本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 存取 FSx for ONTAP 資料
您可以在 和內部部署環境中,使用各種支援的用戶端 AWS 雲端 和方法存取 Amazon FSx 檔案系統。
每個 SVM 都有四個端點,用於存取資料或使用 NetApp ONTAP CLI 或 REST API 管理 SVM:
+ `Nfs` – 使用網路檔案系統 (NFS) 通訊協定進行連線
+ `Smb` – 用於使用服務訊息區塊 (SMB) 通訊協定進行連線 (如果您的 SVM 已加入 Active Directory,或者您正在使用工作群組。)
+ `Iscsi` – 用於使用網際網路小型電腦系統界面 (iSCSI) 通訊協定進行連線,以取得共用區塊儲存支援。
+ `Nvme` – 用於透過 TCP/IP 使用非揮發性 Memory Express (NVMe) 進行連線,以支援共用區塊儲存。
+ `Management` – 使用 NetApp ONTAP CLI 或 API 或 NetApp 主控台管理 SVMs
**注意**
iSCSI 通訊協定適用於所有具有 6 個或更少[高可用性對 (HA) 對](HA-pairs.md)的檔案系統。NVMe/TCP 通訊協定適用於具有 6 個或更少 HA 對的第二代檔案系統。
**Topics**
+ [支援的用戶端](#supported-clients-fsx)
+ [使用區塊儲存協定](#using-block-storage)
+ [從 內存取資料 AWS 雲端](#access-environments)
+ [從內部部署存取資料](#accessing-data-from-on-premises)
+ [設定路由以從 VPC 外部存取多可用區域檔案系統](configuring-routing-using-AWSTG.md)
+ [設定路由以從內部部署存取多可用區域檔案系統](configure-routing-maz-on-prem.md)
+ [Linux 用戶端上的掛載磁碟區](attach-linux-client.md)
+ [在 Microsoft Windows 用戶端上掛載磁碟區](attach-windows-client.md)
+ [macOS 用戶端上的掛載磁碟區](attach-mac-client.md)
+ [佈建 Linux 的 iSCSI](mount-iscsi-luns-linux.md)
+ [佈建適用於 Windows 的 iSCSI](mount-iscsi-windows.md)
+ [佈建適用於 Linux 的 NVMe/TCP](provision-nvme-linux.md)
+ [透過 Amazon S3 存取點存取您的資料](accessing-data-via-s3-access-points.md)
+ [從其他 AWS 服務存取資料](using-fsx-with-other-AWS-services.md)
## 支援的用戶端
FSx for ONTAP 檔案系統支援從各種運算執行個體和作業系統存取資料。它透過支援使用網路檔案系統 (NFS) 通訊協定 (v3、v4.0、v4.1 和 v4.2)、伺服器訊息區塊 (SMB) 通訊協定的所有版本 (包括 2.0、3.0 和 3.1.1) 和網際網路小型電腦系統界面 (iSCSI) 通訊協定的存取來執行此操作。
**重要**
Amazon FSx 不支援從公有網際網路存取檔案系統。Amazon FSx 會自動分離任何彈性 IP 地址,這是可從網際網路連線的公有 IP 地址,該地址會連接到檔案系統的彈性網路界面。
下列 AWS 運算執行個體支援與 FSx for ONTAP 搭配使用:
+ 使用 NFS 或 SMB 支援、Microsoft Windows 和 MacOS 執行 Linux 的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如需詳細資訊,請參閱 [Linux 用戶端上的掛載磁碟區](attach-linux-client.md) [在 Microsoft Windows 用戶端上掛載磁碟區](attach-windows-client.md)、 和 [macOS 用戶端上的掛載磁碟區](attach-mac-client.md)。
+ Amazon EC2 Windows 和 Linux 執行個體上的 Amazon EC2) Docker 容器。如需詳細資訊,請參閱[搭配使用 Amazon Elastic Container Service 與 FSx for ONTAP](mount-ontap-ecs-containers.md)。
+ Amazon Elastic Kubernetes Service – 若要進一步了解,請參閱《[Amazon EKS 使用者指南》中的 Amazon FSx for NetApp ONTAP CSI 驅動程式](https://docs.aws.amazon.com/eks/latest/userguide/fsx-ontap.html)。 **
+ Red Hat OpenShift Service on AWS (ROSA) – 若要進一步了解,請參閱 AWS 《 使用者指南》中的[什麼是 Red Hat OpenShift Service on AWS?](https://docs.aws.amazon.com/ROSA/latest/userguide/what-is-rosa.html)。 OpenShift
+ Amazon WorkSpaces 執行個體。如需詳細資訊,請參閱[將 Amazon WorkSpaces 與 FSx for ONTAP 搭配使用](using-workspaces.md)。
+ Amazon AppStream 2.0 執行個體。
+ AWS Lambda – 如需詳細資訊,請參閱 AWS 部落格文章[使用 Amazon FSx 啟用無伺服器工作負載的 SMB 存取](https://aws.amazon.com/blogs/storage/enabling-smb-access-for-serverless-workloads/)。
+ 在 VMware Cloud on AWS 環境中執行的虛擬機器 (VMs)。如需詳細資訊,請參閱使用 [ Amazon FSx for NetApp ONTAP 部署指南,將 Amazon FSx for NetApp ONTAP 設定為外部儲存](https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-D55294A3-7C40-4AD8-80AA-B33A25769CCA.html?hWord=N4IghgNiBcIGYGcAeIC+Q)[和 VMware Cloud AWS FSx NetApp ](https://vmc.techzone.vmware.com/fsx-guide#overview)on。
掛載後,FSx for ONTAP 檔案系統會透過 NFS 和 SMB 顯示為本機目錄或磁碟機代號,提供全受管的共用網路檔案儲存體,最多可由數千個用戶端同時存取。透過 iSCSI 掛載時,iSCSI LUNS 可作為區塊型裝置存取。
## 使用區塊儲存協定
Amazon FSx for NetApp ONTAP 透過 TCP (NVMe/TCP) 區塊儲存通訊協定支援網際網路小型電腦系統界面 (iSCSI) 和非揮發性記憶體快速 (NVMe)。在儲存區域網路 (SAN) 環境中,儲存系統是具有儲存目標裝置的目標。對於 iSCSI,儲存目標裝置稱為邏輯單位 (LUNs)。對於 NVMe/TCP,儲存目標裝置稱為命名空間。
您可以使用 SVM 的 iSCSI 邏輯界面 (LIF) 來連線至 NVMe 和 iSCSI 區塊儲存。
您可以透過為 iSCSI 建立 LUNs,以及為 NVMe 建立命名空間來設定儲存體。然後,主機會使用 iSCSI 或 TCP 通訊協定存取 LUNs 和命名空間。
如需設定 iSCSI 和 NVMe/TCP 區塊儲存的詳細資訊,請參閱:
+ [佈建 Linux 的 iSCSI](mount-iscsi-luns-linux.md)
+ [佈建適用於 Windows 的 iSCSI](mount-iscsi-windows.md)
+ [佈建適用於 Linux 的 NVMe/TCP](provision-nvme-linux.md)
## 從 內存取資料 AWS 雲端
每個 Amazon FSx 檔案系統都與 Virtual Private Cloud (VPC) 相關聯。無論可用區域為何,您都可以從檔案系統 VPC 中的任何位置存取 FSx for ONTAP 檔案系統。您也可以從其他 VPCs 可以位於不同的 AWS 帳戶或 中 AWS 區域。除了以下各節所述存取 FSx for ONTAP 資源的要求之外,您也需要確保已設定檔案系統的 VPC 安全群組,以便資料和管理流量可在檔案系統和用戶端之間流動。如需使用所需連接埠設定安全群組的詳細資訊,請參閱 [Amazon VPC 安全群組](limit-access-security-groups.md#fsx-vpc-security-groups)。
### 從相同 VPC 內存取資料
當您建立 Amazon FSx for NetApp ONTAP 檔案系統時,請選取其所在的 Amazon VPC。與 Amazon FSx for NetApp ONTAP 檔案系統相關聯的所有 SVMs 和磁碟區也位於相同的 VPC 中。掛載磁碟區時,如果檔案系統和掛載磁碟區的用戶端位於相同的 VPC AWS 帳戶,而且您可以根據用戶端使用 SVM 的 DNS 名稱和磁碟區連接或 SMB 共用。
如果用戶端和磁碟區位於與檔案系統子網路相同的可用區域,或多可用區域檔案系統的偏好子網路中,您可以達到最佳效能。若要識別檔案系統的子網路或偏好的子網路,請在 Amazon FSx 主控台中選擇**檔案系統**,然後選擇您要掛載磁碟區的 ONTAP 檔案系統,子網路或偏好的子網路 (多可用區域) 會顯示在**子網路**或**偏好的子網路**面板中。
### 從部署 VPC 外部存取資料
本節說明如何從檔案系統部署 VPC 外部 AWS 的位置存取 FSx for ONTAP 檔案系統的端點。
#### 在多可用區域檔案系統上存取 NFS、SMB 和 ONTAP 管理端點
Amazon FSx for NetApp ONTAP 多可用區域檔案系統上的 NFS、SMB 和 ONTAP 管理端點使用浮動網際網路通訊協定 (IP) 地址,以便連線的用戶端在容錯移轉事件期間順暢地在偏好的和待命檔案伺服器之間轉換。如需容錯移轉的詳細資訊,請參閱 [FSx for ONTAP 的容錯移轉程序](high-availability-AZ.md#Failover)。
這些浮動 IP 地址會在您與您的檔案系統建立關聯的 VPC 路由表中建立,並且位於檔案系統的 或您於建立期間`EndpointIPv4AddressRange``EndpointIPv6AddressRange`指定的 內。端點 IP 地址範圍使用下列地址範圍,取決於檔案系統的建立方式:
+ 根據預設,使用 Amazon FSx 主控台或 Amazon FSx API 建立的多可用區域雙堆疊檔案系統會使用 Amazon FSx 從其中一個 VPC CIDR 範圍中選取的可用 /118 IP 地址範圍。您可以在相同的 VPC/路由表中部署檔案系統的重疊端點 IP 地址,只要它們不與任何子網路重疊即可。
+ 根據預設,使用 Amazon FSx 主控台建立的多可用區域 IPv4-only檔案系統會使用 VPC 主要 CIDR 範圍內的最後 64 個 IP 地址做為檔案系統的端點 IP 地址範圍。
根據預設,使用 AWS CLI 或 Amazon FSx API 建立的多可用IPv4-only 檔案系統會使用端點 IP 地址範圍內`198.19.0.0/16`的地址區塊內的 IP 地址範圍。
+ 對於任一網路類型,您也可以在使用**標準建立**選項時指定自己的 IP 地址範圍。您選擇的 IP 地址範圍可以在 VPC 的 IP 地址範圍內或之外,只要它不會與任何子網路重疊,而且只要另一個具有相同 VPC 和路由表的檔案系統尚未使用它。針對此選項,我們建議您使用 VPC IP 地址範圍內的範圍。
僅[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc)支援路由到浮動 IP 地址,也稱為被動對等互連。VPC 對等 Direct Connect互連, 和 Site-to-Site VPN 不支援傳輸對等互連。因此,您必須使用 Transit Gateway,才能從檔案系統 VPC 外部的網路存取這些介面。
下圖說明使用 Transit Gateway 進行 NFS、SMB 或管理存取多可用區域檔案系統,該檔案系統與存取它的用戶端位於不同的 VPC 中。
![\[\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/fsx-ontap-multi-az-access-transit-gateway.png)
**注意**
確定您使用的所有路由表都與您的多可用區域檔案系統相關聯。這樣做有助於防止容錯移轉期間無法使用。如需將 Amazon VPC 路由表與檔案系統建立關聯的資訊,請參閱 [更新檔案系統](updating-file-system.md)。
如需何時需要使用 Transit Gateway 存取 FSx for ONTAP 檔案系統的詳細資訊,請參閱 [何時需要 Transit Gateway?](#when-is-transit-gateway-required)。
Amazon FSx 會使用標籤型身分驗證來管理多可用區域檔案系統的 VPC 路由表。這些路由表會以 標記`Key: AmazonFSx; Value: ManagedByAmazonFSx`。使用 建立或更新 FSx for ONTAP 多可用區檔案系統時, CloudFormation 建議您手動新增`Key: AmazonFSx; Value: ManagedByAmazonFSx`標籤。
#### 存取適用於單一可用區檔案系統的 NFS、SMB 或 ONTAP CLI 和 API
用於透過 NFS 或 SMB 存取 FSx for ONTAP 單一可用區檔案系統的端點,以及用於使用 ONTAP CLI 或 REST API 管理檔案系統的端點,是作用中檔案伺服器的 ENI 上的次要 IP 地址。次要 IP 地址位於 VPC 的 CIDR 範圍內,因此用戶端可以使用 VPC 對等互連存取資料和管理連接埠 AWS Direct Connect,或者 Site-to-Site VPN 不需要 AWS Transit Gateway。
下圖說明將 Site-to-Site VPN 或 Direct Connect 用於 NFS、SMB 或管理存取單一可用區檔案系統,該系統與存取它的用戶端位於不同的 VPC 中。
![\[\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/fsx-ontap-single-az-access-vpc-peering.png)
