Procedure consigliate FSx per Windows File Server - File server Amazon FSx per Windows
Best practice generaliBest practice di sicurezzaActive DirectoryConfigurazione e dimensionamento corretto del file system

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Procedure consigliate FSx per Windows File Server

Ti consigliamo di seguire queste best practice quando lavori con Amazon FSx for Windows File Server.

Best practice generali

Creazione di un piano di monitoraggio

È possibile utilizzare le metriche del file system per monitorare l'utilizzo dello storage e delle prestazioni, comprendere i modelli di utilizzo e attivare notifiche quando l'utilizzo si avvicina ai limiti di storage o di prestazioni del file system. Il monitoraggio dei FSx file system Amazon insieme al resto dell'ambiente applicativo consente di eseguire rapidamente il debug di eventuali problemi che potrebbero influire sulle prestazioni.

Garantire che i file system dispongano di risorse sufficienti

La mancanza di risorse può comportare un aumento della latenza e dell'accodamento per le richieste di I/O, il che potrebbe apparire come un'indisponibilità totale o parziale del file system. Per ulteriori informazioni sul monitoraggio delle prestazioni e sull'accesso agli avvisi e ai consigli sulle prestazioni, vedere. Avvertenze e raccomandazioni sulle prestazioni

Best practice di sicurezza

Ti consigliamo di seguire queste best practice per amministrare la sicurezza e i controlli di accesso del file system. Per informazioni più dettagliate sulla configurazione di Amazon FSx per soddisfare i tuoi obiettivi di sicurezza e conformità, consultaSicurezza in Amazon FSx.

Sicurezza di rete

Non modificare o eliminare l'ENI associato al tuo file system

L'accesso al FSx file system Amazon avviene tramite un'interfaccia di rete elastica (ENI) che risiede nel cloud privato virtuale (VPC) associato al file system. La modifica o l'eliminazione dell'interfaccia di rete può causare una perdita permanente della connessione tra il VPC e il file system.

Utilizzo di gruppi di sicurezza e rete ACLs

È possibile utilizzare i gruppi di sicurezza e gli elenchi di controllo degli accessi alla rete (ACLs) per limitare l'accesso ai file system. Per i gruppi di sicurezza VPC, il gruppo di sicurezza predefinito è già stato aggiunto al file system nella console. Assicurati che il gruppo di sicurezza e la rete ACLs per le sottoreti in cui crei il file system consentano il traffico sulle porte.

Active Directory

Quando crei un FSx file system Amazon, puoi aggiungerlo al tuo dominio Microsoft Active Directory per fornire l'autenticazione degli utenti e l'autorizzazione al controllo degli accessi a livello di condivisione, file e cartella. I tuoi utenti possono utilizzare i loro account Active Directory esistenti per connettersi alle condivisioni di file e accedere a file e cartelle al loro interno. Inoltre, puoi migrare la configurazione ACL di sicurezza esistente su Amazon FSx senza alcuna modifica. Amazon FSx offre due opzioni per Active Directory: Microsoft Active Directory AWS gestita o Microsoft Active Directory autogestita.

Se utilizzi un Microsoft Active Directory AWS gestito, ti consigliamo di lasciare le impostazioni predefinite del tuo gruppo di sicurezza Active Directory. Se modifichi queste impostazioni, assicurati di mantenere una configurazione di rete che soddisfi i requisiti di rete. Per ulteriori informazioni, consulta Prerequisiti di rete.

Se utilizzi un Microsoft Active Directory autogestito, hai a disposizione opzioni aggiuntive per la configurazione del file system. Consigliamo le seguenti best practice per la configurazione iniziale quando usi Amazon FSx con Microsoft Active Directory autogestito:

  • Assegna sottoreti a un singolo sito Active Directory: se il tuo ambiente Active Directory ha un gran numero di controller di dominio, utilizza Siti e servizi di Active Directory per assegnare le sottoreti utilizzate dai tuoi file system FSx Amazon a un singolo sito Active Directory con la massima disponibilità e affidabilità. Assicurati che il gruppo di sicurezza VPC, l'ACL di rete VPC, le regole del firewall di Windows e tutti gli altri controlli di routing di rete presenti nella tua infrastruttura Active Directory consentano la comunicazione da Amazon sulle porte richieste. DCs FSx Ciò consente a Windows di tornare ad altro DCs se non può utilizzare il sito Active Directory assegnato. Per ulteriori informazioni, consulta Controllo degli accessi ai file system con Amazon VPC.

