View a markdown version of this page

Controllo degli accessi ai file system con Amazon VPC - FSx per Lustre

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo degli accessi ai file system con Amazon VPC

Un file system Amazon FSx è accessibile tramite un'interfaccia di rete elastica che risiede nel cloud privato virtuale (VPC) basato sul servizio Amazon VPC associato al file system. Puoi accedere al tuo file system Amazon FSx tramite il suo nome DNS, che corrisponde all'interfaccia di rete del file system. Solo le risorse all'interno del VPC associato o di un VPC peer-to-peer possono accedere all'interfaccia di rete del file system. Per ulteriori informazioni, consultare Che cos'è Amazon VPC? nella Guida per l'utente di Amazon VPC

avvertimento

Non devi modificare o eliminare l'interfaccia di rete elastica di Amazon FSx. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra il VPC e il file system.

Gruppi di sicurezza Amazon VPC

Per controllare ulteriormente il traffico di rete che attraversa l'interfaccia di rete del file system all'interno del VPC, utilizzate i gruppi di sicurezza per limitare l'accesso ai file system. Un gruppo di sicurezza funge da firewall virtuale per controllare il traffico delle risorse associate. In questo caso, la risorsa associata è l'interfaccia di rete del file system. Utilizzi anche i gruppi di sicurezza VPC per controllare il traffico di rete per i tuoi Lustre clienti.

EFA-enabled gruppi di sicurezza

Per i file EFA-enabled system FSx for Lustre, i gruppi di sicurezza del file system e del client devono consentire tutto il traffico da e verso gli altri e il gruppo di sicurezza del file system deve consentire anche tutto il traffico da e verso se stesso.

Importante

CIDR-based le regole, tra cui0.0.0.0/0, non soddisfano i requisiti EFA anche se consentono tutto il traffico su tutte le porte. È necessario specificare in modo esplicito un ID del gruppo di sicurezza come origine o destinazione per tutte le regole del traffico EFA.

La tabella seguente elenca le regole richieste per il gruppo di sicurezza del file system.

Regole richieste per il gruppo di sicurezza del file system
Tipo Protocollo Intervallo porte Source/Destination
In entrata: tutto il traffico Tutti Tutti ID del gruppo di sicurezza del file system (autoreferenziato)
In entrata: tutto il traffico Tutti Tutti LustreID del gruppo di sicurezza del client
In uscita: tutto il traffico Tutti Tutti ID del gruppo di sicurezza del file system (autoreferenziato)
In uscita: tutto il traffico Tutti Tutti LustreID del gruppo di sicurezza del client

La tabella seguente elenca le regole richieste per il gruppo di sicurezza del Lustre client.

Regole obbligatorie per Lustro gruppo di sicurezza dei clienti
Tipo Protocollo Intervallo porte Source/Destination
In entrata: tutto il traffico Tutti Tutti ID del gruppo di sicurezza del file system
In uscita: tutto il traffico Tutti Tutti ID del gruppo di sicurezza del file system
Nota

Se il file system e i client utilizzano lo stesso gruppo di sicurezza, le regole di autoreferenziazione relative a quel gruppo di sicurezza soddisfano entrambi i requisiti.

Per ulteriori informazioni, consulta la Fase 1: Preparare un gruppo EFA-enabled di sicurezza nella Guida per l'utente di Amazon EC2.

Controllo dell'accesso tramite regole in entrata e in uscita

Per utilizzare un gruppo di sicurezza per controllare l'accesso al file system e ai Lustre client Amazon FSx, aggiungi le regole in entrata per controllare il traffico in entrata e le regole in uscita per controllare il traffico in uscita dal tuo file system e dai tuoi client. Lustre Assicurati di avere le regole del traffico di rete corrette nel tuo gruppo di sicurezza per mappare la condivisione di file del tuo file system Amazon FSx su una cartella sull'istanza di calcolo supportata.

Per ulteriori informazioni sulle regole dei gruppi di sicurezza, consulta le regole del gruppo di sicurezza nella Guida per l'utente di Amazon EC2.

Per creare un gruppo di sicurezza per il tuo file system Amazon FSx
  1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2.

  2. Fare clic su Security Groups (Gruppi di sicurezza) nel pannello di navigazione.

  3. Scegliere Create Security Group (Crea un gruppo di sicurezza).

  4. Specificare un nome e una descrizione per il gruppo di sicurezza.

  5. Per VPC, scegli il VPC associato al tuo file system Amazon FSx per creare il gruppo di sicurezza all'interno di quel VPC.

  6. Per creare il gruppo di sicurezza, scegli Create (Crea).

Successivamente, aggiungete le regole in entrata al gruppo di sicurezza appena creato per abilitare il Lustre traffico tra i file server FSx for Lustre.

Per aggiungere regole in entrata al gruppo di sicurezza
  1. Seleziona il gruppo di sicurezza che hai appena creato se non è già selezionato. Nel menu Actions (Operazioni), selezionare Edit inbound rules (Modifica regole in entrata).

  2. Aggiungi le seguenti regole in entrata.

    Tipo Protocollo Intervallo porte Origine Description
    Regola TCP personalizzata TCP 988 Scegli Personalizzato e inserisci l'ID del gruppo di sicurezza che hai appena creato Consente Lustre il traffico tra i file server FSx for Lustre
    Regola TCP personalizzata TCP 988 Scegli Personalizzato e inserisci gli ID dei gruppi di sicurezza associati ai tuoi client Lustre Consente Lustre il traffico tra i file server e i client FSx for Lustre Lustre
    Regola TCP personalizzata TCP 1018-1023 Scegli Personalizzato e inserisci l'ID del gruppo di sicurezza che hai appena creato Consente Lustre il traffico tra i file server FSx for Lustre
    Regola TCP personalizzata TCP 1018-1023 Scegli Personalizzato e inserisci gli ID dei gruppi di sicurezza associati ai tuoi client Lustre Consente Lustre il traffico tra i file server e i client FSx for Lustre Lustre
  3. Scegliete Salva per salvare e applicare le nuove regole in entrata.

