本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS DataSync 网络要求
配置网络是 AWS DataSync设置过程中的一个重要步骤。网络配置取决于多种因素,例如您正在使用的存储系统类型。它还取决于您计划使用的 DataSync 服务端点类型。
## IPv6 支持
DataSync 支持双堆栈,可与 IPv6 网络 IPv4 兼容。 IPv6 在提供服务的所有 AWS 区域 地方都提供支持。 DataSync 支持使用具有以下数据源 IPv6 的地址:
+ Elastic File System(EFS)
+ 网络文件系统 (NFS)
+ 服务器消息块 (SMB)
+ 对象存储
### IPv6-适用于本地存储的兼容代理
要在 IPv6 网络环境 DataSync 中使用,需要使用 IPv6兼容的代理。这些代理同时支持 IPv4 和 IPv6 连接,可适应各种网络环境。
+ 对于 IPv6仅限网络的网络,无需更改配置。
+ 对于 IPv4仅限网络的网络,无需更改配置。
+ 对于双栈(两者 IPv4 兼有 IPv6)网络,让代理根据您的喜好选择协议或手动配置协议。
#### 双堆栈网络的注意事项
可使用以下方式,通过本地控制台自定义代理行为:
+ 禁用, IPv6 这样代理就无法使用 IPv6 它来访问本地文件系统或服务。 DataSync
+ 设置代理用于数据传输的 IP 版本:
+ 设置为, IPv6 使代理仅 IPv6 用于数据传输。
+ 设置 IPv4 为代理仅 IPv4 用于数据传输。
+ 设置为 “自动”(恢复默认值),以便代理自动选择用于数据传输的协议版本(IPv4 或 IPv6)。
有关管理代理的 IP 版本设置的更多信息,请参阅[对代理进行维护](local-console-vm.md)。
**重要**
根据 2025 年 7 月 16 日之前下载的图像构建的代理不支持 IPv6。
## 本地、自我管理和其他云存储的网络要求
以下网络要求可能适用于本地、自我管理和其他云存储系统。这些存储系统通常由您管理,也可能由其他云提供商管理。
**注意**
根据您的网络,您可能需要允许此处列出的端口以外的端口上的流量,您的 DataSync 代理才能连接到您的存储。
| 来源 | 目标 | 协议 | 端口: | 它是如何使用的 DataSync |
| --- | --- | --- | --- | --- |
| DataSync 代理人 | NFS 文件服务器 | TCP | 2049(适用于 NFS 版本 4.1 和 4.0) 111 和 2049(适用于 NFS 3.x 版本) | 装载 NFS 文件服务器。 DataSync 支持 NFS 版本 3.x、4.0 和 4.1。 |
| DataSync 代理人 | SMB 文件服务器 | TCP | 139 或 445 | 装载 SMB 文件服务器。 DataSync 支持 SMB 版本 1.0 及更高版本。出于安全起见,建议使用 SMB 版本 3.0.2 或更高版本。早期版本(例如 SMB 1.0)包含已知的安全漏洞,攻击者可以借此来窃取您的数据。 |
| DataSync 代理人 | 对象存储 | TCP | 443 (HTTPS) 或 80 (HTTP) 根据对象存储的不同,您可能需要允许非标准 HTTPS 和 HTTP 端口(如 8443 或 8080)上的流量。 | 访问与 Amazon S3 兼容的本地对象存储或其他云中的存储。 |
| DataSync 代理人 | Hadoop 集群 | TCP | NameNode 端口(默认为 8020) 在大多数集群中,可以在`core-site.xml`文件中的 `fs.default`或`fs.default.name`属性下找到此端口号(取决于 Hadoop 发行版)。 | 访问您的 Hadoop 集群 NameNodes 中的。指定创建 HDFS 位置的端口。 |
| DataSync 代理人 | Hadoop 集群 | TCP | DataNode 端口(默认为 50010) 在大多数集群中,可以在`dfs.datanode.address`属性下的 `hdfs-site.xml`文件中找到此端口号。 | 访问您的 Hadoop 集群 DataNodes 中的。 DataSync代理会自动确定要使用的端口。 |
| DataSync 代理人 | Hadoop 密钥管理服务器(KMS) | TCP | KMS 端口(默认值为 9600) | 访问您的 Hadoop 集群 KMS。 |
| DataSync 代理人 | Kerberos 密钥分配中心(KDC)服务器 | TCP | KDC 端口(默认值为 88) | 使用 Kerberos 领域执行身份验证。此端口仅适用于使用 Kerberos 身份验证的 HDFS 与 SMB 位置。 |
| DataSync 代理人 | 存储系统管理界面 | TCP | 取决于您的网络 | 连接至您的存储系统。 |
## AWS 存储服务的网络要求
传输期间 DataSync 连接到 AWS 存储服务所需的网络端口各不相同。
| 来源 | 目标 | 协议 | 端口: |
| --- | --- | --- | --- |