  • Utilizza un'unità organizzativa (OU) separata: utilizza un'unità organizzativa per i tuoi FSx file system Amazon separata da qualsiasi altra unità organizzativa che potresti avere.

  • Configura il tuo account di servizio con i privilegi minimi richiesti: configura o delega l'account di servizio che fornisci ad Amazon FSx con i privilegi minimi richiesti. Per ulteriori informazioni, consulta Utilizzo di un Microsoft Active Directory autogestito.

  • Verifica continua la configurazione di Active Directory: esegui lo strumento di convalida Amazon FSx Active Directory sulla configurazione di Active Directory prima di creare il FSx file system Amazon per verificare che la configurazione sia valida per l'uso con Amazon FSx e per scoprire eventuali avvisi ed errori che lo strumento potrebbe esporre.

  • Archiviazione delle credenziali di Active Directory tramite Gestione dei segreti AWS: È possibile utilizzare Gestione dei segreti AWS per archiviare e gestire in modo sicuro le credenziali dell'account di accesso al servizio di accesso al dominio Microsoft Active Directory. Questo approccio elimina la necessità di archiviare credenziali sensibili in testo semplice nel codice dell'applicazione o nei file di configurazione, rafforzando il livello di sicurezza. Per ulteriori informazioni, consulta Memorizzazione delle credenziali di Active Directory utilizzando Gestione dei segreti AWS.

Evita di perdere la disponibilità a causa di una configurazione errata di Active Directory

Quando utilizzi Amazon FSx con il tuo Microsoft Active Directory autogestito, è importante disporre di una configurazione Active Directory valida non solo durante la creazione del file system, ma anche per le operazioni e la disponibilità continue. Durante gli eventi di ripristino in caso di guasto, gli eventi di manutenzione ordinaria e le azioni di aggiornamento della capacità di throughput, Amazon FSx ricongiunge le risorse del file server al tuo Active Directory. Se la configurazione di Active Directory non è valida durante un evento, il file system passa allo stato Non configurato correttamente e rischia di non essere più disponibile. Ecco alcuni modi per evitare la perdita di disponibilità:

  • Mantieni aggiornata la configurazione di Active Directory con Amazon FSx: se apporti modifiche, come la reimpostazione della password del tuo account di servizio, assicurati di aggiornare la configurazione per tutti i file system che utilizzano questo account di servizio.

  • Monitora eventuali errori di configurazione di Active Directory: imposta automaticamente le notifiche sullo stato di configurazione errata in modo da poter ripristinare la configurazione di Active Directory del file system, se necessario. Per un esempio che utilizza una soluzione basata su Lambda per raggiungere questo obiettivo, consulta Monitoraggio dello stato dei FSx file system Amazon utilizzando Amazon and. EventBridge AWS Lambda

  • Convalida regolarmente la configurazione di Active Directory: se desideri rilevare in modo proattivo un'errata configurazione di Active Directory, ti consigliamo di eseguire lo strumento di convalida di Active Directory sulla tua configurazione di Active Directory su base continuativa. Se ricevi avvisi o errori durante l'esecuzione dello strumento di convalida, significa che il file system rischia di essere configurato in modo errato.

  • Non spostare o modificare oggetti informatici creati da FSx: Amazon FSx crea e gestisce oggetti informatici nel tuo Active Directory, utilizzando l'account di servizio e le autorizzazioni che fornisci. Lo spostamento o la modifica di questi oggetti informatici può comportare una configurazione errata del file system.

Windows ACLs

Con Amazon FSx, utilizzi gli elenchi di controllo degli accessi standard di Windows (ACLs) per un controllo granulare degli accessi a livello di condivisione, file e cartella. I FSx file system Amazon verificano automaticamente le credenziali degli utenti che accedono ai dati del file system per applicare questi sistemi Windows. ACLs

  • Non modificare le autorizzazioni NTFS ACL per l'utente SYSTEM: Amazon FSx richiede che l'utente SYSTEM disponga del pieno controllo delle autorizzazioni NTFS ACL su tutte le cartelle all'interno del file system. La modifica delle autorizzazioni ACL NTFS per l'utente SYSTEM può rendere il file system inaccessibile e i futuri backup del file system potrebbero diventare inutilizzabili.