#### 何時需要 Transit Gateway?
多可用區域檔案系統是否需要 Transit Gateway,取決於您用來存取檔案系統資料的方法。單一可用區檔案系統不需要 Transit Gateway。下表說明何時需要使用 AWS Transit Gateway 來存取多可用區域檔案系統。
| 資料存取 | 需要 Transit Gateway? |
| --- | --- |
| 透過 NFS、SMB 或 NetApp ONTAP REST API、CLI 或 存取 FSx NetApp Console | 僅在下列情況下: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/supported-fsx-clients.html) |
| 透過 iSCSI 存取資料 | 否 |
| 透過 NVMe 存取資料 | 否 |
| 將 SVM 加入 Active Directory | 否 |
| SnapMirror | 否 |
| FlexCache 快取 | 否 |
| 全域檔案快取 | 否 |
#### 在部署 VPC 外部存取 NVMe、iSCSI 和叢集間端點
您可以使用 VPC 對等互連或 從檔案系統的部署 VPC 外部 AWS Transit Gateway 存取檔案系統的 NVMe、iSCSI 和叢集間端點。您可以使用 VPC 對等互連,在 VPCs 之間路由 NVMe、iSCSI 和叢集間流量。VPC 對等互連是兩個 VPCs之間的網路連線,用於使用私有 IPv4 或 IPv6 地址路由它們之間的流量。您可以使用 VPC 對等互連來連接相同 AWS 區域 或不同 VPCs AWS 區域。如需 VPC 對等互連的詳細資訊,請參閱《*Amazon* [VPC 對等互連指南》中的什麼是 VPC 對等互連?](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html)。
## 從內部部署存取資料
您可以使用 [Site-to-Site VPN](https://aws.amazon.com/vpn/)和 從內部部署存取 FSx for ONTAP 檔案系統[Direct Connect](https://aws.amazon.com/getting-started/projects/connect-data-center-to-aws/);以下章節提供更具體的使用案例指導方針。除了下列從內部部署存取不同 FSx for ONTAP 資源的要求之外,您還需要確保檔案系統的 VPC 安全群組允許資料在您的檔案系統和用戶端之間流動;如需必要連接埠的清單,請參閱 [Amazon VPC 安全群組](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/limit-access-security-groups.html#fsx-vpc-security-groups)。
### 從內部部署存取 NFS、SMB 和 ONTAP CLI 和 REST API 端點
本節說明如何從內部部署網路存取 FSx for ONTAP 檔案系統的 NFS、SMB 和 ONTAP 管理連接埠。
#### 從內部部署存取異地同步備份檔案系統
Amazon FSx 要求您使用 AWS Transit Gateway 或 設定遠端 NetApp 全域檔案快取或 NetApp FlexCache,以從內部部署網路存取多可用區域檔案系統。為了支援異地同步備份檔案系統的跨可用區域容錯移轉,Amazon FSx 會將浮點數 IP 地址用於 NFS、SMB 和 ONTAP 管理端點的介面。
由於 NFS、SMB 和管理端點使用浮動 IP 地址,您必須[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc)搭配 AWS Direct Connect 或 使用 Site-to-Site VPN ,才能從內部部署網路存取這些介面。用於這些界面的浮動 IP 地址位於 內,`EndpointIPv4AddressRange`或`EndpointIPv6AddressRange`您在建立多可用區域檔案系統時指定的 內。端點 IP 地址範圍使用下列地址範圍,取決於檔案系統的建立方式:
+ 根據預設,使用 Amazon FSx 主控台或 Amazon FSx API 建立的多可用區域雙堆疊檔案系統會使用 Amazon FSx 從其中一個 VPC CIDR 範圍中選取的可用 /118 IP 地址範圍。您可以在相同的 VPC/路由表中部署檔案系統的重疊端點 IP 地址,只要它們不會與任何子網路重疊。
+ 根據預設,使用 Amazon FSx 主控台建立的多可用區域IPv4-only 檔案系統會使用 VPC 主要 CIDR 範圍中的最後 64 個 IP 地址,做為檔案系統的端點 IP 地址範圍。
根據預設,使用 AWS CLI 或 Amazon FSx API 建立IPv4-only 檔案系統會使用端點 IP 地址範圍內`198.19.0.0/16`的地址區塊內的 IP 地址範圍。
+ 對於任一網路類型,您也可以在使用**標準建立**選項時指定自己的 IP 地址範圍。您選擇的 IP 地址範圍可以在 VPC 的 IP 地址範圍內或之外,只要它未與任何子網路重疊,且只要另一個具有相同 VPC 和路由表的檔案系統尚未使用它。針對此選項,我們建議您使用 VPC IP 地址範圍內的範圍。
浮動 IP 地址用於在需要容錯移轉時,讓用戶端無縫轉換至待命檔案系統。如需詳細資訊,請參閱[FSx for ONTAP 的容錯移轉程序](high-availability-AZ.md#Failover)。
**重要**
若要使用 Transit Gateway 存取多可用區域檔案系統,每個 Transit Gateway 的附件都必須在子網路中建立,其路由表與您的檔案系統相關聯。
如需詳細資訊,請參閱[設定路由以從內部部署存取多可用區域檔案系統](configure-routing-maz-on-prem.md)。
#### 從內部部署存取單一可用區檔案系統
單一可用區檔案系統不存在使用 從內部部署網路 AWS Transit Gateway 存取資料的需求。單一可用區檔案系統部署在單一子網路中,不需要浮動 IP 地址,即可在節點之間提供容錯移轉。反之,您在單一可用區檔案系統上存取的 IP 地址會實作為檔案系統 VPC CIDR 範圍內的次要 IP 地址,可讓您從另一個網路存取資料,而不需要 AWS Transit Gateway。
### 從內部部署存取叢集間端點
FSx for ONTAP 的叢集間端點專用於複寫 NetApp ONTAP 檔案系統之間的流量,包括內部部署 NetApp 部署與 FSx for ONTAP。複寫流量包括不同檔案系統中儲存虛擬機器 (SVMs) 和磁碟區之間的 SnapMirror、FlexCache 和 FlexClone 關係,以及 NetApp 全域檔案快取。叢集間端點也用於 Active Directory 流量。
由於檔案系統的叢集間端點使用您在建立 FSx for ONTAP 檔案系統時所提供 VPC CIDR 範圍內的 IP 地址,因此您不需要使用 Transit Gateway 在內部部署和 之間路由叢集間流量 AWS 雲端。不過,現場部署用戶端仍必須使用 Site-to-Site VPN 或 Direct Connect 來建立與 VPC 的安全連線。
如需詳細資訊,請參閱[設定路由以從內部部署存取多可用區域檔案系統](configure-routing-maz-on-prem.md)。
# 設定路由以從 VPC 外部存取多可用區域檔案系統
如果您的多可用區域檔案系統具有 `EndpointIPv4AddressRange`或 `EndpointIPv6AddressRange`,且該系統超出 VPC 的 IP 地址範圍,則需要在 中設定額外的路由 AWS Transit Gateway ,才能從對等或內部部署網路存取您的檔案系統。
**重要**
若要使用 Transit Gateway 存取多可用區域檔案系統,每個 Transit Gateway 的附件都必須在子網路中建立,其路由表與您的檔案系統相關聯。
**注意**
端點 IP 地址範圍在 VPC IP 地址範圍內的單一可用區檔案系統或多可用區檔案系統,不需要額外的 Transit Gateway 組態。
**使用 設定路由 AWS Transit Gateway**
1. 開啟位於 https://[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 的 Amazon FSx 主控台。
1. 選擇您要設定從對等網路存取的 FSx for ONTAP 檔案系統。
1. 在**網路和安全**中複製端點 IP 地址範圍。
1. 新增路由至 Transit Gateway,將目的地為此 IP 地址範圍的流量路由至檔案系統的 VPC。如需詳細資訊,請參閱《Amazon VPC [Transit Gateways》中的使用](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html)傳輸閘道。 **
1. 確認您可以從對等網路存取 FSx for ONTAP 檔案系統。
若要將路由表新增至檔案系統,請參閱 [更新檔案系統](updating-file-system.md)。
**注意**
管理、NFS 和 SMB 端點的 DNS 記錄只能從與檔案系統相同的 VPC 內解析。若要掛載磁碟區或從另一個網路連線至管理連接埠,您需要使用端點的 IP 地址。這些 IP 地址不會隨著時間而變更。
# 設定路由以從內部部署存取多可用區域檔案系統
**AWS Transit Gateway 設定 從內部部署存取異地同步備份檔案系統**
如果您的異地同步備份檔案系統具有 `EndpointIPv4AddressRange`或 `EndpointIPv6AddressRange`,且該系統超出 VPC 的 CIDR 範圍,您需要在 中設定額外的路由 AWS Transit Gateway ,才能從對等或內部部署網路存取檔案系統。
**注意**
端點 IP 地址範圍在 VPC IP 地址範圍內的單一可用區檔案系統或多可用區檔案系統,不需要額外的 Transit Gateway 組態。
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 選擇您要設定從對等網路存取的 FSx for ONTAP 檔案系統。
1. 在**網路和安全**中複製**端點 IPv4 或 IPv6 地址範圍**。
1. 將路由新增至 Transit Gateway,將目的地為此 IP 地址範圍的流量路由至檔案系統的 VPC。如需詳細資訊,請參閱《Amazon VPC Transit Gateway 使用者指南[》中的使用傳輸](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html)閘道。 **
1. 確認您可以從對等網路存取 FSx for ONTAP 檔案系統。
**重要**
若要使用 Transit Gateway 存取多可用區域檔案系統,每個 Transit Gateway 的附件都必須在子網路中建立,其路由表與您的檔案系統相關聯。如果您有個別的 Transit Gateway 連接子網路,您還必須將這些子網路的路由表與 Amazon FSx 建立關聯,以便使用 Amazon FSx 端點地址進行更新。
若要將路由表新增至檔案系統,請參閱 [更新檔案系統](updating-file-system.md)。
# Linux 用戶端上的掛載磁碟區
我們建議您使用 Linux 用戶端掛載的磁碟區具有 的安全樣式設定`UNIX`。如需詳細資訊,請參閱[管理 ONTAP 磁碟區的 FSx](managing-volumes.md)。
**注意**
根據預設,適用於 ONTAP NFS 掛載的 FSx 是`hard`掛載。為了確保在發生時能順利進行容錯移轉,建議您使用預設`hard`掛載選項。
**在 Linux 用戶端上掛載 ONTAP 磁碟區**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 建立或選取執行 Amazon Linux 2 的 Amazon EC2 執行個體,該執行個體位於與檔案系統相同的 VPC 中。
如需啟動 EC2 Linux 執行個體的詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[步驟 1:啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance)。
1. 連線至 Amazon EC2 Linux 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。
1. 使用安全殼層 (SSH) 在 EC2 執行個體上開啟終端機,並使用適當的登入資料登入。
1. 在 EC2 執行個體上建立用於掛載 SVM 磁碟區的目錄,如下所示:
```
sudo mkdir /fsx
```
1. 使用以下命令將磁碟區掛載到您剛建立的目錄:
```
sudo mount -t nfs svm-dns-name:/volume-junction-path /fsx
```
下列範例使用範例值。
```
sudo mount -t nfs svm-01234567890abdef0.fs-01234567890abcdef1.fsx.us-east-1.amazonaws.com:/vol1 /fsx
```
您也可以使用 SVM 的 IP 地址,而不是其 DNS 名稱。建議使用 DNS 名稱將用戶端掛載到第二代檔案系統,因為它有助於確保您的用戶端在檔案系統的高可用性 (HA) 對之間取得平衡。
```
sudo mount -t nfs 198.51.100.1:/vol1 /fsx
```
**注意**
對於第二代檔案系統,平行 NFS (pNFS) 通訊協定預設為啟用,並預設用於 NFS v4.1 或更高版本的任何用戶端掛載磁碟區。
## 使用 /etc/fstab 在執行個體重新啟動時自動掛載
若要在 Amazon EC2 Linux 執行個體重新啟動時自動重新掛載 FSx for ONTAP 磁碟區,請使用 `/etc/fstab` 檔案。`/etc/fstab` 檔案包含檔案系統的資訊,在執行個體啟動期間執行`mount -a`的命令 會掛載 中列出的檔案系統`/etc/fstab`。
**注意**
FSx for ONTAP 檔案系統不支援在 Amazon EC2 Mac 執行個體`/etc/fstab`上使用 自動掛載。
**注意**
在更新 EC2 執行個體`/etc/fstab`的檔案之前,請確定您已建立 FSx for ONTAP 檔案系統。如需詳細資訊,請參閱[建立檔案系統](creating-file-systems.md)。
**更新 EC2 執行個體上的 /etc/fstab 檔案**
1. 連線到您的 EC2 執行個體:
+ 若要從執行 macOS 或 Linux 的電腦連接至您的執行個體,請指定 SSH 命令的 .pem 檔案。為此,您必須使用 `-i` 選項和私密金鑰路徑。
+ 若要從執行 Windows 的電腦連線至執行個體,您可以使用 MindTerm 或 PuTTY。您需要安裝 PuTTY 並將 .pem 檔案轉換為 .ppk 檔案,才可以使用該程式。
如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的下列主題:
+ [使用 SSH 連接至您的 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)
+ [使用 PuTTY 從 Windows 連接至您的 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)
1. 建立用於掛載 SVM 磁碟區的本機目錄。
```
sudo mkdir /fsx
```
1. 在您選擇的編輯器中開啟 `/etc/fstab` 檔案。
1. 為 `/etc/fstab` 檔案新增下行。在每個參數之間插入標籤字元。它應該顯示為一行,沒有換行符號。
```
svm-dns-name:volume-junction-path /fsx nfs nfsvers=version,defaults 0 0
```
您也可以使用磁碟區 SVM 的 IP 地址。最後三個參數表示 NFS 選項 (我們設定為預設)、檔案系統和檔案系統檢查的傾印 (通常不會使用這些參數,因此我們將其設定為 0)。
1. 儲存對檔案所做的變更。
1. 現在使用以下命令掛載檔案共享。系統下次啟動時,會自動掛載 資料夾。
```
sudo mount /fsx
sudo mount svm-dns-name:volume-junction-path
```
您的 EC2 執行個體現在已設定為在重新啟動時掛載 ONTAP 磁碟區。
# 在 Microsoft Windows 用戶端上掛載磁碟區
本節說明如何使用執行 Microsoft Windows 作業系統的用戶端存取 FSx for ONTAP 檔案系統中的資料。無論您使用的用戶端類型為何,請檢閱下列需求。
此程序假設用戶端和檔案系統位於相同的 VPC 和 中 AWS 帳戶。如果用戶端位於內部部署或不同的 VPC AWS 帳戶、 或 中 AWS 區域,此程序也會假設您已使用 AWS Transit Gateway 或使用 的私有安全通道來設定 AWS Direct Connect 或專用網路連線 AWS Virtual Private Network。如需詳細資訊,請參閱[從部署 VPC 外部存取資料](supported-fsx-clients.md#access-from-outside-deployment-vpc)。
我們建議您使用 SMB 通訊協定將磁碟區連接至 Windows 用戶端。
## 先決條件
若要使用 Microsoft Windows 用戶端存取 ONTAP 儲存磁碟區,您必須滿足下列先決條件:
+ 您要連接之磁碟區的 SVM 必須加入組織的 Active Directory,或者您必須使用工作群組。如需將 SVM 加入 Active Directory 的詳細資訊,請參閱 [管理 FSx for ONTAP 儲存虛擬機器](managing-svms.md)。如需使用工作群組的詳細資訊,請參閱 [在工作群組中設定 SMB 伺服器](smb-server-workgroup-setup.md)。
+ 您要連接的磁碟區應具有 的安全樣式設定`NTFS`。如需詳細資訊,請參閱[磁碟區安全樣式](managing-volumes.md#volume-security-style)。
**使用 SMB 和 Active Directory 在 Windows 用戶端上掛載磁碟區**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 建立或選取執行 Microsoft Windows 的 Amazon EC2 執行個體,該執行個體位於與檔案系統相同的 VPC 中,並加入與磁碟區 SVM 相同的 Microsoft Active Directory。
如需啟動執行個體的詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[步驟 1:啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-launch-instance)。
如需將 SVM 加入 Active Directory 的詳細資訊,請參閱 [管理 FSx for ONTAP 儲存虛擬機器](managing-svms.md)。
1. 連線至 Amazon EC2 Windows 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南》中的*[連線至 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html)。
1. 開啟命令提示。
1. 執行下列命令。取代以下項目:
+ `Z:` 以任何可用的磁碟機代號取代 。
+ `DNS_NAME` 將 取代為磁碟區 SVM 的 SMB 端點的 DNS 名稱或 IP 地址。
+ `SHARE_NAME` 以 SMB 共用的名稱取代 。 `C$`是 SVM 命名空間根目錄的預設 SMB 共用,但您不應將其掛載為 ,因為 會公開儲存體給根磁碟區,並可能導致安全性和服務中斷。您應該提供要掛載的 SMB 共用名稱,而不是 `C$`。如需建立 SMB 共用的詳細資訊,請參閱 [管理 SMB 共用](create-smb-shares.md)。
```
net use Z: \\DNS_NAME\SHARE_NAME
```
下列範例使用範例值。
```
net use Z: \\corp.example.com\group_share
```
您也可以使用 SVM 的 IP 地址,而不是其 DNS 名稱。建議使用 DNS 名稱將用戶端掛載到第二代檔案系統,因為它有助於確保您的用戶端在檔案系統的高可用性 (HA) 對之間取得平衡。
```
net use Z: \\198.51.100.5\group_share
```
# macOS 用戶端上的掛載磁碟區
本節說明如何使用執行 macOS 作業系統的用戶端存取 FSx for ONTAP 檔案系統中的資料。無論您使用的用戶端類型為何,請檢閱下列需求。
此程序假設用戶端和檔案系統位於相同的 VPC 和 中 AWS 帳戶。如果用戶端位於內部部署,或位於不同的 VPC 中 AWS 帳戶 AWS 區域,或者您已使用 AWS Transit Gateway 或使用 的私有安全通道來設定 AWS Direct Connect 或專用網路連線 AWS Virtual Private Network。如需詳細資訊,請參閱[從部署 VPC 外部存取資料](supported-fsx-clients.md#access-from-outside-deployment-vpc)。
我們建議您使用 SMB 通訊協定將磁碟區連接至 Mac 用戶端。
**使用 SMB 在 macOS 用戶端上掛載 ONTAP 磁碟區**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 建立或選取執行與檔案系統位於相同 VPC 中之 macOS 的 Amazon EC2 Mac 執行個體。
如需啟動執行個體的詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[步驟 1:啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html#mac-instance-launch)。
1. 連線至 Amazon EC2 Mac 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。
1. 使用安全殼層 (SSH) 在 EC2 執行個體上開啟終端機,並使用適當的登入資料登入。
1. 在 EC2 執行個體上建立掛載磁碟區的目錄,如下所示:
```
sudo mkdir /fsx
```
1. 使用以下命令掛載磁碟區。
```
sudo mount -t smbfs filesystem-dns-name:/smb-share-name mount-point
```
下列範例使用範例值。
```
sudo mount -t smbfs svm-01234567890abcde2.fs-01234567890abcde5.fsx.us-east-1.amazonaws.com:/C$ /fsx
```
您也可以使用 SVM 的 IP 地址,而不是其 DNS 名稱。建議使用 DNS 名稱將用戶端掛載到第二代檔案系統,因為它有助於確保您的用戶端在檔案系統的高可用性 (HA) 對之間取得平衡。
```
sudo mount -t smbfs 198.51.100.10:/C$ /fsx
```
`C$` 是您可以掛載的預設 SMB 共用,以查看 SVM 命名空間的根。如果您已在 SVM 中建立任何伺服器訊息區塊 (SMB) 共用,請提供 SMB 共用名稱,而非 `C$`。如需建立 SMB 共用的詳細資訊,請參閱 [管理 SMB 共用](create-smb-shares.md)。
**使用 NFS 在 macOS 用戶端上掛載 ONTAP 磁碟區**
1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。
1. 建立或選取執行 Amazon Linux 2 的 Amazon EC2 執行個體,該執行個體位於與檔案系統相同的 VPC 中。
如需啟動 EC2 Linux 執行個體的詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[步驟 1:啟動執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance)。
1. 連線至 Amazon EC2 Linux 執行個體。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)。
1. 在執行個體啟動期間使用使用者資料指令碼,或執行下列命令,在 Linux EC2 執行個體上掛載 FSx for ONTAP 磁碟區:
```
sudo mount -t nfs -o nfsvers=NFS_version svm-dns-name:/volume-junction-path /mount-point
```
下列範例使用範例值。
```
sudo mount -t nfs -o nfsvers=4.1 svm-01234567890abdef0.fs-01234567890abcdef1.fsx.us-east-1.amazonaws.com:/vol1 /fsxontap