| DataSync 服务 | Amazon EFS | TCP | 2049 |
| DataSync 服务 | FSx 适用于 Windows 文件服务器 | 请参阅 [Windows 文件服务器的文件系统访问控制](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/limit-access-security-groups.html)。 FSx |
| DataSync 服务 | FSx 为了光泽 | 参见 [Lustre 的文件系统访问控制](https://docs.aws.amazon.com/fsx/latest/LustreGuide/limit-access-security-groups.html)。 FSx |
| DataSync 服务 | FSx 适用于 OpenZFS | 请参阅 [OpenZFS 的文件系统访问控制](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/limit-access-security-groups.html)。 FSx |
| DataSync 服务 | FSx 适用于 ONTAP | TCP | 111、635 和 2049 (NFS) 445 (SMB) |
| DataSync 服务 | Amazon S3 | 不适用(代表您DataSync 连接到 S3 存储桶) |
## 公共或 FIPS 服务端点的网络要求
使用公共或 FIPS 服务端点时,您的 DataSync 代理需要以下网络访问权限。如果使用防火墙或路由器来筛选或限制网络流量,请配置防火墙和路由器以允许这些端点。
| 来源 | 目标 | 协议 | 端口: | 使用方法 | 访问的端点 |
| --- | --- | --- | --- | --- | --- |
| 您的 Web 浏览器 | DataSync 代理人 | TCP | 80 (HTTP) | 允许您的浏览器获取 DataSync 代理的激活密钥。激活后, DataSync 关闭代理的端口 80。 您的代理不要求端口 80 可供公开访问。端口 80 所需的访问级别取决于网络配置。 您无需在浏览器和代理之间建立连接,即可获取激活密钥。有关更多信息,请参阅 [获取激活密钥](activate-agent.md#get-activation-key)。 | 不适用 |
| DataSync 代理人 | Amazon CloudFront | TCP | 443(HTTPS) | 在激活之前帮助引导您的 DataSync 代理。 只有基本模式代理才需要。 | **AWS 区域**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **AWS GovCloud (US) 区域**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) |
| DataSync 代理人 | AWS | TCP | 443(HTTPS) | 激活您的 DataSync 代理并将其与您的 AWS 账户代理关联。您可以在激活后阻止公有端点。 | `activation-region`这是您激活 DataSync代理 AWS 区域 的地方。**公有端点激活**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **FIPS 端点激活**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) |
| DataSync 代理人 | AWS | TCP | 443(HTTPS) | 允许 DataSync 代理和 DataSync 服务端点之间的通信。 有关信息,请参阅[为 AWS DataSync 代理选择服务端点](choose-service-endpoint.md)。 | `activation-region`这是您激活 DataSync 代理 AWS 区域 的地方。根据您的用 DataSync 途,您可能不需要允许访问此处列出的每个端点。 **DataSync 控制平面端点**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **DataSync 数据平面端点**(仅适用于传输任务): [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) |
| 您的客户端 | AWS | TCP | 443(HTTPS) | 允许您发出 DataSync API 请求。 | `activation-region`这是您激活 DataSync 代理 AWS 区域 的地方。 **公有端点**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **FIPS 端点**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) |
