Akses sistem file NetApp ONTAP Anda FSx dengan Transfer Family - AWS Transfer Family
IkhtisarPrasyaratCara kerja FSx penyimpanan dengan Transfer FamilyMembuat titik akses S3 untuk FSxMenggunakan alias titik akses S3 dengan FSxMengkonfigurasi Transfer Family untuk penyimpanan FSxMengelola pengguna untuk FSx penyimpananMengkonfigurasi klien transfer fileMemecahkan masalah penyimpanan FSx

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses sistem file NetApp ONTAP Anda FSx dengan Transfer Family

Ikhtisar

Transfer Family mendukung Amazon FSx untuk NetApp ONTAP melalui jalur akses S3. Amazon FSx untuk NetApp ONTAP adalah layanan yang dikelola sepenuhnya yang menyediakan penyimpanan file yang sangat andal, terukur, berkinerja tinggi, dan kaya fitur yang dibangun di atas NetApp sistem file ONTAP yang populer. Saat Anda mengonfigurasi Transfer Family dengan sistem FSx file, pengguna Anda terhubung ke titik akhir Transfer Family menggunakan klien transfer file standar. Transfer Family merutekan operasi file melalui titik akses S3 yang dilampirkan ke FSx volume Anda, sementara data Anda tetap berada di sistem FSx file. Untuk mempelajari lebih lanjut tentang FSx NetApp ONTAP, lihat Apa itu Amazon FSx untuk NetApp ONTAP?

Integrasi ini memungkinkan Anda untuk:

  • Transfer file menggunakan protokol SFTP, FTPS, atau FTP ke penyimpanan file kelas perusahaan

  • Akses data yang sama melalui beberapa protokol (SFTP, NFS, SMB)

  • Gunakan FSx fitur seperti snapshot, backup, dan tiering data

penting

Beberapa operasi file tidak didukung saat menggunakan sistem FSx file dengan Transfer Family, termasuk mengganti nama dan menambahkan operasi. Untuk operasi unggahan, ukuran file dibatasi hingga 5 GB. Untuk daftar lengkap batasan, lihat Kompatibilitas titik akses.

Prasyarat

Sebelum Anda mengonfigurasi Transfer Family dengan Amazon FSx, Anda harus memenuhi persyaratan berikut.

FSx untuk persyaratan NetApp ONTAP

FSx Untuk menggunakan NetApp ONTAP dengan Transfer Family, Anda memerlukan:

  • Sistem file FSx untuk NetApp ONTAP yang menjalankan ONTAP versi 9.17.1 atau yang lebih baru

  • Sistem file dan titik akses S3 di Wilayah yang sama AWS

  • AWS Akun yang sama yang memiliki sistem file dan titik akses

Untuk mempelajari lebih lanjut, lihat Memulai Amazon FSx untuk NetApp ONTAP.

Izin IAM yang diperlukan

Anda dapat mengonfigurasi setiap titik akses S3 dengan izin dan kontrol jaringan yang berbeda yang diterapkan S3 untuk setiap permintaan yang dibuat menggunakan jalur akses tersebut. Jalur akses S3 mendukung kebijakan sumber daya IAM yang dapat Anda gunakan untuk mengontrol penggunaan titik akses berdasarkan sumber daya, pengguna, atau kondisi lainnya. Untuk aplikasi atau pengguna untuk mengakses file melalui titik akses, baik titik akses dan volume yang mendasarinya harus mengizinkan permintaan. Untuk informasi selengkapnya, lihat kebijakan jalur akses IAM.

Jalur akses Amazon S3 untuk FSx menggunakan model otorisasi lapisan ganda yang menggabungkan izin IAM dengan izin tingkat sistem file. Pendekatan ini memastikan bahwa permintaan akses data diotorisasi dengan benar pada tingkat AWS layanan dan tingkat sistem file yang mendasarinya.

Agar aplikasi atau pengguna berhasil mengakses data melalui titik akses, kebijakan titik akses S3 dan FSx volume yang mendasarinya harus mengizinkan permintaan tersebut.

Untuk membuat dan mengonfigurasi integrasi ini, Anda memerlukan izin berikut:

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy(jika membuat kebijakan jalur akses opsional)

Cara kerja FSx penyimpanan dengan Transfer Family

Saat Anda mengonfigurasi Transfer Family dengan sistem FSx file, komponen berikut bekerja sama untuk mengaktifkan transfer file:

  1. Pengguna terhubung ke server Transfer Family menggunakan klien SFTP, FTPS, atau FTP.

  2. Transfer Family mengautentikasi pengguna menggunakan identitas yang dikelola layanan, penyedia identitas kustom, atau. AWS Directory Service for Microsoft Active Directory Setelah diautentikasi, Transfer Family mengasumsikan peran IAM yang terkait dengan pengguna.