```
您也可以使用 SVM 的 IP 地址,而不是其 DNS 名稱。我們建議您使用 DNS 名稱將用戶端掛載到第二代檔案系統,因為它有助於確保您的用戶端在檔案系統的 HA 對之間取得平衡。
```
sudo mount -t nfs -o nfsvers=4.1 198.51.100.1:/vol1 /fsxontap
```
1. 使用以下命令將磁碟區掛載到您剛建立的目錄。
```
sudo mount -t nfs svm-dns-name:/volume-junction-path /fsx
```
下列範例使用範例值。
```
sudo mount -t nfs svm-01234567890abdef0.fs-01234567890abcdef1.fsx.us-east-1.amazonaws.com:/vol1 /fsx
```
您也可以使用 SVM 的 IP 地址,而不是其 DNS 名稱。建議使用 DNS 名稱將用戶端掛載到第二代檔案系統,因為它有助於確保您的用戶端在檔案系統的高可用性 (HA) 對之間取得平衡。
```
sudo mount -t nfs 198.51.100.1:/vol1 /fsx
```
# 佈建 Linux 的 iSCSI
FSx for ONTAP 支援 iSCSI 通訊協定。您需要同時在 Linux 用戶端和檔案系統上佈建 iSCSI,才能使用 iSCSI 通訊協定在用戶端和檔案系統之間傳輸資料。iSCSI 通訊協定可用於具有 6 個或更少[高可用性 (HA) 對](HA-pairs.md)的所有檔案系統。
在 Amazon FSx for NetApp ONTAP 上設定 iSCSI 有三個主要步驟,涵蓋於下列程序:
1. 在 Linux 主機上安裝和設定 iSCSI 用戶端。
1. 在檔案系統的 SVM 上設定 iSCSI。
+ 建立 iSCSI 啟動器群組。
+ 將啟動器群組對應至 LUN。
1. 在 Linux 用戶端上安裝 iSCSI LUN。
## 開始之前
在開始設定 iSCSI 檔案系統的程序之前,您需要完成下列項目。
+ 建立適用於 ONTAP 檔案系統的 FSx。如需詳細資訊,請參閱[建立檔案系統](creating-file-systems.md)。
+ 在檔案系統上建立 iSCSI LUN。如需詳細資訊,請參閱[建立 iSCSI LUN](create-iscsi-lun.md)。
+ 在與檔案系統相同的 VPC 中建立執行 Amazon Linux 2 Amazon Machine Image (AMI) 的 EC2 執行個體。這是您要設定 iSCSI 並存取檔案資料的 Linux 主機。
除了這些程序的範圍之外,如果主機位於另一個 VPC 中,您可以使用 VPC 對等互連 AWS Transit Gateway ,或授予其他 VPCs存取磁碟區的 iSCSI 端點。如需詳細資訊,請參閱[從部署 VPC 外部存取資料](supported-fsx-clients.md#access-from-outside-deployment-vpc)。
+ 設定 Linux 主機的 VPC 安全群組,以允許傳入和傳出流量,如 中所述[使用 Amazon VPC 的檔案系統存取控制](limit-access-security-groups.md)。
+ 取得具有您將用來存取 CLI ONTAP 之`fsxadmin`權限ONTAP的使用者登入資料。如需詳細資訊,請參閱[ONTAP 角色和使用者](roles-and-users.md)。
+ 您將為 iSCSI 設定的 Linux 主機,以及用於存取 FSx for ONTAP 檔案系統的 Linux 主機位於相同的 VPC 和 中 AWS 帳戶。
+ 我們建議 EC2 執行個體與您檔案系統偏好的子網路位於相同的可用區域,如下圖所示。
![\[顯示 Amazon FSx for NetApp ONTAP 檔案系統,其 iSCSI LUN 和 Amazon EC2 執行個體位於與檔案系統偏好子網路相同的可用區域中。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/fsx-ontap-iscsi-mnt-client.png)
如果您的 EC2 執行個體執行與 Amazon Linux 2 不同的 Linux AMI,則可能已安裝這些程序和範例中使用的一些公用程式,而且您可以使用不同的命令來安裝必要的套件。除了安裝套件之外,本節中使用的命令對其他 EC2 Linux AMIs 有效。
**Topics**
+ [開始之前](#iscsi-linux-byb)
+ [在 Linux 主機上安裝和設定 iSCSI](#configure-iscsi-on-linux-client)
+ [在 FSx for ONTAP 檔案系統上設定 iSCSI](#configure-iscsi-on-fsx-ontap)
+ [在 Linux 用戶端上安裝 iSCSI LUN](#mount-iscsi-lun-on-linux-client)
## 在 Linux 主機上安裝和設定 iSCSI
**安裝 iSCSI 用戶端**
1. 確認您的 Linux 裝置已安裝 `device-mapper-multipath` `iscsi-initiator-utils`和 。使用 SSH 用戶端連線至 Linux 執行個體。如需詳細資訊,請參閱[使用 SSH 連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html)。
1. 使用下列命令安裝 `multipath`和 iSCSI 用戶端。如果您想要在檔案伺服器之間自動容錯移轉,`multipath`則需要安裝 。
```
~$ sudo yum install -y device-mapper-multipath iscsi-initiator-utils
```
1. 若要在使用 時,在檔案伺服器之間自動容錯移轉時加快回應速度`multipath`,請將`/etc/iscsi/iscsid.conf`檔案中的替代逾時值設定為 值,`5`而不是使用 的預設值`120`。
```
~$ sudo sed -i 's/node.session.timeo.replacement_timeout = .*/node.session.timeo.replacement_timeout = 5/' /etc/iscsi/iscsid.conf; sudo cat /etc/iscsi/iscsid.conf | grep node.session.timeo.replacement_timeout
```
1. 啟動 iSCSI 服務。
```
~$ sudo service iscsid start
```
請注意,根據您的 Linux 版本,您可能需要改用此命令:
```
~$ sudo systemctl start iscsid
```
1. 使用以下命令確認服務正在執行。
```
~$ sudo systemctl status iscsid.service
```
系統會以下列輸出回應:
```
iscsid.service - Open-iSCSI
Loaded: loaded (/usr/lib/systemd/system/iscsid.service; disabled; vendor preset: disabled)
Active: active (running) since Fri 2021-09-02 00:00:00 UTC; 1min ago
Docs: man:iscsid(8)
man:iscsiadm(8)
Process: 14658 ExecStart=/usr/sbin/iscsid (code=exited, status=0/SUCCESS)
Main PID: 14660 (iscsid)
CGroup: /system.slice/iscsid.service
├─14659 /usr/sbin/iscsid
└─14660 /usr/sbin/iscsid
```
**在 Linux 用戶端上設定 iSCSI**
1. 若要讓用戶端在您的檔案伺服器之間自動容錯移轉,您必須設定多路徑。使用下列命令:
```
~$ sudo mpathconf --enable --with_multipathd y
```
1. 使用以下命令判斷 Linux 主機的啟動者名稱。啟動器名稱的位置取決於您的 iSCSI 公用程式。如果您使用的是 `iscsi-initiator-utils`,則啟動器名稱位於 檔案 中`/etc/iscsi/initiatorname.iscsi`。
```
~$ sudo cat /etc/iscsi/initiatorname.iscsi
```
系統會以啟動者名稱回應。
```
InitiatorName=iqn.1994-05.com.redhat:abcdef12345
```
## 在 FSx for ONTAP 檔案系統上設定 iSCSI
1. 使用下列命令,連線到您建立 iSCSI LUN 之 FSx for ONTAP 檔案系統的 NetApp ONTAP CLI。如需詳細資訊,請參閱[使用 NetApp ONTAP CLI](managing-resources-ontap-apps.md#netapp-ontap-cli)。
```
~$ ssh fsxadmin@your_management_endpoint_ip
```
1. 使用 NetApp ONTAP CLI [https://docs.netapp.com/us-en/ontap-cli-9111/lun-igroup-create.html](https://docs.netapp.com/us-en/ontap-cli-9111/lun-igroup-create.html)命令建立啟動器群組 (`igroup`)。啟動器群組會映射至 iSCSI LUNs並控制哪些啟動器 (用戶端) 可存取 LUNs。`host_initiator_name` 將 取代為您在先前程序中擷取的 Linux 主機的啟動器名稱。
```
::> lun igroup create -vserver svm_name -igroup igroup_name -initiator host_initiator_name -protocol iscsi -ostype linux
```
如果您想要將對應至此 igroup LUNs 提供給多個主機,您可以指定多個以逗號分隔的啟動者名稱。如需詳細資訊,請參閱 *NetApp ONTAP 文件中心*中的 [ lun igroup 建立](https://docs.netapp.com/us-en/ontap-cli-9111/lun-igroup-create.html)。
1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9111/lun-igroup-show.html](https://docs.netapp.com/us-en/ontap-cli-9111/lun-igroup-show.html)命令確認 `igroup` 存在:
```
::> lun igroup show
```
系統會以下列輸出回應:
```
Vserver Igroup Protocol OS Type Initiators
--------- ------------ -------- -------- ------------------------------------
svm_name igroup_name iscsi linux iqn.1994-05.com.redhat:abcdef12345
```
1. 此步驟假設您已建立 iSCSI LUN。如果尚未執行,請參閱 [建立 iSCSI LUN](create-iscsi-lun.md) 以取得執行此作業step-by-step說明。
使用 從您建立的 LUN 建立對應到您建立的 igroup[https://docs.netapp.com/us-en/ontap-cli-9111/lun-mapping-create.html](https://docs.netapp.com/us-en/ontap-cli-9111/lun-mapping-create.html),並指定下列屬性:
+ `svm_name` – 提供 iSCSI 目標的儲存虛擬機器名稱。主機使用此值來到達 LUN。
+ `vol_name` – 託管 LUN 的磁碟區名稱。
+ `lun_name` – 您指派給 LUN 的名稱。
+ `igroup_name` – 啟動器群組的名稱。
+ `lun_id` – LUN ID 整數專屬於映射,而非 LUN 本身。這由 igroup 中的啟動器用作邏輯單位編號,在存取儲存體時,會為啟動器使用此值。
```
::> lun mapping create -vserver svm_name -path /vol/vol_name/lun_name -igroup igroup_name -lun-id lun_id
```
1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9111/lun-show.html](https://docs.netapp.com/us-en/ontap-cli-9111/lun-show.html)命令來確認 LUN 已建立、上線和映射。
```
::> lun show -path /vol/vol_name/lun_name -fields state,mapped,serial-hex
```
系統會以下列輸出回應:
```
Vserver Path serial-hex state mapped
--------- ------------------------------- ------------------------ -------- --------
svm_name /vol/vol_name/lun_name 6c5742314e5d52766e796150 online mapped
```
儲存`serial_hex`值 (在此範例中為 `6c5742314e5d52766e796150`),您將在後續步驟中使用它來為區塊型裝置建立易記的名稱。
1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9111/network-interface-show.html](https://docs.netapp.com/us-en/ontap-cli-9111/network-interface-show.html)命令來擷取您已建立 iSCSI LUN 之 SVM 的 `iscsi_1`和 `iscsi_2` 介面地址。
```
::> network interface show -vserver svm_name
```
系統會以下列輸出回應:
```
Logical Status Network Current Current Is
Vserver Interface Admin/Oper Address/Mask Node Port Home
----------- ---------- ---------- ------------------ ------------- ------- ----
svm_name
iscsi_1 up/up 172.31.0.143/20 FSxId0123456789abcdef8-01 e0e true
iscsi_2 up/up 172.31.21.81/20 FSxId0123456789abcdef8-02 e0e true
nfs_smb_management_1
up/up 198.19.250.177/20 FSxId0123456789abcdef8-01 e0e true
3 entries were displayed.
```
在此範例中, 的 IP 地址`iscsi_1`為 `172.31.0.143`,而 `iscsi_2`為 `172.31.21.81`。
## 在 Linux 用戶端上安裝 iSCSI LUN
在 Linux 用戶端上安裝 iSCSI LUN 的程序包含三個步驟:
1. 探索目標 iSCSI 節點
1. 分割 iSCSI LUN
1. 在用戶端上安裝 iSCSI LUN
下列程序涵蓋這些項目。
**探索目標 iSCSI 節點**
1. 在 Linux 用戶端上,使用下列命令,使用 `iscsi_1`的 IP 地址 *iscsi\$11\$1IP* 探索目標 iSCSI 節點。
```
~$ sudo iscsiadm --mode discovery --op update --type sendtargets --portal iscsi_1_IP
```
```
172.31.0.143:3260,1029 iqn.1992-08.com.netapp:sn.9cfa2c41207a11ecac390182c38bc256:vs.3
172.31.21.81:3260,1028 iqn.1992-08.com.netapp:sn.9cfa2c41207a11ecac390182c38bc256:vs.3
```
在此範例中, `iqn.1992-08.com.netapp:sn.9cfa2c41207a11ecac390182c38bc256:vs.3`會對應至偏好可用區域中 `target_initiator` iSCSI LUN 的 。
1. (選用) 若要將高於 Amazon EC2 單一用戶端最高 5 Gbps (\$1625 MBps) 的輸送量驅動到您的 iSCSI LUN,請遵循適用於 Linux [執行個體的 Amazon Elastic Compute Cloud 使用者指南中所述的 Amazon EC2 執行個體網路頻寬](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-network-bandwidth.html)程序,以建立額外的工作階段以提高輸送量。
下列命令會在每個可用區域中為每個 ONTAP 節點建立每個啟動器 8 個工作階段,讓用戶端能夠驅動高達 40 Gbps (5,000 MBps) 的彙總輸送量至 iSCSI LUN。
```
~$ sudo iscsiadm --mode node -T target_initiator --op update -n node.session.nr_sessions -v 8
```
1. 登入目標啟動器。您的 iSCSI LUNs會顯示為可用的磁碟。
```
~$ sudo iscsiadm --mode node -T target_initiator --login
```
```
Logging in to [iface: default, target: iqn.1992-08.com.netapp:sn.9cfa2c41207a11ecac390182c38bc256:vs.3, portal: 172.31.14.66,3260] (multiple)
Login to [iface: default, target: iqn.1992-08.com.netapp:sn.9cfa2c41207a11ecac390182c38bc256:vs.3, portal: 172.31.14.66,3260] successful.
```
上述輸出已截斷;您應該會在每個檔案伺服器上看到每個工作階段`Logging in`的一個`Login successful`回應。如果每個節點有 4 個工作階段,將會有 8 個`Logging in`和 8 個`Login successful`回應。
1. 使用下列命令,透過顯示具有多個政策的單一 LUN 來驗證 `dm-multipath` 是否已識別和合併 iSCSI 工作階段。應該有相同數量的裝置,列出為 `active`,而列出為 `enabled`。
```
~$ sudo multipath -ll
```
在輸出中,磁碟名稱的格式為 `dm-xyz`,其中 `xyz`是整數。如果沒有其他多路徑磁碟,則此值為 `dm-0`。
```
3600a09806c5742314e5d52766e79614f dm-xyz NETAPP ,LUN C-Mode
size=10G features='4 queue_if_no_path pg_init_retries 50 retain_attached_hw_handle' hwhandler='0' wp=rw
|-+- policy='service-time 0' prio=50 status=active
| |- 0:0:0:1 sda 8:0 active ready running
| |- 1:0:0:1 sdc 8:32 active ready running
| |- 3:0:0:1 sdg 8:96 active ready running
| `- 4:0:0:1 sdh 8:112 active ready running
`-+- policy='service-time 0' prio=10 status=enabled
|- 2:0:0:1 sdb 8:16 active ready running
|- 7:0:0:1 sdf 8:80 active ready running
|- 6:0:0:1 sde 8:64 active ready running
`- 5:0:0:1 sdd 8:48 active ready running
```
您的區塊裝置現在已連線至您的 Linux 用戶端。它位於路徑 下`/dev/dm-xyz`。您不應將此路徑用於管理用途;而是使用路徑 下的符號連結`/dev/mapper/wwid`,其中 `wwid` 是 LUN 的唯一識別符,在各裝置之間保持一致。在下一個步驟中,您將為 提供易記的名稱`wwid`,以便與其他多路徑磁碟區區別。
**為區塊裝置指派易記的名稱**
1. 若要為裝置提供易記的名稱,請在 `/etc/multipath.conf` 檔案中建立別名。若要執行此作業,請使用您偏好的文字編輯器將下列項目新增至 檔案,取代下列預留位置:
+ `serial_hex` 將 取代為您在[在 FSx for ONTAP 檔案系統上設定 iSCSI](#configure-iscsi-on-fsx-ontap)程序中儲存的值。
+ 將 字首`3600a0980`新增至 `serial_hex`值,如範例所示。這是 Amazon FSx for NetApp ONTAP 使用的 NetApp ONTAP 分佈的唯一前導詞。
+ `device_name` 將 取代為您想要用於裝置的易記名稱。
```
multipaths {
multipath {
wwid 3600a0980serial_hex
alias device_name
}
}
```
或者,您可以將下列指令碼複製並儲存為 bash 檔案,例如 `multipath_alias.sh`。您可以使用 sudo 權限執行指令碼,將 `serial_hex`(不含 3600a0980 字首) 和 取代`device_name`為各自的序號和所需的易記名稱。此指令碼會在 `/etc/multipath.conf` 檔案中搜尋未註解的`multipaths`區段。如果存在項目,它會將`multipath`項目附加到該區段;否則,它會為區塊裝置建立一個具有`multipath`項目的新`multipaths`區段。
```
#!/bin/bash
SN=serial_hex
ALIAS=device_name
CONF=/etc/multipath.conf
grep -q '^multipaths {' $CONF
UNCOMMENTED=$?
if [ $UNCOMMENTED -eq 0 ]
then
sed -i '/^multipaths {/a\\tmultipath {\n\t\twwid 3600a0980'"${SN}"'\n\t\talias '"${ALIAS}"'\n\t}\n' $CONF
else
printf "multipaths {\n\tmultipath {\n\t\twwid 3600a0980$SN\n\t\talias $ALIAS\n\t}\n}" >> $CONF
fi
```
1. 重新啟動 `multipathd`服務,以使變更`/etc/multipathd.conf`生效。
```
~$ systemctl restart multipathd.service
```
**分割 LUN**
下一個步驟是使用 格式化和分割 LUN`fdisk`。
1. 使用以下命令來驗證 的路徑`device_name`是否存在。
```
~$ ls /dev/mapper/device_name
```
```
/dev/device_name
```
1. 使用 分割磁碟`fdisk`。您將輸入互動式提示。依顯示的順序輸入選項。您可以使用小於最後一個扇區的值來建立多個分割區 (`20971519`在此範例中為 )。
**注意**
`Last sector` 值會根據 iSCSI LUN 的大小 (在此範例中為 10GB) 而有所不同。
```
~$ sudo fdisk /dev/mapper/device_name
```
`fsdisk` 互動式提示隨即啟動。
```
Welcome to fdisk (util-linux 2.30.2).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.
Device does not contain a recognized partition table.
Created a new DOS disklabel with disk identifier 0x66595cb0.
