开始使用FSx适用于 Windows 文件服务器的亚马逊

报名参加 AWS 账户

1. 打开https://portal.aws.amazon.com/billing/注册。

2. 按照屏幕上的说明操作。

   在注册时，将接到电话，要求使用电话键盘输入一个验证码。

   当您注册时 AWS 账户，就会创建AWS 账户根用户一个。根用户有权访问该账户中的所有 AWS 服务 和资源。作为最佳安全实践，请为用户分配管理访问权限，并且只使用根用户来执行需要根用户访问权限的任务。

保护你的 AWS 账户根用户

1. 选择 Root 用户并输入您的 AWS 账户 电子邮件地址，以账户所有者的身份登录。AWS Management Console在下一页上，输入您的密码。

   要获取使用根用户登录方面的帮助，请参阅《AWS 登录 用户指南》中的以根用户身份登录。

2. 为您的 root 用户开启多重身份验证 (MFA)。

   有关说明，请参阅《用户指南》中的 “为 AWS 账户 root 用户（控制台）启用虚拟MFA设备” IAM。

创建具有管理访问权限的用户

1. 启用 “IAM身份中心”。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》中的启用 AWS IAM Identity Center。

2. 在 IAM Identity Center 中，向用户授予管理访问权限。

   有关使用 IAM Identity Center 目录 作为身份源的教程，请参阅《用户指南》 IAM Identity Center 目录中的使用默认设置配置AWS IAM Identity Center 用户访问权限。

以具有管理访问权限的用户身份登录

• 要使用您的 Ident IAM ity Center 用户登录URL，请使用您在创建 Ident IAM ity Center 用户时发送到您的电子邮件地址的登录信息。

  有关使用 Ident IAM ity Center 用户登录的帮助，请参阅AWS 登录 用户指南中的登录 AWS 访问门户。

将访问权限分配给其他用户

1. 在 IAM Identity Center 中，创建一个遵循应用最低权限权限的最佳实践的权限集。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》中的创建权限集。

2. 将用户分配到一个组，然后为该组分配单点登录访问权限。

   有关说明，请参阅《AWS IAM Identity Center 用户指南》中的添加组。

启动实例

1. 打开 Amazon EC2 控制台，网址为https://console.aws.amazon.com/ec2/。

2. 从控制台控制面板中，选择启动实例。

3. “选择亚马逊系统映像” (AMI) 页面显示名为 Amazon 系统映像 (AMIs) 的基本配置列表，这些配置可用作您的实例的模板。选择 Windows AMI Server 2016 基础版或更高版本的。请注意，这些标AMIs有 “符合免费套餐资格”。

4. 在 Choose an Instance Type (选择实例类型) 页面上，您可以选择实例的硬件配置。选择 t2.micro 类型 (预设情况下的选择)。请注意，此实例类型适用免费套餐。

5. 选择 Review and Launch 让向导为您完成其它配置设置。

6. 在核查实例启动页面上的安全组下，您将看到向导为您创建并选择了安全组。使用以下步骤，您可以使用此安全组，也可以选择在设置时创建的安全组：

   1. 选择 Edit security groups。

   2. 在 Configure Security Group 页面上，确保 Select an existing security group 处于选中状态。

   3. 从现有安全组列表中选择您的安全组，然后选择 Review and Launch。

7. 在 Review Instance Launch 页面上，选择 Launch。

8. 当系统提示提供密钥时，选择 Choose an existing key pair，然后选择您在进行设置时创建的密钥对。

   另外，您也可以新建密钥对。选择 Create a new key pair，输入密钥对的名称，然后选择 Download Key Pair。这是您保存私有密钥文件的唯一机会，因此务必单击进行下载。将私有密钥文件保存在安全位置。当您启动实例时，您将需要提供密钥对的名称；当您每次连接到实例时，您将需要提供相应的私有密钥。

   警告

   请勿选择在没有密钥对的情况下继续选项。如果您启动的实例没有密钥对，就不能连接到该实例。

   准备好后，选中确认复选框，然后选择 Launch Instances。

9. 确认页面会让您知道自己的实例已启动。选择 View Instances 以关闭确认页面并返回控制台。

10. 在实例屏幕上，您可以查看启动状态。启动实例只需很短的时间。启动实例时，其初始状态为 pending。实例启动后，其状态更改为，running并获得一个公共DNS名称。（如果隐藏 “公开” DNS (IPv4) 列，请选择页面右上角的 “显示/隐藏列”（齿轮形图标），然后选择 “公开 DNS”（）。）IPv4

