使用自定义配置创建 NFS 文件共享 - AWS Storage Gatewa

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义配置创建 NFS 文件共享

使用以下过程创建包含自定义配置的网络文件系统(NFS)文件共享。要使用默认配置设置创建 NFS 文件共享,请参阅使用默认配置创建 NFS 文件共享

重要

从文件网关上传数据时,使用 S3 版本控制、跨区域复制或 Rsync 实用程序可能会显著影响成本。有关更多信息,请参阅在从文件网关上传数据时避免意外成本

使用自定义设置创建 NFS 文件共享

  1. 打开 AWS Storage Gateway 控制台,网址为 https://console.aws.amazon.com/storagegateway/home/,然后从左侧导航窗格中选择文件共享

  2. 选择创建文件共享

  3. 选择自定义配置。您可以暂时忽略此窗格中的其他字段。在后续步骤中,系统将提示您配置网关、协议和存储设置。

  4. 对于网关,从下拉列表中为您的新文件共享选择 Amazon S3 文件网关。

  5. 对于 CloudWatch 日志组,从下拉列表中选择以下选项之一:

    • 要关闭此文件共享的日志记录,请选择禁用日志记录

    • 要自动为此文件共享创建新的日志组,请选择由 Storage Gateway 创建

    • 要将此文件共享的运行状况和资源通知发送到现有日志组,请从列表中选择所需的组。

    有关审核日志的更多信息,请参阅了解 S3 文件网关审核日志

  6. (可选)在标签 - 可选下,选择添加新标签,然后输入文件共享的

    标签是区分大小写的键值对,有助于您对 Storage Gateway 资源进行分类。添加标签可以更轻松地筛选和搜索文件共享。您可以重复此步骤以添加至多 50 个标签。

    完成后,选择下一步

  7. 对于 S3 存储桶,请执行以下任一操作来指定您的文件共享将在何处存储和检索文件:

    • 要将文件共享直接连接到 Amazon Web Services 账户中的现有 S3 存储桶,请从下拉列表中选择存储桶名称。

    • 要将文件共享关联到 Amazon Web Services 账户拥有的现有 S3 存储桶,而不是您用于创建文件共享的账户,请从下拉列表中选择其他账户中的存储桶,然后输入跨账户存储桶名称

    • 要将文件共享连接到新的 S3 存储桶,请选择创建新的 S3 存储桶,然后选择新存储桶的 Amazon S3 端点所在的区域,并输入唯一的 S3 存储桶名称。完成后,选择创建 S3 存储桶。有关创建新存储桶的更多信息,请参阅《Amazon S3 用户指南》中的如何创建 S3 存储桶?

    • 要使用接入点名称将文件共享连接到 S3 存储桶,请从下拉列表中选择 Amazon S3 接入点名称,然后输入接入点名称。如果需要创建新的接入点,可以选择创建 S3 接入点。有关详细说明,请参阅《Amazon S3 用户指南》中的创建接入点。有关接入点的更多信息,请参阅《Amazon S3 用户指南》中的使用 Amazon S3 接入点管理数据访问将访问控制委派到接入点

    • 要使用接入点别名将文件共享连接到 S3 存储桶,请从下拉列表中选择 Amazon S3 接入点别名,然后输入接入点别名。如果需要创建新的接入点,可以选择创建 S3 接入点。有关详细说明,请参阅《Amazon S3 用户指南》中的创建接入点。有关接入点别名的信息,请参阅《Amazon S3 用户指南》中的为接入点使用存储桶样式的别名

    注意

    每个文件共享只能连接到一个 S3 存储桶,但多个文件共享可连接到同一个存储桶。如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的 S3 存储桶前缀,以防止读/写冲突。

    S3 文件网关不支持存储桶名称中带有句点(.)的 Amazon S3 存储桶。

    确保您的存储桶名称符合 Amazon S3 中的存储桶命名规则。有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的存储桶命名规则