Command (m for help): n
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): p
Partition number (1-4, default 1): 1
First sector (2048-20971519, default 2048): 2048
Last sector, +sectors or +size{K,M,G,T,P} (2048-20971519, default 20971519): 20971519
Created a new partition 1 of type 'Linux' and of size 512 B.
Command (m for help): w
The partition table has been altered.
Calling ioctl() to re-read partition table.
Syncing disks.
```
進入 後`w`,您的新分割區`/dev/mapper/partition_name`就會變成可用。*partition\$1name* 的格式為 ****。 `1` 做為上一個步驟中`fdisk`命令中使用的分割區編號。
1. 使用 `/dev/mapper/partition_name`作為路徑來建立檔案系統。
```
~$ sudo mkfs.ext4 /dev/mapper/partition_name
```
系統會以下列輸出回應:
```
mke2fs 1.42.9 (28-Dec-2013)
Discarding device blocks: done
Filesystem label=
OS type: Linux
Block size=4096 (log=2)
Fragment size=4096 (log=2)
Stride=0 blocks, Stripe width=16 blocks
655360 inodes, 2621184 blocks
131059 blocks (5.00%) reserved for the super user
First data block=0
Maximum filesystem blocks=2151677952
80 block groups
32768 blocks per group, 32768 fragments per group
8192 inodes per group
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632
Allocating group tables: done
Writing inode tables: done
Creating journal (32768 blocks): done
Writing superblocks and filesystem accounting information: done
```
**在 Linux 用戶端上掛載 LUN**
1. 建立 directory *directory\$1path* 做為檔案系統的掛載點。
```
~$ sudo mkdir /directory_path/mount_point
```
1. 使用以下命令掛載檔案系統。
```
~$ sudo mount -t ext4 /dev/mapper/partition_name /directory_path/mount_point
```
1. (選用) 如果您想要提供掛載目錄的特定使用者所有權,*`username`*請以擁有者的使用者名稱取代 。
```
~$ sudo chown username:username /directory_path/mount_point
```
1. (選用) 確認您可以從檔案系統讀取和寫入資料。
```
~$ echo "Hello world!" > /directory_path/mount_point/HelloWorld.txt
~$ cat directory_path/HelloWorld.txt
Hello world!
```
您已成功在 Linux 用戶端上建立和掛載 iSCSI LUN。
# 佈建適用於 Windows 的 iSCSI
FSx for ONTAP 支援 iSCSI 通訊協定。您需要在 Windows 用戶端和 SVM 和磁碟區上佈建 iSCSI,才能使用 iSCSI 通訊協定在用戶端和檔案系統之間傳輸資料。iSCSI 通訊協定適用於所有具有 6 個或更少[高可用性 (HA) 對](HA-pairs.md)的檔案系統。
這些程序中的範例示範如何在用戶端和 FSx for ONTAP 檔案系統上佈建 iSCSI 通訊協定,並使用下列設定:
+ 掛載至 Windows 主機的 iSCSI LUN 已建立。如需詳細資訊,請參閱[建立 iSCSI LUN](create-iscsi-lun.md)。
+ 掛載 iSCSI LUN 的 Microsoft Windows 主機是執行 Microsoft Windows Server 2019 Amazon Machine Image (AMI) 的 Amazon EC2 執行個體。它具有設定成允許傳入和傳出流量的 VPC 安全群組,如 中所述[使用 Amazon VPC 的檔案系統存取控制](limit-access-security-groups.md)。
您可以在設定中使用不同的 Microsoft Windows AMI。
+ 用戶端和檔案系統位於相同的 VPC 和 中 AWS 帳戶。如果用戶端位於另一個 VPC 中,您可以使用 VPC 對等互連或 AWS Transit Gateway 授予其他 VPCs存取 iSCSI 端點的權限。如需詳細資訊,請參閱[從部署 VPC 外部存取資料](supported-fsx-clients.md#access-from-outside-deployment-vpc)。
我們建議 EC2 執行個體與您檔案系統偏好的子網路位於相同的可用區域,如下圖所示。
![\[本圖顯示具有 iSCSI LUN 的 Amazon FSx for NetApp ONTAP 檔案系統,以及與檔案系統偏好子網路位於相同可用區域的 Amazon EC2 執行個體。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/fsx-ontap-iscsi-mnt-client.png)
**Topics**
+ [在 Windows 用戶端上設定 iSCSI](#configure-iscsi-win-client)
+ [在 FSx for ONTAP 檔案系統上設定 iSCSI](#configure-iscsi-on-ontap-win)
+ [在 Windows 用戶端上掛載 iSCSI LUN](#configure-iscsi-on-fsx)
+ [驗證您的 iSCSI 組態](#validate-iscsi-windows)
## 在 Windows 用戶端上設定 iSCSI
1. 使用 Windows 遠端桌面連線到您要掛載 iSCSI LUN 的 Windows 用戶端。如需詳細資訊,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[使用 RDP 連線至 Windows 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html#connect-rdp)。
1. 以管理員身分開啟 Windows PowerShell。使用下列命令在 Windows 執行個體上啟用 iSCSI,並將 iSCSI 服務設定為自動啟動。
```
PS C:\> Start-Service MSiSCSI
PS C:\> Set-Service -Name msiscsi -StartupType Automatic
```
1. 擷取 Windows 執行個體的啟動器名稱。您將使用此值,在 FSx for ONTAP 檔案系統上使用 NetApp ONTAP CLI 設定 iSCSI。
```
PS C:\> (Get-InitiatorPort).NodeAddress
```
系統會以啟動器連接埠回應:
```
iqn.1991-05.com.microsoft:ec2amaz-abc123d
```
1. 若要讓您的用戶端在檔案伺服器之間自動容錯移轉,您需要在 Windows 執行個體上安裝 `Multipath-IO`(MPIO)。使用下列命令:
```
PS C:\> Install-WindowsFeature Multipath-IO
```
1. 安裝完成後重新啟動您的 Windows `Multipath-IO` 執行個體。保持 Windows 執行個體開啟,以執行在下列區段中掛載 iSCSI LUN 的步驟。
## 在 FSx for ONTAP 檔案系統上設定 iSCSI
1. 若要存取 ONTAP CLI,請執行下列命令,在 Amazon FSx for NetApp ONTAP 檔案系統或 SVM 的管理連接埠上建立 SSH 工作階段。`management_endpoint_ip` 將 取代為檔案系統管理連接埠的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
如需詳細資訊,請參閱[使用 CLI ONTAP 管理檔案系統](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 使用 ONTAP CLI [https://docs.netapp.com/us-en/ontap-cli-9141/lun-igroup-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/lun-igroup-create.html)建立啟動器群組或 `igroup`。啟動器群組會映射至 iSCSI LUNs並控制哪些啟動器 (用戶端) 可存取 LUNs。`host_initiator_name` 使用您在先前程序中擷取的 Windows 主機中的啟動器名稱取代 。
```
::> lun igroup create -vserver svm_name -igroup igroup_name -initiator host_initiator_name -protocol iscsi -ostype windows
```
Io 讓與此對應的 LUNs `igroup`可供多個主機使用,您可以使用 CLI [https://docs.netapp.com/us-en/ontap-cli-9141/lun-create.html#parameters](https://docs.netapp.com/us-en/ontap-cli-9141/lun-create.html#parameters) ONTAP 命令指定多個逗號分隔的啟動器名稱。
1. 確認`igroup`已成功使用 [lun igroup show](https://docs.netapp.com/us-en/ontap-cli-9141/lun-igroup-show.html) CLI ONTAP 命令建立 :
```
::> lun igroup show
```
系統會以下列輸出回應:
```
Vserver Igroup Protocol OS Type Initiators
--------- ------------ -------- -------- ------------------------------------
svm_name igroup_name iscsi windows iqn.1994-05.com.windows:abcdef12345
```
`igroup` 建立 後,您就可以建立 LUNs並將其對應至 `igroup`。
1. 此步驟假設您已建立 iSCSI LUN。如果沒有,請參閱 [建立 iSCSI LUN](create-iscsi-lun.md) 以取得執行此作業step-by-step說明。
建立從 LUN 到新 的 LUN 映射`igroup`。
```
::> lun mapping create -vserver svm_name -path /vol/vol_name/lun_name -igroup igroup_name -lun-id lun_id
```
1. 確認 LUN 已建立、上線,並使用下列命令映射:
```
::> lun show -path /vol/vol_name/lun_name
Vserver Path State Mapped Type Size
--------- ------------------------------- ------- -------- -------- --------
svm_name /vol/vol_name/lun_name online mapped windows 10GB
```
您現在可以在 Windows 執行個體上新增 iSCSI 目標。
1. 使用下列命令擷取 SVM 的 `iscsi_1`和 `iscsi_2` 介面的 IP 地址:
```
::> network interface show -vserver svm_name
```
```
Logical Status Network Current Current Is
Vserver Interface Admin/Oper Address/Mask Node Port Home
----------- ---------- ---------- ------------------ ------------- ------- ----
svm_name
iscsi_1 up/up 172.31.0.143/20 FSxId0123456789abcdef8-01
e0e true
iscsi_2 up/up 172.31.21.81/20 FSxId0123456789abcdef8-02
e0e true
nfs_smb_management_1
up/up 198.19.250.177/20 FSxId0123456789abcdef8-01
e0e true
3 entries were displayed.
```
在此範例中, 的 IP 地址`iscsi_1`為 `172.31.0.143`,而 `iscsi_2`為 `172.31.21.81`。
## 在 Windows 用戶端上掛載 iSCSI LUN
1. 在 Windows 執行個體上,以管理員身分開啟 PowerShell 終端機。
1. 您將建立執行下列動作的`.ps1`指令碼:
+ 連接到每個檔案系統的 iSCSI 介面。
+ 新增和設定 iSCSI 的 MPIO。
+ 為每個 iSCSI 連線建立 8 個工作階段,可讓用戶端驅動高達 40 Gbps (5,000 MBps) 的彙總輸送量至 iSCSI LUN。擁有 8 個工作階段可確保單一用戶端可為 ONTAP 輸送量容量的最高層級 FSx 驅動完整的 4,000 MBps 輸送量容量。您可以選擇透過修改 `RecommendedConnectionCount`變數,將工作階段數量變更為更高或更低的工作階段數量 (每個工作階段提供高達 625 MBps 的輸送量)。如需詳細資訊,請參閱《[Amazon Elastic Compute Cloud Windows 執行個體使用者指南》中的 Amazon EC2 執行個體網路頻寬](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-instance-network-bandwidth.html)。 **
將下列命令集複製到 檔案以建立`.psl`指令碼。
+ 將 `iscsi_1`和 `iscsi_2` 取代為您在上一個步驟中擷取的 IP 地址。
+ `ec2_ip` 將 取代為 Windows 執行個體的 IP 地址。
```
Write-Host "Starting iSCSI connection setup..."
$TargetPortalAddresses = @("iscsi_1","iscsi_2"); $LocaliSCSIAddress = "ec2_ip"
$RecommendedConnectionCount = 8
Foreach ($TargetPortalAddress in $TargetPortalAddresses) {
New-IscsiTargetPortal -TargetPortalAddress $TargetPortalAddress -TargetPortalPortNumber 3260 -InitiatorPortalAddress $LocaliSCSIAddress
}
New-MSDSMSupportedHW -VendorId MSFT2005 -ProductId iSCSIBusType_0x9
$currentMPIOSettings = Get-MPIOSetting
if ($currentMPIOSettings.PathVerificationState -ne 'Enabled') {
Write-Host "Setting MPIO path verification state to Enabled"; Set-MPIOSetting -NewPathVerificationState Enabled
} else { Write-Host "MPIO path verification state already Enabled" }
$portalConnectionCounts = @{}
foreach ($TargetPortalAddress in $TargetPortalAddresses) { $portalConnectionCounts[$TargetPortalAddress] = 0 }
$sessions = Get-IscsiSession
if ($sessions) {
foreach ($session in $sessions) {
if ($session.IsConnected) {
$targetPortal = (Get-IscsiTargetPortal -iSCSISession $session).TargetPortalAddress
if ($portalConnectionCounts.ContainsKey($targetPortal)) { $portalConnectionCounts[$targetPortal]++ }
}
}
}
foreach ($TargetPortalAddress in $TargetPortalAddresses) {
$existingCount = $portalConnectionCounts[$TargetPortalAddress]; $remainingConnections = $RecommendedConnectionCount - $existingCount
Write-Host "Portal $TargetPortalAddress has $existingCount existing connections, $remainingConnections remaining (max recommended: $RecommendedConnectionCount)"
if ($remainingConnections -gt 0) {
Write-Host "Creating $remainingConnections connections for portal $TargetPortalAddress"
1..$remainingConnections | ForEach-Object {
Get-IscsiTarget | Connect-IscsiTarget -IsMultipathEnabled $true -TargetPortalAddress $TargetPortalAddress -InitiatorPortalAddress $LocaliSCSIAddress -IsPersistent $true
}
} else { Write-Host "Maximum connections (8) reached for portal $TargetPortalAddress" }
}
Set-MSDSMGlobalDefaultLoadBalancePolicy -Policy RR
```
1. 啟動 Windows 磁碟管理應用程式。開啟 Windows Run 對話方塊,然後輸入 `diskmgmt.msc` 並按下 **Enter**。磁碟管理應用程式隨即開啟。
![\[隨即顯示 Windows 磁碟管理視窗。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/DiskMgmt.png)
1. 尋找未配置的磁碟 這是 iSCSI LUN。在此範例中,磁碟 1 是 iSCSI 磁碟。已離線。
![\[游標放置在磁碟 1 上時顯示的面板。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/GoOnline.png)
將游標放在**磁碟 1 **上並按一下滑鼠右鍵,然後選擇**線上**,讓磁碟區上線。
**注意**
您可以修改儲存區域網路 (SAN) 政策,讓新的磁碟區自動上線。如需詳細資訊,請參閱 *Microsoft Windows Server 命令參考*中的 [SAN 政策](https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/san)。
1. 若要初始化磁碟,請在**磁碟 1** 上按一下滑鼠右鍵,然後選擇**初始化**。初始化對話方塊隨即出現。選擇**確定**初始化磁碟。
1. 像往常一樣格式化磁碟。格式化完成後,iSCSI 磁碟機會在 Windows 用戶端上顯示為可用的磁碟機。
## 驗證您的 iSCSI 組態
我們已提供指令碼來檢查您的 iSCSI 設定是否已正確設定。指令碼會檢查工作階段計數、節點分佈和多路徑 I/O (MPIO) 狀態等參數。下列任務說明如何安裝和使用指令碼。
**驗證您的 iSCSI 組態**
1. 開啟 Windows PowerShell 視窗。
1. 使用下列命令下載指令碼。
```
PS C:\> Invoke-WebRequest "https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/samples/CheckiSCSI.zip" -OutFile "CheckiSCSI.zip"
```
1. 使用下列命令展開 zip 檔案。
```
PS C:\> Expand-Archive -Path ".\CheckiSCSI.zip" -DestinationPath "./"
```
1. 使用下列命令執行指令碼。
```
PS C:\> ./CheckiSCSI.ps1
```
1. 檢閱輸出以了解組態的目前狀態。下列範例示範成功的 iSCSI 組態。
```
PS C:\> ./CheckiSCSI.ps1
This script checks the iSCSI configuration on the local instance.
It will provide information about the number of connected sessions, connected file servers, and MPIO status.
MPIO is installed on this server.
MPIO Load Balance Policy is set to Round Robin (RR).
Initiator: 'iqn.1991-05.com.microsoft:ec2amaz-d2cebnb'
to Target: 'iqn.1992-08.com.netapp:sn.13266b10e61411ee8bc0c76ad263d613:vs.3'
has 16 total sessions (16 active, 0 non-active)
spread across 2 node(s).