11. 需要几分钟准备好实例，以便您能连接到实例。检查您的实例是否通过了状态检查；您可以在 Status Checks 列中查看此信息。

使用RDP客户端连接到你的 Windows 实例

1. 在亚马逊EC2控制台中，选择实例，然后选择 Connect。

2. 在连接到您的实例对话框中，选择获取密码（密码在实例启动几分钟之后才可用）。

3. 选择 Browse 并导航至您启动实例时所创建的私有密钥文件。选择文件并选择 Open (打开)，以便将文件的全部内容复制到 Contents (内容) 字段。

4. 选择 Decrypt Password。控制台将在连接到您的实例对话框中显示实例的默认管理员密码，会将先前显示的获取密码链接替换为实际密码。

5. 记录下默认管理员密码，或将其复制到剪贴板。需要使用此密码连接实例。

6. 选择 Download Remote Desktop File。您的浏览器会提示您打开或保存 .rdp 文件。两种选择都可以。完成后，可选择关闭，以关闭连接到您的实例对话框。

   • 如果已打开 .rdp 文件，您将看到 Remote Desktop Connection 对话框。

   • 如果已保存 .rdp 文件，请导航至下载目录，然后打开 .rdp 文件以显示该对话框。

7. 您可能看到一条警告，指出远程连接发布者未知。您可以继续连接到您的实例。

8. 当收到系统提示时，使用操作系统的管理员账户和您之前记录或复制的密码登录该实例。如果您的 Remote Desktop Connection (远程桌面连接) 已经设置了管理员账户，您可能需要选择 Use another account (使用其他账户) 选项，然后手动键入用户名和密码。

   注意

   有时复制和粘贴内容可能会损坏数据。如果您在登录时遇到“Password Failed (密码失败)”错误，请尝试手动键入密码。

9. 由于自签名证书的固有特性，您可能会看到一条警告，指出无法验证该安全证书。请使用以下步骤验证远程计算机的标识；或者，如果您信任该证书，则直接选择 Yes (是) 或 Continue (继续) 以继续操作。

   1. 如果您正在从 Windows PC 使用 Remote Desktop Connection，请选择 View certificate。如果您正在 Mac 上使用 Microsoft Remote Desktop，请选择 Show Certificate。

   2. 选择 “详细信息” 选项卡，然后向下滚动到 Windows 电脑上的 “指纹” 条目或 Mac 上的 “SHA1指纹” 条目。这是远程计算机的安全证书的唯一标识符。

   3. 在 Amazon EC2 控制台中，选择实例，选择操作，然后选择获取系统日志。

   4. 在系统日志输出中，查找标记为 RDPCERTIFICATE-THUMBPRINT 的条目。如果此值与证书的指纹匹配，则表示您已验证了远程计算机的标识。

   5. 如果您正在从 Windows PC 使用 Remote Desktop Connection，请返回到 Certificate 对话框并选择 OK。如果您正在 Mac 上使用 Microsoft Remote Desktop，请返回到 Verify Certificate 并选择 Continue。

   6. [Windows] 在 Remote Desktop Connection 窗口中选择 Yes 连接到您的实例。

将 Windows 实例加入你的 AWS Directory Service 目录

1. 使用任何远程桌面协议客户端连接到实例。

2. 在实例上打开TCP/IPv4属性对话框。

   1. 打开 Network Connections。

      提示

      您可以在实例上从命令提示符运行以下命令，直接打开 Network Connections。

      %SystemRoot%\system32\control.exe ncpa.cpl

   2. 打开任何已启用网络连接的上下文（右键单击）菜单，然后选择属性。

   3. 在连接属性对话框中，打开 (双击) Internet Protocol Version 4。

3. （可选）选择使用以下DNS服务器地址，将首选DNS服务器和备用DNS服务器地址更改 AWS Directory Service为提供的DNS服务器的 IP 地址，然后选择确定。

4. 打开实例的系统属性对话框，选择计算机名称选项卡，然后选择更改。

   提示

   您可以在实例上从命令提示符运行以下命令，打开 System Properties 对话框。

   %SystemRoot%\system32\control.exe sysdm.cpl

5. 在 “成员” 框中，选择 “域”，输入 AWS Directory Service 目录的完全限定名称，然后选择 “确定”。

6. 当系统提示输入域管理员的名称和密码时，输入管理员账户的用户名和密码。

   注意

   您可以输入域的完全限定名称或 NetBios 名称，然后输入反斜杠 (\)，然后输入用户名（在本例中为 Admin）。例如，corp.example.com\Admin 或 corp\Admin。

