View a markdown version of this page

Accedi ai file system FSx for NetApp ONTAP con Transfer Family - AWS Transfer Family
Panoramica diPrerequisitiCome funziona lo storage FSx con Transfer FamilyCreazione di un punto di accesso S3 per FSxUtilizzo degli alias dei punti di accesso S3 con FSxConfigurazione di Transfer Family per lo storage FSxGestione degli utenti per lo storage FSxConfigurazione dei client per il trasferimento di fileRisoluzione dei problemi di storage FSx

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi ai file system FSx for NetApp ONTAP con Transfer Family

Panoramica di

Transfer Family supporta Amazon FSx for NetApp ONTAP tramite punti di accesso S3. Amazon FSx for NetApp ONTAP è un servizio completamente gestito che fornisce uno storage di file altamente affidabile, scalabile, ad alte prestazioni e ricco di funzionalità basato sul popolare file system ONTAP. NetApp Quando configuri Transfer Family con un file system FSx, gli utenti si connettono agli endpoint Transfer Family utilizzando client di trasferimento file standard. Transfer Family indirizza le operazioni sui file tramite un punto di accesso S3 collegato al volume FSx, mentre i dati rimangono sul file system FSx. Per ulteriori informazioni su FSx for NetApp ONTAP, consulta Cos'è Amazon FSx for ONTAP? NetApp

Questa integrazione ti consente di:

  • Trasferisci file utilizzando i protocolli SFTP, FTPS o FTP su uno storage di file di livello aziendale

  • Accedi agli stessi dati tramite più protocolli (SFTP, NFS, SMB)

  • Utilizza funzionalità FSx come istantanee, backup e tiering dei dati

Importante

Alcune operazioni sui file non sono supportate quando si utilizzano i file system FSx con Transfer Family, incluse le operazioni di ridenominazione e aggiunta. Per le operazioni di caricamento, le dimensioni dei file sono limitate a 5 GB. Per un elenco completo delle limitazioni, consulta Compatibilità con i punti di accesso.

Prerequisiti

Prima di configurare Transfer Family con Amazon FSx, devi soddisfare i seguenti requisiti.

Requisiti FSx for NetApp ONTAP

Per utilizzare FSx for NetApp ONTAP con Transfer Family, è necessario:

  • Un file system FSx for NetApp ONTAP che esegue ONTAP versione 9.17.1 o successiva

  • Il file system e il punto di accesso S3 nella stessa regione AWS

  • Lo stesso AWS account che possiede sia il file system che il punto di accesso

Per ulteriori informazioni, consulta la pagina Guida introduttiva ad Amazon FSx for NetApp ONTAP.

Autorizzazioni IAM richieste

Puoi configurare ogni punto di accesso S3 con autorizzazioni e controlli di rete distinti che S3 applica per qualsiasi richiesta effettuata utilizzando quel punto di accesso. I punti di accesso S3 supportano le policy delle risorse IAM che puoi utilizzare per controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possa accedere ai file tramite un punto di accesso, sia il punto di accesso che il volume sottostante devono consentire la richiesta. Per ulteriori informazioni, consulta le politiche dei punti di accesso IAM.

Gli access point Amazon S3 per FSx utilizzano un modello di autorizzazione a doppio livello che combina le autorizzazioni IAM con le autorizzazioni a livello di file system. Questo approccio garantisce che le richieste di accesso ai dati siano autorizzate correttamente sia a livello di AWS servizio che a livello di file system sottostante.

Affinché un'applicazione o un utente possa accedere correttamente ai dati tramite un punto di accesso, sia la policy del punto di accesso S3 che il volume FSx sottostante devono consentire la richiesta.

Per creare e configurare questa integrazione, sono necessarie le seguenti autorizzazioni:

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy(se si crea una policy opzionale per i punti di accesso)

Come funziona lo storage FSx con Transfer Family

Quando si configura Transfer Family con un file system FSx, i seguenti componenti interagiscono per abilitare i trasferimenti di file:

  1. Un utente si connette al server Transfer Family utilizzando un client SFTP, FTPS o FTP.

  2. Transfer Family autentica l'utente utilizzando identità gestite dal servizio, un provider di identità personalizzato o. AWS Directory Service for Microsoft Active Directory Una volta autenticata, Transfer Family assume il ruolo IAM associato all'utente.

