View a markdown version of this page

对 S3 接入点问题进行故障排除 - FSx for ONTAP
S3 接入点处于配置错误的状态由于文件系统用户身份查询失败,S3 接入点创建失败由于未装入卷,S3 接入点创建失败。由于 SVM 上已禁用 S3 协议,S3 接入点创建失败文件系统无法处理 S3 请求使用自动创建的服务角色的默认 S3 接入点权限拒绝访问

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 S3 接入点问题进行故障排除

本节介绍从 S3 接入点访问 FSx 数据时遇到问题的症状、原因和解决方案。

S3 接入点处于配置错误的状态

由于以下原因,S3 接入点附件可能会转换到该MISCONFIGURED状态:

  • 无法解析文件系统标识-无法再在文件系统上解析与接入点关联的 UNIX 或 Windows 用户。如果用户已从名称服务(例如本地文件、LDAP 或 Active Directory)中移除,或者名称服务变得无法访问,则可能会发生这种情况。要解决这个问题,请确保用户存在并且可以在 SVM 上解析。有关更多信息,请参阅 由于文件系统用户身份查询失败,S3 接入点创建失败

  • 连接的卷处于脱机状态或已卸载 — 接入点所连接的卷处于脱机状态或已卸载(不再有接合路径)。要解决此问题,请将该卷重新联机或重新挂载。有关更多详细信息,请参阅 ONTAP 文档

Amazon FSx 会定期检查这些情况,并在潜在问题解决后自动将接入点返回AVAILABLE到该接入点。

由于文件系统用户身份查询失败,S3 接入点创建失败

创建和连接 S3 接入点时,FileSystemIdentity必须提供。您负责在 ONTAP 中配置提供的 UNIX 或 Windows 用户。

如果提供UnixUser了,则 ONTAP 必须能够将 UnixUser 名称映射到 UNIX UID/GIDs。ONTAP 使用名称服务交换机配置来确定如何执行此映射。

> vserver services name-service ns-switch show
Vserver         Database       Order
--------------- ------------   ---------
svm_1           hosts          files,
                               dns
svm_1           group          files,
                               ldap
svm_1           passwd         files,
                               ldap
svm_1           netgroup       nis,
                               files

请确保您在 UnixUser passwdgroup数据库中有使用有效来源(filesldap、等)的条目。可以使用vserver services name-service unix-uservserver services name-service unix-group命令配置files源。可以使用vserver services name-service ldap命令配置ldap源。

如果提供WindowsUser了,则 ONTAP 必须能够在加入的 Active Directory 域中找到该 WindowsUser 名称。

要确认提供的 UnixUser 或映射 WindowsUser 是否正确,fsxadmin可以使用以下命令(替换为 f -unix-user-name o -win-name r WindowsUsers):

> vserver services access-check authentication show-creds -node FsxId0fd48ff588b9d3eee-01 -vserver svm_name -unix-user-name root -show-partial-unix-creds true

成功输出示例:

 UNIX UID: root

 GID: daemon
 Supplementary GIDs:
  daemon

不成功的输出示例:

Error: Acquire UNIX credentials procedure failed
  [  2 ms] Entry for user-name: unmapped-user not found in the
           current source: FILES. Entry for user-name: unmapped-user
           not found in any of the available sources
**[     3] FAILURE: Unable to retrieve UID for UNIX user
**         unmapped-user

Error: command failed: Failed to resolve user name to a UNIX ID. Reason: "SecD Error: object not found".

不正确的用户映射可能会导致 S3 Access Denied 出现错误。请参阅下面的失败原因示例。

Entry for user-name not found in the current source: LDAP

如果您配置ns-switch为使用ldap源,请确保 ONTAP 已配置为正确使用您的 LDAP 服务器。有关更多信息 NetApp,请参阅配置 LDAP 的技术报告

RESULT_ERROR_DNS_CANT_REACH_SERVERRESULT_ERROR_SECD_IN_DISCOVERY

此错误表示 ONTAP 中虚拟服务器的 DNS 配置存在问题。运行以下命令以确保您的虚拟服务器的 DNS 配置正确:

> dns check -vserver svm_name

NT_STATUS_PENDING

此错误表示与域控制器通信时出现问题。根本原因可能是由于缺乏中小型企业积分。有关更多信息,请参阅 NetApp KB

由于未装入卷,S3 接入点创建失败。

对于已安装的 ONTAP 卷(具有接合路径),S3 接入点只能连接到 FSx。这也适用于 DP(数据保护)卷类型。有关更多信息,请参阅 ONTAP 卷装载文档

由于 SVM 上已禁用 S3 协议,S3 接入点创建失败

S3 接入点要求在存储虚拟机 (SVM) 上启用 S3 协议。要启用 S3 协议,请使用fsxadmin以下命令在 ONTAP CLI 中运行以下命令:

> vserver add-protocols -vserver svm_name -protocols s3

要验证协议是否已启用,请执行以下操作:

> vserver show -vserver svm_name -fields allowed-protocols,disallowed-protocols

文件系统无法处理 S3 请求

如果特定工作负载的 S3 请求量超过文件系统处理流量的容量,则可能会遇到 S3 请求错误(例如Internal Server Error503 Slow Down、和Service Unavailable)。您可以使用 Amazon CloudWatch 指标(例如和CPU utilization)主动监控文件系统的性能Network throughput utilization并发出警报。如果您发现性能下降,则可以通过增加文件系统的吞吐容量来解决此问题。

使用自动创建的服务角色的默认 S3 接入点权限拒绝访问

某些 S3-integrated AWS 服务将创建自定义服务角色并根据您的特定用例自定义附加权限。将您的 S3 接入点别名指定为 S3 资源时,这些附加的权限可能包括使用存储桶 ARN 格式(例如arn:aws:s3:::my-fsx-ap-foo7detztxouyjpwtu8krroppxytruse1a-ext-s3alias)而不是接入点 ARN 格式(例如)的接入点。arn:aws:s3:us-east-1:1234567890:accesspoint/my-fsx-ap要解决此问题,请修改策略以使用接入点的 ARN。