MPIO: Yes
```
# 佈建適用於 Linux 的 NVMe/TCP
FSx for ONTAP 支援透過 TCP (NVMe/TCP) 區塊儲存協定的非揮發性記憶體 Express。使用 NVMe/TCP,您可以使用 ONTAP CLI 佈建命名空間和子系統,然後將命名空間映射至子系統,類似於佈建 LUNs並映射至 iSCSI 啟動器群組 (igroup) 的方式。NVMe/TCP 通訊協定適用於具有 6 個或更少[高可用性 (HA) 對](HA-pairs.md)的第二代檔案系統。
**注意**
FSx for ONTAP 檔案系統針對 iSCSI 和 NVMe/TCP 區塊儲存通訊協定使用 SVM 的 iSCSI 端點。
在 Amazon FSx for NetApp ONTAP 上設定 NVMe/TCP 有三個主要步驟,請參閱下列程序:
1. 在 Linux 主機上安裝和設定 NVMe 用戶端。
1. 在檔案系統的 SVM 上設定 NVMe。
+ 建立 NVMe 命名空間。
+ 建立 NVMe 子系統。
+ 將命名空間映射至子系統。
+ 將用戶端 NQN 新增至子系統。
1. 在 Linux 用戶端上掛載 NVMe 裝置。
## 開始之前
開始設定 NVMe/TCP 檔案系統的程序之前,您需要完成下列項目。
+ 建立 FSx for ONTAP 檔案系統。如需詳細資訊,請參閱[建立檔案系統](creating-file-systems.md)。
+ 在與檔案系統相同的 VPC 中建立執行 Red Hat Enterprise Linux (RHEL) 9.3 的 EC2 執行個體。這是您要設定 NVMe 並使用 NVMe/TCP for Linux 存取檔案資料的 Linux 主機。
除了這些程序的範圍之外,如果主機位於另一個 VPC 中,您可以使用 VPC 對等互連 AWS Transit Gateway ,或授予其他 VPCs存取磁碟區的 iSCSI 端點。如需詳細資訊,請參閱[從部署 VPC 外部存取資料](supported-fsx-clients.md#access-from-outside-deployment-vpc)。
+ 設定 Linux 主機的 VPC 安全群組,以允許傳入和傳出流量,如 中所述[使用 Amazon VPC 的檔案系統存取控制](limit-access-security-groups.md)。
+ 取得具有您將用來存取 CLI ONTAP `fsxadmin`權限ONTAP之使用者的登入資料。如需詳細資訊,請參閱[ONTAP 角色和使用者](roles-and-users.md)。
+ 您將為 NVMe 設定的 Linux 主機,並用來存取 FSx for ONTAP 檔案系統,位於相同的 VPC 和 中 AWS 帳戶。
+ 我們建議 EC2 執行個體與您檔案系統偏好的子網路位於相同的可用區域。
如果您的 EC2 執行個體執行的 Linux AMI 與 RHEL 9.3 不同,這些程序和範例中使用的某些公用程式可能已安裝,而且您可以使用不同的命令來安裝必要的套件。除了安裝套件之外,本節中使用的命令對其他 EC2 Linux AMIs 有效。
**Topics**
+ [開始之前](#nvme-tcp-linux-byb)
+ [在 Linux 主機上安裝和設定 NVMe](#configure-nvme-on-rhel93)
+ [在 FSx for ONTAP 檔案系統上設定 NVMe](#configure-nvme-on-svm)
+ [在 Linux 用戶端上掛載 NVMe 裝置](#add-nvme-on-rhel93-host)
## 在 Linux 主機上安裝和設定 NVMe
**安裝 NVMe 用戶端**
1. 使用 SSH 用戶端連線至 Linux 執行個體。如需詳細資訊,請參閱[使用 SSH 從 Linux 或 macOS 連線至 Linux 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)。
1. 使用下列命令安裝 `nvme-cli`:
```
~$ sudo yum install -y nvme-cli
```
1. 將`nvme-tcp`模組載入主機:
```
$ sudo modprobe nvme-tcp
```
1. 使用下列命令取得 Linux 主機的 NVMe 合格名稱 (NQN):
```
$ cat /etc/nvme/hostnqn
nqn.2014-08.org.nvmexpress:uuid:9ed5b327-b9fc-4cf5-97b3-1b5d986345d1
```
記錄回應以供稍後步驟使用。
## 在 FSx for ONTAP 檔案系統上設定 NVMe
**在檔案系統上設定 NVMe**
連線至您計劃建立 NVMe 裝置之 FSx for ONTAP 檔案系統 (FSx for ONTAP) 上的 NetApp ONTAP CLI。
1. 若要存取 ONTAP CLI,請執行下列命令,在 Amazon FSx for NetApp ONTAP 檔案系統或 SVM 的管理連接埠上建立 SSH 工作階段。將 `management_endpoint_ip`取代為檔案系統管理連接埠的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
如需詳細資訊,請參閱[使用 CLI ONTAP 管理檔案系統](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 在您用來存取 NVMe 界面的 SVM 上建立新的磁碟區。
```
::> vol create -vserver fsx -volume nvme_vol1 -aggregate aggr1 -size 1t
[Job 597] Job succeeded: Successful
```
1. `ns_1` 使用 [https://docs.netapp.com/us-en/ontap-cli-9141/vserver-nvme-namespace-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/vserver-nvme-namespace-create.html) NetApp ONTAP CLI 命令建立 NVMe 命名空間。命名空間會映射至啟動器 (用戶端),並控制哪些啟動器 (用戶端) 可存取 NVMe 裝置。
```
::> vserver nvme namespace create -vserver fsx -path /vol/nvme_vol1/ns_1 -size 100g -ostype linux
Created a namespace of size 100GB (107374182400).
```
1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9141/vserver-nvme-subsystem-create.html](https://docs.netapp.com/us-en/ontap-cli-9141/vserver-nvme-subsystem-create.html) NetApp ONTAP CLI 命令建立 NVMe 子系統。
```
~$ vserver nvme subsystem create -vserver fsx -subsystem sub_1 -ostype linux
```
1. 將命名空間對應至您剛建立的子系統。
```
::> vserver nvme subsystem map add -vserver fsx -subsystem sub_1 -path /vol/nvme_vol1/ns_1
```
1. 使用您先前擷取的 NQN,將用戶端新增至子系統。
```
::> vserver nvme subsystem host add -subsystem sub_1 -host-nqn nqn.2014-08.org.nvmexpress:uuid:ec21b083-1860-d690-1f29-44528e4f4e0e -vserver fsx
```
如果您想要讓映射到此子系統的裝置可供多個主機使用,您可以在逗號分隔清單中指定多個啟動器名稱。如需詳細資訊,請參閱 NetApp ONTAP 文件中的 [vserver nvme 子系統主機新增](https://docs.netapp.com/us-en/ontap-cli-9141/vserver-nvme-subsystem-host-add.html)。
1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9141/vserver-nvme-namespace-show.html](https://docs.netapp.com/us-en/ontap-cli-9141/vserver-nvme-namespace-show.html)命令確認命名空間存在:
```
::> vserver nvme namespace show -vserver fsx -instance
Vserver Name: fsx
Namespace Path: /vol/nvme_vol1/ns_1
Size: 100GB
Size Used: 90.59GB
OS Type: linux
Comment:
Block Size: 4KB
State: online
Space Reservation: false
Space Reservations Honored: false
Is Read Only: false
Creation Time: 5/20/2024 17:03:08
Namespace UUID: c51793c0-8840-4a77-903a-c869186e74e3
Vdisk ID: 80d42c6f00000000187cca9
Restore Inaccessible: false
Inconsistent Filesystem: false
Inconsistent Blocks: false
NVFail: false
Node Hosting the Namespace: FsxId062e9bb6e05143fcb-01
Volume Name: nvme_vol1
Qtree Name:
Mapped Subsystem: sub_1
Subsystem UUID: db526ec7-16ca-11ef-a612-d320bd5b74a9
Namespace ID: 00000001h
ANA Group ID: 00000001h
Vserver UUID: 656d410a-1460-11ef-a612-d320bd5b74a9
Vserver ID: 3
Volume MSID: 2161388655
Volume DSID: 1029
Aggregate: aggr1
Aggregate UUID: cfa8e6ee-145f-11ef-a612-d320bd5b74a9
Namespace Container State: online
Autodelete Enabled: false
Application UUID: -
Application: -
Has Metadata Provisioned: true
1 entries were displayed.
```
1. 使用 [https://docs.netapp.com/us-en/ontap-cli-9141/network-interface-show.html](https://docs.netapp.com/us-en/ontap-cli-9141/network-interface-show.html)命令來擷取您已建立 NVMe 裝置之 SVM 的區塊儲存介面地址。
```
::> network interface show -vserver svm_name -data-protocol nvme-tcp
Logical Status Network Current Current Is
Vserver Interface Admin/Oper Address/Mask Node Port Home
----------- ---------- ---------- ------------------ ------------- ------- ----
svm_name
iscsi_1 up/up 172.31.16.19/20 FSxId0123456789abcdef8-01 e0e true
iscsi_2 up/up 172.31.26.134/20 FSxId0123456789abcdef8-02 e0e true
2 entries were displayed.
```
**注意**
`iscsi_1` LIF 用於 iSCSI 和 NVMe/TCP。
在此範例中,iscsi\$11 的 IP 地址為 172.31.16.19,iscsi\$12 為 172.31.26.134。
## 在 Linux 用戶端上掛載 NVMe 裝置
在 Linux 用戶端上安裝 NVMe 裝置的程序包含三個步驟:
1. 探索 NVMe 節點
1. 分割 NVMe 裝置
1. 在用戶端上掛載 NVMe 裝置
這些涵蓋在下列程序中。
**探索目標 NVMe 節點**
1. 在 Linux 用戶端上,使用下列命令來探索目標 NVMe 節點。*`iscsi_1_IP`* 將 取代為 `iscsi_1`的 IP 地址,以及*`client_IP`*用戶端的 IP 地址。
**注意**
`iscsi_1` 和 `iscsi_2` LIFs用於 iSCSI 和 NVMe 儲存。
```
~$ sudo nvme discover -t tcp -w client_IP -a iscsi_1_IP
```
```
Discovery Log Number of Records 4, Generation counter 11
=====Discovery Log Entry 0======
trtype: tcp
adrfam: ipv4
subtype: current discovery subsystem
treq: not specified
portid: 0
trsvcid: 8009
subnqn: nqn.1992-08.com.netapp:sn.656d410a146011efa612d320bd5b74a9:discovery
traddr: 172.31.26.134
eflags: explicit discovery connections, duplicate discovery information
sectype: none
=====Discovery Log Entry 1======
trtype: tcp
adrfam: ipv4
subtype: current discovery subsystem
treq: not specified
portid: 1
trsvcid: 8009
subnqn: nqn.1992-08.com.netapp:sn.656d410a146011efa612d320bd5b74a9:discovery
traddr: 172.31.16.19
eflags: explicit discovery connections, duplicate discovery information
sectype: none
```
1. (選用) 若要為檔案 NVMe 裝置提供高於 Amazon EC2 單一用戶端最大 5 Gbps (\$1625 MBps) 的輸送量,請遵循 Linux [執行個體的 Amazon Elastic Compute Cloud 使用者指南中所述的 Amazon EC2 執行個體網路頻寬](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-network-bandwidth.html)程序,以建立其他工作階段。
1. 使用 `iscsi_1`的 IP 地址*`iscsi_1_IP`*和 的用戶端 IP 地址,以至少 1800 秒的控制器遺失逾時登入目標啟動器*`client_IP`*。您的 NVMe 裝置會顯示為可用的磁碟。
```
~$ sudo nvme connect-all -t tcp -w client_IP -a iscsi_1 -l 1800
```
1. 使用下列命令來驗證 NVMe 堆疊是否已識別和合併多個工作階段,並已設定多路徑。`Y` 如果組態成功,命令會傳回 。
```
~$ cat /sys/module/nvme_core/parameters/multipath
Y
```
1. 使用下列命令來確認 NVMe-oF 設定`model`已設為 ,`NetApp ONTAP Controller`且負載平衡`iopolicy`已設為 `round-robin`,以便個別ONTAP命名空間在所有可用的路徑上分配 I/O
```
~$ cat /sys/class/nvme-subsystem/nvme-subsys*/model
Amazon Elastic Block Store
NetApp ONTAP Controller
~$ cat /sys/class/nvme-subsystem/nvme-subsys*/iopolicy
numa
round-robin
```
1. 使用下列命令來驗證是否已在主機上建立並正確探索命名空間:
```
~$ sudo nvme list
Node Generic SN Model Namespace Usage Format FW Rev
--------------------- --------------------- -------------------- ---------------------------------------- ---------- -------------------------- ---------------- --------
/dev/nvme0n1 /dev/ng0n1 vol05955547c003f0580 Amazon Elastic Block Store 0x1 25.77 GB / 25.77 GB 512 B + 0 B 1.0
/dev/nvme2n1 /dev/ng2n1 lWB12JWY/XLKAAAAAAAC NetApp ONTAP Controller 0x1 107.37 GB / 107.37 GB 4 KiB + 0 B FFFFFFFF
```
輸出中的新裝置為 `/dev/nvme2n1`。此命名機制可能會因 Linux 安裝而有所不同。
1. 確認每個路徑的控制器狀態為即時,且具有正確的非對稱命名空間存取 (ANA) 多路徑狀態:
```
~$ nvme list-subsys /dev/nvme2n1
nvme-subsys2 - NQN=nqn.1992-08.com.netapp:sn.656d410a146011efa612d320bd5b74a9:subsystem.rhel
hostnqn=nqn.2014-08.org.nvmexpress:uuid:ec2a70bf-3ab2-6cb0-f997-8730057ceb24
iopolicy=round-robin
\
+- nvme2 tcp traddr=172.31.26.134,trsvcid=4420,host_traddr=172.31.25.143,src_addr=172.31.25.143 live non-optimized
+- nvme3 tcp traddr=172.31.16.19,trsvcid=4420,host_traddr=172.31.25.143,src_addr=172.31.25.143 live optimized
```
在此範例中,NVMe 堆疊已自動探索檔案系統的替代 LIF、`iscsi_2`、,以及 172.31.26.134。
1. 確認NetApp外掛程式顯示每個ONTAP命名空間裝置的正確值:
```
~$ sudo nvme netapp ontapdevices -o column
Device Vserver Namespace Path NSID UUID Size
---------------- ------------------------- -------------------------------------------------- ---- -------------------------------------- ---------
/dev/nvme2n1 fsx /vol/nvme_vol1/ns_1 1 0441c609-3db1-4b0b-aa83-790d0d448ece 107.37GB
```
**分割裝置**
1. 使用下列命令來驗證 Device\$1name 的路徑`nvme2n1`是否存在。
```
~$ ls /dev/mapper/nvme2n1
/dev/nvme2n1
```
1. 使用 分割磁碟`fdisk`。您將輸入互動式提示。依顯示的順序輸入選項。您可以使用小於最後一個區段的值 (`20971519`在此範例中為 ) 來建立多個分割區。
**注意**
`Last sector` 值會根據 NVMe 裝置的大小 (在此範例中為 100 GiB) 而有所不同。
```
~$ sudo fdisk /dev/mapper/nvme2n1
```
`fsdisk` 互動式提示隨即啟動。
```
Welcome to fdisk (util-linux 2.37.4).
Changes will remain in memory only, until you decide to write them.
Be careful before using the write command.
Device does not contain a recognized partition table.
Created a new DOS disklabel with disk identifier 0x66595cb0.
Command (m for help): n
Partition type
p primary (0 primary, 0 extended, 4 free)
e extended (container for logical partitions)
Select (default p): p
Partition number (1-4, default 1): 1
First sector (256-26214399, default 256):
Last sector, +sectors or +size{K,M,G,T,P} (256-26214399, default 26214399): 20971519
Created a new partition 1 of type 'Linux' and of size 100 GiB.
Command (m for help): w
The partition table has been altered.
Calling ioctl() to re-read partition table.
Syncing disks.
```
輸入 後`w`,新的分割區`/dev/nvme2n1`就會變成可用。*partition\$1name* 的格式為 ****。 `1` 在上一個步驟的 `fdisk`命令中用作分割區編號。
1. 使用 `/dev/nvme2n1`做為路徑來建立檔案系統。
```
~$ sudo mkfs.ext4 /dev/nvme2n1
```
系統會以下列輸出回應:
```
mke2fs 1.46.5 (30-Dec-2021)
Found a dos partition table in /dev/nvme2n1
Proceed anyway? (y,N) y
Creating filesystem with 26214400 4k blocks and 6553600 inodes
Filesystem UUID: 372fb2fd-ae0e-4e74-ac06-3eb3eabd55fb
Superblock backups stored on blocks:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424, 20480000, 23887872
Allocating group tables: done
Writing inode tables: done
Creating journal (131072 blocks): done
Writing superblocks and filesystem accounting information: done
```
**在 Linux 用戶端上掛載 NVMe 裝置**
1. 在 Linux 執行個體上建立 *directory\$1path* 做為檔案系統的掛載點。
```
~$ sudo mkdir /directory_path/mount_point
```
1. 使用以下命令掛載檔案系統。
```
~$ sudo mount -t ext4 /dev/nvme2n1 /directory_path/mount_point
```
1. (選用) 如果您想要為特定使用者提供掛載目錄的所有權,請將 取代*`username`*為擁有者的使用者名稱。
```
~$ sudo chown username:username /directory_path/mount_point
```
1. (選用) 確認您可以從檔案系統讀取和寫入資料。
```
~$ echo "Hello world!" > /directory_path/mount_point/HelloWorld.txt
~$ cat directory_path/HelloWorld.txt
Hello world!