  8. (可选)对于 S3 存储桶前缀,输入文件共享的前缀,以应用于其在 Amazon S3 中创建的对象。前缀是在 S3 中组织数据的方式,类似于传统文件结构中的目录。有关更多信息,请参阅《Amazon S3 用户指南》中的使用前缀组织对象

    注意

    • 如果您将多个文件共享连接到同一个存储桶,则必须将每个文件共享配置为使用唯一的、不重叠的前缀,以防止读/写冲突。

    • 前缀必须以正斜杠(/)结尾。

    • 文件共享后,前缀无法修改或删除。

  9. 对于区域,从下拉列表中选择存储桶的 S3 端点所在的 AWS 区域 位置。仅当您在另一个账户中为 S3 存储桶指定接入点或存储桶时,才会显示此字段

  10. 对于新对象的存储类别,请从下拉列表中选择一个存储类别。有关存储类别的更多信息,请参阅使用文件网关的存储类别

  11. 对于 IAM 角色,请执行以下任一操作为您的文件共享配置 IAM 角色:

    • 要自动创建具有文件共享正常运行所需权限的新 IAM 角色,请从下拉列表中选择由 Storage Gateway 创建

    • 要使用现有 IAM 角色,从下拉列表中选择该角色。

    • 要创建新的 IAM 角色,请选择创建角色。有关进一步说明,请参阅《AWS Identity and Access Management 用户指南》中的创建向 AWS 服务委派权限的角色

    有关 IAM 角色如何控制文件共享和 S3 存储桶之间访问权限的更多信息,请参阅授予对 Amazon S3 存储桶的访问权限

  12. 对于私有链接,只有当您需要将文件共享配置为 AWS 使用虚拟私有云(VPC)中的私有端点与之通信时,才执行以下操作。否则,请跳过此步骤。有关更多信息,请参阅《AWS PrivateLink 指南》中的什么是 AWS PrivateLink?

    1. 选择使用 VPC 端点

    2. 对于通过下列方式识别 VPC 端点,请执行下列操作之一:

      • 选择 VPC 端点 ID,然后从 VPC 端点下拉列表中选择要使用的端点

      • 选择 DNS 名称,然后输入要使用的端点的 DNS 名称

  13. 对于加密,请选择文件共享将用于存储在 Amazon S3 中的数据的服务器端加密类型:

    • 要使用由 Amazon S3 托管的服务器端加密(SSE-S3),请选择 S3 托管密钥(SSE-S3)

      有关更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用 Amazon S3 托管密钥的服务器端加密

    • 要使用 AWS 密钥管理服务托管的服务器端加密(SSE-KMS),请选择 KMS 托管密钥(SSE-KMS)。对于主 KMS 密钥,请选择现有的 AWS KMS 密钥,或者选择创建新的 KMS 密钥以在 AWS 密钥管理服务(AWS KMS)控制台中创建新的 KMS 密钥。

      有关 AWS KMS 的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的什么是 AWS 密钥管理服务?

    • 要使用 AWS 密钥管理服务托管的双层服务器端加密(DSSE-KMS),请选择使用 AWS Key Management Service 密钥的双层服务器端加密(DSSE-KMS)。对于主 KMS 密钥,请选择现有的 AWS KMS 密钥,或者选择创建新的 KMS 密钥以在 AWS 密钥管理服务(AWS KMS)控制台中创建新的 KMS 密钥。

      有关 DSSE-KMS 的更多信息,请参阅《Amazon Simple Storage Service 用户指南》中的使用 AWS KMS 密钥的双层服务器端加密

      注意

      使用 DSSE-KMS 和 AWS KMS 密钥需要支付额外费用。有关更多信息,请参阅AWS KMS定价

      要指定具有未列出别名的 AWS KMS 密钥或使用来自其他 AWS 账户的 AWS KMS 密钥,您必须使用 AWS Command Line Interface。不支持非对称 KMS 密钥。有关更多信息,请参阅《AWS Storage Gateway API 参考》中的 CreateNFSFileShare

