Controle de acesso ao sistema de arquivos com a Amazon VPC - FSx para Lustre
Grupos de segurança da Amazon VPCRegras do grupo de segurança da VPC do cliente do Lustre

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controle de acesso ao sistema de arquivos com a Amazon VPC

Um sistema de arquivos do Amazon FSx é acessado por meio de uma interface de rede elástica que reside na nuvem privada virtual (VPC) com base no serviço Amazon VPC que você associa ao seu sistema de arquivos. Você acessa seu sistema de arquivos do Amazon FSx por meio do nome DNS, que é mapeado para a interface de rede do sistema de arquivos. Somente recursos dentro da VPC associada, ou de uma VPC emparelhada, podem acessar a interface de rede do seu sistema de arquivos. Para obter mais informações, consulte O que é a Amazon VPC? no Guia do usuário da Amazon VPC.

Atenção

Não é permitido modificar nem excluir a interface de rede elástica do Amazon FSx. A modificação ou a exclusão da interface de rede pode causar uma perda permanente de conexão entre a VPC e o sistema de arquivos.

Grupos de segurança da Amazon VPC

Para controlar ainda mais o tráfego de rede que passa pela interface de rede do sistema de arquivos na VPC, use grupos de segurança para limitar o acesso aos sistemas de arquivos. Um grupo de segurança age como um firewall virtual que controla o tráfego de recursos associados. Nesse caso, o recurso associado é a interface de rede do sistema de arquivos. Você também usa grupos de segurança da VPC para controlar o tráfego de rede para os clientes do Lustre.

Vagas de segurança habilitadas para EFA

Se você for criar um FSx para Lustre habilitado para o EFA, faça isso primeiro habilitando-o para um grupo de segurança, e especifice-o como o grupo de segurança do sistema de arquivos. Um EFA requer um grupo de segurança que permita todo o tráfego de entrada e saída do grupo de segurança e para ele próprio e o grupo de segurança dos clientes, caso estes residam em um grupo de segurança diferente. Para saber mais, consulte Etapa 1: preparar um grupo de segurança habilitado para EFA no Guia do usuário do Amazon EC2.

Controle de acesso usando regras de entrada e saída

Para usar um grupo de segurança para controlar o acesso ao sistema de arquivos do Amazon FSx e aos clientes do Lustre, você adiciona regras de entrada para controlar o tráfego de entrada e regras de saída para controlar o tráfego de saída no sistema de arquivos e nos clientes do Lustre. Verifique se você tem as regras de tráfego de rede corretas em seu grupo de segurança para mapear o compartilhamento de arquivos do sistema de arquivos do Amazon FSx para uma pasta na sua instância de computação com suporte.

Para obter mais informações sobre regras de grupo de segurança, consulte Regras de grupo de segurança no Guia do usuário do Amazon EC2.

Criar um grupo de segurança para o sistema de arquivos do Amazon FSx

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2.

  2. No painel de navegação, escolha Grupos de segurança.

  3. Escolha Create Security Group.

  4. Especifique um nome e uma descrição para o grupo de segurança.

  5. Para VPC, escolha a VPC associada ao sistema de arquivos do Amazon FSx para criar o grupo de segurança dentro dessa VPC.

  6. Escolha Create (Criar) para criar o grupo de segurança.

Em seguida, adicione regras de entrada ao grupo de segurança que você acabou de criar para habilitar o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre.

Adicionar regras de entrada ao grupo de segurança

  1. Selecione o grupo de segurança que você acabou de criar, se ele ainda não estiver selecionado. Em Actions (Ações), escolha Edit inbound rules (Editar regras de entrada).

  2. Adicione as regras de entrada a seguir.

    Tipo Protocolo Intervalo de portas Origem Descrição
    Regra personalizada de TCP TCP 988 Escolha Personalizado e digite o ID do grupo de segurança que você acabou de criar Permite o tráfego do Lustre entre servidores de arquivos do FSx para Lustre
    Regra personalizada de TCP TCP 988 Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança associados aos seus clientes do Lustre Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre
    Regra personalizada de TCP TCP 1018 a 1023 Escolha Personalizado e digite o ID do grupo de segurança que você acabou de criar Permite o tráfego do Lustre entre servidores de arquivos do FSx para Lustre
    Regra personalizada de TCP TCP 1018 a 1023 Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança associados aos seus clientes do Lustre Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre

  3. Escolha Salvar para salvar e aplicar as novas regras de entrada.

Por padrão, as regras de grupo de segurança permitem todo tráfego de saída (Todos, 0.0.0.0/0). Se o seu grupo de segurança não permitir todo tráfego de saída, adicione as seguintes regras de saída ao seu grupo de segurança. Essas regras permitem o tráfego entre os servidores de arquivos e os clientes do Lustre, bem como entre os servidores de arquivos do Lustre.

