View a markdown version of this page

Akses fsX Anda untuk sistem file NetApp ONTAP dengan Transfer Family - AWS Transfer Family
IkhtisarPrasyaratBagaimana penyimpanan FSx bekerja dengan Transfer FamilyMembuat titik akses S3 untuk FSxMenggunakan alias titik akses S3 dengan FSxMengkonfigurasi Transfer Family untuk penyimpanan FSxMengelola pengguna untuk penyimpanan FSxMengkonfigurasi klien transfer fileMemecahkan masalah penyimpanan FSx

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses fsX Anda untuk sistem file NetApp ONTAP dengan Transfer Family

Ikhtisar

Transfer Family mendukung Amazon FSx untuk NetApp ONTAP melalui jalur akses S3. Amazon FSx untuk NetApp ONTAP adalah layanan yang dikelola sepenuhnya yang menyediakan penyimpanan file yang sangat andal, terukur, berkinerja tinggi, dan kaya fitur yang dibangun di atas sistem file ONTAP yang populer. NetApp Saat Anda mengonfigurasi Transfer Family dengan sistem file FSx, pengguna Anda terhubung ke titik akhir Transfer Family menggunakan klien transfer file standar. Transfer Family merutekan operasi file melalui jalur akses S3 yang dilampirkan ke volume FSx Anda, sementara data Anda tetap berada di sistem file FSx. Untuk mempelajari lebih lanjut tentang fsX untuk NetApp ONTAP, lihat Apa itu Amazon FSx untuk ONTAP? NetApp

Integrasi ini memungkinkan Anda untuk:

  • Transfer file menggunakan protokol SFTP, FTPS, atau FTP ke penyimpanan file kelas perusahaan

  • Akses data yang sama melalui beberapa protokol (SFTP, NFS, SMB)

  • Gunakan fitur fsX seperti snapshot, backup, dan tiering data

penting

Beberapa operasi file tidak didukung saat menggunakan sistem file FSx dengan Transfer Family, termasuk mengganti nama dan menambahkan operasi. Untuk operasi unggahan, ukuran file dibatasi hingga 5 GB. Untuk daftar lengkap batasan, lihat Kompatibilitas titik akses.

Prasyarat

Sebelum Anda mengonfigurasi Transfer Family dengan Amazon FSx, Anda harus memenuhi persyaratan berikut.

FSx untuk NetApp persyaratan ONTAP

Untuk menggunakan FSx untuk NetApp ONTAP dengan Transfer Family, Anda memerlukan:

  • Sebuah fsX untuk sistem file ONTAP yang menjalankan NetApp ONTAP versi 9.17.1 atau yang lebih baru

  • Sistem file dan titik akses S3 di Wilayah yang sama AWS

  • AWS Akun yang sama yang memiliki sistem file dan titik akses

Untuk mempelajari lebih lanjut, lihat Memulai Amazon FSx untuk NetApp ONTAP.

Izin IAM yang diperlukan

Anda dapat mengonfigurasi setiap titik akses S3 dengan izin dan kontrol jaringan yang berbeda yang diterapkan S3 untuk setiap permintaan yang dibuat menggunakan jalur akses tersebut. Jalur akses S3 mendukung kebijakan sumber daya IAM yang dapat Anda gunakan untuk mengontrol penggunaan titik akses berdasarkan sumber daya, pengguna, atau kondisi lainnya. Untuk aplikasi atau pengguna untuk mengakses file melalui titik akses, baik titik akses dan volume yang mendasarinya harus mengizinkan permintaan. Untuk informasi selengkapnya, lihat kebijakan jalur akses IAM.

Jalur akses Amazon S3 untuk FSx menggunakan model otorisasi lapisan ganda yang menggabungkan izin IAM dengan izin tingkat sistem file. Pendekatan ini memastikan bahwa permintaan akses data diotorisasi dengan benar pada tingkat AWS layanan dan tingkat sistem file yang mendasarinya.

Agar aplikasi atau pengguna berhasil mengakses data melalui titik akses, kebijakan jalur akses S3 dan volume FSx yang mendasarinya harus mengizinkan permintaan tersebut.

