Accedi ai tuoi file system FSx for NetApp ONTAP con Transfer Family - AWS Transfer Family
Panoramica diPrerequisitiCome funziona FSx lo storage con Transfer FamilyCreazione di un punto di accesso S3 per FSxUtilizzo degli alias dei punti di accesso S3 con FSxConfigurazione di Transfer Family per lo storage FSxGestione degli utenti per FSx lo storageConfigurazione dei client per il trasferimento di fileRisoluzione dei problemi FSx di archiviazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accedi ai tuoi file system FSx for NetApp ONTAP con Transfer Family

Panoramica di

Transfer Family supporta Amazon FSx for NetApp ONTAP tramite punti di accesso S3. Amazon FSx for NetApp ONTAP è un servizio completamente gestito che fornisce uno storage di file altamente affidabile, scalabile, ad alte prestazioni e ricco di funzionalità basato sul NetApp popolare file system ONTAP. Quando configuri Transfer Family con un FSx file system, i tuoi utenti si connettono agli endpoint Transfer Family utilizzando client di trasferimento file standard. Transfer Family indirizza le operazioni sui file tramite un punto di accesso S3 collegato al FSx volume, mentre i dati rimangono nel FSx file system. Per ulteriori informazioni su FSx NetApp ONTAP, consulta What is Amazon FSx for NetApp ONTAP?

Questa integrazione ti consente di:

  • Trasferisci file utilizzando i protocolli SFTP, FTPS o FTP su uno storage di file di livello aziendale

  • Accedi agli stessi dati tramite più protocolli (SFTP, NFS, SMB)

  • Utilizza FSx funzionalità come istantanee, backup e suddivisione dei dati su più livelli

Importante

Alcune operazioni sui file non sono supportate quando si utilizzano FSx file system con Transfer Family, incluse le operazioni di ridenominazione e aggiunta. Per le operazioni di caricamento, le dimensioni dei file sono limitate a 5 GB. Per un elenco completo delle limitazioni, consulta Compatibilità con i punti di accesso.

Prerequisiti

Prima di configurare Transfer Family con Amazon FSx, devi soddisfare i seguenti requisiti.

FSx per i NetApp requisiti ONTAP

FSx Per utilizzare NetApp ONTAP con Transfer Family, devi:

  • E FSx per il file system NetApp ONTAP che esegue ONTAP versione 9.17.1 o successiva

  • Il file system e il punto di accesso S3 nella stessa regione AWS

  • Lo stesso AWS account che possiede sia il file system che il punto di accesso

Per ulteriori informazioni, consulta la pagina Guida introduttiva ad Amazon FSx for NetApp ONTAP.

Autorizzazioni IAM richieste

Puoi configurare ogni punto di accesso S3 con autorizzazioni e controlli di rete distinti che S3 applica per qualsiasi richiesta effettuata utilizzando quel punto di accesso. I punti di accesso S3 supportano le policy delle risorse IAM che puoi utilizzare per controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possa accedere ai file tramite un punto di accesso, sia il punto di accesso che il volume sottostante devono consentire la richiesta. Per ulteriori informazioni, consulta le politiche dei punti di accesso IAM.

Punti di accesso Amazon S3 per l' FSx utilizzo di un modello di autorizzazione a doppio livello che combina le autorizzazioni IAM con le autorizzazioni a livello di file system. Questo approccio garantisce che le richieste di accesso ai dati siano autorizzate correttamente sia a livello di AWS servizio che a livello di file system sottostante.

Affinché un'applicazione o un utente possa accedere correttamente ai dati tramite un punto di accesso, sia la policy del punto di accesso S3 che il FSx volume sottostante devono consentire la richiesta.

Per creare e configurare questa integrazione, sono necessarie le seguenti autorizzazioni:

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy(se si crea una policy opzionale per i punti di accesso)

Come funziona FSx lo storage con Transfer Family

Quando si configura Transfer Family con un FSx file system, i seguenti componenti interagiscono per abilitare i trasferimenti di file:

  1. Un utente si connette al server Transfer Family utilizzando un client SFTP, FTPS o FTP.

  2. Transfer Family autentica l'utente utilizzando identità gestite dal servizio, un provider di identità personalizzato o. AWS Directory Service for Microsoft Active Directory Una volta autenticata, Transfer Family assume il ruolo IAM associato all'utente.