  3. Untuk setiap operasi file, Transfer Family bertindak sebagai klien API S3 standar, membuat permintaan ke Titik Akses S3 menggunakan peran IAM pengguna yang diasumsikan dan memverifikasi izin terhadap kebijakan jalur akses S3.

  4. Sistem FSx file memverifikasi bahwa pengguna sistem file yang terkait dengan titik akses memiliki izin untuk melakukan operasi yang diminta. Operasi file kemudian dilakukan pada FSx volume.

Agar operasi file berhasil, kedua lapisan otorisasi harus mengizinkan permintaan.

catatan

Melampirkan titik akses S3 ke FSx volume tidak mengubah bagaimana volume berperilaku ketika diakses langsung melalui NFS atau SMB. Akses protokol file yang ada terus bekerja tidak berubah.

Identitas pengguna sistem file

Setiap titik akses menggunakan identitas pengguna sistem file yang Anda tentukan saat membuat titik akses. Identitas ini mengotorisasi semua permintaan akses file yang dibuat melalui titik akses itu. Pengguna sistem file adalah akun pengguna pada sistem FSx file Amazon yang mendasarinya. Jika pengguna sistem file memiliki akses hanya-baca, maka hanya permintaan baca yang dibuat menggunakan titik akses yang diotorisasi, dan permintaan tulis diblokir. Jika pengguna sistem file memiliki akses baca-tulis, maka permintaan baca dan tulis ke volume terlampir yang dibuat menggunakan titik akses diotorisasi.

Membuat titik akses S3 untuk FSx

Sebelum Anda mengkonfigurasi Transfer Family, Anda harus membuat titik akses S3 yang terpasang pada FSx volume Anda. Titik akses S3 diberi nama titik akhir jaringan yang dilampirkan ke sumber data seperti bucket atau Amazon FSx untuk volume ONTAP. Anda dapat membuat dan melampirkan jalur akses ke FSx untuk NetApp ONTAP menggunakan FSx konsol Amazon, AWS CLI, atau API. Setelah terpasang, Anda dapat menggunakan objek S3 APIs untuk mengakses data file Anda. Data Anda terus berada di sistem FSx file Amazon dan terus dapat diakses secara langsung untuk beban kerja Anda yang ada. Anda terus mengelola penyimpanan Anda menggunakan semua kemampuan manajemen penyimpanan FSx untuk NetApp ONTAP, termasuk backup, snapshot, kuota pengguna dan grup, dan kompresi.

Untuk informasi selengkapnya, lihat Membuat titik akses.

Penamaan titik akses

Saat Anda memberi nama jalur akses Anda, ikuti panduan ini:

  • Nama titik akses harus unik dalam AWS akun dan Wilayah Anda.

  • Nama tidak dapat diakhiri dengan -ext-s3alias (dicadangkan untuk alias).

  • Hindari memasukkan informasi sensitif dalam nama karena dipublikasikan di DNS.

Untuk daftar lengkap aturan penamaan, lihat Aturan, batasan, dan batasan penamaan titik akses.

Membuat titik akses FSx untuk NetApp ONTAP

Gunakan prosedur berikut untuk membuat titik akses S3 untuk volume NetApp ONTAP. FSx

Untuk membuat titik akses (konsol)

  1. Buka FSx konsol Amazon di https://console.aws.amazon.com/fsx/.

  2. Di panel navigasi, pilih Sistem file.

  3. Pilih FSx untuk sistem file NetApp ONTAP Anda.

  4. Pilih tab Volume.

  5. Pilih volume yang ingin Anda lampirkan.

  6. Untuk Tindakan, pilih Buat titik akses S3.

  7. Untuk nama Access point, masukkan nama deskriptif (misalnya,transfer-family-ap).

  8. Untuk tipe identitas pengguna sistem File, pilih salah satu dari berikut ini:

    • Identitas UNIX - Untuk volume dengan gaya keamanan UNIX

    • Identitas Windows - Untuk volume dengan gaya keamanan NTFS

  9. (Opsional) Untuk kebijakan Access point, masukkan kebijakan IAM yang menentukan prinsipal IAM mana yang dapat melakukan operasi pada objek yang diakses melalui jalur akses ini. Untuk informasi selengkapnya, lihat Mengelola akses titik akses.

