Amazon VPC を使用したファイルシステムアクセスコントロール - FSx for Lustre
Amazon VPC セキュリティグループLustre クライアント VPC セキュリティグループのルール

Amazon VPC を使用したファイルシステムアクセスコントロール

Amazon FSx ファイルシステムは、ファイルシステムに関連付ける Amazon VPC サービスに基づいて仮想プライベートクラウド (VPC) 内に存在する Elastic Network Interface を通してアクセスできます。Amazon FSx ファイルシステムにアクセスするには、ファイルシステムのネットワークインターフェイスにマッピングされる DNS 名を使用します。関連付けられた VPC 内のリソースまたはピアリングされた VPC のみが、ファイルシステムのネットワークインターフェイスにアクセスできます。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

警告

Amazon FSx Elastic Network Interface のネットワークインターフェイスを変更または削除しないでください。このネットワークインターフェイスを変更または削除すると、VPC とファイルシステムとの間の接続が完全に失われる可能性があります。

Amazon VPC セキュリティグループ

VPC 内のファイルシステムのネットワークインターフェイスを通過するネットワークトラフィックをさらにコントロールするには、セキュリティグループを使用してファイルシステムへのアクセスを制限します。セキュリティグループ は、仮想ファイアウォールとして機能し、関連付けられたインスタンスへのトラフィックを管理します。この場合、関連付けられたリソースはファイルシステムのネットワークインターフェイスです。VPC セキュリティグループを使用して Lustre クライアントのネットワークトラフィックをコントロールします。

インバウンドルールとアウトバンドルールを使用したアクセスのコントロール

セキュリティグループを使用して Amazon FSx ファイルシステムと Lustre クライアントへのアクセスをコントロールするには、インバウンドルール、およびファイルシステムと Lustre クライアントから送信されるトラフィックをコントロールするアウトバンドルールを追加します。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピューティングインスタンス上のフォルダーにマッピングするために、セキュリティグループに適切なネットワークトラフィックルールがあることを確認します。

セキュリティグループの詳細については、「Amazon EC2 ユーザーガイド」の「セキュリティグループルール」を参照してください。

Amazon FSx ファイルシステムのセキュリティグループを作成するには

  1. Amazon EC2 コンソール https://console.aws.amazon.com/ec2 を開きます。

  2. ナビゲーションペインで、[セキュリティグループ] を選択します。

  3. [Create Security Group] (セキュリティグループの作成) を選択します。

  4. セキュリティグループの名前と説明を指定します。

  5. VPC については、Amazon FSx ファイルシステムに関連付けられている VPC を選択し、その VPC 内にセキュリティグループを作成します。

  6. [Create] (作成) を選択して、セキュリティグループを作成します。

次に、作成したセキュリティグループにインバウンドルールを追加して、FSx for Lustre ファイルサーバー間の Lustre トラフィックを有効にします。

セキュリティグループへのインバウンドルールの追加

  1. 作成したセキュリティグループが選択されていない場合は、そのセキュリティグループを選択します。[Actions] (アクション) メニューで、[Edit inbound rules] (インバウンドルールの編集) を選択します。

  2. 次のインバウンドルールを追加します。

    タイプ プロトコル ポート範囲 ソース 説明
    カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、作成したセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバ間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 988 [カスタム] を選択して、Lustre クライアントに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、作成したセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバ間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 1018-1023 [カスタム] を選択して、Lustre クライアントに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します

  3. [Save] (保存) をクリックして、新しいインバウンドルールを保存して適用します。

デフォルトでは、セキュリティグループルールは、すべてのアウトバウンドトラフィック (すべて、0.0.0.0/0) を許可します。セキュリティグループがすべてのアウトバウンドトラフィックを許可していない場合は、次のアウトバウンドルールをセキュリティグループに追加します。ルールでは、FSx for Lustre ファイルサーバーと Lustre クライアント間、および Lustre ファイルサーバー間のトラフィックが許可されます。

セキュリティグループにアウトバウンドルールを追加するには

  1. インバウンドルールを追加したのと同じセキュリティグループを選択します。[Actions] (アクション) メニューで、[Edit outbound rules] (アウトバウンドルールの編集) を選択します。

  2. 次のアウトバウンドルールを追加します。

    タイプ プロトコル ポート範囲 ソース 説明
    カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、作成したセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバ間の Lustre トラフィックを許可する
    カスタム TCP ルール TCP 988 [カスタム] を選択して、Lustre クライアントに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、作成したセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバ間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 1018-1023 [カスタム] を選択して、Lustre クライアントに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します

  3. [Save] (保存) を選択して、新しいアウトバウンドルールを保存して適用します。

Amazon FSx ファイルシステムに関連付けられているセキュリティグループを関連付けるには

  1. Amazon FSx コンソール (https://console.aws.amazon.com/fsx/) を開きます。

  2. コンソールダッシュボードで、ファイルシステムを選択して詳細を表示します。

  3. [ネットワークとセキュリティ] タブで、[ネットワークインターフェイス] の下にある [Amazon EC2 コンソール] リンクをクリックし、ファイルシステムのすべてのネットワークインターフェイスを表示します。

  4. ネットワークインターフェイスごとに、[アクション][セキュリティグループを変更] を選択します。

  5. [セキュリティグループの変更] ダイアログボックスで、ネットワークインターフェイスに関連付けるセキュリティグループを選択します。

  6. [Save] を選択します。

Lustre クライアント VPC セキュリティグループのルール

VPC セキュリティグループを使用して、Lustre クライアントへのアクセスをコントロールします。これには、Lustre クライアントから送信されるトラフィックをコントロールするインバウンドルール、およびアウトバンドルールを追加します。Lustre トラフィックが Lustre クライアントと Amazon FSx ファイルシステム間を流れることができるように、セキュリティグループに適切なネットワークトラフィックルールがあることを確認してください。

Lustre クライアントに適用されるセキュリティグループに、次のインバウンドルールを追加します。

タイプ プロトコル ポート範囲 ソース 説明
カスタム TCP ルール TCP 988 [カスタム] を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 Lustre クライアント間の Lustre トラフィックを許可する
カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
カスタム TCP ルール TCP 1018-1023 [カスタム] を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 Lustre クライアント間の Lustre トラフィックを許可する
カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します

Lustre クライアントに適用されるセキュリティグループに、次のアウトバウンドルールを追加します。

タイプ プロトコル ポート範囲 ソース 説明
カスタム TCP ルール TCP 988 [カスタム] を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 Lustre クライアント間の Lustre トラフィックを許可する
カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
カスタム TCP ルール TCP 1018-1023 [カスタム] を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 Lustre クライアント間の Lustre トラフィックを許可する
カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します