本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon VPC 的檔案系統存取控制
Amazon FSx 檔案系統可透過位於虛擬私有雲端 (VPC) 中的彈性網路界面存取,該介面根據您與檔案系統相關聯的 Amazon VPC 服務。您可以透過映射至檔案系統網路介面的 DNS 名稱來存取 Amazon FSx 檔案系統。只有關聯 VPC 或對等 VPC 內的資源,才能存取檔案系統的網路界面。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC?。
警告
您不得修改或刪除 Amazon FSx 彈性網路介面。修改或刪除網路界面可能會導致 VPC 與檔案系統之間的連線永久中斷。
Amazon VPC 安全群組
若要進一步控制透過 VPC 內檔案系統網路界面的網路流量,您可以使用安全群組來限制檔案系統的存取。安全群組充當虛擬防火牆,以控制其相關聯資源的流量。在此情況下,相關聯的資源是您檔案系統的網路界面。您也可以使用 VPC 安全群組來控制Lustre用戶端的網路流量。
啟用 EFA 的安全群組
對於啟用 EFA 的 FSx for Lustre 檔案系統,檔案系統和用戶端安全群組必須允許往返所有流量,而檔案系統安全群組也必須允許往返所有流量。
重要
CIDR 型規則,包括 0.0.0.0/0,即使允許所有連接埠上的所有流量,也不符合 EFA 要求。您必須明確指定安全群組 ID 做為所有 EFA 流量規則的來源或目的地。
下表列出檔案系統安全群組的必要規則。
| Type | 通訊協定 | 連接埠範圍 | 來源/目的地 |
|---|---|---|---|
| 傳入 - 所有流量 | 全部 | 全部 | 檔案系統安全群組 ID (自我參考) |
| 傳入 - 所有流量 | 全部 | 全部 | Lustre 用戶端安全群組 ID |
| 傳出 - 所有流量 | 全部 | 全部 | 檔案系統安全群組 ID (自我參考) |
| 傳出 - 所有流量 | 全部 | 全部 | Lustre 用戶端安全群組 ID |
下表列出Lustre用戶端安全群組的必要規則。
| Type | 通訊協定 | 連接埠範圍 | 來源/目的地 |
|---|---|---|---|
| 傳入 - 所有流量 | 全部 | 全部 | 檔案系統安全群組 ID |
| 傳出 - 所有流量 | 全部 | 全部 | 檔案系統安全群組 ID |
注意
如果檔案系統和用戶端使用相同的安全群組,則該安全群組上的自我參考規則會滿足這兩個需求。
如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的步驟 1:準備啟用 EFA 的安全群組。
使用傳入和傳出規則控制存取
若要使用安全群組來控制對 Amazon FSx 檔案系統和Lustre用戶端的存取,您可以新增傳入規則來控制傳入流量和傳出規則,以控制來自檔案系統和Lustre用戶端的傳出流量。請務必在安全群組中擁有正確的網路流量規則,將 Amazon FSx 檔案系統的檔案共用映射至支援的運算執行個體上的資料夾。
如需安全群組規則的詳細資訊,請參閱《Amazon EC2 使用者指南》中的安全群組規則。
為您的 Amazon FSx 檔案系統建立安全群組
-
開啟位於 https://https://console.aws.amazon.com/ec2
的 Amazon EC2 主控台。 -
在導覽窗格中,選擇 Security Groups (安全群組)。
-
選擇 Create Security Group (建立安全群組)。
-
指定安全群組的名稱和描述。
-
針對 VPC,選擇與您的 Amazon FSx 檔案系統相關聯的 VPC,在該 VPC 內建立安全群組。
-
若要建立安全群組,請選擇 Create (建立)。
接著,您將傳入規則新增至您剛建立的安全群組,以啟用 FSx for Lustre 檔案伺服器之間的Lustre流量。
將傳入規則新增至安全群組
-
如果尚未選取,請選取您剛建立的安全群組。在 Actions (動作) 中,選擇 Edit inbound rules (編輯傳入規則)。
-
新增下列傳入規則。
Type 通訊協定 連接埠範圍 來源 說明 自訂 TCP 規則 TCP 988 選擇自訂,然後輸入您剛建立之安全群組的安全群組 ID 允許 FSx for Lustre 檔案伺服器之間的Lustre流量 自訂 TCP 規則 TCP 988 選擇自訂,然後輸入與Lustre用戶端相關聯之安全群組的安全群組 IDs 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 自訂 TCP 規則 TCP 1018-1023 選擇自訂,然後輸入您剛建立之安全群組的安全群組 ID 允許 FSx for Lustre 檔案伺服器之間的Lustre流量 自訂 TCP 規則 TCP 1018-1023 選擇自訂,然後輸入與Lustre用戶端相關聯之安全群組的安全群組 IDs 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 -
