View a markdown version of this page

Contrôle d'accès au système de fichiers avec Amazon VPC - FSx pour Lustre

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès au système de fichiers avec Amazon VPC

Un système de fichiers Amazon FSx est accessible via une interface réseau élastique qui réside dans le cloud privé virtuel (VPC) basé sur le service Amazon VPC que vous associez à votre système de fichiers. Vous accédez à votre système de fichiers Amazon FSx via son nom DNS, qui correspond à l'interface réseau du système de fichiers. Seules les ressources du VPC associé, ou d'un VPC apparenté, peuvent accéder à l'interface réseau de votre système de fichiers. Pour de plus amples informations, veuillez consulter Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.

Avertissement

Vous ne devez ni modifier ni supprimer l'interface Amazon FSx Elastic network. La modification ou la suppression de l'interface réseau peut entraîner une perte permanente de connexion entre votre VPC et votre système de fichiers.

Groupes de sécurité Amazon VPC

Pour mieux contrôler le trafic réseau passant par l'interface réseau de votre système de fichiers au sein de votre VPC, vous utilisez des groupes de sécurité pour limiter l'accès à vos systèmes de fichiers. Un groupe de sécurité agit comme un pare-feu virtuel pour contrôler le trafic des ressources associées. Dans ce cas, la ressource associée est l'interface réseau de votre système de fichiers. Vous utilisez également des groupes de sécurité VPC pour contrôler le trafic réseau de vos Lustre clients.

EFA-enabled groupes de sécurité

Pour les systèmes de fichiers EFA-enabled FSx for Lustre, les groupes de sécurité du système de fichiers et du client doivent autoriser tout le trafic en provenance et à destination de l'autre, et le groupe de sécurité du système de fichiers doit également autoriser tout le trafic entrant ou sortant de lui-même.

Important

CIDR-based les règles, notamment0.0.0.0/0, ne satisfont pas aux exigences de l'EFA même si elles autorisent tout le trafic sur tous les ports. Vous devez spécifier explicitement un ID de groupe de sécurité comme source ou destination pour toutes les règles de trafic EFA.

Le tableau suivant répertorie les règles requises pour le groupe de sécurité du système de fichiers.

Règles requises pour le groupe de sécurité du système de fichiers
Type Protocole Plage de ports Source/Destination
Entrant - Tout le trafic Tous Tous ID du groupe de sécurité du système de fichiers (autoréférencement)
Entrant - Tout le trafic Tous Tous LustreID du groupe de sécurité du client
Sortant - Tout le trafic Tous Tous ID du groupe de sécurité du système de fichiers (autoréférencement)
Sortant - Tout le trafic Tous Tous LustreID du groupe de sécurité du client

Le tableau suivant répertorie les règles requises pour le groupe de sécurité Lustre client.

Règles requises pour Lustre groupe de sécurité client
Type Protocole Plage de ports Source/Destination
Entrant - Tout le trafic Tous Tous ID du groupe de sécurité du système de fichiers
Sortant - Tout le trafic Tous Tous ID du groupe de sécurité du système de fichiers
Note

Si le système de fichiers et les clients utilisent le même groupe de sécurité, les règles d'autoréférencement de ce groupe de sécurité répondent aux deux exigences.

Pour plus d'informations, consultez Étape 1 : Préparation d'un groupe EFA-enabled de sécurité dans le guide de l'utilisateur Amazon EC2.

Contrôle de l'accès à l'aide de règles entrantes et sortantes

Pour utiliser un groupe de sécurité afin de contrôler l'accès à votre système de fichiers et à vos Lustre clients Amazon FSx, vous ajoutez les règles entrantes pour contrôler le trafic entrant et les règles sortantes pour contrôler le trafic sortant de votre système de fichiers et de vos clients. Lustre Assurez-vous de disposer des bonnes règles de trafic réseau dans votre groupe de sécurité pour mapper le partage de fichiers de votre système de fichiers Amazon FSx à un dossier de votre instance de calcul prise en charge.

Pour plus d'informations sur les règles des groupes de sécurité, consultez la section Règles des groupes de sécurité dans le guide de l'utilisateur Amazon EC2.

Pour créer un groupe de sécurité pour votre système de fichiers Amazon FSx
  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez Créer un groupe de sécurité.

  4. Attribuez un nom et une description au groupe de sécurité.

  5. Pour le VPC, choisissez le VPC associé à votre système de fichiers Amazon FSx pour créer le groupe de sécurité au sein de ce VPC.

  6. Choisissez Create (Créer) pour créer le groupe de sécurité.

Ensuite, vous ajoutez des règles entrantes au groupe de sécurité que vous venez de créer pour activer le Lustre trafic entre vos serveurs de fichiers FSx for Lustre.

Pour ajouter des règles de trafic entrant à votre groupe de sécurité
  1. Sélectionnez le groupe de sécurité que vous venez de créer s'il n'est pas déjà sélectionné. Pour Actions, choisissez Modifier les règles entrantes.