Untuk membuat dan mengonfigurasi integrasi ini, Anda memerlukan izin berikut:

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy(jika membuat kebijakan jalur akses opsional)

Bagaimana penyimpanan FSx bekerja dengan Transfer Family

Saat Anda mengonfigurasi Transfer Family dengan sistem file FSx, komponen berikut bekerja sama untuk mengaktifkan transfer file:

  1. Pengguna terhubung ke server Transfer Family menggunakan klien SFTP, FTPS, atau FTP.

  2. Transfer Family mengautentikasi pengguna menggunakan identitas yang dikelola layanan, penyedia identitas kustom, atau. AWS Directory Service for Microsoft Active Directory Setelah diautentikasi, Transfer Family mengasumsikan peran IAM yang terkait dengan pengguna.

  3. Untuk setiap operasi file, Transfer Family bertindak sebagai klien API S3 standar, membuat permintaan ke Titik Akses S3 menggunakan peran IAM pengguna yang diasumsikan dan memverifikasi izin terhadap kebijakan jalur akses S3.

  4. Sistem file FSx memverifikasi bahwa pengguna sistem file yang terkait dengan titik akses memiliki izin untuk melakukan operasi yang diminta. Operasi file kemudian dilakukan pada volume FSx.

Agar operasi file berhasil, kedua lapisan otorisasi harus mengizinkan permintaan.

catatan

Melampirkan titik akses S3 ke volume FSx tidak mengubah bagaimana volume berperilaku ketika diakses langsung melalui NFS atau SMB. Akses protokol file yang ada terus bekerja tidak berubah.

Identitas pengguna sistem file

Setiap titik akses menggunakan identitas pengguna sistem file yang Anda tentukan saat membuat titik akses. Identitas ini mengotorisasi semua permintaan akses file yang dibuat melalui titik akses itu. Pengguna sistem file adalah akun pengguna pada sistem file Amazon FSx yang mendasarinya. Jika pengguna sistem file memiliki akses hanya-baca, maka hanya permintaan baca yang dibuat menggunakan titik akses yang diotorisasi, dan permintaan tulis diblokir. Jika pengguna sistem file memiliki akses baca-tulis, maka permintaan baca dan tulis ke volume terlampir yang dibuat menggunakan titik akses diotorisasi.

Membuat titik akses S3 untuk FSx

Sebelum Anda mengkonfigurasi Transfer Family, Anda harus membuat titik akses S3 yang dilampirkan ke volume FSx Anda. Titik akses S3 diberi nama titik akhir jaringan yang dilampirkan ke sumber data seperti bucket atau Amazon FSx untuk volume ONTAP. Anda dapat membuat dan melampirkan jalur akses ke FSx untuk NetApp ONTAP menggunakan konsol Amazon FSx, AWS CLI, atau API. Setelah dilampirkan, Anda dapat menggunakan API objek S3 untuk mengakses data file Anda. Data Anda terus berada di sistem file Amazon FSx dan terus dapat diakses langsung untuk beban kerja Anda yang ada. Anda terus mengelola penyimpanan Anda menggunakan semua fsX untuk kemampuan manajemen penyimpanan NetApp ONTAP, termasuk backup, snapshot, kuota pengguna dan grup, dan kompresi.

Untuk informasi selengkapnya, lihat Membuat titik akses.

Penamaan titik akses

Saat Anda memberi nama jalur akses Anda, ikuti panduan ini:

  • Nama titik akses harus unik dalam AWS akun dan Wilayah Anda.

  • Nama tidak dapat diakhiri dengan -ext-s3alias (dicadangkan untuk alias).

  • Hindari memasukkan informasi sensitif dalam nama karena dipublikasikan di DNS.

Untuk daftar lengkap aturan penamaan, lihat Aturan, batasan, dan batasan penamaan titik akses.

Membuat titik akses untuk FSx untuk ONTAP NetApp

Gunakan prosedur berikut untuk membuat jalur akses S3 untuk FSx NetApp untuk volume ONTAP.

Untuk membuat titik akses (konsol)

  1. Buka konsol Amazon FSx di. https://console.aws.amazon.com/fsx/

  2. Di panel navigasi, pilih Sistem file.

  3. Pilih fsX Anda untuk sistem file NetApp ONTAP.

  4. Pilih tab Volume.

  5. Pilih volume yang ingin Anda lampirkan.

  6. Untuk Tindakan, pilih Buat titik akses S3.

  7. Untuk nama Access point, masukkan nama deskriptif (misalnya,transfer-family-ap).

  8. Untuk tipe identitas pengguna sistem File, pilih salah satu dari berikut ini:

    • Identitas UNIX - Untuk volume dengan gaya keamanan UNIX

    • Identitas Windows - Untuk volume dengan gaya keamanan NTFS

  9. (Opsional) Untuk kebijakan Access point, masukkan kebijakan IAM yang menentukan prinsipal IAM mana yang dapat melakukan operasi pada objek yang diakses melalui jalur akses ini. Untuk informasi selengkapnya, lihat Mengelola akses titik akses.