7. 收到欢迎加入域的消息之后，重新启动实例使更改生效。

8. 重新连接到您的实例RDP，然后使用 AWS Directory Service 目录管理员用户的用户名和密码登录实例。

创建文件系统（控制台）

1. 打开 Amazon FSx 控制台，网址为https://console.aws.amazon.com/fsx/。

2. 在控制面板上，选择创建文件系统以启动文件系统创建向导。

3. 在 “选择文件系统类型” 页上，选择 “FSxWindows 文件服务器”，然后选择 “下一步”。显示创建文件系统页面。

4. 对于创建方法，选择标准创建。

文件系统详细信息

1. 在文件系统详细信息部分中，为您的文件系统提供一个名称。命名文件系统能让您更轻松地进行查找和管理。您最多可以使用 256 个 Unicode 字母、空格和数字以及特殊字符：+ - = . _ : /

2. 对于部署类型，选择多可用区或单可用区。

   • 选择多可用区部署能够容忍可用区不可用的文件系统。此选项支持SSD和HDD存储。

   • 选择单可用区部署已部署在单个可用区中的文件系统。单可用区 2 是最新一代的单可用区文件系统，它支持SSD和HDD存储。

   有关更多信息，请参阅 可用性与持久性：单可用区和多可用区文件系统。

3. 对于存储类型，您可以选择SSD或HDD。

   FSx适用于 Windows File Server 的存储类型提供固态驱动器 (SSD) 和硬盘驱动器 (HDD) 存储类型。 SSD存储专为性能最高和对延迟最敏感的工作负载而设计，包括数据库、媒体处理工作负载和数据分析应用程序。 HDD存储专为各种工作负载而设计，包括主目录、用户和部门文件共享以及内容管理系统。有关更多信息，请参阅 关于存储类型。

4. 对于已配置 SSD IOPS，您可以选择 “自动” 或 “用户配置” 模式。

   如果您选择 “自动” 模式，FSxWindows 文件服务器会自动扩展您的容量 SSDIOPS，保持SSDIOPS每 GiB 有 3 个存储容量。若选择“用户预置”模式，请输入 96–400,000 范围内的任意整数。美国东部（弗吉尼亚北部）、美国西部（俄勒冈）、美国东部（俄亥俄州）、欧洲（爱尔兰）、亚太地区（东京）和亚太地区（新加坡）均支持扩展至 80,000 SSD IOPS 以上。有关更多信息，请参阅 管理 SSD IOPS。

5. 对于存储容量，请输入文件系统的存储容量，以 GiB 为单位。如果您使用的是SSD存储空间，请输入 32—65,536 范围内的任意整数。如果您使用的是HDD存储空间，请输入 2,000—65,536 范围内的任意整数。创建文件系统后，您可以根据需要随时增加存储容量。有关更多信息，请参阅 管理存储容量。

6. 保持吞吐能力设置为默认设置。吞吐能力是托管文件系统的文件服务器可以持续提供数据的速度。建议的吞吐能力设置基于您选择的存储容量。如果您需要的吞吐能力超过建议吞吐能力，请选择指定吞吐能力，然后选择一个值。有关更多信息，请参阅 FSx用于 Windows 文件服务器的性能。

   注意

   若要启用文件访问审计，则必须选择 32 MB/s 或更大的吞吐能力。有关更多信息，请参阅 使用文件访问审计记录最终用户的访问。

   创建文件系统后，您可以根据需要随时修改吞吐能力。有关更多信息，请参阅 管理吞吐能力。

网络与安全

1. 在 “网络和安全” 部分，选择要与文件系统关联的 Amazon VPC。在本入门练习中，请选择您为 AWS Directory Service 目录和亚马逊VPCEC2实例选择的同一 Amazon。

2. 对于VPC安全组，您的默认 Amazon 的默认安全组VPC已在控制台中添加到您的文件系统中。如果您未使用默认安全组，请确保您选择的安全组与您的文件系统位于 AWS 区域 相同的安全组中。为确保您可以将EC2实例与文件系统连接，您需要向所选安全组添加以下规则：

   1. 添加以下入站和出站规则以允许以下端口。

      规则	端口
      UDP	53、88、123、389、464
      TCP	53、88、135、389、445、464、636、3268、3269、5985、9389、49152-65535

      添加与您要从中访问文件系统的客户端计算实例IDs关联的 IP 地址或安全组。

   2. 添加出站规则，允许所有流量流向您要加入文件系统的 Active Directory。为此，请执行以下操作之一：

      • 允许出站流量流向与您的 AWS 托管 AD 目录关联的安全组 ID。

      • 允许所有流量流向与您自行管理的 Microsoft Active Directory 域控制器关联的 IP 地址。

   注意

   在某些情况下，您可能已经修改了默认设置中的 AWS Managed Microsoft AD 安全组规则。如果是，请确保此安全组具有允许来自您的 Amazon FSx 文件系统的流量所需的入站规则。有关必需的入站规则的更多信息，请参阅《AWS Directory Service 管理指南》中的 AWS Managed Microsoft AD 先决条件。

   有关更多信息，请参阅 使用 Amazon 进行文件系统访问控制 VPC。

3. 多可用区文件系统具有主用和备用文件服务器，每个文件服务器处于自己的可用区和子网。如果要创建多可用区文件系统（请参阅步骤 5），请为主用文件服务器选择首选子网值，并为备用文件服务器选择备用子网值。

   如果要创建单可用区文件系统，请为文件系统选择子网。

Windows 身份验证

• 对于 Windows 身份验证，您可进行如下选择：

  如果要将文件系统加入AWS 由管理的 Microso ft Active Directory 域，请选择 Microsoft 活动 AWS Directory Service 目录托管 AWS，然后从列表中选择您的目录。有关更多信息，请参阅 使用 Microsoft Active Directory。

  如果要将文件系统加入自行管理的 Microsoft Active Directory 域，请选择自行管理的 Microsoft Active Directory，然后为 Active Directory 提供以下详细信息。有关更多信息，请参阅使用自行管理的 Microsoft Active Directory。

  • Active Directory 的完全限定域名。

    重要

    对于单可用区 2 和所有多可用区文件系统，Active Directory 域名不得超过 47 个字符。此限制同时适用于 AWS Directory Service 和自行管理的 Active Directory 域名。

    Amazon FSx 要求将内部流量直接连接到您DNS的 IP 地址。不支持通过互联网网关进行连接。改为使用 AWS Virtual Private Network AWS Direct Connect、VPC对等互连或 AWS Transit Gateway 关联。

  • DNS服务器 IP IPv4 地址-您的域的DNS服务器地址

    注意

    您的DNS服务器必须启用EDNS（的扩展机制DNS）。如果禁EDNS用，您的文件系统可能无法创建。

  • 服务账户用户名 – 现有 Active Directory 中服务账户的用户名。请勿包含域前缀或后缀。

  • 服务账户密码 – 服务账户的密码。

  • （可选）组织单位（OU）– 文件系统要加入的组织单位的可分辨路径名称。

  • （可选）委托文件系统管理员组 – Active Directory 中可以管理您的文件系统的组的名称。默认组为“域管理员”。有关更多信息，请参阅 亚马逊FSx服务账户。

加密、审计和访问（DNS别名）

1. 对于加密，选择用于 AWS KMS key 加密文件系统中静态数据的加密密钥。您可以通过为密钥指定来选择由管理的默认 aws/fsx（默认） AWS KMS、现有密钥或客户托管ARN的密钥。有关更多信息，请参阅 静态加密。

2. 对于审计 – 可选，默认为禁用文件访问审计。有关启用和配置文件访问审计的信息，请参阅使用文件访问审计记录最终用户的访问。

3. 对于 A ccess-可选，输入要与文件系统关联的任何DNS别名。每个别名都必须格式化为完全限定的域名 (FQDN)。有关更多信息，请参阅 管理DNS别名。

备份和维护

有关每日自动备份和本节中设置的更多信息，请参阅 使用备份保护您的数据。。

1. 每日自动备份默认启用。如果您不希望 Amazon FSx 每天自动备份您的文件系统，则可以禁用此设置。

2. 如果启用了自动备份，则将在称为备份窗口的时间段内进行自动备份。您可以使用默认窗口，也可以选择最适合工作流程的自动备份窗口开始时间。

3. 对于自动备份保留期，您可以使用 30 天的默认设置，也可以设置一个介于 1 到 90 天之间的值，Amazon FSx 将保留文件系统的每日自动备份。此设置不适用于用户启动的备份或由 AWS Backup执行的备份。

4. 对于标签 – 可选，您可以输入键和值来将标签添加到文件系统。标签是区分大小写的键值对，能够帮助您管理、筛选和搜索文件系统。有关更多信息，请参阅 为 Amazon FSx 资源贴标签。

   选择下一步。

检查您的配置，然后创建

1. 检查创建文件系统页面上显示的文件系统配置。您可以看到创建文件系统后可以修改以及无法修改的文件系统设置（供您参考）。选择创建文件系统。

2. Amazon FSx 创建文件系统后，从 “文件系统” 控制面板的列表中选择文件系统 ID 以查看详细信息。选择 “附加”，然后在 “网络和安全” 选项卡上记下文件系统的DNS名称。在以下过程中，您将需要它来将共享映射到EC2实例。

要在亚马逊 EC2 Windows 实例上映射文件共享，请使用 GUI

1. 在 Windows 实例上挂载文件共享之前，必须启动该EC2实例并将其加入您的文件系统已加入的实例。 AWS Directory Service for Microsoft Active Directory 要执行此操作，请从《 AWS Directory Service 管理指南》中选择以下过程之一：

