使用 Amazon VPC 進行檔案系統存取控制 - FSx 適用於 Lustre

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon VPC 進行檔案系統存取控制

Amazon FSx 檔案系統可透過位於虛擬私有雲 (VPC) 中的 elastic network interface 存取,該界面是以您與檔案系統關聯的 Amazon VPC 服務為基礎。您可以透過其 DNS 名稱存取 Amazon FSx 檔案系統,該名稱會對應至檔案系統的網路界面。只有關聯 VPC 或對等 VPC 中的資源才能存取檔案系統的網路介面。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC?

警告

您不得修改或刪除 Amazon FSx elastic network interface。修改或刪除網路介面可能會導致 VPC 與檔案系統之間的連線永久中斷。

Amazon VPC 安全群組

若要進一步控制透過 VPC 中檔案系統網路介面的網路流量,您可以使用安全性群組來限制對檔案系統的存取。安全群組充當虛擬防火牆,以控制其關聯資源的流量。在此情況下,關聯的資源就是檔案系統的網路介面。您也可以使用 VPC 安全群組來控制 Lustre 用戶端的網路流量。

使用輸入和輸出規則控制存取

若要使用安全群組控制對 Amazon FSx 檔案系統和 Lustre 用戶端的存取,您可以新增輸入規則來控制傳入流量和輸出規則,以控制來自檔案系統和 Lustre 用戶端的傳出流量。確保安全群組中有正確的網路流量規則,以將 Amazon FSx 檔案系統的檔案共用對應到受支援運算執行個體上的資料夾。

如需有關安全群組規則的詳細資訊,請參閱 Amazon EC2 使用者指南中的安全群組規則

若要為您的 Amazon FSx 檔案系統建立安全群組
  1. 在以下位置打開 Amazon EC2 控制台 https://console.aws.amazon.com/ec2

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)。

  4. 指定安全群組的名稱和描述。

  5. 若為虛擬私人雲端,請選擇與 Amazon FSx 檔案系統相關聯的 VPC,以在該 VPC 內建立安全群組。

  6. 若要建立安全群組,請選擇 Create (建立)

接下來,將輸入規則新增至剛建立的安全性群組,以便在 FSx for Lustre 檔案伺服器之間啟用 Lustre 流量。

若要將輸入規則新增至安全性群組
  1. 如果您剛建立的安全性群組尚未選取,請選取該群組。在 Actions (動作) 中,選擇 Edit inbound rules (編輯傳入規則)

  2. 新增下列輸入規則。

    Type 通訊協定 連接埠範圍 來源 描述
    自訂 TCP 規則 TCP 988 選擇 [自訂],然後輸入您剛建立之安全性群組的安全性群組 ID 允許用於 Lustre 檔案伺服器的 FSx 之間有光滑的流量
    自訂 TCP 規則 TCP 988 選擇「自定義」,然後輸入與 Lustre 客戶端關聯的安全組的安全組 ID 允許 Lustre 檔案伺服器與 Lustre 用戶端之間的 FSx 流量流量
    自訂 TCP 規則 TCP 1018-1023 選擇 [自訂],然後輸入您剛建立之安全性群組的安全性群組 ID 允許用於 Lustre 檔案伺服器的 FSx 之間有光滑的流量
    自訂 TCP 規則 TCP 1018-1023 選擇「自定義」,然後輸入與 Lustre 客戶端關聯的安全組的安全組 ID 允許 Lustre 檔案伺服器與 Lustre 用戶端之間的 FSx 流量流量
  3. 選擇了保存並應用新的入站規則。

依預設,安全性群組規則允許所有輸出流量 (全部,0.0.0.0/0)。如果您的安全性群組不允許所有輸出流量,請將下列輸出規則新增至安全性群組。這些規則允許用於 Lustre 文件服務器的 FSx 和 Lustre 客戶端之間以及 Lustre 文件服務器之間的流量。

