本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon FSx 檔案系統可透過彈性網路介面存取,該介面位於虛擬私有雲端 (VPC),根據您與檔案系統相關聯的 Amazon VPC 服務。您可以透過 Amazon FSx 檔案系統 DNS 名稱來存取檔案系統,該名稱會映射到檔案系統的網路界面。只有關聯 VPC 或對等 VPC 內的資源,才能存取檔案系統的網路介面。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的什麼是 Amazon VPC?。
警告
您不得修改或刪除 Amazon FSx 彈性網路介面。修改或刪除網路介面可能會導致 VPC 和檔案系統之間的連線永久中斷。
Amazon VPC 安全群組
若要進一步控制透過 VPC 內檔案系統網路介面的網路流量,您可以使用安全群組來限制檔案系統的存取。安全群組可做為虛擬防火牆來控制其相關聯資源的流量。在這種情況下,相關聯的資源是您檔案系統的網路界面。您也可以使用 VPC 安全群組來控制Lustre用戶端的網路流量。
啟用 EFA 的安全群組
如果您要建立啟用 EFA 的 FSx for Lustre,您應該先建立啟用 EFA 的安全群組,並將其指定為檔案系統的安全群組。EFA 需要一個安全群組,如果用戶端位於不同的安全群組中,則允許所有進出安全群組本身和用戶端安全群組的傳入和傳出流量。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的步驟 1:準備啟用 EFA 的安全群組。
使用傳入和傳出規則控制存取
若要使用安全群組來控制對 Amazon FSx 檔案系統和Lustre用戶端的存取,您可以新增傳入規則來控制傳入流量和傳出規則,以控制從檔案系統和Lustre用戶端傳出流量。請務必在安全群組中擁有正確的網路流量規則,將 Amazon FSx 檔案系統的檔案共用對應至支援的運算執行個體上的資料夾。
如需安全群組規則的詳細資訊,請參閱《Amazon EC2 使用者指南》中的安全群組規則。
為您的 Amazon FSx 檔案系統建立安全群組
-
在 https://console.aws.amazon.com/ec2
:// 開啟 Amazon EC2 主控台。 -
在導覽窗格中,選擇 Security Groups (安全群組)。
-
選擇 Create Security Group (建立安全群組)。
-
指定安全群組的名稱和描述。
-
針對 VPC,選擇與您的 Amazon FSx 檔案系統相關聯的 VPC,在該 VPC 中建立安全群組。
-
若要建立安全群組,請選擇 Create (建立)。
接下來,您將傳入規則新增至您剛建立的安全群組,以啟用 FSx for Lustre 檔案伺服器之間的Lustre流量。
將傳入規則新增至您的安全群組
-
如果尚未選取,請選取您剛建立的安全群組。在 Actions (動作) 中,選擇 Edit inbound rules (編輯傳入規則)。
-
新增下列傳入規則。
Type 通訊協定 連接埠範圍 來源 描述 自訂 TCP 規則 TCP 988 選擇自訂,然後輸入您剛建立之安全群組的安全群組 ID 允許 FSx for Lustre 檔案伺服器之間的Lustre流量 自訂 TCP 規則 TCP 988 選擇自訂,並輸入與您的Lustre用戶端相關聯的安全群組的安全群組 IDs 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 自訂 TCP 規則 TCP 1018-1023 選擇自訂,然後輸入您剛建立之安全群組的安全群組 ID 允許 FSx for Lustre 檔案伺服器之間的Lustre流量 自訂 TCP 規則 TCP 1018-1023 選擇自訂,並輸入與Lustre用戶端相關聯的安全群組的安全群組 IDs 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 -
選擇儲存以儲存並套用新的傳入規則。
根據預設,安全群組規則允許所有傳出流量 (全部、0.0.0.0/0)。如果您的安全群組不允許所有傳出流量,請將下列傳出規則新增至安全群組。這些規則允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的流量,以及Lustre檔案伺服器之間的流量。
將傳出規則新增至您的安全群組
-
選擇您剛新增傳入規則的相同安全群組。針對動作,選擇編輯傳出規則。
-
新增下列傳出規則。
Type 通訊協定 連接埠範圍 來源 描述 自訂 TCP 規則 TCP 988 選擇自訂,然後輸入您剛建立之安全群組的安全群組 ID 允許 FSx for Lustre 檔案伺服器之間的Lustre流量 自訂 TCP 規則 TCP 988 選擇自訂,並輸入與Lustre用戶端相關聯的安全群組的安全群組 IDs 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 自訂 TCP 規則 TCP 1018-1023 選擇自訂,然後輸入您剛建立之安全群組的安全群組 ID 允許 FSx for Lustre 檔案伺服器之間的Lustre流量 自訂 TCP 規則 TCP 1018-1023 選擇自訂,並輸入與您的Lustre用戶端相關聯的安全群組的安全群組 IDs 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 -
選擇儲存以儲存並套用新的傳出規則。
將安全群組與您的 Amazon FSx 檔案系統建立關聯
-
在 https://console.aws.amazon.com/fsx/
:// 開啟 Amazon FSx 主控台。 -
在主控台儀表板上,選擇您的檔案系統以檢視其詳細資訊。
-
在網路與安全索引標籤上,按一下網路介面下的 Amazon EC2 主控台連結,以檢視檔案系統的所有網路介面。
-
針對每個網路界面,選擇動作,然後選擇變更安全群組。
-
在變更安全群組對話方塊中,選擇您要與網路介面建立關聯的安全群組。
-
選擇 Save (儲存)。
Lustre 用戶端 VPC 安全群組規則
您可以使用 VPC 安全群組,透過新增傳入規則來控制Lustre用戶端的存取,以控制傳入流量和傳出規則,以控制來自Lustre用戶端的傳出流量。請務必在安全群組中擁有正確的網路流量規則,以確保Lustre流量可以在Lustre用戶端和 Amazon FSx 檔案系統之間流動。
將下列傳入規則新增至套用至Lustre用戶端的安全群組。
| Type | 通訊協定 | 連接埠範圍 | 來源 | 描述 |
|---|---|---|---|---|
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,並輸入套用到Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,並輸入與 FSx for Lustre 檔案系統相關聯的安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,並輸入套用到Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,並輸入與 FSx for Lustre 檔案系統相關聯的安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
將下列傳出規則新增至套用至Lustre用戶端的安全群組。
| Type | 通訊協定 | 連接埠範圍 | 來源 | 描述 |
|---|---|---|---|---|
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,並輸入套用到Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,並輸入與 FSx for Lustre 檔案系統相關聯的安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,並輸入套用到Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,並輸入與 FSx for Lustre 檔案系統相關聯的安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