  3. Per ogni operazione sui file, Transfer Family funge da client API S3 standard, inoltra richieste all'Access Point S3 utilizzando il ruolo IAM presunto dell'utente e verifica le autorizzazioni rispetto alla policy del punto di accesso S3.

  4. Il file system FSx verifica che l'utente del file system associato al punto di accesso sia autorizzato a eseguire l'operazione richiesta. L'operazione sul file viene quindi eseguita sul volume FSx.

Affinché un'operazione sui file abbia esito positivo, entrambi i livelli di autorizzazione devono consentire la richiesta.

Nota

Il collegamento di un access point S3 a un volume FSx non modifica il comportamento del volume in caso di accesso diretto tramite NFS o SMB. L'accesso al protocollo di file esistente continua a funzionare invariato.

Identità dell'utente del file system

Ogni punto di accesso utilizza un'identità utente del file system specificata durante la creazione del punto di accesso. Questa identità autorizza tutte le richieste di accesso ai file effettuate tramite quel punto di accesso. L'utente del file system è un account utente sul file system Amazon FSx sottostante. Se l'utente del file system ha accesso in sola lettura, vengono autorizzate solo le richieste di lettura effettuate utilizzando il punto di accesso e le richieste di scrittura vengono bloccate. Se l'utente del file system dispone di accesso in lettura/scrittura, sono autorizzate sia le richieste di lettura che quelle di scrittura al volume allegato effettuate utilizzando il punto di accesso.

Creazione di un punto di accesso S3 per FSx

Prima di configurare Transfer Family, è necessario creare un punto di accesso S3 collegato al volume FSx. I punti di accesso S3 sono endpoint di rete denominati collegati a un'origine dati come un bucket o un volume Amazon FSx for ONTAP. Puoi creare e collegare un access point a un FSx for NetApp ONTAP utilizzando la console Amazon FSx, l'interfaccia a riga di AWS comando o l'API. Una volta collegato, si possono utilizzare le API degli oggetti S3 per accedere ai dati dei file. I dati continuano a risiedere nel file system Amazon FSx e continuano a essere direttamente accessibili per i carichi di lavoro esistenti. È possibile continuare a gestire lo storage utilizzando tutte le funzionalità di gestione dello storage FSx for NetApp ONTAP, tra cui backup, istantanee, quote di utenti e gruppi e compressione.

Per ulteriori informazioni, consulta Creazione dei punti di accesso.

Denominazione dei punti di accesso

Quando assegnate un nome al punto di accesso, seguite queste linee guida:

  • I nomi dei punti di accesso devono essere univoci all'interno del tuo AWS account e della tua regione.

  • I nomi non possono terminare con -ext-s3alias (riservato agli alias).

  • Evita di includere informazioni sensibili nei nomi perché sono pubblicati nel DNS.

Per un elenco completo delle regole di denominazione, consulta Regole, restrizioni e limitazioni di denominazione dei punti di accesso.

Creazione di un punto di accesso per FSx for ONTAP NetApp

Utilizzare la procedura seguente per creare un punto di accesso S3 per un volume FSx NetApp for ONTAP.

Per creare un punto di accesso (console)

  1. Apri la console Amazon FSx all'indirizzo. https://console.aws.amazon.com/fsx/

  2. Nel riquadro di navigazione, scegli File system.

  3. Scegliete il vostro file system FSx for NetApp ONTAP.

  4. Scegliete la scheda Volumi.

  5. Seleziona il volume che desideri allegare.

  6. Per Azioni, scegli Crea punto di accesso S3.

  7. Per il nome del punto di accesso, inserisci un nome descrittivo (ad esempio,transfer-family-ap).

  8. Per Tipo di identità utente del file system, scegliete una delle seguenti opzioni:

    • Identità UNIX: per volumi con stile di sicurezza UNIX

    • Identità Windows: per volumi con stile di sicurezza NTFS

  9. (Facoltativo) Per la policy dei punti di accesso, inserisci una policy IAM che definisca quali presidi IAM possono eseguire quali operazioni sugli oggetti a cui si accede tramite questo punto di accesso. Per ulteriori informazioni, consulta Gestione dell'accesso ai punti di accesso.

