本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Amazon VPC 进行文件系统访问控制
您可以访问您 FSx 的 Amazon for NetApp ONTAP 文件系统,并 SVMs 使用其中一个终端节点的 DNS 名称或 IP 地址,具体取决于访问类型。DNS 名称映射到文件系统的私有 IP 地址或您 VPC 中 SVM 的弹性网络接口。只有关联 VPC 中的资源,或者通过 Direct Connect 或 VPN 与关联 VPC 连接的资源,才能通过 NFS、SMB 或 iSCSI 协议访问文件系统中的数据。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**警告**
不得修改或删除与您的文件系统关联的弹性网络接口。修改或删除该网络接口可能会导致永久丢失您的 VPC 和文件系统之间的连接。
## Amazon VPC 安全组
安全组充当您的 for ONTAP 文件系统的虚拟防火墙, FSx 用于控制传入和传出流量。入站规则控制传入到文件系统的流量,出站规则控制从文件系统传出的流量。创建文件系统时,您需要指定要在其中创建文件系统的 VPC,并应用该 VPC 的默认安全组。您可以向每个安全组添加规则,允许流入或来自其关联文件系统的流量,以及 SVMs。您可以随时修改安全组的规则。新规则和修改后的规则将自动应用到与安全组相关联的所有资源。当 Amazon FSx 决定是否允许流量到达某个资源时,它会评估与该资源关联的所有安全组的所有规则。
要使用安全组控制对您的 Amazon FSx 文件系统的访问,请添加入站和出站规则。入站规则控制传入的流量,出站规则控制从文件系统传出的流量。确保您的安全组中有正确的网络流量规则,可以将 Amazon FSx 文件系统的文件共享映射到支持的计算实例上的文件夹。
有关安全组规则的更多信息,请参阅*《Amazon EC2 用户指南》*中的[安全组规则](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#security-group-rules)。
### 创建 VPC 安全组
**为 Amazon 创建安全组 FSx**
1. 在 [https://console.aws.amazon.com/ec2 上打开亚马逊 EC2](https://console.aws.amazon.com/ec2) 控制台。
1. 在导航窗格中,选择 **Security Groups**(安全组)。
1. 选择**创建安全组**。
1. 为安全组指定名称和描述。
1. 对于 **VPC**,请选择与您的文件系统关联的 Amazon VPC 以在该 VPC 中创建安全组。
1. 对于出站规则,允许所有端口上的所有流量传输。
1. 将以下规则添加到安全组的入站端口。在**源**字段中,您应选择**自定义**,然后输入与需要访问您 FSx 的 for ONTAP 文件系统的实例关联的安全组或 IP 地址范围,包括:
+ 通过 NF and/or S、SMB 或 iSCSI 访问文件系统中数据的 Linux、Windows、macOS 客户端。
+ 您将与您的文件 systems/clusters 系统对等的任何 ONTAP 文件(例如,使用 SnapMirror SnapVault、或 FlexCache)。
+ 您将用于访问 ONTAP REST API、CLI 或 ZAPIs (例如, Harvest/Grafana 实例、 NetApp 连接器或 NetApp 控制台)的任何客户端。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/limit-access-security-groups.html)
1. 将安全组添加到文件系统的弹性网络接口。
#### 禁止访问文件系统
要暂时禁止所有客户端通过网络访问您的文件系统,您可以删除与文件系统的 elastic network interface 关联的所有安全组,然后将其替换为没有 inbound/outbound 规则的组。