使用 Amazon VPC 进行文件系统访问控制 - FSx for Lustre

使用 Amazon VPC 进行文件系统访问控制

Amazon FSx 文件系统可通过虚拟私有云(VPC)中的弹性网络接口访问,该接口基于您与文件系统关联的 Amazon VPC 服务。您可以通过其 DNS 名称访问您的 Amazon FSx 文件系统,该名称映射到文件系统的网络接口。只有关联 VPC 或对等 VPC 中的资源才能访问文件系统的网络接口。有关更多信息,请参阅《Amazon VPC 用户指南》中的什么是 Amazon VPC?

警告

您不得修改或删除 Amazon FSx 弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。

Amazon VPC 安全组

为了进一步控制通过 VPC 内文件系统网络接口的网络流量,您可以使用安全组来限制对文件系统的访问。安全组充当虚拟防火墙,为其关联的资源控制流量。在这种情况下,关联的资源就是文件系统的网络接口。您还可以使用 VPC 安全组来控制 Lustre 客户端的网络流量。

使用入站和出站规则控制访问权限

要使用安全组控制对 Amazon FSx 文件系统和 Lustre 客户端的访问权限,您可以添加入站规则和出站规则以控制来自您的文件系统和 Lustre 客户端的传入和传出流量。确保您的安全组中有正确的网络流量规则,以便将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。

有关安全组规则的更多信息,请参阅《Amazon EC2 用户指南》中的安全组规则

为 Amazon FSx 文件系统创建安全组
  1. 通过以下网址打开 Amazon EC2 控制台:https://console.aws.amazon.com/ec2

  2. 在导航窗格中,选择安全组

  3. 选择创建安全组

  4. 为安全组指定名称和描述。

  5. 对于 VPC,选择与您的 Amazon FSx 文件系统关联的 VPC,以在该 VPC 中创建安全组。

  6. 选择创建以创建安全组。

接下来,向刚刚创建的安全组添加入站规则,以启用 FSx for Lustre 文件服务器之间的 Lustre 流量。

将入站规则添加到安全组
  1. 如果尚未选择您刚刚创建的安全组,请选择该安全组。对于操作,请选择编辑入站规则

  2. 添加以下入站规则。

    类型 协议 端口范围 描述
    自定义 TCP 规则 TCP 988 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 FSx for Lustre 文件服务器之间的 Lustre 流量
    自定义 TCP 规则 TCP 988 选择自定义,然后输入与 Lustre 客户端关联的安全组的安全组 ID 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量
    自定义 TCP 规则 TCP 1018-1023 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 FSx for Lustre 文件服务器之间的 Lustre 流量
    自定义 TCP 规则 TCP 1018-1023 选择自定义,然后输入与 Lustre 客户端关联的安全组的安全组 ID 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量
  3. 选择保存以保存并应用新的入站规则。

默认情况下,安全组规则允许所有出站流量(所有,0.0.0.0/0)。如果您的安全组不允许所有出站流量,则将以下出站规则添加到您的安全组。这些规则允许 FSx for Lustre 文件服务器和 Lustre 客户端之间以及 Lustre 文件服务器之间的流量。

将出站规则添加到安全组
  1. 选择刚刚向其添加入站规则的同一安全组。对于操作,请选择编辑出站规则

  2. 添加以下出站规则。

    类型 协议 端口范围 描述
    自定义 TCP 规则 TCP 988 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 FSx for Lustre 文件服务器之间的 Lustre 流量
    自定义 TCP 规则 TCP 988 选择自定义,然后输入与 Lustre 客户端关联的安全组的安全组 ID 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量
    自定义 TCP 规则 TCP 1018-1023 选择自定义,然后输入您刚刚创建的安全组的安全组 ID 允许 FSx for Lustre 文件服务器之间的 Lustre 流量
    自定义 TCP 规则 TCP 1018-1023 选择自定义,然后输入与 Lustre 客户端关联的安全组的安全组 ID 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量
  3. 选择保存以保存并应用新的出站规则。

添加与您的 Amazon FSx 文件系统关联的安全组
  1. 通过以下网址打开 Amazon FSx 控制台:https://console.aws.amazon.com/fsx/

  2. 在控制台控制面板上,选择您的文件系统以查看其详细信息。

  3. 网络和安全选项卡上,单击网络接口下的 Amazon EC2 控制台链接,查看文件系统的所有网络接口。

  4. 对于每个网络接口,选择操作,然后选择更改安全组

  5. 更改安全组中,选择要与网络接口关联的安全组。

  6. 选择保存

Lustre 客户端 VPC 安全组规则

您可以使用 VPC 安全组来控制对 Lustre 客户端的访问权限,方法是添加入站规则和出站规则以控制来自 Lustre 客户端的传入和传出流量。确保您的安全组中有正确的网络流量规则,以确保 Lustre 流量可以在您的 Lustre 客户端和 Amazon FSx 文件系统之间流动。

将以下入站规则添加到应用于 Lustre 客户端的安全组中。

类型 协议 端口范围 描述
自定义 TCP 规则 TCP 988 选择自定义,然后输入应用于 Lustre 客户端的安全组的安全组 ID 允许 Lustre 客户端之间的 Lustre 流量
自定义 TCP 规则 TCP 988 选择自定义,然后输入与 FSx for Lustre 文件系统关联的安全组的安全组 ID 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量
自定义 TCP 规则 TCP 1018-1023 选择自定义,然后输入应用于 Lustre 客户端的安全组的安全组 ID 允许 Lustre 客户端之间的 Lustre 流量
自定义 TCP 规则 TCP 1018-1023 选择自定义,然后输入与 FSx for Lustre 文件系统关联的安全组的安全组 ID 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量

将以下出站规则添加到应用于 Lustre 客户端的安全组中。

类型 协议 端口范围 描述
自定义 TCP 规则 TCP 988 选择自定义,然后输入应用于 Lustre 客户端的安全组的安全组 ID 允许 Lustre 客户端之间的 Lustre 流量
自定义 TCP 规则 TCP 988 选择自定义,然后输入与 FSx for Lustre 文件系统关联的安全组的安全组 ID 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量
自定义 TCP 规则 TCP 1018-1023 选择自定义,然后输入应用于 Lustre 客户端的安全组的安全组 ID 允许 Lustre 客户端之间的 Lustre 流量
自定义 TCP 规则 TCP 1018-1023 选择自定义,然后输入与 FSx for Lustre 文件系统关联的安全组的安全组 ID 允许 FSx for Lustre 文件服务器和 Lustre 客户端之间的 Lustre 流量