Configurazione e dimensionamento corretto del file system

Selezione di un tipo di distribuzione

Amazon FSx offre due opzioni di implementazione: Single-AZ e Multi-AZ. Consigliamo di utilizzare i file system Multi-AZ per la maggior parte dei carichi di lavoro di produzione che richiedono un'elevata disponibilità per i dati condivisi dei file Windows. Per ulteriori informazioni, consulta Disponibilità e durabilità: file system Single-AZ e Multi-AZ.

Selezione di una capacità di throughput

Configura il file system con una capacità di throughput sufficiente a soddisfare non solo il traffico previsto del carico di lavoro, ma anche le risorse prestazionali aggiuntive necessarie per supportare le funzionalità che desideri abilitare sul file system. Ad esempio, se si esegue la deduplicazione dei dati, la capacità di throughput selezionata deve fornire memoria sufficiente per eseguire la deduplicazione in base allo storage di cui si dispone. Se utilizzi copie shadow, aumenta la capacità di throughput a un valore almeno tre volte il valore che dovrebbe essere determinato dal carico di lavoro per evitare che Windows Server elimini le tue copie shadow. Per ulteriori informazioni, consulta Impatto della capacità di throughput sulle prestazioni.

Aumento della capacità di archiviazione e della capacità di throughput

Aumenta la capacità di storage del tuo file system quando lo spazio di archiviazione disponibile sta per esaurirsi o quando prevedi che i tuoi requisiti di storage superino l'attuale limite di archiviazione. Ti consigliamo di mantenere sempre almeno il 20% della capacità di archiviazione gratuita sul tuo file system. Si consiglia inoltre di aumentare la capacità di throughput di almeno il 20% prima di aumentare la capacità di storage per compensare l'eventuale impatto sulle prestazioni durante un aumento dello storage. Puoi utilizzare la FreeStorageCapacity CloudWatch metrica per monitorare la quantità di storage gratuito disponibile e comprenderne le tendenze. Per ulteriori informazioni, consulta Gestione della capacità di storage.

È inoltre necessario aumentare la capacità di throughput del file system se il carico di lavoro è limitato dagli attuali limiti di prestazioni. È possibile utilizzare la pagina Monitoraggio e prestazioni sulla FSx console per verificare se le richieste del carico di lavoro hanno raggiunto o superato i limiti prestazionali e determinare se il numero di provisioning del file system è insufficiente per il carico di lavoro.

Per ridurre al minimo la durata del ridimensionamento dello storage ed evitare una riduzione delle prestazioni di scrittura, si consiglia di aumentare la capacità di throughput del file system prima di aumentare la capacità di storage e quindi di ridimensionare la capacità di throughput una volta completato l'aumento della capacità di storage. La maggior parte dei carichi di lavoro ha un impatto minimo sulle prestazioni durante la scalabilità dello storage. Tuttavia, i file system con tipo di storage HDD e i carichi di lavoro che coinvolgono un gran numero di utenti finali, alti livelli di I/O o i set di dati con un gran numero di file di piccole dimensioni potrebbero subire temporaneamente una riduzione delle prestazioni. Per ulteriori informazioni, consulta Aumento della capacità di storage e delle prestazioni del file system.

Modifica della capacità di throughput durante i periodi di inattività

L'aggiornamento della capacità di throughput interrompe la disponibilità per alcuni minuti per i file system Single-AZ e causa il failover e il failback per i file system Multi-AZ. Per i file system Multi-AZ, se il traffico è continuo durante il failover e il failback, tutte le modifiche ai dati apportate durante questo periodo dovranno essere sincronizzate tra i file server. Il processo di sincronizzazione dei dati può richiedere fino a diverse ore per carichi di lavoro con elevati livelli di scrittura e IOPS. Sebbene il file system continui a essere disponibile durante questo periodo, consigliamo di pianificare le finestre di manutenzione e di eseguire aggiornamenti della capacità di trasmissione durante i periodi di inattività, quando il carico sul file system è minimo, per ridurre la durata della sincronizzazione dei dati. Per ulteriori informazioni, consulta Gestione della capacità di throughput.