  3. Per ogni operazione sui file, Transfer Family funge da client API S3 standard, inoltra richieste all'Access Point S3 utilizzando il ruolo IAM presunto dell'utente e verifica le autorizzazioni rispetto alla policy del punto di accesso S3.

  4. Il FSx file system verifica che l'utente del file system associato al punto di accesso sia autorizzato a eseguire l'operazione richiesta. L'operazione sul file viene quindi eseguita sul FSx volume.

Affinché un'operazione sui file abbia esito positivo, entrambi i livelli di autorizzazione devono consentire la richiesta.

Nota

Il collegamento di un punto di accesso S3 a un FSx volume non modifica il comportamento del volume in caso di accesso diretto tramite NFS o SMB. L'accesso al protocollo di file esistente continua a funzionare invariato.

Identità dell'utente del file system

Ogni punto di accesso utilizza un'identità utente del file system specificata durante la creazione del punto di accesso. Questa identità autorizza tutte le richieste di accesso ai file effettuate tramite quel punto di accesso. L'utente del file system è un account utente sul FSx file system Amazon sottostante. Se l'utente del file system ha accesso in sola lettura, vengono autorizzate solo le richieste di lettura effettuate utilizzando il punto di accesso e le richieste di scrittura vengono bloccate. Se l'utente del file system dispone di accesso in lettura/scrittura, sono autorizzate sia le richieste di lettura che quelle di scrittura al volume allegato effettuate utilizzando il punto di accesso.

Creazione di un punto di accesso S3 per FSx

Prima di configurare Transfer Family, devi creare un punto di accesso S3 collegato al tuo FSx volume. I punti di accesso S3 sono endpoint di rete denominati collegati a un'origine dati come un bucket o un volume Amazon FSx for ONTAP. Puoi creare e collegare un punto di accesso a un FSx for NetApp ONTAP utilizzando la FSx console Amazon, la AWS CLI o l'API. Una volta collegato, puoi utilizzare l'oggetto S3 APIs per accedere ai dati del file. I tuoi dati continuano a risiedere nel FSx file system Amazon e continuano ad essere direttamente accessibili per i carichi di lavoro esistenti. Continui a gestire lo storage utilizzando tutte le funzionalità FSx di gestione dello storage di NetApp ONTAP, inclusi backup, istantanee, quote di utenti e gruppi e compressione.

Per ulteriori informazioni, consulta Creazione dei punti di accesso.

Denominazione dei punti di accesso

Quando assegnate un nome al punto di accesso, seguite queste linee guida:

  • I nomi dei punti di accesso devono essere univoci all'interno del tuo AWS account e della tua regione.

  • I nomi non possono terminare con -ext-s3alias (riservato agli alias).

  • Evita di includere informazioni sensibili nei nomi perché sono pubblicati nel DNS.

Per un elenco completo delle regole di denominazione, consulta Regole, restrizioni e limitazioni di denominazione dei punti di accesso.

Creazione di un punto di accesso per ONTAP FSx NetApp

Usa la seguente procedura per creare un punto di accesso S3 per un volume FSx for NetApp ONTAP.

Per creare un punto di accesso (console)

  1. Apri la FSx console Amazon all'indirizzo https://console.aws.amazon.com/fsx/.

  2. Nel riquadro di navigazione, scegli File system.

  3. Scegli il tuo file system FSx per NetApp ONTAP.

  4. Scegli la scheda Volumi.

  5. Seleziona il volume che desideri allegare.

  6. Per Azioni, scegli Crea punto di accesso S3.

  7. Per il nome del punto di accesso, inserisci un nome descrittivo (ad esempio,transfer-family-ap).

  8. Per Tipo di identità utente del file system, scegliete una delle seguenti opzioni:

    • Identità UNIX: per volumi con stile di sicurezza UNIX

    • Identità Windows: per volumi con stile di sicurezza NTFS

  9. (Facoltativo) Per la policy dei punti di accesso, inserisci una policy IAM che definisca quali presidi IAM possono eseguire quali operazioni sugli oggetti a cui si accede tramite questo punto di accesso. Per ulteriori informazioni, consulta Gestione dell'accesso ai punti di accesso.