Adicionar regras de saída ao grupo de segurança

  1. Escolha o mesmo grupo de segurança ao qual você acabou de adicionar as regras de entrada. Em Ações, escolha Editar regras de saída.

  2. Adicione as regras de saída a seguir.

    Tipo Protocolo Intervalo de portas Origem Descrição
    Regra personalizada de TCP TCP 988 Escolha Personalizado e digite o ID do grupo de segurança que você acabou de criar Permitir o tráfego do Lustre entre servidores de arquivos do FSx para Lustre
    Regra personalizada de TCP TCP 988 Escolha Personalizado e insira os IDs do grupo de segurança associado aos seus clientes do Lustre Permitir o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre
    Regra personalizada de TCP TCP 1018 a 1023 Escolha Personalizado e digite o ID do grupo de segurança que você acabou de criar Permite o tráfego do Lustre entre servidores de arquivos do FSx para Lustre
    Regra personalizada de TCP TCP 1018 a 1023 Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança associados aos seus clientes do Lustre Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre

  3. Escolha Salvar para salvar e aplicar as novas regras de saída.

Associar um grupo de segurança ao seu sistema de arquivos do Amazon FSx

  1. Abra o console do Amazon FSx em https://console.aws.amazon.com/fsx/.

  2. No painel do console, escolha o sistema de arquivos para ver seus detalhes.

  3. Na guia Rede e segurança, clique no link do Console do Amazon EC2 em Interface(s) de rede para visualizar todas as interfaces de rede do seu sistema de arquivos.

  4. Para cada interface de rede, escolha Ações e então Alterar grupos de segurança.

  5. Na caixa de diálogo Alterar grupos de segurança, escolha os grupos de segurança que deseja associar à interface de rede.

  6. Escolha Salvar.

Regras do grupo de segurança da VPC do cliente do Lustre

Use seus grupos de segurança da VPC para controlar o acesso aos clientes do Lustre adicionando regras de entrada para controlar o tráfego de entrada e regras de saída para controlar o tráfego de saída nos clientes do Lustre. Certifique-se de ter as regras de tráfego de rede corretas em seu grupo de segurança para garantir que o tráfego do Lustre possa fluir entre seus clientes do Lustre e seus sistemas de arquivos do Amazon FSx.

Adicione as regras de entrada a seguir aos grupos de segurança aplicados aos clientes do Lustre.

Tipo Protocolo Intervalo de portas Origem Descrição
Regra personalizada de TCP TCP 988 Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança aplicados aos seus clientes do Lustre Permite tráfego do Lustre entre clientes do Lustre
Regra personalizada de TCP TCP 988 Escolha Personalizado e insira os IDs dos grupos de segurança associados aos seus sistemas de arquivos do FSx para Lustre Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre
Regra personalizada de TCP TCP 1018 a 1023 Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança aplicados aos seus clientes do Lustre Permite tráfego do Lustre entre clientes do Lustre
Regra personalizada de TCP TCP 1018 a 1023 Escolha Personalizado e insira os IDs dos grupos de segurança associados aos seus sistemas de arquivos do FSx para Lustre Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre

Adicione as seguintes regras de saída aos grupos de segurança aplicados aos seus clientes do Lustre.

Tipo Protocolo Intervalo de portas Origem Descrição
Regra personalizada de TCP TCP 988 Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança aplicados aos seus clientes do Lustre Permite tráfego do Lustre entre clientes do Lustre
Regra personalizada de TCP TCP 988 Escolha Personalizado e insira os IDs dos grupos de segurança associados aos seus sistemas de arquivos do FSx para Lustre Permitir o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre
Regra personalizada de TCP TCP 1018 a 1023 Escolha Personalizado e insira os IDs de grupo de segurança dos grupos de segurança aplicados aos seus clientes do Lustre Permite tráfego do Lustre entre clientes do Lustre
Regra personalizada de TCP TCP 1018 a 1023 Escolha Personalizado e insira os IDs dos grupos de segurança associados aos seus sistemas de arquivos do FSx para Lustre Permite o tráfego do Lustre entre os servidores de arquivos do FSx para Lustre e os clientes do Lustre