本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon VPC 的檔案系統存取控制
Amazon FSx 檔案系統可透過彈性網路介面存取,該介面位於虛擬私有雲端 (VPC),根據您與檔案系統相關聯的 Amazon VPC 服務。您可以透過 Amazon FSx 檔案系統 DNS 名稱來存取檔案系統,該名稱會映射到檔案系統的網路界面。只有關聯 VPC 或對等 VPC 內的資源,才能存取檔案系統的網路介面。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[什麼是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)。
**警告**
您不得修改或刪除 Amazon FSx 彈性網路介面。修改或刪除網路介面可能會導致 VPC 和檔案系統之間的連線永久中斷。
## Amazon VPC 安全群組
若要進一步控制透過 VPC 內檔案系統網路介面的網路流量,您可以使用安全群組來限制檔案系統的存取。*安全群組*可做為虛擬防火牆來控制其相關聯資源的流量。在這種情況下,相關聯的資源是您檔案系統的網路界面。您也可以使用 VPC 安全群組來控制Lustre用戶端的網路流量。
### 啟用 EFA 的安全群組
如果您要建立啟用 EFA 的 FSx for Lustre,您應該先建立啟用 EFA 的安全群組,並將其指定為檔案系統的安全群組。EFA 需要一個安全群組,如果用戶端位於不同的安全群組中,則允許所有進出安全群組本身和用戶端安全群組的傳入和傳出流量。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[步驟 1:準備啟用 EFA 的安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security)。
### 使用傳入和傳出規則控制存取
若要使用安全群組來控制對 Amazon FSx 檔案系統和Lustre用戶端的存取,您可以新增傳入規則來控制傳入流量和傳出規則,以控制從檔案系統和Lustre用戶端傳出流量。請務必在安全群組中擁有正確的網路流量規則,將 Amazon FSx 檔案系統的檔案共用對應至支援的運算執行個體上的資料夾。
如需安全群組規則的詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[安全群組規則](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#security-group-rules)。
**為您的 Amazon FSx 檔案系統建立安全群組**
1. 在 [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2):// 開啟 Amazon EC2 主控台。
1. 在導覽窗格中,選擇 **Security Groups** (安全群組)。
1. 選擇 **Create Security Group** (建立安全群組)。
1. 指定安全群組的名稱和描述。
1. 針對 **VPC**,選擇與您的 Amazon FSx 檔案系統相關聯的 VPC,在該 VPC 中建立安全群組。
1. 若要建立安全群組,請選擇 **Create (建立)**。
接下來,您將傳入規則新增至您剛建立的安全群組,以啟用 FSx for Lustre 檔案伺服器之間的Lustre流量。
**將傳入規則新增至您的安全群組**
1. 如果尚未選取,請選取您剛建立的安全群組。在 **Actions (動作)** 中,選擇 **Edit inbound rules (編輯傳入規則)**。
1. 新增下列傳入規則。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. 選擇**儲存**以儲存並套用新的傳入規則。
根據預設,安全群組規則允許所有傳出流量 (全部、0.0.0.0/0)。如果您的安全群組不允許所有傳出流量,請將下列傳出規則新增至安全群組。這些規則允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的流量,以及Lustre檔案伺服器之間的流量。
**將傳出規則新增至您的安全群組**
1. 選擇您剛新增傳入規則的相同安全群組。針對**動作**,選擇**編輯傳出規則**。
1. 新增下列傳出規則。
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. 選擇**儲存**以儲存並套用新的傳出規則。
**將安全群組與您的 Amazon FSx 檔案系統建立關聯**
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 在主控台儀表板上,選擇您的檔案系統以檢視其詳細資訊。
1. 在**網路與安全**索引標籤上,按一下**網路介面**下的 **Amazon EC2 主控台**連結,以檢視檔案系統的所有網路介面。
1. 針對每個網路界面,選擇**動作**,然後選擇**變更安全群組**。
1. 在**變更安全群組**對話方塊中,選擇您要與網路介面建立關聯的安全群組。
1. 選擇 **Save** (儲存)。
## Lustre 用戶端 VPC 安全群組規則
您可以使用 VPC 安全群組,透過新增傳入規則來控制Lustre用戶端的存取,以控制傳入流量和傳出規則,以控制來自Lustre用戶端的傳出流量。請務必在安全群組中擁有正確的網路流量規則,以確保Lustre流量可以在Lustre用戶端和 Amazon FSx 檔案系統之間流動。
將下列傳入規則新增至套用至Lustre用戶端的安全群組。
| Type | 通訊協定 | 連接埠範圍 | 來源 | 描述 |
| --- | --- | --- | --- | --- |
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,並輸入套用到Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,並輸入與 FSx for Lustre 檔案系統相關聯的安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,並輸入套用到Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,並輸入與 FSx for Lustre 檔案系統相關聯的安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
將下列傳出規則新增至套用至Lustre用戶端的安全群組。
| Type | 通訊協定 | 連接埠範圍 | 來源 | 描述 |
| --- | --- | --- | --- | --- |
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,並輸入套用到Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 988 | 選擇自訂,並輸入與 FSx for Lustre 檔案系統相關聯的安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,並輸入套用到Lustre用戶端之安全群組的安全群組 IDs | 允許Lustre用戶端之間的Lustre流量 |
| 自訂 TCP 規則 | TCP | 1018-1023 | 選擇自訂,並輸入與 FSx for Lustre 檔案系統相關聯的安全群組的安全群組 IDs | 允許 FSx for Lustre 檔案伺服器和Lustre用戶端之間的Lustre流量 |