使用 VPC 资源终端节点将 VPC 资源连接到您的 SMF - 截止日期云
VPC 资源终端节点的工作原理先决条件设置 VPC 资源终端节点访问您的 VPC 资源身份验证和安全技术注意事项问题排查

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 VPC 资源终端节点将 VPC 资源连接到您的 SMF

使用适用于 Deadline Cloud 服务托管舰队 (SMF) 的 Amazon VPC 资源终端节点,您可以将 VPC 资源(例如网络文件系统 (NFS)、许可证服务器和数据库)与 Deadline Cloud 工作人员连接起来。此功能允许您利用 Deadline Cloud 的完全托管平台,同时与 VPC 内的现有基础设施集成。

该图显示了 Deadline Cloud SMF 如何与 VPC Lattice 连接。
提示

有关设置亚马逊 FSx 集群并将其连接到服务托管队列的参考 CloudFormation 模板,请参阅上的 Deadline Cloud 示例存储库中的 s mf_vpc_fsx。 GitHub

VPC 资源终端节点的工作原理

VPC 资源终端节点使用 VPC Lattice 在您的 Deadline Cloud SMF 工作线程和 VPC 中的资源之间创建安全连接。这种连接是单向的,这意味着工作人员可以与您的 VPC 中的资源建立连接并来回传输数据,但是您的 VPC 中的资源无法与工作人员建立连接。

当您将一个 VPC 资源连接到 Deadline Cloud 服务管理的队列时,您的工作人员可以使用私有域名访问您的 VPC 中的资源。此外,流量通过VPC Lattice从工作人员流向您的VPC资源,而您的VPC中的资源则看到来自VPC莱迪思资源网关的流量。

要了解更多信息,请参阅 VPC Lattice用户指南

先决条件

在将 VPC 资源连接到 Deadline Cloud 服务管理的队列之前,请确保您具备以下条件:

  • 拥有 VPC 的 AWS 账户,其中包含您要连接的资源。

  • 创建和管理 VPC 莱迪思资源的 IAM 权限。

  • 具有至少一个服务托管队列的 Deadline 云场。

  • 您想要访问的 VPC 资源(FSxNFS、许可证服务器等)。

设置 VPC 资源终端节点

要设置 VPC 资源终端节点,您需要在 VP C Lattice 中创建资源 AWS RAM,然后在 Deadline Cloud 中将这些资源连接到您的队列。要为您的 SMF 设置 VPC 资源终端节点,请完成以下步骤。

  1. 要在 VPC Lattice 中创建资源网关,请参阅 VPC 莱迪思用户指南中的创建资源网关

  2. 要在 VPC Lattice 中创建资源配置,请参阅 VPC 莱迪思用户指南中的创建资源配置。

  3. 要与您的 Deadline Cloud 队列共享资源,请在中创建资源共享 AWS RAM。有关说明,请参阅创建资源共享

    在创建资源共享时,对于委托人,请从下拉列表中选择服务主体,然后输入fleets.deadline.amazonaws.com

  4. 要将资源配置与您的 Deadline Cloud 队列连接起来,请完成以下步骤。

    1. 如果您还没有,请打开 De adline Cloud 控制台

    2. 在导航窗格中,选择农场,然后选择您的农场。

    3. 选择 “舰队” 选项卡,然后选择您的舰队。

    4. 选择配置选项卡。

    5. VPC 资源终端节点下,选择编辑

    6. 选择您创建的资源配置,然后选择保存更改

访问您的 VPC 资源

将您的 VPC 资源连接到队列后,工作人员可以使用以下格式的私有域名对其进行访问:<resource_config_id>.resource-endpoints.deadline.<region>.amazonaws.com

该域名是私有的,只有工作人员才能访问(不能通过互联网或您的工作站)。

身份验证和安全

对于需要身份验证的资源,请将凭据安全地存储在 S AWS ecrets Manager 中,访问主机配置脚本或作业脚本中的密钥,并实施适当的文件系统权限来控制访问权限。在多个舰队之间共享资源时,请考虑安全影响。例如,如果两个队列连接到同一个共享存储,则在一个队列上运行的作业可能能够访问从另一个队列创建的资产。

技术注意事项

使用 VPC 资源终端节点时,请考虑以下几点:

  • 只能启动从工作人员到 VPC 资源的连接,不能从 VPC 资源启动到工作线程的连接。

  • 建立连接后,即使资源配置已断开连接,连接也会一直持续到重置为止。

  • VPC Lattice 连接可自动处理可用区之间的连接,无需支付额外费用。您的资源网关必须与您的 VPC 资源共享一个可用区,因此我们建议将资源网关配置为跨越所有可用区。

  • 通过 VPC 资源终端节点的流量使用网络地址转换 (NAT),这并不与所有用例兼容。例如,微软 Active Directory (AD) 无法通过 NAT 进行连接。

有关 VPC 莱迪思配额的更多信息,请参阅 VPC 莱迪思配额

问题排查

如果您遇到与 VPC 资源终端节点有关的问题,请检查以下内容。

  • 如果您收到诸如 “mount.nfs:装载时服务器拒绝访问” 之类的错误消息,则可能需要更新 NFS 卷的客户端配置。

  • 通过在 Amazon EC2 实例或 VPC AWS CloudShell 中进行测试来验证您的资源配置设置。

  • 使用简单的 CLI 作业测试你的 Deadline Cloud 连接。有关更多信息,请参阅上的 Deadline Cloud 示例 GitHub

  • 如果您遇到连接故障,请检查资源网关安全组的设置。

  • 启用 VPC 访问日志以监控连接。