  10. Scegli Create (Crea).

  11. Dopo la creazione, annota l'alias del punto di accesso da utilizzare nella configurazione Transfer Family.

Nota

Quando AWS Transfer Family accede alle risorse S3 per conto dei tuoi SFTP/FTPS utenti connessi, le richieste provengono dall' AWS Transfer Family infrastruttura, non dal tuo VPC. Per questo motivo, gli access point S3 configurati con un'origine di rete VPC negheranno queste richieste. Tuttavia, anche se si utilizza un Access Point configurato con un'origine di rete Internet, tutto il traffico tra Transfer Family e l'Access Point rimane privato e viaggia sulla rete AWS dorsale, senza attraversare la rete Internet pubblica.

Configurazione delle autorizzazioni del file system

L'utente del file system specificato determina le operazioni che gli utenti di Transfer Family possono eseguire. È necessario configurare le autorizzazioni appropriate sul volume FSx.

Esempio UNIX:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Esempio di Windows:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

Utilizzo degli alias dei punti di accesso S3 con FSx

Quando si utilizzano i file system FSx con Transfer Family, è necessario utilizzare gli alias dei punti di accesso S3. Transfer Family non supporta l'utilizzo di access point ARN o altri metodi di riferimento per lo storage FSx.

Importante

AWS Transfer Family supporta gli alias dei punti di accesso S3 solo quando si utilizzano i file system FSx. Non è possibile utilizzare gli ARN dei punti di accesso o gli URI in stile ospitato virtualmente.

Importante

Il punto di accesso deve trovarsi nella stessa regione del volume.

Informazioni sugli alias dei punti di accesso

Quando crei un punto di accesso S3 collegato a un volume FSx, Amazon S3 genera automaticamente un alias del punto di accesso. Questo alias è un identificatore univoco che puoi usare ovunque utilizzi un nome di bucket S3.

Per i punti di accesso collegati ai volumi FSx, l'alias utilizza il seguente formato:

access-point-name-metadata-ext-s3alias

Alias di esempio:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
Nota

Il -ext-s3alias suffisso è riservato agli alias dei punti di accesso FSx. Non è possibile utilizzare questo suffisso nei nomi dei punti di accesso.

Individuazione dell'alias del punto di accesso

È possibile trovare l'alias del punto di accesso dopo averlo creato.

Per trovare l'alias del punto di accesso (console)

  1. Apri la console Amazon FSx all'indirizzo. https://console.aws.amazon.com/fsx/

  2. Nel riquadro di navigazione, scegli File system.

  3. Scegli il tuo file system.

  4. Scegli la scheda Volumi e seleziona il volume per cui hai creato il punto di accesso.

  5. Vai alla colonna dei dettagli del punto di accesso S3.

  6. L'alias viene visualizzato nella colonna Alias.

Per trovare l'alias del punto di accesso (CLI)

Utilizza il comando describe-s3-access-point-attachments.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

La risposta include l'alias:

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Quando configuri gli utenti Transfer Family, usa l'alias del punto di accesso nelle mappature delle home directory.

Formato della home directory:

/access-point-alias/path/to/directory

Esempio:

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

Configurazione di Transfer Family per lo storage FSx

Dopo aver creato il punto di accesso S3, configura un server Transfer Family per utilizzarlo.

Creazione di un ruolo IAM

Devi creare un ruolo IAM che conceda a Transfer Family l'accesso al punto di accesso S3.

Importante

Le policy IAM richiedono il formato Access Point ARN, non l'alias. Utilizza il formato arn:aws:s3:region:account-id:accesspoint/access-point-name nelle dichiarazioni relative alle risorse relative alla policy IAM. L'alias del punto di accesso (che termina con-ext-s3alias) viene utilizzato solo per le mappature delle home directory.

Per creare il ruolo IAM

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli, quindi scegli Crea ruolo.

  3. Per Tipo di entità attendibile, scegli Servizio AWS .

  4. Per Caso d'uso, scegli Trasferisci.

  5. Scegli Next (Successivo).

  6. Scegli Crea politica e inserisci la tua politica (vedi esempio di politica di seguito).

  7. Allega la politica al ruolo e scegli Crea ruolo.

Esempio di policy IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

Gestione degli utenti per lo storage FSx

Crea utenti Transfer Family con mappature della home directory che utilizzano l'alias del punto di accesso S3.