將輸出規則新增至安全性群組
  1. 選擇剛剛添加入站規則的相同安全組。對於動作,選擇編輯輸出規則

  2. 新增下列輸出規則。

    Type 通訊協定 連接埠範圍 來源 描述
    自訂 TCP 規則 TCP 988 選擇 [自訂],然後輸入您剛建立之安全性群組的安全性群組 ID 允許 Lustre 檔案伺服器之間的 FSx 流量流量
    自訂 TCP 規則 TCP 988 選擇「自定義」,然後輸入與 Lustre 客戶端關聯的安全組的安全組 ID 允許 Lustre 檔案伺服器與 Lustre 用戶端之間的 FSx 流量
    自訂 TCP 規則 TCP 1018-1023 選擇 [自訂],然後輸入您剛建立之安全性群組的安全性群組 ID 允許用於 Lustre 檔案伺服器的 FSx 之間有光滑的流量
    自訂 TCP 規則 TCP 1018-1023 選擇「自定義」,然後輸入與 Lustre 客戶端關聯的安全組的安全組 ID 允許 Lustre 檔案伺服器與 Lustre 用戶端之間的 FSx 流量流量
  3. 選擇 [儲存] 以儲存並套用新的輸出規則。

將安全群組與您的 Amazon FSx 檔案系統建立關聯
  1. 開啟 Amazon FSx 主控台,網址為 https://console.aws.amazon.com/fsx/

  2. 在主控台儀表板上,選擇您的檔案系統以檢視其詳細資料。

  3. 在 [網路與安全性] 索引標籤上,選擇檔案系統的網路介面 ID (例如ENI-01234567890123456)。這樣做會將您重新導向至 Amazon EC2 主控台。

  4. 選擇每個網路介面 ID。每個動作都會在瀏覽器中開啟 Amazon EC2 主控台的新執行個體。針對每個安全群組,選擇 [動作] 的 [變更安全群組]

  5. 在 [變更安全性群組] 對話方塊中,選擇要使用的安全性群組,然後選擇 [儲存]。

光澤用戶端 VPC 安全群組規則

您可以使用 VPC 安全群組來控制 Lustre 用戶端的存取,方法是新增輸入規則來控制傳入流量和輸出規則,以控制來自 Lustre 用戶端的傳出流量。確保安全群組中有正確的網路流量規則,以確保 Lustre 流量可以在 Lustre 用戶端和 Amazon FSx 檔案系統之間流動。

將下列輸入規則新增至套用至 Lustre 用戶端的安全群組。

Type 通訊協定 連接埠範圍 來源 描述
自訂 TCP 規則 TCP 988 選擇 [自訂],然後輸入套用至 Lustre 用戶端之安全群組的安全群組 ID 允許光澤客戶端之間的流量
自訂 TCP 規則 TCP 988 選擇「自訂」,然後輸入與您的 FSx for Lustre 檔案系統相關聯之安全性群組的安全性群組識別碼 允許 Lustre 檔案伺服器與 Lustre 用戶端之間的 FSx 流量流量
自訂 TCP 規則 TCP 1018-1023 選擇 [自訂],然後輸入套用至 Lustre 用戶端之安全群組的安全群組 ID 允許光澤客戶端之間的流量
自訂 TCP 規則 TCP 1018-1023 選擇「自訂」,然後輸入與您的 FSx for Lustre 檔案系統相關聯之安全性群組的安全性群組識別碼 允許 Lustre 檔案伺服器與 Lustre 用戶端之間的 FSx 流量流量

將下列輸出規則新增至套用至 Lustre 用戶端的安全群組。

Type 通訊協定 連接埠範圍 來源 描述
自訂 TCP 規則 TCP 988 選擇 [自訂],然後輸入套用至 Lustre 用戶端之安全群組的安全群組 ID 允許光澤客戶端之間的流量
自訂 TCP 規則 TCP 988 選擇「自訂」,然後輸入與您的 FSx for Lustre 檔案系統相關聯之安全性群組的安全性群組識別碼 允許 Lustre 檔案伺服器與 Lustre 用戶端之間的 FSx 流量
自訂 TCP 規則 TCP 1018-1023 選擇 [自訂],然後輸入套用至 Lustre 用戶端之安全群組的安全群組 ID 允許光澤客戶端之間的流量
自訂 TCP 規則 TCP 1018-1023 選擇「自訂」,然後輸入與您的 FSx for Lustre 檔案系統相關聯之安全性群組的安全性群組識別碼 允許 Lustre 檔案伺服器與 Lustre 用戶端之間的 FSx 流量流量