  10. Pilih Buat.

  11. Setelah pembuatan, perhatikan alias titik akses untuk digunakan dalam konfigurasi Transfer Family.

catatan

Saat AWS Transfer Family mengakses sumber daya S3 atas nama SFTP/FTPS pengguna Anda yang terhubung, permintaan berasal dari AWS Transfer Family infrastruktur, bukan dari VPC Anda. Karena itu, Titik Akses S3 yang dikonfigurasi dengan asal jaringan VPC akan menolak permintaan ini. Namun, bahkan jika Anda menggunakan Access Point yang dikonfigurasi dengan asal jaringan Internet, semua lalu lintas antara Transfer Family dan Access Point tetap pribadi dan melakukan perjalanan melalui jaringan AWS backbone - itu tidak melintasi internet publik.

Mengkonfigurasi izin sistem file

Pengguna sistem file yang Anda tentukan menentukan operasi apa yang dapat dilakukan pengguna Transfer Family. Anda harus mengonfigurasi izin yang sesuai pada volume FSx Anda.

Contoh UNIX:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Contoh Windows:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

Menggunakan alias titik akses S3 dengan FSx

Saat Anda menggunakan sistem file FSx dengan Transfer Family, Anda harus menggunakan alias titik akses S3. Transfer Family tidak mendukung penggunaan ARN titik akses atau metode referensi lainnya untuk penyimpanan FSx.

penting

AWS Transfer Family hanya mendukung alias titik akses S3 saat menggunakan sistem file FSx. Anda tidak dapat menggunakan ARN titik akses atau URI bergaya host virtual.

penting

Titik akses harus berada di Wilayah yang sama dengan volume.

Tentang alias titik akses

Saat Anda membuat titik akses S3 yang dilampirkan ke volume FSx, Amazon S3 secara otomatis menghasilkan alias titik akses. Alias ini adalah pengenal unik yang dapat Anda gunakan di mana pun Anda menggunakan nama bucket S3.

Untuk titik akses yang dilampirkan ke volume FSx, alias menggunakan format berikut:

access-point-name-metadata-ext-s3alias

Contoh alias:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
catatan

-ext-s3aliasAkhiran dicadangkan untuk alias titik akses FSx. Anda tidak dapat menggunakan akhiran ini dalam nama titik akses.

Menemukan alias titik akses Anda

Anda dapat menemukan alias titik akses setelah membuat titik akses.

Untuk menemukan alias titik akses (konsol)

  1. Buka konsol Amazon FSx di. https://console.aws.amazon.com/fsx/

  2. Di panel navigasi, pilih Sistem file.

  3. Pilih sistem file Anda.

  4. Pilih tab Volume dan pilih volume yang Anda buat untuk titik akses.

  5. Buka kolom detail titik akses S3.

  6. Alias ditampilkan di kolom Alias.

Untuk menemukan alias titik akses (CLI)

Gunakan perintah describe-s3-access-point-attachments.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

Tanggapan termasuk alias:

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Saat Anda mengonfigurasi pengguna Transfer Family, gunakan alias access point di pemetaan direktori home.

Format direktori rumah:

/access-point-alias/path/to/directory

Contoh:

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

Mengkonfigurasi Transfer Family untuk penyimpanan FSx

Setelah Anda membuat titik akses S3, konfigurasikan server Transfer Family untuk menggunakannya.

Membuat peran IAM

Anda harus membuat peran IAM yang memberikan akses Transfer Family ke jalur akses S3.

penting

Kebijakan IAM memerlukan format ARN Access Point, bukan alias. Gunakan format arn:aws:s3:region:account-id:accesspoint/access-point-name dalam pernyataan Sumber daya kebijakan IAM Anda. Alias access point (diakhiri dengan-ext-s3alias) hanya digunakan untuk pemetaan direktori home.

Untuk membuat peran IAM

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih AWS layanan.

  4. Untuk kasus penggunaan, pilih Transfer.

  5. Pilih Berikutnya.

  6. Pilih Buat kebijakan dan masukkan kebijakan Anda (lihat contoh kebijakan di bawah).

  7. Lampirkan kebijakan ke peran dan pilih Buat peran.

Contoh kebijakan IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

Mengelola pengguna untuk penyimpanan FSx

Buat pengguna Transfer Family dengan pemetaan direktori home yang menggunakan alias access point S3.