選擇儲存以儲存並套用新的傳入規則。
根據預設,安全群組規則允許所有傳出流量 (全部、0.0.0.0/0)。如果您的安全群組不允許所有傳出流量,請將下列傳出規則新增至安全群組。這些規則允許 FSx for Lustre 檔案伺服器與Lustre用戶端之間的流量,以及Lustre檔案伺服器之間的流量。
將傳出規則新增至安全群組
-
選擇您剛新增傳入規則的相同安全群組。針對動作,選擇編輯傳出規則。
-
新增下列傳出規則。
Type 通訊協定 連接埠範圍 來源 說明 自訂 TCP 規則 TCP 988 選擇自訂,然後輸入您剛建立之安全群組的安全群組 ID 允許 FSx for Lustre 檔案伺服器之間的Lustre流量 自訂 TCP 規則 TCP 988 選擇自訂,然後輸入與Lustre用戶端相關聯之安全群組的安全群組 IDs 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 自訂 TCP 規則 TCP 1018-1023 選擇自訂,然後輸入您剛建立之安全群組的安全群組 ID 允許 FSx for Lustre 檔案伺服器之間的Lustre流量 自訂 TCP 規則 TCP 1018-1023 選擇自訂,然後輸入與Lustre用戶端相關聯之安全群組的安全群組 IDs 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 -
選擇儲存以儲存並套用新的傳出規則。
將安全群組與您的 Amazon FSx 檔案系統建立關聯
-
在 https://console.aws.amazon.com/fsx/
:// 開啟 Amazon FSx 主控台。 -
在主控台儀表板上,選擇您的檔案系統以檢視其詳細資訊。
-
在網路與安全索引標籤上,按一下網路界面 (Amazon EC2) 下的 Amazon EC2 主控台連結,以檢視檔案系統的所有網路界面。
-
針對每個網路界面,選擇動作,然後選擇變更安全群組。
-
在變更安全群組對話方塊中,選擇您要與網路介面建立關聯的安全群組。
-
選擇儲存。
Lustre 用戶端 VPC 安全群組規則
您可以使用 VPC 安全群組,透過新增傳入規則來控制對Lustre用戶端的存取,以控制傳入流量和傳出規則來控制來自Lustre用戶端的傳出流量。請務必在安全群組中擁有正確的網路流量規則,以確保Lustre流量可在Lustre用戶端和 Amazon FSx 檔案系統之間流動。
將下列傳入規則新增至套用至Lustre用戶端的安全群組。
| Type | 通訊協定 | 連接埠範圍 | 來源 | 說明 |
|---|---|---|---|---|
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,然後輸入套用至Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,然後輸入與 FSx for Lustre 檔案系統相關聯之安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,然後輸入套用至Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,然後輸入與 FSx for Lustre 檔案系統相關聯之安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
將下列傳出規則新增至套用至Lustre用戶端的安全群組。
| Type | 通訊協定 | 連接埠範圍 | 來源 | 說明 |
|---|---|---|---|---|
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,然後輸入套用至Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,然後輸入與 FSx for Lustre 檔案系統相關聯之安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,然後輸入套用至Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,然後輸入與 FSx for Lustre 檔案系統相關聯之安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |