisystems einem Ordner auf Ihrer unterstützten Compute-Instance zuzuordnen.

Weitere Informationen zu Sicherheitsgruppenregeln finden Sie unter Sicherheitsgruppenregeln im Amazon EC2 EC2-Benutzerhandbuch.

Um eine Sicherheitsgruppe für Ihr Amazon FSx-Dateisystem zu erstellen

  1. Öffnen Sie die Amazon EC2 EC2-Konsole unter https://console.aws.amazon.com/ec2.

  2. Wählen Sie im Navigationsbereich Sicherheitsgruppen aus.

  3. Wählen Sie Create Security Group aus.

  4. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe an.

  5. Wählen Sie für VPC die mit Ihrem Amazon FSx-Dateisystem verknüpfte VPC aus, um die Sicherheitsgruppe innerhalb dieser VPC zu erstellen.

  6. Wählen Sie Create (Erstellen) aus, um die Sicherheitsgruppe zu erstellen.

Als Nächstes fügen Sie der Sicherheitsgruppe, die Sie gerade erstellt haben, Regeln für eingehenden Datenverkehr hinzu, um den Lustre-Verkehr zwischen Ihren FSx for Lustre-Dateiservern zu aktivieren.

Um Ihrer Sicherheitsgruppe Regeln für eingehenden Datenverkehr hinzuzufügen

  1. Wählen Sie die Sicherheitsgruppe aus, die Sie gerade erstellt haben, falls sie noch nicht ausgewählt ist. Wählen Sie unter Actions (Aktionen) die Option Edit inbound rules (Eingangsregeln bearbeiten) aus.

  2. Fügen Sie die folgenden Regeln für eingehenden Datenverkehr hinzu.

    Typ Protocol (Protokoll) Port-Bereich Quelle Beschreibung
    Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe ein, die Sie gerade erstellt haben Ermöglicht Lustre-Verkehr zwischen FSx for Lustre Lustre-Dateiservern
    Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren Lustre-Clients zugeordnet sind Ermöglicht Lustre-Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients
    Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe ein, die Sie gerade erstellt haben Ermöglicht Lustre-Verkehr zwischen FSx for Lustre Lustre-Dateiservern
    Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren Lustre-Clients zugeordnet sind Ermöglicht Lustre-Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients

  3. Wählen Sie Speichern, um die neuen Regeln für eingehenden Datenverkehr zu speichern und anzuwenden.

Standardmäßig lassen Sicherheitsgruppenregeln den gesamten ausgehenden Datenverkehr zu (All, 0.0.0.0/0). Wenn Ihre Sicherheitsgruppe nicht den gesamten ausgehenden Datenverkehr zulässt, fügen Sie Ihrer Sicherheitsgruppe die folgenden ausgehenden Regeln hinzu. Diese Regeln ermöglichen den Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients sowie zwischen Lustre-Dateiservern.

So fügen Sie Ihrer Sicherheitsgruppe Regeln für ausgehenden Datenverkehr hinzu

  1. Wählen Sie dieselbe Sicherheitsgruppe aus, zu der Sie gerade die Regeln für eingehenden Datenverkehr hinzugefügt haben. Wählen Sie für Aktionen die Option Regeln für ausgehenden Datenverkehr bearbeiten aus.

  2. Fügen Sie die folgenden Regeln für ausgehenden Datenverkehr hinzu.

    Typ Protocol (Protokoll) Port-Bereich Quelle Beschreibung
    Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe ein, die Sie gerade erstellt haben Lustre-Verkehr zwischen FSx for Lustre-Dateiservern zulassen
    Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppe ein, die Ihren Lustre-Clients zugeordnet ist Lustre-Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients zulassen
    Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-ID der Sicherheitsgruppe ein, die Sie gerade erstellt haben Ermöglicht Lustre-Verkehr zwischen FSx for Lustre Lustre-Dateiservern
    Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren Lustre-Clients zugeordnet sind Ermöglicht Lustre-Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients

  3. Wählen Sie Speichern, um die neuen Regeln für ausgehende Nachrichten zu speichern und anzuwenden.

So verknüpfen Sie eine Sicherheitsgruppe mit Ihrem Amazon FSx-Dateisystem

  1. Öffnen Sie die Amazon FSx-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Wählen Sie im Konsolen-Dashboard Ihr Dateisystem aus, um dessen Details einzusehen.

  3. Wählen Sie auf der Registerkarte Netzwerk und Sicherheit die Netzwerkschnittstellen-IDs Ihres Dateisystems aus (z. B.ENI-01234567890123456). Dadurch werden Sie zur Amazon EC2 EC2-Konsole weitergeleitet.

  4. Wählen Sie jede Netzwerkschnittstellen-ID aus. Jede Aktion öffnet eine neue Instanz der Amazon EC2 EC2-Konsole in Ihrem Browser. Wählen Sie für jede Sicherheitsgruppe die Option Sicherheitsgruppen für Aktionen ändern aus.

  5. Wählen Sie im Dialogfeld „Sicherheitsgruppen ändern“ die zu verwendenden Sicherheitsgruppen aus und klicken Sie auf Speichern.

VPC-Sicherheitsgruppenregeln für Lustre-Clients

Sie verwenden VPC-Sicherheitsgruppen, um den Zugriff auf Ihre Lustre-Clients zu kontrollieren, indem Sie eingehende Regeln zur Steuerung des eingehenden Datenverkehrs und ausgehende Regeln zur Steuerung des ausgehenden Datenverkehrs von Ihren Lustre-Clients hinzufügen. Stellen Sie sicher, dass Ihre Sicherheitsgruppe über die richtigen Regeln für den Netzwerkverkehr verfügt, um sicherzustellen, dass Lustre-Verkehr zwischen Ihren Lustre-Clients und Ihren Amazon FSx-Dateisystemen fließen kann.

Fügen Sie den Sicherheitsgruppen, die auf Ihre Lustre-Clients angewendet werden, die folgenden Regeln für eingehenden Datenverkehr hinzu.

Typ Protocol (Protokoll) Port-Bereich Quelle Beschreibung
Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die auf Ihre Lustre-Clients angewendet werden Ermöglicht Lustre-Verkehr zwischen Lustre-Clients
Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind Ermöglicht Lustre-Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients
Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die auf Ihre Lustre-Clients angewendet werden Ermöglicht Lustre-Verkehr zwischen Lustre-Clients
Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind Ermöglicht Lustre-Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients

Fügen Sie den Sicherheitsgruppen, die auf Ihre Lustre-Clients angewendet werden, die folgenden Regeln für ausgehenden Datenverkehr hinzu.

Typ Protocol (Protokoll) Port-Bereich Quelle Beschreibung
Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die auf Ihre Lustre-Clients angewendet werden Ermöglicht Lustre-Verkehr zwischen Lustre-Clients
Benutzerdefinierte TCP-Regel TCP 988 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind Lustre-Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients zulassen
Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die auf Ihre Lustre-Clients angewendet werden Ermöglicht Lustre-Verkehr zwischen Lustre-Clients
Benutzerdefinierte TCP-Regel TCP 1018-1023 Wählen Sie Benutzerdefiniert und geben Sie die Sicherheitsgruppen-IDs der Sicherheitsgruppen ein, die Ihren FSx for Lustre-Dateisystemen zugeordnet sind Ermöglicht Lustre-Verkehr zwischen FSx for Lustre-Dateiservern und Lustre-Clients