```
您已成功在 Linux 用戶端上建立並掛載 NVMe 裝置。
# 透過 Amazon S3 存取點存取您的資料
您也可以使用 S3 存取點存取存放在 Amazon FSx 檔案系統上的檔案資料,就像在 S3 中一樣,可讓您將其與使用 S3 的應用程式和服務搭配使用,而無需變更應用程式或將資料移出檔案儲存體。Amazon S3 存取點是連接到 S3 儲存貯體或 FSx for ONTAP 和 FSx for OpenZFS 磁碟區的 S3 端點。Amazon S3 存取點可簡化管理與 S3 搭配使用之任何應用程式 AWS 或服務的資料存取。使用 S3 存取點,具有共用資料集的客戶,包括資料湖、媒體封存和使用者產生的內容,可以透過建立具有每個自訂名稱和許可的個別存取點,輕鬆控制和擴展數百個應用程式、團隊或個人的資料存取。
連接至 Amazon FSx for NetApp ONTAP 磁碟區的 S3 存取點支援對 Amazon S3 端點使用 S3 物件操作 (例如 `PutObject`、 `GetObject`和 `ListObjectsV2`) 讀取和寫入存取您的檔案資料。
連接到 FSx for ONTAP 檔案系統的每個 S3 存取點都有一個 AWS Identity and Access Management (IAM) 存取點政策和一個關聯的 UNIX 或 Windows 檔案系統使用者,用於授權透過存取點提出的所有請求。對於每個請求,S3 會先評估所有相關政策,包括使用者、存取點、S3 VPC 端點和服務控制政策上的政策,以授權請求。一旦請求獲得 S3 授權,該請求就會獲得檔案系統的授權,該系統會評估與 S3 存取點相關聯的檔案系統使用者是否具有存取檔案系統上資料的許可。您可以將存取點設定為僅接受來自虛擬私有雲端 (VPC) 的請求,以限制對私有網路的 Amazon S3 資料存取。Amazon S3 預設會針對連接至 FSx for ONTAP 磁碟區的所有存取點強制執行封鎖公開存取,而且您無法修改或停用此設定。
您可以使用 Amazon FSx 主控台、CLI 和 API 來[建立 S3 存取點,並將其連接到](fsxn-creating-access-points.md) FSx for ONTAP 磁碟區。存取點可讓您使用 S3 API 存取檔案資料,雖然您的資料會繼續存放在 FSx for ONTAP 檔案系統上,而且您可以繼續使用 NFS 和 SMB 通訊協定,搭配 S3 API 存取您的資料。
FSx for ONTAP 檔案系統的 Amazon S3 存取點可在數十毫秒範圍內提供延遲,與 S3 儲存貯體存取一致。每秒可透過 S3 API 驅動到 Amazon FSx 檔案系統的輸送量和請求取決於檔案系統的佈建輸送量。如需檔案系統效能功能的詳細資訊,請參閱 [Amazon FSx for NetApp ONTAP 效能效能](performance.md)
**Topics**
+ [AWS 區域 搭配 FSx for ONTAP 的 Amazon S3 存取點](#access-points-for-fsx-ontap-supported-regions)
+ [存取點命名規則、約束和限制](access-point-for-fsxn-restrictions-limitations-naming-rules.md)
+ [使用 ARNs、存取點別名或virtual-hosted-style URIs 參考存取點](referencing-access-points-for-fsxn.md)
+ [存取點相容性](access-points-for-fsxn-object-api-support.md)
+ [管理存取點存取](s3-ap-manage-access-fsxn.md)
+ [建立存取點](fsxn-creating-access-points.md)
+ [管理 Amazon S3 存取點](access-points-for-fsxn-manage.md)
+ [使用存取點](access-points-for-fsxn-usage-examples.md)
+ [故障診斷 S3 存取點問題](troubleshooting-access-points-for-fsxn.md)
## AWS 區域 搭配 FSx for ONTAP 的 Amazon S3 存取點
下列支援 FSx for ONTAP 的 Amazon S3 存取點 AWS 區域:非洲 (開普敦)、亞太區域 (香港、海德拉巴、雅加達、墨爾本、孟買、大阪、首爾、新加坡、雪梨、東京)、加拿大 (中部)、加拿大西部 (卡加利)、歐洲 (法蘭克福、愛爾蘭、倫敦、米蘭、巴黎、西班牙、斯德哥爾摩、蘇黎世)、以色列 (特拉維夫)、中東 (巴林、阿拉伯聯合大公國)、南美洲 (聖保羅)、美國東部 (維吉尼亞北部、俄亥俄) 和美國西部 (加利佛尼亞北部、奧勒岡)。
# 存取點命名規則、約束和限制
建立 S3 存取點時,您會為其選擇名稱。下列主題提供有關 S3 存取點命名規則和限制的資訊。
**Topics**
+ [存取點命名規則](#access-points-for-fsxn-naming-rules)
+ [存取點的法規與限制](#access-points-for-fsxn-restrictions-limitations)
## 存取點命名規則
當您建立 S3 存取點時,您可以選擇其名稱。存取點名稱在 AWS 帳戶 或 之間不需要是唯一的 AWS 區域。相同的 AWS 帳戶 可能會在不同的 中建立具有相同名稱的存取點, AWS 區域 或者兩個不同的 AWS 帳戶 可能會使用相同的存取點名稱。不過,在單一 AWS 區域 中, AWS 帳戶 可能沒有兩個相同名稱的存取點。
S3 存取點名稱不能以尾碼 結尾`-ext-s3alias`,後者是預留給存取點別名。如需存取點命名規則的完整清單,請參閱《[Amazon Simple Storage Service 使用者指南》中的 Amazon S3 存取點的命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html#access-points-names)。 **
## 存取點的法規與限制
連接至 FSx for ONTAP 磁碟區的 S3 存取點有下列限制,不適用於連接至 S3 儲存貯體的存取點:
+ 您只能在與連接它之 ONTAP 磁碟區的 FSx AWS 區域 相同的 中建立 S3 存取點。
+ 相同的 AWS 帳戶 必須擁有 FSx for ONTAP 檔案系統和 S3 存取點。您只能針對您擁有的 ONTAP 磁碟區建立連接到 FSx 的 S3 存取點。您無法建立連接到另一個 擁有之磁碟區的 S3 存取點 AWS 帳戶。
+ 您只能建立 S3 存取點並將其連接至執行 NetApp ONTAP 9.17.1 版和更新版本的 FSx for ONTAP 檔案系統。
如需所有存取點限制的完整清單,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取點限制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html)。
# 使用 ARNs、存取點別名或virtual-hosted-style URIs 參考存取點
建立連接至 FSx for ONTAP 磁碟區的存取點後,您可以透過 AWS CLI 和 S3 API,以及 S3-compatible AWS 和第三方服務和應用程式存取您的資料。參考 AWS 服務 或應用程式中的存取點時,您可以使用 Amazon Resource Name (ARN)、存取點別名或虛擬託管樣式的 URI。
**Topics**
+ [存取點 ARN](#access-point-arns)
+ [存取點別名](#access-point-aliases)
+ [虛擬託管樣式 URI](#virtual-hosted-style-uri)
## 存取點 ARN
存取點具有 Amazon Resource Name (ARN)。存取點 ARNs 類似於 S3 儲存貯體 ARNs,但會明確輸入和編碼存取點的 AWS 區域 和存取點擁有者的 AWS 帳戶 ID。如需 ARNs 的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用 Amazon Resource Name (ARNs) 識別 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。
存取點 ARNs的格式如下:
```
arn:aws::s3:region:account-id:accesspoint/resource
```
`arn:aws:s3:us-west-2:777777777777:accesspoint/test` 代表名為 *test* 的存取點,由區域 *us-west-2* 中的帳戶 777777777777 所擁有。
透過存取點存取之物件和檔案的 ARNs 使用以下格式:
```
arn:aws::s3:region:account-id:accesspoint/access-point-name/object/resource
```
`arn:aws:s3:us-west-2:111122223333:accesspoint/test/object/lions.jpg` 代表檔案 *lions.jpg*,透過名為 *test* 的存取點存取,由區域 *us-west-2* 中的帳戶 111122223333 擁有。
如需存取點 ARNs 的詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取點 ARNs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-arns)。
## 存取點別名
當您建立存取點時,Amazon S3 會自動產生存取點別名,您可以在任何可以使用 S3 儲存貯體名稱存取資料的地方使用。
存取點別名無法變更。對於連接至 FSx for ONTAP 磁碟區的存取點,存取點別名包含下列部分:
```
access point prefix-metadata-ext-s3alias
```
以下顯示連接到 FSx for ONTAP 磁碟區的 S3 存取點的 ARN 和存取點別名,作為 FSx CLI `describe-s3-access-point-attachments` 命令回應的一部分傳回。此範例中的存取點名為 `my-ontap-ap`。
```
...
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
...
```
**注意**
`-ext-s3alias` 尾碼保留給連接到 FSx for ONTAP 磁碟區的 S3 存取點別名,不能用於存取點名稱。
您可以在某些 Amazon S3 S3 存取點 ARN。如需支援的操作清單,請參閱 [存取點相容性](access-points-for-fsxn-object-api-support.md)。
如需完整的存取點別名限制,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取點別名限制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-alias)。
## 虛擬託管樣式 URI
存取點僅支援虛擬託管樣式定址。在虛擬託管樣式的 URI 中,存取點名稱 AWS 帳戶和 AWS 區域 是 URL 中網域名稱的一部分。若要檢視連接至 FSx for ONTAP 磁碟區的存取點 S3 URI,請在 S3 存取點詳細資訊下的存取點詳細資訊頁面中,選擇為 **S3 存取點列出的存取點**名稱。 **S3 ** 這將帶您前往 Amazon S3 主控台中的存取點詳細資訊頁面。您可以在**屬性**下找到 **S3 URI**。
如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[虛擬託管樣式 URI](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#accessing-a-bucket-through-s3-access-point)。
# 存取點相容性
您可以使用存取點存取存放在 FSx for ONTAP 磁碟區上的資料,並使用下列 Amazon S3 APIs 進行資料存取。下列所有操作都可以接受存取點 ARN 或存取點別名。
下表是 Amazon S3 操作的部分清單,並說明是否與存取點相容。資料表顯示存取點使用 FSx for ONTAP 磁碟區做為資料來源支援哪些操作。
| S3 操作 | 連接至 FSx for ONTAP 磁碟區的存取點 |
| --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | 支援 |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | 支援 |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (僅限相同區域複製) | 支援,如果來源和目的地位於相同的存取點內 |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | 支援 |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | 支援 |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | 支援 |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | 支援 |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | 不支援 |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | 不支援 |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | 支援 |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | 不支援 |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | 不支援 |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | 支援 |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | 不支援 |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | 支援 |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | 不支援 |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | 不支援 |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | 支援 |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | 支援 |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | 支援 |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | 支援 |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | 支援 |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | 支援 |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | 不支援 |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | 支援 |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | 不支援 |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | 支援 |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | 不支援 |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | 不支援 |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | 不支援 |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | 支援 |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | 不支援 |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | 支援 |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (僅限相同區域複製) | 支援,如果來源和目的地位於相同的存取點內 |
使用 Amazon S3 操作的限制如下:
+ 上傳的物件大小上限為 5 GB,但您可以下載大於 的物件
+ `FSX_ONTAP` 是唯一支援的儲存類別
+ SSE-FSX 是唯一支援的伺服器端加密模式
+ 不支援下列 Amazon S3 功能:除了 、申請者付款`bucket-owner-full-control`、物件版本控制、物件鎖定、物件生命週期、靜態網站託管 (例如網站重新導向)、多重驗證 (MFA) 和條件式寫入以外的存取控制清單 (ACLs)
如需使用存取點對檔案資料執行資料存取操作的範例,請參閱 [使用存取點](access-points-for-fsxn-usage-examples.md)。
**物件 ETag**
實體標籤是物件的雜湊值。ETag 只會反映物件內容的變更,而非其中繼資料的變更。ETag 不是物件資料的 MD5 摘要。
**物件檢查總和**
您可以使用檢查總和值來驗證您上傳之資料的完整性。當您上傳資料並指定檢查總和演算法時, AWS 開發套件會使用您選擇的檢查總和演算法,在資料傳輸之前運算檢查總和值。然後,Amazon S3 會獨立計算資料的檢查總和,並根據提供的檢查總和值進行驗證。只有在確認在傳輸到 Amazon S3 期間維護資料完整性之後,才會接受物件。與 Amazon S3 一般用途儲存貯體中物件的檢查總和不同,檢查總和值不會存放在 FSx for NetApp ONTAP 磁碟區中,做為物件中繼資料和物件本身。這表示在回應中不會傳回檢查總和值,也不會用於在下載時驗證物件完整性。
**使用 Amazon FSx (SSE-FSX) 的伺服器端加密**
所有 Amazon FSx 檔案系統預設都已設定加密,並使用 管理的金鑰進行靜態加密 AWS Key Management Service。當資料寫入檔案系統並從檔案系統讀取時,資料會在檔案系統上自動加密和解密。這些程序由 Amazon FSx 以透明化方式處理。
**分段上傳**
您可利用分段上傳,將單一物件以一組組件進行上傳。每個組件都是物件資料的接續部分。您可依任何順序分別上傳這些物件組件。將 S3 存取點與 FSx for ONTAP 搭配使用時,分段上傳有下列考量:
+ FSx for ONTAP 磁碟區備份中不包含與進行中分段上傳 (即未完成上傳) 相關聯的部分。
+ 與進行中分段上傳 (即未完成上傳) 組件相關聯的已使用儲存體不會反映在目的地磁碟區的`StorageUsed`儲存容量 CloudWatch 指標中,而是反映在父檔案系統的`StorageUsed`儲存容量 CloudWatch 指標中。
+ 分段上傳操作完成後,相關聯的組件中繼資料將不再與 物件一起存放。這表示您無法使用 擷取物件組件 metdata,`GetObjectAttributes`或依所讀取物件的組件編號下載物件的單一組件。
**存取控制清單 (ACL)**
Amazon S3 存取控制清單 (ACL) 可讓您管理對儲存貯體和物件的存取。FSx 的 S3 存取點僅支援 `bucket-owner-full-control` ACL 值。使用任何其他 ACL 值將導致`InvalidArgument`例外狀況。
# 管理存取點存取
您可以使用不同的許可和網路控制來設定每個 S3 存取點,S3許可和網路控制適用於使用該存取點提出的任何請求。S3 存取點支援 AWS Identity and Access Management (IAM) 資源政策,可用來依資源、使用者或其他條件控制存取點的使用。若要讓應用程式或使用者透過存取點存取檔案,存取點和基礎磁碟區都必須允許請求。如需詳細資訊,請參閱[IAM 存取點政策](#access-points-for-fsxn-policies)。
FSx for ONTAP 的 Amazon S3 存取點使用雙層授權模型,將 AWS IAM 許可與檔案系統層級許可結合。此方法可確保資料存取請求在 AWS 服務層級和基礎檔案系統層級獲得適當授權。
若要讓應用程式或使用者成功透過存取點存取資料,S3 存取點政策和基礎 FSx for ONTAP 磁碟區都必須允許請求。
**Topics**
+ [檔案系統使用者身分和授權](#fsxn-file-system-user-identity)
+ [S3 API 請求授權](#access-points-for-fsxn-s3-iam-auth)
+ [S3 封鎖公有存取權](#access-points-for-fsxn-bpa)
+ [IAM 存取點政策](#access-points-for-fsxn-policies)
## 檔案系統使用者身分和授權
當您為 FSx for ONTAP 磁碟區建立 S3 存取點時,您可以指定檔案系統身分,用來授權透過該存取點提出的所有檔案系統請求。此檔案系統身分會根據檔案系統的許可模型,決定授予基礎檔案和目錄的存取層級。檔案系統使用者是基礎 Amazon FSx 檔案系統上的使用者帳戶。如果檔案系統使用者具有*唯讀*存取權,則只會授權使用存取點提出的讀取請求,並封鎖寫入請求。如果檔案系統使用者具有讀寫存取權,則會授權使用存取點對連接磁碟區的讀寫請求。
檔案系統身分可以是兩種類型之一:
+ **UNIX 身分** – 使用 UNIX 安全樣式存取磁碟區時,請使用 UNIX 身分 (使用者名稱)
+ **Windows 身分** – 使用 NTFS 安全樣式存取磁碟區時,請使用 Windows 身分 (網域和使用者名稱)。
當您指定 UNIX 或 Windows 身分時,透過存取點執行的所有 S3 API 操作都會使用該使用者的 檔案系統許可進行授權。
您與存取點建立關聯的檔案系統身分會決定檔案和目錄的存取層級。例如,如果您將存取點與根 UNIX 身分 (UID 0) 建立關聯,通常在檔案系統上具有完整的檔案存取許可,則所有檔案操作都會獲得授權。相反地,如果您將存取點與受限的使用者身分建立關聯,檔案操作會受限於該使用者根據檔案系統的許可模型可以存取的內容。
對於具有 UNIX 安全樣式的磁碟區,您應該使用 UNIX 檔案系統身分類型,對於具有 NTFS 安全樣式的磁碟區,則應使用 Windows 身分類型。此對齊可確保授權模型符合磁碟區的安全組態。
對於 UNIX 安全樣式磁碟區,檔案系統使用 mode-bits 或 NFSv4 ACLs來控制存取。對於 NTFS 安全樣式磁碟區,檔案系統使用 Windows ACLs來控制存取。
**重要**
透過 NFS 或 SMB 直接存取磁碟區時,將 S3 存取點連接至 FSx for ONTAP 磁碟區並不會變更磁碟區的行為。針對磁碟區的所有現有操作會繼續像以前一樣運作。您在 S3 存取點政策中包含的限制僅適用於使用存取點提出的請求。
## S3 API 請求授權
當您透過連接至 FSx for NetApp ONTAP 磁碟區的存取點提出 S3 API 請求時,Amazon S3 會根據存取點的 IAM 資源政策評估呼叫主體的 IAM 許可。IAM 主體發起人必須擁有透過其身分型政策授予的必要許可,且存取點的資源政策也必須允許請求的動作。
Amazon S3 會評估所有相關政策,包括使用者政策、存取點政策、VPC 端點政策和服務控制政策,以決定是否授權請求。
您也可以將 S3 存取點設定為僅接受來自特定虛擬私有雲端 (VPC) 的請求,以限制資料存取。如需詳細資訊,請參閱[建立受限於 Virtual Private Cloud 的存取點](access-points-for-fsxn-vpc.md)。
## S3 封鎖公有存取權
連接至 FSx for ONTAP 磁碟區的 Amazon S3 存取點會自動設定為啟用封鎖公開存取,您無法變更。
## IAM 存取點政策
Amazon S3 存取點支援 AWS Identity and Access Management (IAM) 資源政策,可讓您依資源、使用者或其他條件控制存取點的使用。若要讓應用程式或使用者能夠透過存取點存取物件,存取點和基礎資料來源都必須允許請求。
建立選用存取點政策需要 `s3:PutAccessPointPolicy`許可。
將 S3 存取點連接至 Amazon FSx 磁碟區後,針對磁碟區的所有現有操作將繼續如往常般運作。您在存取點政策中包含的限制僅適用透過該存取點進行的請求。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 IAM 政策以使用存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html)。
當您使用 Amazon FSx 主控台建立連接至 FSx for ONTAP 磁碟區的存取點時,您可以設定存取點政策。 FSx 若要在現有 S3 存取點上新增、修改或刪除存取點政策,您可以使用 S3 主控台、CLI 或 API。
# 建立存取點
您可以使用 Amazon FSx 主控台、CLI、API 和支援的 SDKs,建立和管理連接到 Amazon FSx 磁碟區的 S3 存取點。
**注意**
由於您可能想要公開 S3 存取點名稱,以便其他使用者可以使用存取點,請避免在 S3 存取點名稱中包含敏感資訊。存取點名稱發佈在稱為網域名稱系統 (DNS) 的可公開存取資料庫中。如需存取點名稱的詳細資訊,請參閱[存取點命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