  10. Pilih Buat.

  11. Setelah pembuatan, perhatikan alias titik akses untuk digunakan dalam konfigurasi Transfer Family.

catatan

Saat AWS Transfer Family mengakses sumber daya S3 atas nama SFTP/FTPS pengguna Anda yang terhubung, permintaan berasal dari AWS Transfer Family infrastruktur, bukan dari VPC Anda. Karena itu, Titik Akses S3 yang dikonfigurasi dengan asal jaringan VPC akan menolak permintaan ini. Namun, bahkan jika Anda menggunakan Access Point yang dikonfigurasi dengan asal jaringan Internet, semua lalu lintas antara Transfer Family dan Access Point tetap pribadi dan melakukan perjalanan melalui jaringan AWS backbone - itu tidak melintasi internet publik.

Mengkonfigurasi izin sistem file

Pengguna sistem file yang Anda tentukan menentukan operasi apa yang dapat dilakukan pengguna Transfer Family. Anda harus mengonfigurasi izin yang sesuai pada FSx volume Anda.

Contoh UNIX:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Contoh Windows:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

Menggunakan alias titik akses S3 dengan FSx

Saat Anda menggunakan sistem FSx file dengan Transfer Family, Anda harus menggunakan alias titik akses S3. Transfer Family tidak mendukung penggunaan titik akses ARNs atau metode referensi lain untuk FSx penyimpanan.

penting

AWS Transfer Family hanya mendukung alias titik akses S3 saat menggunakan sistem FSx file. Anda tidak dapat menggunakan jalur akses ARNs atau virtual-hosted-style URIs.

penting

Titik akses harus berada di Wilayah yang sama dengan volume.

Tentang alias titik akses

Saat Anda membuat titik akses S3 yang dilampirkan ke FSx volume, Amazon S3 secara otomatis menghasilkan alias titik akses. Alias ini adalah pengenal unik yang dapat Anda gunakan di mana pun Anda menggunakan nama bucket S3.

Untuk titik akses yang dilampirkan ke FSx volume, alias menggunakan format berikut:

access-point-name-metadata-ext-s3alias

Contoh alias:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
catatan

-ext-s3aliasAkhiran dicadangkan untuk alias titik FSx akses. Anda tidak dapat menggunakan akhiran ini dalam nama titik akses.

Menemukan alias titik akses Anda

Anda dapat menemukan alias titik akses setelah membuat titik akses.

Untuk menemukan alias titik akses (konsol)

  1. Buka FSx konsol Amazon di https://console.aws.amazon.com/fsx/.

  2. Di panel navigasi, pilih Sistem file.

  3. Pilih sistem file Anda.

  4. Pilih tab Volume dan pilih volume yang Anda buat untuk titik akses.

  5. Buka kolom detail titik akses S3.

  6. Alias ditampilkan di kolom Alias.

Untuk menemukan alias titik akses (CLI)

Gunakan perintah describe-s3-access-point-attachments.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

Tanggapan termasuk alias:

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Saat Anda mengonfigurasi pengguna Transfer Family, gunakan alias access point di pemetaan direktori home.

Format direktori rumah:

/access-point-alias/path/to/directory

Contoh:

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

Mengkonfigurasi Transfer Family untuk penyimpanan FSx

Setelah Anda membuat titik akses S3, konfigurasikan server Transfer Family untuk menggunakannya.

Membuat peran IAM

Anda harus membuat peran IAM yang memberikan akses Transfer Family ke jalur akses S3.

penting

Kebijakan IAM memerlukan format ARN Access Point, bukan alias. Gunakan format arn:aws:s3:region:account-id:accesspoint/access-point-name dalam pernyataan Sumber daya kebijakan IAM Anda. Alias access point (diakhiri dengan-ext-s3alias) hanya digunakan untuk pemetaan direktori home.

Untuk membuat peran IAM

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran, lalu pilih Buat peran.

  3. Untuk jenis entitas Tepercaya, pilih AWS layanan.

  4. Untuk kasus penggunaan, pilih Transfer.

  5. Pilih Berikutnya.

  6. Pilih Buat kebijakan dan masukkan kebijakan Anda (lihat contoh kebijakan di bawah).

  7. Lampirkan kebijakan ke peran dan pilih Buat peran.

Contoh kebijakan IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

Mengelola pengguna untuk FSx penyimpanan

Buat pengguna Transfer Family dengan pemetaan direktori home yang menggunakan alias access point S3.