  10. Scegli Create (Crea).

  11. Dopo la creazione, annota l'alias del punto di accesso da utilizzare nella configurazione Transfer Family.

Nota

Quando AWS Transfer Family accede alle risorse S3 per conto dei tuoi SFTP/FTPS utenti connessi, le richieste provengono dall' AWS Transfer Family infrastruttura, non dal tuo VPC. Per questo motivo, gli access point S3 configurati con un'origine di rete VPC negheranno queste richieste. Tuttavia, anche se si utilizza un Access Point configurato con un'origine di rete Internet, tutto il traffico tra Transfer Family e l'Access Point rimane privato e viaggia sulla rete AWS dorsale, senza attraversare la rete Internet pubblica.

Configurazione delle autorizzazioni del file system

L'utente del file system specificato determina le operazioni che gli utenti di Transfer Family possono eseguire. È necessario configurare le autorizzazioni appropriate sul FSx volume.

Esempio UNIX:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Esempio di Windows:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

Utilizzo degli alias dei punti di accesso S3 con FSx

Quando si utilizzano FSx file system con Transfer Family, è necessario utilizzare gli alias dei punti di accesso S3. Transfer Family non supporta l'utilizzo di punti di accesso ARNs o altri metodi di riferimento per l' FSx archiviazione.

Importante

AWS Transfer Family supporta solo gli alias dei punti di accesso S3 quando si utilizzano FSx file system. Non è possibile utilizzare il punto ARNs di accesso o. virtual-hosted-style URIs

Importante

Il punto di accesso deve trovarsi nella stessa regione del volume.

Informazioni sugli alias dei punti di accesso

Quando crei un punto di accesso S3 collegato a un FSx volume, Amazon S3 genera automaticamente un alias del punto di accesso. Questo alias è un identificatore univoco che puoi usare ovunque utilizzi un nome di bucket S3.

Per i punti di accesso collegati ai FSx volumi, l'alias utilizza il seguente formato:

access-point-name-metadata-ext-s3alias

Alias di esempio:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
Nota

Il -ext-s3alias suffisso è riservato agli alias dei punti di FSx accesso. Non è possibile utilizzare questo suffisso nei nomi dei punti di accesso.

Individuazione dell'alias del punto di accesso

È possibile trovare l'alias del punto di accesso dopo averlo creato.

Per trovare l'alias del punto di accesso (console)

  1. Apri la FSx console Amazon all'indirizzo https://console.aws.amazon.com/fsx/.

  2. Nel riquadro di navigazione, scegli File system.

  3. Scegli il tuo file system.

  4. Scegli la scheda Volumi e seleziona il volume per cui hai creato il punto di accesso.

  5. Vai alla colonna dei dettagli del punto di accesso S3.

  6. L'alias viene visualizzato nella colonna Alias.

Per trovare l'alias del punto di accesso (CLI)

Utilizza il comando describe-s3-access-point-attachments.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

La risposta include l'alias:

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Quando configuri gli utenti Transfer Family, usa l'alias del punto di accesso nelle mappature delle home directory.

Formato della home directory:

/access-point-alias/path/to/directory

Esempio:

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

Configurazione di Transfer Family per lo storage FSx

Dopo aver creato il punto di accesso S3, configura un server Transfer Family per utilizzarlo.

Creazione di un ruolo IAM

Devi creare un ruolo IAM che conceda a Transfer Family l'accesso al punto di accesso S3.

Importante

Le policy IAM richiedono il formato Access Point ARN, non l'alias. Utilizza il formato arn:aws:s3:region:account-id:accesspoint/access-point-name nelle dichiarazioni relative alle risorse relative alla policy IAM. L'alias del punto di accesso (che termina con-ext-s3alias) viene utilizzato solo per le mappature delle home directory.

Per creare il ruolo IAM

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, scegli Ruoli, quindi scegli Crea ruolo.

  3. Per Tipo di entità attendibile, scegli Servizio AWS .

  4. Per Caso d'uso, scegli Trasferisci.

  5. Scegli Next (Successivo).

  6. Scegli Crea politica e inserisci la tua politica (vedi esempio di politica di seguito).

  7. Allega la politica al ruolo e scegli Crea ruolo.

Esempio di policy IAM:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

Gestione degli utenti per FSx lo storage

Crea utenti Transfer Family con mappature della home directory che utilizzano l'alias del punto di accesso S3.