## 所需的許可
建立連接到 Amazon FSx 磁碟區的 S3 存取點需要下列許可:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
使用 Amazon FSx 或 S3 主控台建立選用存取點政策時需要 `s3:PutAccessPointPolicy`許可。如需詳細資訊,請參閱[IAM 存取點政策](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies)。
若要建立存取點,請參閱下列主題。
**Topics**
+ [所需的許可](#create-ap-permissions)
+ [建立存取點](create-access-points.md)
+ [建立受限於 Virtual Private Cloud 的存取點](access-points-for-fsxn-vpc.md)
# 建立存取點
**重要**
若要將 S3 存取點連接至 FSx for ONTAP 磁碟區,必須掛載磁碟區 (具有連接路徑)。如需詳細資訊,請參閱 [ONTAP 文件](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html)。
為您的磁碟區建立 S3 存取點時,FSx for ONTAP 磁碟區必須已存在於您的帳戶中。
若要建立連接至 FSx for ONTAP 磁碟區的 S3 存取點,請指定下列屬性:
+ 存取點名稱。如需存取點命名規則的資訊,請參閱[存取點命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
+ 用於授權使用存取點提出之檔案存取請求的檔案系統使用者身分。指定您要包含的 UNIX 或 Windows POSIX 使用者名稱。如需詳細資訊,請參閱[檔案系統使用者身分和授權](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity)。
+ 存取點的網路組態會判斷存取點是否可從網際網路存取,或是否僅限於特定虛擬私有雲端 (VPC) 存取。如需詳細資訊,請參閱[建立受限於 Virtual Private Cloud 的存取點](access-points-for-fsxn-vpc.md)。
## 建立連接到 FSx 磁碟區的 S3 存取點 (FSx 主控台)
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 在頁面頂端的導覽列中,選擇您要在 AWS 區域 其中建立存取點的 。存取點必須在與相關聯磁碟區的相同區域中建立。
1. 在左側導覽窗格中,選擇**磁碟區**。
1. 在**磁碟**區頁面上,選擇要連接存取點的 ONTAP 磁碟區的 FSx。
1. 從**動作**功能表中選擇**建立 S3 存取點**,以顯示**建立 S3 存取點**頁面。
1. 針對**存取點名稱**,輸入存取點的名稱。如需存取點名稱的指導方針和限制的詳細資訊,請參閱 [存取點命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
**資料來源詳細資訊**會填入您在步驟 3 中選擇的磁碟區資訊。
1. Amazon FSx 會使用檔案系統使用者身分來驗證使用此存取點提出的檔案存取請求。請確定您指定的檔案系統使用者在 FSx for ONTAP 磁碟區上有正確的許可。
針對**檔案系統使用者身分類型**,選取 UNIX 或 Windows。
1. 針對**使用者名稱**輸入使用者的使用者名稱。
1. 在**網路組態**面板中,您可以選擇存取點是否可從網際網路存取,還是僅限於特定虛擬私有雲端存取。
針對**網路原始**伺服器,選擇**網際網路**讓存取點可從網際網路存取,或選擇**虛擬私有雲端 (VPC)**,然後輸入您要限制存取點存取的 **VPC ID**。
如需存取點網路來源的詳細資訊,請參閱「[建立受限於 Virtual Private Cloud 的存取點](access-points-for-fsxn-vpc.md)」。
1. (選用) 在**存取點政策 - *選用***下,指定選用的存取點政策。請務必解決任何政策警告、錯誤和建議。如需指定存取點政策的詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 IAM 政策以使用存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html)。
1. 選擇**建立存取點**以檢閱存取點連接組態。
## 建立連接到 FSx 磁碟區 (CLI) 的 S3 存取點
下列範例命令會建立名為 的存取點*`my-ontap-ap`*,連接到帳戶 *`fsvol-0123456789abcdef9`*中 ONTAP 磁碟區的 FSx*`111122223333`*。
```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```
對於成功的請求,系統會傳回新的 S3 存取點附件來回應 。
```
$ {
{
"S3AccessPointAttachment": {
"CreationTime": 1728935791.8,
"Lifecycle": "CREATING",
"LifecycleTransitionReason": {
"Message": "string"
},
"Name": "my-ontap-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "ec2-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-0123467"
}
}
}
}
```
# 建立受限於 Virtual Private Cloud 的存取點
建立存取點時,您可以選擇從網際網路存取存取點,也可以指定透過該存取點提出的所有請求都必須來自特定的 Amazon Virtual Private Cloud。可從網際網路存取的存取點表示具有 `Internet` 的網路來源。它可以在網際網路的任何位置使用,但需遵守存取點、基礎儲存貯體或 Amazon FSx 磁碟區以及請求的物件等相關資源的任何其他存取限制。只能從指定的 Amazon VPC 存取的存取點具有 的網路原始伺服器`VPC`,Amazon S3 會拒絕對非源自該 Amazon VPC 的存取點提出的任何請求。
**重要**
您只能在建立存取點時指定存取點的網路來源。建立存取點之後,您便無法變更其網路來源。
若要將存取點限制為僅限 Amazon VPC 的存取,請在建立存取點的請求中包含 `VpcConfiguration` 參數。在 `VpcConfiguration` 參數中,您可以指定要使用存取點的 Amazon VPC ID。如果透過存取點提出請求,則請求必須源自 Amazon VPC,否則 Amazon S3 會拒絕該請求。
您可以使用、 AWS CLI AWS SDKs 或 REST APIs 擷取存取點的網路原始伺服器。如果存取點已指定 Amazon VPC 組態,其網路原始伺服器為 `VPC`。否則,存取點的網路來源為 `Internet`。
**Example**
***範例:建立僅限 Amazon VPC 存取的存取點***
下列範例會為 帳戶中`example-vpc-ap`的儲存貯`amzn-s3-demo-bucket`體建立名為 的存取點`123456789012`,僅允許從 Amazon VPC `vpc-1a2b3c` 存取。然後,此範例會驗證新的存取點是否具有 `VPC` 的網路來源。
```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```
```
$ {
{
"S3AccessPointAttachment": {
"Lifecycle": "CREATING",
"CreationTime": 1728935791.8,
"Name": "example-vpc-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "my-unix-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
"Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
}
}
}
}
```
若要搭配 Amazon VPC 使用存取點,您必須修改 Amazon VPC 端點的存取政策。Amazon VPC 端點允許流量從您的 Amazon VPC 流向 Amazon S3。它們具有存取控制政策,可控制如何允許 Amazon VPC 中的資源與 Amazon S3 互動。如果 Amazon VPC 端點政策同時授予存取點和基礎儲存貯體的存取權,則從 Amazon VPC 到 Amazon S3 的請求只會透過存取點成功。
**注意**
若要讓 資源只能在 Amazon VPC 內存取,請務必為您的 Amazon VPC 端點建立[私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。若要使用私有託管區域,請[修改 Amazon VPC 設定](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating),讓 [Amazon VPC 網路屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames`和 `enableDnsSupport` 設定為 `true`。
下列範例政策陳述式會設定 Amazon VPC 端點,以允許呼叫 `GetObject`和名為 的存取點`example-vpc-ap`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**注意**
此範例中的 `Resource` 宣告使用 Amazon Resource Name (ARN) 來指定存取點。
如需 Amazon VPC 端點政策的詳細資訊,請參閱《Amazon *VPC *[使用者指南》中的 Amazon S3 閘道端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。
# 管理 Amazon S3 存取點
本節說明如何使用 AWS 管理主控台 AWS Command Line Interface、 或 API 來管理和使用您的 Amazon S3 存取點。
**Topics**
+ [列出 S3 存取點附件](access-points-list.md)
+ [檢視存取點詳細資訊](access-points-details.md)
+ [刪除 S3 存取點連接](delete-access-point.md)
# 列出 S3 存取點附件
本節說明如何使用 AWS 管理主控台 AWS Command Line Interface或 REST API 列出 S3 存取點。
## 列出連接至 FSx for ONTAP 磁碟區 (Amazon FSx 主控台) 的所有 S3 存取點
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 在主控台左側的導覽窗格中,選擇**磁碟區**。
1. 在**磁碟區**頁面上,選擇要檢視存取點附件的 **ONTAP** 磁碟區。
1. 在磁碟區詳細資訊頁面上,選擇 **S3** 以檢視連接至磁碟區的所有 S3 存取點清單。
## 列出連接至 FSx for ONTAP 磁碟區的所有 S3 存取點 (AWS CLI)
下列[https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html)範例命令顯示如何使用 AWS CLI 列出 S3 存取點附件。
下列命令會列出連接至 FSx for ONTAP 檔案系統 fs-0abcdef123456789 上磁碟區的所有 S3 存取點。
```
aws fsx describe-s3-access-point-attachments --filter {[Name: file-system-id, Values:{[fs-0abcdef123456789]}}
```
下列命令列出連接至 FSx for ONTAP 磁碟區 vol-9abcdef123456789】 的 S3 存取點。
```
aws fsx describe-s3-access-point-attachments --filter {[Name: volume-id, Values:{[vol-9abcdef123456789]}}
```
如需詳細資訊和範例,請參閱AWS CLI 命令參考**中的 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html)。
# 檢視存取點詳細資訊
本節說明如何使用 AWS 管理主控台 AWS Command Line Interface、 或 REST API 檢視 S3 存取點的詳細資訊。
## 檢視連接至 FSx for ONTAP 磁碟區 (Amazon FSx 主控台) 的 S3 存取點詳細資訊
1. 開啟位於 https://[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 的 Amazon FSx 主控台。
1. 導覽至要檢視其詳細資訊的存取點所連接的磁碟區。
1. 選擇 **S3** 以顯示連接到磁碟區的存取點清單。
1. 選擇您要檢視其詳細資訊的存取點。
1. 在 **S3 存取點連接摘要**下,檢視所選存取點的組態詳細資訊和屬性。
**檔案系統使用者身分**組態和 **S3 存取點許可**政策也會列出存取點附件。
1. 若要在 Amazon S3 主控台中檢視存取點的 S3 組態,請選擇顯示在 S3 存取點下的 **S3 存取點**名稱。 Amazon S3 它會帶您前往 Amazon S3 主控台中的存取點詳細資訊頁面。
# 刪除 S3 存取點連接
本節說明如何使用 AWS 管理主控台 AWS Command Line Interface、 或 REST API 刪除 S3 存取點。
刪除 S3 存取點連接需要 `fsx:DetatchAndDeleteS3AccessPoint`和 `s3control:DeleteAccessPoint`許可。
## 刪除連接至 FSx for ONTAP 磁碟區的 S3 存取點 (Amazon FSx 主控台)
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 導覽至您要刪除的 S3 存取點連接所連接的磁碟區。
1. 選擇 **S3** 以顯示連接到磁碟區的 S3 存取點清單。
1. 選取您要刪除的 S3 存取點附件。
1. 選擇 **刪除**。
1. 確認您想要刪除 S3 存取點,然後選擇**刪除**。
## 刪除連接至 FSx for ONTAP 磁碟區的 S3 存取點 (AWS CLI)
+ 若要刪除 S3 存取點附件,請使用 [detach-and-delete-s3-access-point](https://docs.aws.amazon.com/cli/latest/reference/fsx/detach-and-delete-s3-access-point.html) CLI 命令 (或同等的 [DetachAndDeleteS3AccessPoint](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DetachAndDeleteS3AccessPoint.html) API 操作),如下列範例所示。使用 `--name` 屬性指定您要刪除的 S3 存取點附件名稱。
```
aws fsx detach-and-delete-s3-access-point \
--region us-east-1 \
--name my-ontap-ap
```
# 使用存取點
下列範例示範如何使用存取點,使用 S3 API 存取存放在 FSx for ONTAP 磁碟區上的檔案資料。如需連接至 FSx for ONTAP 磁碟區之存取點支援的 Amazon S3 API 操作完整清單,請參閱 [存取點相容性](access-points-for-fsxn-object-api-support.md)。
**注意**
FSx for ONTAP 磁碟區上的檔案會以 `StorageClass`的 識別`FSX_ONTAP`。
**Topics**
+ [使用 S3 存取點下載檔案](get-object-ap.md)
+ [使用 S3 存取點上傳檔案](put-object-ap.md)
+ [使用 S3 存取點列出檔案](list-object-ap.md)
+ [使用 S3 存取點標記檔案](add-tag-set-ap.md)
+ [使用 S3 存取點刪除檔案](delete-object-ap.md)
# 使用 S3 存取點下載檔案
下列`get-object`範例命令顯示如何使用 透過存取點 AWS CLI 下載檔案。您必須包含 Outfile,這是已下載物件的檔案名稱。
此範例*`my-image.jpg`*會透過存取點請求檔案,*`my-ontap-ap`*並將下載的檔案儲存為 *`download.jpg`*。
```
$ aws s3api get-object --key my-image.jpg --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias download.jpg
{
"AcceptRanges": "bytes",
"LastModified": "Mon, 14 Oct 2024 17:01:48 GMT",
"ContentLength": 141756,
"ETag": "\"00751974dc146b76404bb7290f8f51bb-1\"",
"ContentType": "binary/octet-stream",
"ServerSideEncryption": "SSE_FSX",
"Metadata": {},
"StorageClass": "FSX_ONTAP"
}
```
您也可以使用 REST API 透過存取點下載物件。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)。
# 使用 S3 存取點上傳檔案
下列`put-object`範例命令顯示如何使用 AWS CLI ,透過存取點上傳檔案。您必須包含 Outfile,這是上傳物件的檔案名稱。
此範例*`my-new-image.jpg`*會透過存取點上傳檔案,*`my-ontap-ap`*並將上傳的檔案儲存為 *`my-new-image.jpg`*。
```
$ aws s3api put-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-new-image.jpg --body my-new-image.jpg
```
您也可以使用 REST API 透過存取點上傳物件。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)。
# 使用 S3 存取點列出檔案
下列範例透過區域 *`111122223333`*中帳戶 ID 所`my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias`擁有的存取點別名列出檔案*`us-east-2`*。
```
$ aws s3api list-objects-v2 --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias
{
"Contents": [
{
"Key": ".hidden-dir-with-data/file.txt",
"LastModified": "2024-10-29T14:22:05.4359",
"ETag": "\"88990077ab44cd55ef66aa77-1\"",
"Size": 18,
"StorageClass": "FSX_ONTAP"
},
{
"Key": "documents/report.rtf",
"LastModified": "2024-11-02T10:18:15.6621",
"ETag": "\"ab12cd34ef56a89219zg6aa77-1\"",
"Size": 1048576,
"StorageClass": "FSX_ONTAP"
},
]
}
```
您也可以使用 REST API 列出您的檔案。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)。
# 使用 S3 存取點標記檔案
下列`put-object-tagging`範例命令顯示如何使用 透過存取點 AWS CLI 新增標籤集。每個標籤都是金鑰值對。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用標籤將儲存體分類](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)。
此範例`my-image.jpg`使用存取點 將標籤集新增至現有檔案*`my-ontap-ap`*。
```
$ aws s3api put-object-tagging --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg --tagging TagSet=[{Key="finance",Value="true"}]
```
您也可以使用 REST API,透過存取點將標籤集新增至物件。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)。
# 使用 S3 存取點刪除檔案
下列`delete-object`範例命令顯示如何使用 AWS CLI 來透過存取點刪除檔案。
```
$ aws s3api delete-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg
```
您也可以使用 REST API 透過存取點刪除物件。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)。
# 故障診斷 S3 存取點問題
本節說明從 S3 存取點存取 FSx 資料時遇到問題時的症狀、原因和解決方法。
## 由於檔案系統使用者身分查詢失敗,S3 存取點建立失敗
建立和連接 S3 存取點時,[https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type)必須提供 。您有責任在 ONTAP 中設定提供的 UNIX 或 Windows 使用者。
如果[https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html)提供 ,ONTAP 必須能夠將 UnixUser 名稱對應至 UNIX UID/GIDs。ONTAP 決定如何使用[名稱服務切換組態](https://docs.netapp.com/us-en/ontap/nfs-admin/ontap-name-service-switch-config-concept.html)執行此映射。
```
> vserver services name-service ns-switch show
```
```
Vserver Database Order
--------------- ------------ ---------
svm_1 hosts files,
dns
svm_1 group files,
ldap
svm_1 passwd files,
ldap
svm_1 netgroup nis,
files
```
請確定您的 UnixUser 在 `passwd`和 `group` 資料庫中具有使用有效來源 (`files``ldap`等) 的項目。您可以使用 `vserver services name-service unix-user`和 `vserver services name-service unix-group`命令來設定`files`來源。您可以使用 `vserver services name-service ldap`命令來設定`ldap`來源。
如果[https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html)提供 ,ONTAP 必須能夠在加入的 Active Directory 網域中找到 WindowsUser 名稱。
若要確認提供的 UnixUser 或 WindowsUser 是否正確對應,`fsxadmin`您可以使用下列命令 (`-unix-user-name`以 `-win-name` for WindowsUsers 取代 ):
```
> vserver services access-check authentication show-creds -node FsxId0fd48ff588b9d3eee-01 -vserver svm_name -unix-user-name root -show-partial-unix-creds true
```
成功輸出的範例:
```
UNIX UID: root
GID: daemon
Supplementary GIDs:
daemon
```
範例失敗輸出:
```
Error: Acquire UNIX credentials procedure failed
[ 2 ms] Entry for user-name: unmapped-user not found in the
current source: FILES. Entry for user-name: unmapped-user
not found in any of the available sources
**[ 3] FAILURE: Unable to retrieve UID for UNIX user
** unmapped-user
Error: command failed: Failed to resolve user name to a UNIX ID. Reason: "SecD Error: object not found".