Membuat pengguna

Saat Anda membuat pengguna untuk penyimpanan FSx, gunakan alias titik akses di pemetaan direktori home.

Untuk membuat pengguna yang Dikelola Layanan (konsol)

  1. Buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/.

  2. Di panel navigasi, pilih Server.

  3. Pilih server Anda.

  4. Di bagian Pengguna, pilih Tambah pengguna.

  5. Untuk Nama Pengguna, masukkan nama pengguna.

  6. Untuk Peran, pilih peran IAM yang Anda buat.

  7. Untuk direktori Home, pilih Restricted.

  8. Untuk pemetaan direktori Home, tambahkan pemetaan menggunakan alias access point:

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

Untuk membuat pengguna (CLI)

Gunakan perintah create-user. Ganti alias titik akses dengan alias Anda.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

Mengkonfigurasi beberapa pemetaan direktori

Anda dapat memetakan beberapa direktori virtual ke jalur yang berbeda pada volume FSx.

Contoh: Direktori upload dan download terpisah

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

Mengkonfigurasi klien transfer file

Saat menggunakan sistem file FSx dengan Transfer Family, Anda harus mengonfigurasi klien transfer file Anda untuk menonaktifkan fitur yang tidak didukung.

Konfigurasi WinSCP

WinSCP menggunakan fitur ganti nama sementara secara default yang tidak didukung dengan jalur akses S3 untuk FSx.

Awas

Jika Anda tidak menonaktifkan fitur ganti nama sementara di WinSCP, unggahan file akan gagal.

Untuk menonaktifkan penggantian nama sementara di WinSCP

  1. Buka WinSCP.

  2. Pada dialog Login, pilih Edit untuk mengubah pengaturan sesi Anda.

  3. Pilih Lanjutan.

  4. Di navigasi kiri, di bawah Transfer, pilih Endurance.

  5. Untuk Aktifkan transfer resume/transfer ke nama file sementara, pilih Nonaktifkan.

  6. Pilih OK untuk menyimpan pengaturan.

Atau, Anda dapat menonaktifkan pengaturan ini untuk sesi yang ada:

  1. Connect ke server Transfer Family Anda.

  2. Pilih Opsi, lalu Preferensi.

  3. Pilih Transfer, lalu Daya Tahan.

  4. Untuk Aktifkan transfer resume/transfer ke nama file sementara, pilih Nonaktifkan.

  5. Pilih OK.

Klien SFTP lainnya

Untuk klien SFTP lainnya, nonaktifkan fitur berikut jika tersedia:

  • Unggahan file sementara (unggah ke file temp, lalu ganti nama)

  • Lanjutkan transfer menggunakan file sementara

  • Unggahan atom menggunakan operasi ganti nama

  • Menambahkan mode untuk upload

Konsultasikan dokumentasi klien Anda untuk langkah-langkah konfigurasi tertentu.

Memecahkan masalah penyimpanan FSx

Bagian ini menjelaskan cara mengidentifikasi dan menyelesaikan masalah umum saat menggunakan Transfer Family dengan sistem file FSx.

Masalah operasi file

Izin ditolak

Jika Anda menerima kesalahan izin ditolak:

  1. Verifikasi peran IAM memiliki izin yang benar untuk alias titik akses. Anda dapat melakukan ini dengan menguji langsung dengan API S3.

  2. Periksa apakah kebijakan titik akses memungkinkan peran IAM.

  3. Verifikasi bahwa pengguna sistem file memiliki izin pada jalur target.

  4. Konfirmasikan pemetaan direktori home menggunakan alias access point yang benar.

Unggahan gagal dengan WinSCP

Jika unggahan file gagal dengan WinSCP, nonaktifkan penggantian nama sementara:

  1. Di WinSCP, pilih Opsi, lalu Preferensi.

  2. Pilih Transfer, lalu Daya Tahan.

  3. Untuk Aktifkan transfer resume/transfer ke nama file sementara, pilih Nonaktifkan.

Untuk informasi selengkapnya, lihat Mengkonfigurasi klien transfer file.

Unggahan file gagal

Jika unggahan file gagal:

  1. Verifikasi ukuran file di bawah 5 GB.

  2. Periksa apakah volume FSx memiliki penyimpanan yang tersedia cukup.

  3. Pantau CloudWatch metrik untuk pelambatan.