Creazione di un utente

Quando crei un utente per l' FSx archiviazione, usa l'alias del punto di accesso nelle mappature delle home directory.

Per creare un utente Service Managed (console)

  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Nel riquadro di navigazione, selezionare Servers (Server).

  3. Scegli il tuo server.

  4. Nella sezione Utenti, scegli Aggiungi utente.

  5. Per Nome utente, inserisci un nome utente.

  6. Per Ruolo, scegli il ruolo IAM che hai creato.

  7. Per Home directory, scegli Restricted.

  8. Per i mapping della home directory, aggiungi una mappatura utilizzando l'alias del punto di accesso:

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

Per creare un utente (CLI)

Utilizza il comando create-user. Sostituisci l'alias del punto di accesso con il tuo alias.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

Configurazione di più mappature di directory

È possibile mappare più directory virtuali su percorsi diversi sul volume. FSx

Esempio: directory di caricamento e download separate

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

Configurazione dei client per il trasferimento di file

Quando si utilizzano FSx file system con Transfer Family, è necessario configurare i client di trasferimento file per disabilitare le funzionalità non supportate.

Configurazione WinSCP

Per impostazione predefinita, WinSCP utilizza una funzionalità di ridenominazione temporanea che non è supportata con i punti di accesso S3 per. FSx

avvertimento

Se non si disattiva la funzionalità di ridenominazione temporanea in WinSCP, il caricamento dei file avrà esito negativo.

Per disabilitare la ridenominazione temporanea in WinSCP

  1. Apri WinSCP.

  2. Nella finestra di dialogo di accesso, scegli Modifica per modificare le impostazioni della sessione.

  3. Scegli Avanzato.

  4. Nella barra di navigazione a sinistra, in Trasferimento, scegli Resistenza.

  5. Per Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli Disabilita.

  6. Scegliete OK per salvare le impostazioni.

In alternativa, puoi disabilitare questa impostazione per una sessione esistente:

  1. Connect al server Transfer Family.

  2. Scegli Opzioni, quindi Preferenze.

  3. Scegli Trasferimento, quindi Resistenza.

  4. Per Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli Disabilita.

  5. Scegli OK.

Altri client SFTP

Per altri client SFTP, disabilitate le seguenti funzionalità, se disponibili:

  • Caricamenti temporanei di file (caricamento su file temporaneo, quindi ridenominazione)

  • Riprendi i trasferimenti utilizzando file temporanei

  • Caricamenti atomici utilizzando operazioni di ridenominazione

  • Modalità di aggiunta per i caricamenti

Consultate la documentazione del cliente per i passaggi di configurazione specifici.

Risoluzione dei problemi FSx di archiviazione

Questa sezione descrive come identificare e risolvere i problemi più comuni quando si utilizza Transfer Family con i FSx file system.

Problemi relativi al funzionamento dei file

Autorizzazione negata

Se ricevi errori relativi all'autorizzazione negata:

  1. Verifica che il ruolo IAM disponga delle autorizzazioni corrette per l'alias del punto di accesso. Puoi farlo testando direttamente con S3. APIs

  2. Verifica che la policy del punto di accesso consenta il ruolo IAM.

  3. Verifica che l'utente del file system disponga delle autorizzazioni sul percorso di destinazione.

  4. Conferma che la mappatura della home directory utilizzi l'alias corretto del punto di accesso.

Il caricamento non riesce con WinSCP

Se il caricamento dei file fallisce con WinSCP, disabilita la ridenominazione temporanea:

  1. In WinSCP, scegliete Opzioni, quindi Preferenze.

  2. Scegli Trasferimento, quindi Resistenza.

  3. Per Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli Disabilita.

Per ulteriori informazioni, consulta Configurazione dei client per il trasferimento di file.

Il caricamento del file non riesce

Se il caricamento dei file fallisce:

  1. Verifica che la dimensione del file sia inferiore a 5 GB.

  2. Verifica che sul FSx volume sia disponibile spazio di archiviazione sufficiente.

  3. Monitora le CloudWatch metriche relative alla limitazione.