   • 无缝加入 Windows EC2 实例

   • 手动加入 Windows 实例

2. 连接到您的实例。有关更多信息，请参阅亚马逊EC2用户指南中的连接到您的 Windows 实例。

3. 连接后，打开“文件资源管理器”。

4. 在导航窗格中，打开网络的上下文（右键单击）菜单，然后选择映射网络驱动器。

5. 为驱动器选择一个驱动器盘符。

6. 您可以使用 Amazon FSx 分配的默认DNS名称或您选择的DNS别名来映射文件系统。此过程描述了使用默认DNS名称映射文件共享。如果要使用DNS别名映射文件共享，请参阅使用DNS别名访问数据。

   在 “文件夹” 中，输入文件系统DNS名称和共享名称。默认的 Amazon FSx 共享名为\share。您可以在亚马逊FSx控制台https://console.aws.amazon.com/fsx/、Windows 文件服务器 > 网络和安全部分CreateFileSystem或DescribeFileSystemsAPI命令的响应中找到该DNS名称。

   • 对于加入 AWS 托管 Microsoft Active Directory 的单可用区文件系统，DNS名称如下所示。

     fs-0123456789abcdef0.ad-domain.com

   • 对于加入自管理 Active Directory 的单可用区文件系统以及任何多可用区文件系统，DNS名称如下所示。

     amznfsxaa11bb22.ad-domain.com

   例如，输入 \\fs-0123456789abcdef0.ad-domain.com\share。

7. 选择文件共享是否应该在登录时重新连接，然后选择完成。

将数据写入文件共享

1. 打开“记事本”文本编辑器。

2. 在文本编辑器中随意写入内容。例如：Hello, World!

3. 将文件保存到文件共享的驱动器盘符。

4. 使用“文件资源管理器”，导航到您的文件共享并找到刚刚保存的文本文件。

通过控制台创建文件系统备份

1. 打开 Amazon FSx 控制台，网址为https://console.aws.amazon.com/fsx/。

2. 从控制台控制面板中，选择您要为此练习创建的文件系统的名称。

3. 在文件系统的概述选项卡中，选择创建备份。

4. 在打开的创建备份对话框中，为备份提供一个名称。此名称最多可以包含 256 个 Unicode 字母，包括空格、数字和以下特殊字符：+ - = . _ : /

5. 选择创建备份。

6. 要查看列表中的所有备份，以便恢复文件系统或删除备份，请选择备份。

清理资源

1. 在 Amazon EC2 控制台上，终止您的实例。有关更多信息，请参阅 Amazon EC2 用户指南中的终止您的实例。

2. 在 Amazon FSx 控制台上，删除您的文件系统。所有自动备份都会自动删除。但是，您仍需删除所有手动创建的备份。以下为该进程具体步骤的概括。

   1. 打开 Amazon FSx 控制台，网址为https://console.aws.amazon.com/fsx/。

   2. 从控制台控制面板中，选择您要为此练习创建的文件系统的名称。

   3. 对于操作，选择删除文件系统。

   4. 在打开的删除文件系统对话框中，选定是否要创建最终备份。若要创建，请提供最终备份的名称。所有自动创建的备份也会被删除。

      重要

      可以从备份中创建新的文件系统。作为最佳实践，我们建议您创建最终备份。如果您在一段时间后发现不需要它，则可以删除此备份和其他手动创建的备份。

   5. 在文件系统 ID 框中输入要删除的文件系统的 ID。

   6. 选择删除文件系统。

   7. 文件系统现在正在被删除，其在控制面板中的状态更改为DELETING。控制面板中将不再显示已删除的文件系统。

   8. 现在，您可以删除为文件系统手动创建的任何备份。从左侧导航窗格中，选择备份。

   9. 在控制面板中，选择与您删除的文件系统具有相同文件系统 ID 的所有备份，然后选择删除备份。

   10. 系统将打开删除备份对话框。保持选中所选备份的 ID 的复选框，然后选择删除备份。

   您的 Amazon FSx 文件系统和相关的自动备份现已删除。

3. 要删除为本练习创建的 AWS Directory Service 目录，请参阅《 AWS Directory Service 管理指南》中的 “删除您的目录”。