    重要

    确保您的文件共享使用的加密类型,与其数据存储到的 Amazon S3 存储桶使用的加密类型相同。

  14. 对于猜测 MIME 类型,请选择猜测介质 MIME 类型,以允许 Storage Gateway 根据上传对象的文件扩展名,来猜测上传对象的介质类型。

  15. 对于文件共享名称,输入文件共享的名称。

    注意

    有效的 NFS 文件共享名称只能包含以下字符:a-zA-Z0-9-._

  16. 对于上传事件,如果您希望网关在成功将文件上传到 Amazon S3 时记录 CloudWatch 日志事件,请选择在网关成功上传文件时记录事件。通知延迟控制最近的客户端写入操作与生成 ObjectUploaded 日志通知之间的最低延迟。由于客户端可以在短时间内对文件进行多次小规模写入,因此,建议将此参数设置为尽可能长的时间,以避免快速、连续地为同一文件生成多个通知。有关更多信息,请参阅获取文件上传通知

    注意

    此设置不会影响对象上传到 S3 的时序,仅影响通知的时序。

    此设置并非用于指定通知发送的确切时间。在某些情况下,网关可能需要超过指定的延迟时间来生成并发送通知。

    完成后,选择下一步

  18. 对于文件共享协议,请选择 NFS

  19. 对于客户端访问,请执行以下任一操作以指定哪些 NFS 客户端可以访问您的文件共享:

    • 要接受所有传入的客户端连接,请选择所有 NFS 客户端

    • 要仅接受来自特定 IP 地址的传入客户端连接,请选择特定 NFS 客户端,然后选择添加客户端。对于允许的客户端,指定接受连接的有效 IP 地址或 CIDR 数据块。如果需要指定其他 IP 地址,请选择添加另一个客户端

    注意

    建议使用特定 NFS 客户端选项配置对文件共享的访问限制。如果您未这样做,则您网络上的任何客户端均可挂载到您的文件共享。

  20. 对于访问类型,选择以下项之一:

    • 要允许客户端读取和写入文件共享上的文件,请选择读/写

    • 要允许客户端读取文件但不能写入文件共享,请选择只读

      注意

      对于在 Microsoft Windows 客户端上挂载的文件共享,如果您选择只读,则可能会看到有关某个意外错误阻止您创建文件夹的消息。您可以忽略此消息。

  21. 对于访问级别,请选择以下选项之一:

    • 根 squash (默认):远程超级用户(root 用户)的访问权限将映射到 UID(65534)和 GID(65534)。

    • 所有 squash:所有用户访问映射到用户 ID(UID)(65534)和组 ID(GID)(65534)。

    • 无根 squash:远程超级用户(根)以根用户身份接收访问权限。

  22. (可选)对于从 S3 自动刷新缓存,请选择设置缓存刷新间隔,然后使用存活时间(TTL)设置以分钟为单位刷新文件共享缓存的时间。TTL 指的是自上次刷新以来的时间长度。在 TTL 间隔过后,访问目录会使文件网关从 Amazon S3 存储桶刷新该目录的内容。

    注意

    在经常创建或删除大量 Amazon S3 对象的情况下,将此值设置为短于 30 分钟会对网关性能产生负面影响。

  23. 对于文件元数据默认值,如果您希望网关将文件元数据(包括 Unix 权限)应用于其在 S3 存储桶中发现的先前存在对象,请选择更改不是由您的网关创建或修改的 S3 对象的默认元数据。在相应字段中指定要应用的目录权限文件权限用户 ID组 ID

  24. 对于文件所有权和权限,如果您希望拥有 S3 存储桶的 AWS 账户完全控制您的文件共享写入存储桶的所有对象,请选择授予 S3 存储桶所有者对网关创建的文件的完全所有权,包括读取、写入、编辑和删除权限

    完成后,选择下一步

  25. 查看文件共享配置。选择编辑以修改您想要更改的任何部分的设置。完成后,选择创建

创建 NFS 文件共享后,您可以在 AWS Storage Gateway 控制台文件共享的详细信息选项卡上查看其配置设置。有关挂载文件共享的说明,请参阅在客户端上挂载 NFS 文件共享