Creazione di un utente

Quando crei un utente per lo storage FSx, usa l'alias del punto di accesso nelle mappature della home directory.

Per creare un utente Service Managed (console)

  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Nel riquadro di navigazione, selezionare Servers (Server).

  3. Scegli il tuo server.

  4. Nella sezione Utenti, scegli Aggiungi utente.

  5. Per Nome utente, inserisci un nome utente.

  6. Per Ruolo, scegli il ruolo IAM che hai creato.

  7. Per Home directory, scegli Restricted.

  8. Per i mapping della home directory, aggiungi una mappatura utilizzando l'alias del punto di accesso:

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

Per creare un utente (CLI)

Utilizza il comando create-user. Sostituisci l'alias del punto di accesso con il tuo alias.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

Configurazione di più mappature di directory

È possibile mappare più directory virtuali su percorsi diversi sul volume FSx.

Esempio: directory separate di upload e download

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

Configurazione dei client per il trasferimento di file

Quando si utilizzano i file system FSx con Transfer Family, è necessario configurare i client di trasferimento file per disabilitare le funzionalità non supportate.

Configurazione WinSCP

WinSCP utilizza per impostazione predefinita una funzionalità di ridenominazione temporanea che non è supportata con i punti di accesso S3 per FSx.

avvertimento

Se non si disattiva la funzionalità di ridenominazione temporanea in WinSCP, il caricamento dei file avrà esito negativo.

Per disabilitare la ridenominazione temporanea in WinSCP

  1. Apri WinSCP.

  2. Nella finestra di dialogo di accesso, scegli Modifica per modificare le impostazioni della sessione.

  3. Scegli Avanzato.

  4. Nella barra di navigazione a sinistra, in Trasferimento, scegli Resistenza.

  5. Per Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli Disabilita.

  6. Scegliete OK per salvare le impostazioni.

In alternativa, puoi disabilitare questa impostazione per una sessione esistente:

  1. Connect al server Transfer Family.

  2. Scegli Opzioni, quindi Preferenze.

  3. Scegli Trasferimento, quindi Resistenza.

  4. Per Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli Disabilita.

  5. Scegli OK.

Altri client SFTP

Per altri client SFTP, disabilitate le seguenti funzionalità, se disponibili:

  • Caricamenti temporanei di file (caricamento su file temporaneo, quindi ridenominazione)

  • Riprendi i trasferimenti utilizzando file temporanei

  • Caricamenti atomici utilizzando operazioni di ridenominazione

  • Modalità di aggiunta per i caricamenti

Consultate la documentazione del cliente per i passaggi di configurazione specifici.

Risoluzione dei problemi di storage FSx

Questa sezione descrive come identificare e risolvere i problemi più comuni quando si utilizza Transfer Family con i file system FSx.

Problemi relativi al funzionamento dei file

Autorizzazione negata

Se ricevi errori relativi all'autorizzazione negata:

  1. Verifica che il ruolo IAM disponga delle autorizzazioni corrette per l'alias del punto di accesso. Puoi farlo testando direttamente con le API S3.

  2. Verifica che la policy del punto di accesso consenta il ruolo IAM.

  3. Verifica che l'utente del file system disponga delle autorizzazioni sul percorso di destinazione.

  4. Conferma che la mappatura della home directory utilizzi l'alias corretto del punto di accesso.

Il caricamento non riesce con WinSCP

Se il caricamento dei file fallisce con WinSCP, disabilita la ridenominazione temporanea:

  1. In WinSCP, scegliete Opzioni, quindi Preferenze.

  2. Scegli Transfer, quindi Endurance.

  3. Per Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli Disabilita.

Per ulteriori informazioni, consulta Configurazione dei client per il trasferimento di file.

Il caricamento del file non riesce

Se il caricamento dei file fallisce:

  1. Verifica che la dimensione del file sia inferiore a 5 GB.

  2. Verificare che il volume FSx disponga di spazio di archiviazione sufficiente.

  3. Monitora le CloudWatch metriche relative alla limitazione.