| DataSync 代理人 | AWS | TCP | 443(HTTPS) | 允许 DataSync 代理从获取更新 AWS。有关更多信息,请参阅 [管理您的 AWS DataSync 代理](managing-agent.md)。 | `activation-region`这是您激活 DataSync 代理 AWS 区域 的地方。 **基本模式代理**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **增强模式代理**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) |
| DataSync 代理人 | 域名服务 (DNS) 服务器 | TCP/UDP | 53 (DNS) | 允许 DataSync 代理与 DNS 服务器之间的通信。 | 不适用 |
| DataSync 代理人 | AWS | TCP | 22 (支持渠道) | AWS 支持 允许访问您的 DataSync 代理以帮助您解决问题。您不需要打开此端口即可正常操作。 | **基本模式代理**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) **增强模式代理**: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) |
| DataSync 代理人 | 网络时间协议 (NTP) 服务器 | UDP | 123 (NTP) | 允许本地系统使用以将虚拟机时间同步到主机时间。 | **NTP:** [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/datasync-network.html) 要使用本地控制台更改 VM 代理的默认 NTP 配置以使用其他 NTP 服务器,请参阅[查看和管理代理的系统时间服务器配置](local-console-vm.md#time-management)。 |
下图显示了使用公共或 FIPS 服务端点 DataSync 时所需的端口。
![\[显示用于公共或 FIPS 端点的端口。 DataSync\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-ports.png)
## VPC 或 FIPS VPC 服务端点的网络要求
虚拟私有云 (VPC) 端点在您的代理之间提供私有连接 AWS ,该连接不通过互联网或使用公有 IP 地址。这还有助于防止数据包进入或者离开网络。有关更多信息,请参阅 [选择 VPC 服务端点](choose-service-endpoint.md#datasync-in-vpc)。
DataSync 您的代理需要以下端口才能使用 VPC 服务终端节点。
| 来源 | 目标 | 协议 | 端口: | 使用方法 |
| --- | --- | --- | --- | --- |
| 您的 Web 浏览器 | 你的 DataSync 经纪人 | TCP | 80 (HTTP) | 允许浏览器获取代理的激活密钥。激活后, DataSync 关闭代理的端口 80。 您的代理不要求端口 80 可供公开访问。端口 80 所需的访问级别取决于网络配置。 您无需在浏览器和代理之间建立连接,即可获取激活密钥。有关更多信息,请参阅 [获取激活密钥](activate-agent.md#get-activation-key)。 |
| DataSync 代理人 | 您的 DataSync VPC 服务终端节点 要查找终端节点的 IP 地址,请打开 [Amazon VPC 控制台](https://console.aws.amazon.com/vpc/),选择**终端节点**,然后选择您的 DataSync VPC 服务终端节点。在**子网**选项卡上,找到您的 [VPC 服务端点子网](choose-service-endpoint.md#datasync-in-vpc)的 IP 地址。这是端点的 IP 地址。 | TCP | 1024-1064 | 用于[控制面板流量](networking-datasync.md#datasync-traffic-flows)。 |
| DataSync 代理人 | 您的 DataSync 任务的[网络接口](required-network-interfaces.md) 要查找这些接口的 IP 地址,请参阅 [查看您的网络接口](required-network-interfaces.md#view-network-interfaces)。 | TCP | 443(HTTPS) | 用于[数据面板流量](networking-datasync.md#datasync-traffic-flows)。 |
| DataSync 代理人 | 您的 DataSync VPC 服务终端节点 | TCP | 22 (支持渠道) | 允许 AWS 支持 访问您的 DataSync 代理进行故障排除。 **只有基本模式代理才需要**。 您不需要打开此端口即可正常操作。 |
下图显示了使用 VPC 服务终端节点 DataSync 时所需的端口。
![\[显示用于 VPC 服务终端节点 DataSync 的端口。\]](http://docs.aws.amazon.com/zh_cn/datasync/latest/userguide/images/datasync-ports-PL.png)