Per impostazione predefinita, le regole dei gruppi di sicurezza consentono tutto il traffico in uscita (Tutto, 0.0.0. 0/0). Se il tuo gruppo di sicurezza non consente tutto il traffico in uscita, aggiungi le seguenti regole in uscita al tuo gruppo di sicurezza. Queste regole consentono il traffico tra i file Lustre server e client FSx for Lustre e tra i file server. Lustre

Per aggiungere regole in uscita al gruppo di sicurezza
  1. Scegli lo stesso gruppo di sicurezza a cui hai appena aggiunto le regole in entrata. Per Azioni, scegli Modifica regole in uscita.

  2. Aggiungi le seguenti regole in uscita.

    Tipo Protocollo Intervallo porte Origine Description
    Regola TCP personalizzata TCP 988 Scegli Personalizzato e inserisci l'ID del gruppo di sicurezza che hai appena creato Consenti Lustre il traffico tra i file server FSx for Lustre
    Regola TCP personalizzata TCP 988 Scegli Personalizzato e inserisci gli ID del gruppo di sicurezza associato ai tuoi client Lustre Consenti Lustre il traffico tra i file server e i client FSx for Lustre Lustre
    Regola TCP personalizzata TCP 1018-1023 Scegli Personalizzato e inserisci l'ID del gruppo di sicurezza che hai appena creato Consente Lustre il traffico tra i file server FSx for Lustre
    Regola TCP personalizzata TCP 1018-1023 Scegli Personalizzato e inserisci gli ID dei gruppi di sicurezza associati ai tuoi client Lustre Consente Lustre il traffico tra i file server e i client FSx for Lustre Lustre
  3. Scegliete Salva per salvare e applicare le nuove regole in uscita.

Per associare un gruppo di sicurezza al tuo file system Amazon FSx
  1. Apri la console Amazon FSx all'indirizzo. https://console.aws.amazon.com/fsx/

  2. Nella dashboard della console, scegli il tuo file system per visualizzarne i dettagli.

  3. Nella scheda Rete e sicurezza, fai clic sul collegamento della console Amazon EC2 in Interfacce di rete per visualizzare tutte le interfacce di rete per il tuo file system.

  4. Per ogni interfaccia di rete, scegli Azioni, quindi scegli Modifica gruppi di sicurezza.

  5. Nella finestra di dialogo Modifica gruppi di sicurezza, scegli i gruppi di sicurezza che desideri associare all'interfaccia di rete.

  6. Scegli Save (Salva).

Lustro regole del gruppo di sicurezza VPC client

Utilizzi i gruppi di sicurezza VPC per controllare l'accesso ai tuoi Lustre clienti aggiungendo regole in entrata per controllare il traffico in entrata e regole in uscita per controllare il traffico in uscita dai tuoi clienti. Lustre Assicurati di avere le giuste regole del traffico di rete nel tuo gruppo di sicurezza per garantire che il Lustre traffico possa fluire tra Lustre i tuoi client e i tuoi file system Amazon FSx.

Aggiungi le seguenti regole in entrata ai gruppi di sicurezza applicati ai tuoi Lustre clienti.

Tipo Protocollo Intervallo porte Origine Description
Regola TCP personalizzata TCP 988 Scegli Personalizzato e inserisci gli ID dei gruppi di sicurezza dei gruppi di sicurezza applicati ai tuoi client Lustre Consente Lustre il traffico tra Lustre i client
Regola TCP personalizzata TCP 988 Scegliete Personalizzato e immettete gli ID dei gruppi di sicurezza associati ai file system FSx for Lustre Consente Lustre il traffico tra i file server e i client FSx for Lustre Lustre
Regola TCP personalizzata TCP 1018-1023 Scegli Personalizzato e inserisci gli ID dei gruppi di sicurezza dei gruppi di sicurezza applicati ai tuoi client Lustre Consente Lustre il traffico tra Lustre i client
Regola TCP personalizzata TCP 1018-1023 Scegliete Personalizzato e immettete gli ID dei gruppi di sicurezza associati ai file system FSx for Lustre Consente Lustre il traffico tra i file server e i client FSx for Lustre Lustre

Aggiungi le seguenti regole in uscita ai gruppi di sicurezza applicati ai tuoi client. Lustre

Tipo Protocollo Intervallo porte Origine Description
Regola TCP personalizzata TCP 988 Scegli Personalizzato e inserisci gli ID dei gruppi di sicurezza dei gruppi di sicurezza applicati ai tuoi client Lustre Consente Lustre il traffico tra Lustre i client
Regola TCP personalizzata TCP 988 Scegliete Personalizzato e immettete gli ID dei gruppi di sicurezza associati ai file system FSx for Lustre Consenti Lustre il traffico tra i file server e i client FSx for Lustre Lustre
Regola TCP personalizzata TCP 1018-1023 Scegli Personalizzato e inserisci gli ID dei gruppi di sicurezza dei gruppi di sicurezza applicati ai tuoi client Lustre Consente Lustre il traffico tra Lustre i client
Regola TCP personalizzata TCP 1018-1023 Scegliete Personalizzato e immettete gli ID dei gruppi di sicurezza associati ai file system FSx for Lustre Consente Lustre il traffico tra i file server e i client FSx for Lustre Lustre