```
不正確的使用者映射可能會導致 S3 `Access Denied` 發生錯誤。請參閱以下失敗原因範例。
**`Entry for user-name not found in the current source: LDAP`**
如果您的 `ns-switch` 設定為使用 `ldap`來源,請確保 ONTAP 設定為正確使用您的 LDAP 伺服器。如需詳細資訊[,請參閱 NetApp 的技術報告以設定 LDAP](https://www.netapp.com/pdf.html?item=/media/19423-tr-4835.pdf)。
**`RESULT_ERROR_DNS_CANT_REACH_SERVER` 或 `RESULT_ERROR_SECD_IN_DISCOVERY`**
此錯誤表示 ONTAP 中 vserver 的 DNS 組態發生問題。執行下列動作,以確保您的 vserver DNS 已正確設定:
```
> dns check -vserver svm_name
```
**`NT_STATUS_PENDING`**
此錯誤表示與網域控制器通訊時發生問題。根本原因可能是由於缺乏 SMB 點數。如需詳細資訊,請參閱 [NetApp KB](https://kb.netapp.com/on-prem/ontap/da/NAS/NAS-KBs/How_ONTAP_implements_SMB_crediting)。
## S3 存取點建立失敗,因為磁碟區未掛載。
S3 存取點只能連接到 FSx。這也適用於 DP (資料保護) 磁碟區類型。如需詳細資訊,請參閱 [ONTAP 磁碟區掛載文件](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html)。
## S3 存取點建立失敗,因為 SVM 上已停用 S3 通訊協定
S3 存取點需要在儲存虛擬機器 (SVM) 上啟用 S3 通訊協定。若要啟用 S3 通訊協定,請使用 在 ONTAP CLI 中執行下列命令`fsxadmin`:
```
> vserver add-protocols -vserver svm_name -protocols s3
```
若要驗證通訊協定是否已啟用:
```
> vserver show -vserver svm_name -fields allowed-protocols,disallowed-protocols
```
## 檔案系統無法處理 S3 請求
如果特定工作負載的 S3 請求磁碟區超過檔案系統處理流量的容量,您可能會遇到 S3 請求錯誤 (例如 `Internal Server Error`、 `503 Slow Down`和 `Service Unavailable`)。您可以使用 Amazon CloudWatch 指標 (例如 `Network throughput utilization`和 ) 主動監控和警示檔案系統的效能`CPU utilization`。如果您觀察到效能降低,您可以透過增加檔案系統的輸送量容量來解決此問題。
## 使用自動建立服務角色的預設 S3 存取點許可拒絕存取
有些 S3-integrated AWS 服務會建立自訂服務角色,並自訂連接至特定使用案例的許可。將 S3 存取點別名指定為 S3 資源時,這些連接的許可可能包含使用儲存貯體 ARN 格式 (例如 `arn:aws:s3:::my-fsx-ap-foo7detztxouyjpwtu8krroppxytruse1a-ext-s3alias`) 而非存取點 ARN 格式 (例如 ) 的存取點`arn:aws:s3:us-east-1:1234567890:accesspoint/my-fsx-ap`。若要解決此問題,請修改政策以使用存取點的 ARN。
# 從其他 AWS 服務存取資料
除了 Amazon EC2 之外,您還可以 AWS 搭配磁碟區使用其他服務來存取您的資料。
**Topics**
+ [將 Amazon WorkSpaces 與 FSx for ONTAP 搭配使用](using-workspaces.md)
+ [搭配使用 Amazon Elastic Container Service 與 FSx for ONTAP](mount-ontap-ecs-containers.md)
+ [搭配 FSx for ONTAP 使用 Amazon Elastic VMware Service](evs-ontap.md)
+ [使用 VMware Cloud 搭配 FSx for ONTAP](vmware-cloud-ontap.md)
# 將 Amazon WorkSpaces 與 FSx for ONTAP 搭配使用
FSx for ONTAP 可與 Amazon WorkSpaces 搭配使用,以提供共用網路連接儲存 (NAS) 或存放 Amazon WorkSpaces 帳戶的漫遊設定檔。連線至與 WorkSpaces 執行個體的 SMB 檔案共用後,使用者可以在檔案共用上建立和編輯檔案。
下列程序說明如何使用 Amazon FSx 搭配 Amazon WorkSpaces,以提供漫遊設定檔和主資料夾存取一致的體驗,並為 Windows 和 Linux WorkSpaces 使用者提供共用團隊資料夾。如果您是初次使用 Amazon WorkSpaces,您可以使用 Amazon WorkSpaces 管理指南中的 [ WorkSpaces Quick Setup 入門](https://docs.aws.amazon.com/workspaces/latest/adminguide/getting-started.html)中的說明來建立第一個 Amazon WorkSpaces 環境。 *Amazon WorkSpaces *
**Topics**
+ [提供漫遊設定檔支援](#workspace-roaming-profile)
+ [提供共用資料夾以存取常見檔案](#workspace-shared-folder)
## 提供漫遊設定檔支援
您可以使用 Amazon FSx 為組織中的使用者提供漫遊設定檔支援。使用者將擁有僅存取其漫遊設定檔的許可。資料夾將使用 Active Directory 群組政策自動連線。透過漫遊設定檔,使用者的資料和桌面設定會在登出 Amazon FSx 檔案共用時儲存,以便在不同的 WorkSpaces 執行個體之間共用文件和設定,並使用 Amazon FSx 每日自動備份自動備份進行備份。
**步驟 1:使用 Amazon FSx 為網域使用者建立設定檔資料夾位置**
1. 使用 Amazon FSx 主控台建立 FSx for ONTAP 檔案系統。如需詳細資訊,請參閱[建立檔案系統 (主控台)](creating-file-systems.md#create-MAZ-file-system-console)。
**重要**
每個 FSx for ONTAP 檔案系統都有一個端點 IP 地址範圍,其中會建立與檔案系統相關聯的端點。對於多可用區域檔案系統,FSx for ONTAP 選擇預設未使用的 IP 地址範圍,範圍從 198.19.0.0/16 作為端點 IP 地址範圍。WorkSpaces 也會使用此 IP 地址範圍來管理流量範圍,如 Amazon [ WorkSpaces 管理指南中 WorkSpaces 的 IP 地址和連接埠需求](https://docs.aws.amazon.com/workspaces/latest/adminguide/workspaces-port-requirements.html)所述。 *Amazon WorkSpaces * 因此,若要從 WorkSpaces 存取適用於 ONTAP 檔案系統的*多可用區域* FSx,您必須選取與 198.19.0.0/16 不重疊的端點 IP 地址範圍。
1. 如果您沒有加入 Active Directory 的儲存虛擬機器 (SVM),請立即建立一個。例如,您可以佈建名為 的 SVM,`fsx`並將安全樣式設定為 `NTFS`。如需詳細資訊,請參閱[建立儲存虛擬機器 (主控台)](creating-svms.md#create-svm-console)。
1. 為您的 SVM 建立磁碟區。例如,您可以建立名為 的磁碟區`fsx-vol`,繼承 SVM 根磁碟區的安全樣式。如需詳細資訊,請參閱[建立FlexVol磁碟區 (主控台)](creating-volumes.md#create-volume-console)。
1. 在磁碟區上建立 SMB 共享。例如,您可以在名為 的磁碟區`workspace`上建立名為 的共用`fsx-vol`,並在其中建立名為 的資料夾`profiles`。如需詳細資訊,請參閱[管理 SMB 共用](create-smb-shares.md)。
1. 從執行 Windows Server 的 Amazon EC2 執行個體或從 WorkSpace 存取您的 Amazon FSx SVM。 WorkSpace 如需詳細資訊,請參閱[存取 FSx for ONTAP 資料](supported-fsx-clients.md)。
1. 您可以將共用映射至 Windows WorkSpaces 執行個體`Z:\`上的 :
![\[顯示 Windows Map Network Drive 對話方塊,用於將 ONTAP SMB 共用對應至 WorkSpace 上的字母。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/workspace-map-drive.png)
**步驟 2:將 FSx for ONTAP 檔案共用連結至使用者帳戶**
1. 在測試使用者的 WorkSpace 上,選擇 **Windows > 系統 > 進階系統設定**。
1. 在**系統屬性**中,選取**進階**索引標籤,然後按下**使用者設定檔**區段中的**設定**按鈕。登入的使用者會有 的設定檔類型`Local`。
1. 從 WorkSpace 登出測試使用者。
1. 將測試使用者設定為在您的 Amazon FSx 檔案系統上具有漫遊設定檔。在您的管理員 WorkSpaces 中,開啟 PowerShell 主控台,並使用類似下列範例的命令 (使用您先前在步驟 1 中建立的`profiles`資料夾):
```
Set-ADUser username -ProfilePath \\filesystem-dns-name\sharename\foldername\username
```
例如:
```
Set-ADUser testuser01 -ProfilePath \\fsx.fsxnworkspaces.com\workspace\profiles\testuser01
```
1. 登入測試使用者 WorkSpace。
1. 在**系統屬性**中,選取**進階**索引標籤,然後按下**使用者設定檔**區段中的**設定**按鈕。登入的使用者會有 的設定檔類型`Roaming`。
![\[Windows 使用者設定檔對話方塊顯示為 WorkSpace 使用者設定的設定檔。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/workspace-profiles.png)
1. 瀏覽 FSx for ONTAP 共用資料夾。在 `profiles` 資料夾中,您會看到使用者的資料夾。
![\[Windows File Explorer 對話方塊顯示 WorkSpace 使用者的新資料夾。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/workspace-new-folder.png)
1. 在測試使用者的`Documents`資料夾中建立文件
1. 從其 WorkSpace 登出測試使用者。
1. 如果您以測試使用者身分重新登入並瀏覽至其設定檔存放區,您將會看到您建立的文件。
![\[Windows File Explorer 對話方塊顯示 WorkSpace 使用者的新檔案。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/workspace-new-file.png)
## 提供共用資料夾以存取常見檔案
您可以使用 Amazon FSx 為組織中的使用者提供共用資料夾。共用資料夾可用來存放使用者社群使用的檔案,例如示範檔案、程式碼範例和所有使用者所需的指示手冊。一般而言,您擁有對應至共用資料夾的磁碟機;但由於對應磁碟機使用字母,因此您可以擁有的共用數量有限制。此程序會建立 Amazon FSx 共用資料夾,無需磁碟機代號即可使用,讓您更靈活地將共用指派給團隊。
**從 Linux 和 Windows WorkSpaces 掛載跨平台存取的共用資料夾**
1. 從**任務列**中,選擇**位置 > 連線至伺服器**。
1. 針對**伺服器**,輸入 *file-system-dns-name*。
1. 將**類型**設定為 `Windows share`。
1. 將**共用**設定為 SMB 共用的名稱,例如 `workspace`。
1. 您可以將**資料夾**保留為 `/`,或將其設定為資料夾,例如名為 的資料夾`team-shared`。
1. 對於 Linux WorkSpace,如果您的 Linux WorkSpace 與 Amazon FSx 共用位於相同的網域中,則不需要輸入使用者詳細資訊。
1. 選擇**連線**。
![\[連線至伺服器對話方塊顯示 SMB 共用的連線。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/workspace-connect.png)
1. 建立連線後,您可以在名為 的 SMB 共用中看到共用資料夾 (`team-shared`在此範例中命名)`workspace`。
![\[Windows 對話方塊顯示共用資料夾。\]](http://docs.aws.amazon.com/zh_tw/fsx/latest/ONTAPGuide/images/workspace-mounted.png)
# 搭配使用 Amazon Elastic Container Service 與 FSx for ONTAP
您可以從 Amazon EC2 Linux 或 Windows 執行個體上的 Amazon Elastic Container Service (Amazon ECS) Docker 容器存取 Amazon EC2 FSx for NetApp ONTAP 檔案系統。
## Amazon ECS Linux 容器上的掛載
1. 使用 Linux 容器的 EC2 Linux \$1 網路叢集範本建立 ECS 叢集。如需詳細資訊,請參閱《*Amazon Elastic Container Service 開發人員指南*》中的[建立叢集](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create_cluster.html)。
1. 在 EC2 執行個體上建立用於掛載 SVM 磁碟區的目錄,如下所示:
```
sudo mkdir /fsxontap
```
1. 在執行個體啟動期間使用使用者資料指令碼,或執行下列命令,在 Linux EC2 執行個體上掛載 FSx for ONTAP 磁碟區:
```
sudo mount -t nfs svm-ip-address:/vol1 /fsxontap
```
1. 使用以下命令掛載磁碟區:
```
sudo mount -t nfs -o nfsvers=NFS_version svm-dns-name:/volume-junction-path /fsxontap
```
下列範例使用範例值。
```
sudo mount -t nfs -o nfsvers=4.1 svm-01234567890abdef0.fs-01234567890abcdef1.fsx.us-east-1.amazonaws.com:/vol1 /fsxontap
```
您也可以使用 SVM 的 IP 地址,而不是其 DNS 名稱。
```
sudo mount -t nfs -o nfsvers=4.1 198.51.100.1:/vol1 /fsxontap
```
1. 建立 Amazon ECS 任務定義時,請在 JSON `mountPoints`容器定義中新增下列 `volumes`和 容器屬性。將 取代`sourcePath`為 FSx for ONTAP 檔案系統中的掛載點和目錄。
```
{
"volumes": [
{
"name": "ontap-volume",
"host": {
"sourcePath": "mountpoint"
}
}
],
"mountPoints": [
{
"containerPath": "containermountpoint",
"sourceVolume": "ontap-volume"
}
],
.
.
.
}
```
## 在 Amazon ECS Windows 容器上掛載
1. 使用 Windows 容器的 EC2 Windows \$1 網路叢集範本建立 ECS 叢集。如需詳細資訊,請參閱《*Amazon Elastic Container Service 開發人員指南*》中的[建立叢集](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create_cluster.html)。
1. 將加入網域的 Windows EC2 執行個體新增至 ECS Windows 叢集,並對應 SMB 共享。
啟動已加入 Active Directory 網域的 ECS 最佳化 Windows EC2 執行個體,並執行下列命令來初始化 ECS 代理程式。
```
PS C:\Users\user> Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
```
您也可以將指令碼中的資訊傳遞至使用者資料文字欄位,如下所示。
```
Initialize-ECSAgent -Cluster windows-fsx-cluster -EnableTaskIAMRole
```
1. 在 EC2 執行個體上建立 SMB 全域映射,讓您可以將 SMB 共用映射至磁碟機。取代 FSx 檔案系統低於 netbios 或 DNS 名稱的值並共用名稱。掛載在 Linux EC2 執行個體上的 NFS 磁碟區 vol1 在 FSx 檔案系統上設定為 CIFS 共用 fsxontap。
```
vserver cifs share show -vserver svm08 -share-name fsxontap
Vserver: svm08
Share: fsxontap
CIFS Server NetBIOS Name: FSXONTAPDEMO
Path: /vol1
Share Properties: oplocks
browsable
changenotify
show-previous-versions
Symlink Properties: symlinks
File Mode Creation Mask: -
Directory Mode Creation Mask: -
Share Comment: -
Share ACL: Everyone / Full Control
File Attribute Cache Lifetime: -
Volume Name: vol1
Offline Files: manual
Vscan File-Operations Profile: standard
Maximum Tree Connections on Share: 4294967295
UNIX Group for File Create: -
```
1. 使用下列命令在 EC2 執行個體上建立 SMB 全域映射:
```
New-SmbGlobalMapping -RemotePath \\fsxontapdemo.fsxontap.com\fsxontap -LocalPath Z:
```
1. 建立 Amazon ECS 任務定義時,請在 JSON `mountPoints`容器定義中新增下列 `volumes`和 容器屬性。將 取代`sourcePath`為 FSx for ONTAP 檔案系統中的掛載點和目錄。
```
{
"volumes": [
{
"name": "ontap-volume",
"host": {
"sourcePath": "mountpoint"
}
}
],
"mountPoints": [
{
"containerPath": "containermountpoint",
"sourceVolume": "ontap-volume"
}
],
.
.
.
}
```
# 搭配 FSx for ONTAP 使用 Amazon Elastic VMware Service
您可以使用 FSx for ONTAP 作為 Amazon Elastic VMware Service (Amazon EVS) 軟體定義資料中心 (SDDCs) 的外部資料存放區。如需詳細資訊,請參閱[使用 Amazon FSx for NetApp ONTAP 執行高效能工作負載](https://docs.aws.amazon.com/evs/latest/userguide/fsx-ontap.html)。如需詳細說明,請參閱將 [Amazon FSx for NetApp ONTAP 設定為 NFS 資料存放區](https://docs.aws.amazon.com/evs/latest/userguide/config-fsx-nfs-datastore.html),以及[將 Amazon FSx for NetApp ONTAP 設定為 iSCSI 資料存放區](https://docs.aws.amazon.com/evs/latest/userguide/config-fsx-iscsi-datastore.html)。
# 使用 VMware Cloud 搭配 FSx for ONTAP
您可以使用 FSx for ONTAP 作為 VMware Cloud on AWS Software-Defined Data Centers (SDDCs的外部資料存放區。如需詳細資訊,請參閱使用 [ Amazon FSx for NetApp ONTAP 部署指南,將 Amazon FSx for NetApp ONTAP 設定為外部儲存](https://docs.vmware.com/en/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-D55294A3-7C40-4AD8-80AA-B33A25769CCA.html?hWord=N4IghgNiBcIGYGcAeIC+Q)[和 VMware Cloud AWS FSx NetApp ](https://vmc.techzone.vmware.com/fsx-guide#overview)on。