  2. Ajoutez les règles de trafic entrant suivantes.

    Type Protocole Plage de ports Source Description
    Règle TCP personnalisée TCP 988 Choisissez Personnalisé et entrez l'ID du groupe de sécurité que vous venez de créer Autorise Lustre le trafic entre les serveurs de fichiers FSx for Lustre
    Règle TCP personnalisée TCP 988 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité associés à vos Lustre clients. Autorise Lustre le trafic entre les serveurs Lustre de fichiers et les clients de FSx for Lustre
    Règle TCP personnalisée TCP 1018-1023 Choisissez Personnalisé et entrez l'ID du groupe de sécurité que vous venez de créer Autorise Lustre le trafic entre les serveurs de fichiers FSx for Lustre
    Règle TCP personnalisée TCP 1018-1023 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité associés à vos Lustre clients. Autorise Lustre le trafic entre les serveurs Lustre de fichiers et les clients de FSx for Lustre
  3. Choisissez Enregistrer pour enregistrer et appliquer les nouvelles règles de trafic entrant.

Par défaut, les règles du groupe de sécurité autorisent tout le trafic sortant (Tout, 0.0.0). 0/0). Si votre groupe de sécurité n'autorise pas tout le trafic sortant, ajoutez les règles sortantes suivantes à votre groupe de sécurité. Ces règles autorisent le trafic entre les serveurs de fichiers et les clients de FSx for Lustre, Lustre ainsi qu'Lustreentre les serveurs de fichiers.

Pour ajouter des règles de trafic sortant à votre groupe de sécurité
  1. Choisissez le même groupe de sécurité auquel vous venez d'ajouter les règles entrantes. Pour Actions, choisissez Modifier les règles sortantes.

  2. Ajoutez les règles sortantes suivantes.

    Type Protocole Plage de ports Source Description
    Règle TCP personnalisée TCP 988 Choisissez Personnalisé et entrez l'ID du groupe de sécurité que vous venez de créer Autoriser Lustre le trafic entre les serveurs de fichiers FSx for Lustre
    Règle TCP personnalisée TCP 988 Choisissez Personnalisé et entrez les identifiants du groupe de sécurité associé à vos Lustre clients Autoriser Lustre le trafic entre les serveurs Lustre de fichiers et les clients de FSx for Lustre
    Règle TCP personnalisée TCP 1018-1023 Choisissez Personnalisé et entrez l'ID du groupe de sécurité que vous venez de créer Autorise Lustre le trafic entre les serveurs de fichiers FSx for Lustre
    Règle TCP personnalisée TCP 1018-1023 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité associés à vos Lustre clients. Autorise Lustre le trafic entre les serveurs Lustre de fichiers et les clients de FSx for Lustre
  3. Choisissez Enregistrer pour enregistrer et appliquer les nouvelles règles de trafic sortant.

Pour associer un groupe de sécurité à votre système de fichiers Amazon FSx
  1. Ouvrez la console Amazon FSx à l'adresse. https://console.aws.amazon.com/fsx/

  2. Sur le tableau de bord de la console, choisissez votre système de fichiers pour en afficher les détails.

  3. Dans l'onglet Réseau et sécurité, cliquez sur le lien de la console Amazon EC2 sous Interface (s) réseau (s) pour afficher toutes les interfaces réseau de votre système de fichiers.

  4. Pour chaque interface réseau, choisissez Actions, puis Modifier les groupes de sécurité.

  5. Dans la boîte de dialogue Modifier les groupes de sécurité, choisissez les groupes de sécurité que vous souhaitez associer à l'interface réseau.

  6. Choisissez Enregistrer.

Lustre règles du groupe de sécurité VPC client

Vous utilisez des groupes de sécurité VPC pour contrôler l'accès à vos Lustre clients en ajoutant des règles entrantes pour contrôler le trafic entrant et des règles sortantes pour contrôler le trafic sortant de vos clients. Lustre Assurez-vous de disposer des bonnes règles de trafic réseau dans votre groupe de sécurité afin de garantir que le Lustre trafic puisse circuler entre vos Lustre clients et vos systèmes de fichiers Amazon FSx.

Ajoutez les règles de trafic entrant suivantes aux groupes de sécurité appliqués à vos Lustre clients.

Type Protocole Plage de ports Source Description
Règle TCP personnalisée TCP 988 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité appliqués à vos Lustre clients. Autorise Lustre le trafic entre les Lustre clients
Règle TCP personnalisée TCP 988 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité associés à vos systèmes de fichiers FSx for Lustre Autorise Lustre le trafic entre les serveurs Lustre de fichiers et les clients de FSx for Lustre
Règle TCP personnalisée TCP 1018-1023 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité appliqués à vos Lustre clients. Autorise Lustre le trafic entre les Lustre clients
Règle TCP personnalisée TCP 1018-1023 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité associés à vos systèmes de fichiers FSx for Lustre Autorise Lustre le trafic entre les serveurs Lustre de fichiers et les clients de FSx for Lustre

Ajoutez les règles sortantes suivantes aux groupes de sécurité appliqués à vos Lustre clients.

Type Protocole Plage de ports Source Description
Règle TCP personnalisée TCP 988 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité appliqués à vos Lustre clients. Autorise Lustre le trafic entre les Lustre clients
Règle TCP personnalisée TCP 988 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité associés à vos systèmes de fichiers FSx for Lustre Autoriser Lustre le trafic entre les serveurs Lustre de fichiers et les clients de FSx for Lustre
Règle TCP personnalisée TCP 1018-1023 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité appliqués à vos Lustre clients. Autorise Lustre le trafic entre les Lustre clients
Règle TCP personnalisée TCP 1018-1023 Choisissez Personnalisé et entrez les identifiants des groupes de sécurité associés à vos systèmes de fichiers FSx for Lustre Autorise Lustre le trafic entre les serveurs Lustre de fichiers et les clients de FSx for Lustre