Membuat pengguna

Saat Anda membuat pengguna untuk FSx penyimpanan, gunakan alias titik akses di pemetaan direktori home.

Untuk membuat pengguna yang Dikelola Layanan (konsol)

  1. Buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/.

  2. Di panel navigasi, pilih Server.

  3. Pilih server Anda.

  4. Di bagian Pengguna, pilih Tambah pengguna.

  5. Untuk Nama Pengguna, masukkan nama pengguna.

  6. Untuk Peran, pilih peran IAM yang Anda buat.

  7. Untuk direktori Home, pilih Restricted.

  8. Untuk pemetaan direktori Home, tambahkan pemetaan menggunakan alias access point:

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

Untuk membuat pengguna (CLI)

Gunakan perintah create-user. Ganti alias titik akses dengan alias Anda.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

Mengkonfigurasi beberapa pemetaan direktori

Anda dapat memetakan beberapa direktori virtual ke jalur yang berbeda pada FSx volume.

Contoh: Direktori upload dan download terpisah

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

Mengkonfigurasi klien transfer file

Saat menggunakan sistem FSx file dengan Transfer Family, Anda harus mengonfigurasi klien transfer file Anda untuk menonaktifkan fitur yang tidak didukung.

Konfigurasi WinSCP

WinSCP menggunakan fitur ganti nama sementara secara default yang tidak didukung dengan jalur akses S3 untuk. FSx

Awas

Jika Anda tidak menonaktifkan fitur ganti nama sementara di WinSCP, unggahan file akan gagal.

Untuk menonaktifkan penggantian nama sementara di WinSCP

  1. Buka WinSCP.

  2. Pada dialog Login, pilih Edit untuk mengubah pengaturan sesi Anda.

  3. Pilih Lanjutan.

  4. Di navigasi kiri, di bawah Transfer, pilih Endurance.

  5. Untuk Aktifkan transfer resume/transfer ke nama file sementara, pilih Nonaktifkan.

  6. Pilih OK untuk menyimpan pengaturan.

Atau, Anda dapat menonaktifkan pengaturan ini untuk sesi yang ada:

  1. Connect ke server Transfer Family Anda.

  2. Pilih Opsi, lalu Preferensi.

  3. Pilih Transfer, lalu Daya Tahan.

  4. Untuk Aktifkan transfer resume/transfer ke nama file sementara, pilih Nonaktifkan.

  5. Pilih OK.

Klien SFTP lainnya

Untuk klien SFTP lainnya, nonaktifkan fitur berikut jika tersedia:

  • Unggahan file sementara (unggah ke file temp, lalu ganti nama)

  • Lanjutkan transfer menggunakan file sementara

  • Unggahan atom menggunakan operasi ganti nama

  • Menambahkan mode untuk upload

Konsultasikan dokumentasi klien Anda untuk langkah-langkah konfigurasi tertentu.

Memecahkan masalah penyimpanan FSx

Bagian ini menjelaskan cara mengidentifikasi dan menyelesaikan masalah umum saat menggunakan Transfer Family dengan sistem FSx file.

Masalah operasi file

Izin ditolak

Jika Anda menerima kesalahan izin ditolak:

  1. Verifikasi peran IAM memiliki izin yang benar untuk alias titik akses. Anda dapat melakukan ini dengan menguji langsung dengan S3 APIs.

  2. Periksa apakah kebijakan titik akses memungkinkan peran IAM.

  3. Verifikasi bahwa pengguna sistem file memiliki izin pada jalur target.

  4. Konfirmasikan pemetaan direktori home menggunakan alias access point yang benar.

Unggahan gagal dengan WinSCP

Jika unggahan file gagal dengan WinSCP, nonaktifkan penggantian nama sementara:

  1. Di WinSCP, pilih Opsi, lalu Preferensi.

  2. Pilih Transfer, lalu Daya Tahan.

  3. Untuk Aktifkan transfer resume/transfer ke nama file sementara, pilih Nonaktifkan.

Untuk informasi selengkapnya, lihat Mengkonfigurasi klien transfer file.

Unggahan file gagal

Jika unggahan file gagal:

  1. Verifikasi ukuran file di bawah 5 GB.

  2. Periksa apakah FSx volume memiliki penyimpanan yang tersedia cukup.

  3. Pantau CloudWatch metrik untuk pelambatan.