本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
FSx for Windows File Server 的最佳實務
建議您在使用 Amazon FSx for Windows File Server 時遵循這些最佳實務。
一般最佳實務
建立監控計畫
您可以使用檔案系統指標來監控儲存和效能用量、了解用量模式,並在用量接近檔案系統的儲存或效能限制時觸發通知。監控 Amazon FSx 檔案系統以及應用程式環境的其餘部分,可讓您快速偵錯可能影響效能的任何問題。
確保您的檔案系統有足夠的資源
如果資源不足,可能會導致 I/O 請求的延遲和佇列增加,這可能會顯示為檔案系統的完全或部分無法使用。如需監控效能和存取效能警告和建議的詳細資訊,請參閱 效能警告和建議。
安全最佳實務
我們建議您遵循這些最佳實務來管理檔案系統的安全性和存取控制。如需設定 Amazon FSx 以符合您的安全與合規目標的詳細資訊,請參閱 Amazon FSx 的安全性。
網路安全
請勿修改或刪除與您檔案系統相關聯的 ENI
您的 Amazon FSx 檔案系統是透過彈性網路界面 (ENI) 存取,該界面位於與您檔案系統相關聯的虛擬私有雲端 (VPC) 中。修改或刪除網路界面可能會導致 VPC 和檔案系統之間的連線永久中斷。
使用安全群組和網路 ACL
您可以使用安全群組和網路存取控制清單 (ACLs) 來限制對檔案系統的存取。對於 VPC 安全群組,預設安全群組已新增至 主控台中的檔案系統。請確定您建立檔案系統之子網路的安全群組和網路 ACLs 允許連接埠上的流量。
Active Directory
建立 Amazon FSx 檔案系統時,您可以將其加入 Microsoft Active Directory 網域,以提供使用者身分驗證,以及共用、檔案和資料夾層級存取控制授權。您的使用者可以使用其現有的 Active Directory 帳戶連線到檔案共用,並存取其中的檔案和資料夾。此外,您可以將現有的安全 ACL 組態遷移至 Amazon FSx,無需進行任何修改。Amazon FSx 為您提供兩種 Active Directory 選項:AWS 受管 Microsoft Active Directory 或自我管理 Microsoft Active Directory。
如果您使用的是 AWS 受管 Microsoft Active Directory,我們建議您保留 Active Directory 安全群組的預設設定。如果您修改這些設定,請確定您維護的網路組態符合網路需求。如需詳細資訊,請參閱網路先決條件。
如果您使用的是自我管理的 Microsoft Active Directory,您還有其他設定檔案系統的選項。將 Amazon FSx 與自我管理的 Microsoft Active Directory 搭配使用時,我們建議初始組態採用下列最佳實務:
-
將子網路指派給單一 Active Directory 網站:如果您的 Active Directory 環境有大量網域控制站,請使用 Active Directory 網站和服務,將 Amazon FSx 檔案系統所使用的子網路指派給具有最高可用性和可靠性的單一 Active Directory 網站。請確定DCs 上的 VPC 安全群組、VPC 網路 ACL、Windows 防火牆規則,以及您在 Active Directory 基礎設施中擁有的任何其他網路路由控制,允許在必要的連接埠上從 Amazon FSx 進行通訊。如果 Windows 無法使用指派的 Active Directory 網站,這可讓 Windows 還原至其他 DCs。如需詳細資訊,請參閱使用 Amazon VPC 的檔案系統存取控制。
-
使用單獨的組織單位 (OU):為您的 Amazon FSx 檔案系統使用 OU,該檔案系統與您可能擁有的任何其他組織單位分開。
-
使用所需的最低權限設定您的服務帳戶:使用所需的最低權限設定或委派您提供給 Amazon FSx 的服務帳戶。如需詳細資訊,請參閱使用自我管理的 Microsoft Active Directory。
-
持續驗證您的 Active Directory 組態:在建立 Amazon FSx 檔案系統之前,針對您的 Active Directory 組態執行 Amazon FSx Active Directory 驗證工具,以驗證您的組態是否適用於 Amazon FSx,並探索工具可能公開的任何警告和錯誤。 FSx
-
使用 存放 Active Directory 登入 AWS Secrets Manager資料:您可以使用 AWS Secrets Manager 安全地存放和管理 Microsoft Active Directory 網域聯結服務帳戶登入資料。這種方法不需要在應用程式程式碼或組態檔案中以純文字存放敏感登入資料,以強化您的安全狀態。如需詳細資訊,請參閱使用 存放 Active Directory 登入資料 AWS Secrets Manager。
避免因 Active Directory 設定錯誤而失去可用性
搭配自我管理的 Microsoft Active Directory 使用 Amazon FSx 時,不僅在建立檔案系統期間擁有有效的 Active Directory 組態,而且對於持續的操作和可用性也很重要。在故障復原事件、例行維護事件和輸送量容量更新動作期間,Amazon FSx 會將檔案伺服器資源重新加入您的 Active Directory。如果 Active Directory 組態在事件期間無效,您的檔案系統會變更為設定錯誤的狀態,並且有無法使用的風險。以下是您可以避免失去可用性的一些方法:
-
使用 Amazon FSx 保持 Active Directory 組態更新:如果您進行變更,例如重設服務帳戶的密碼,請務必更新使用此服務帳戶的任何檔案系統的組態。
-
監控 Active Directory 設定錯誤:為自己設定設定錯誤狀態通知,以便您可以視需要重設檔案系統的 Active Directory 組態。如需使用 Lambda 型解決方案實現此目標的範例,請參閱使用 Amazon EventBridge 監控 Amazon FSx 檔案系統的運作狀態和 AWS Lambda
。 -
定期驗證您的 Active Directory 組態:如果您想要主動偵測 Active Directory 錯誤組態,我們建議您持續針對 Active Directory 組態執行 Active Directory 驗證工具。如果您在執行驗證工具時收到警告或錯誤,這表示您的檔案系統有設定錯誤的風險。
-
請勿移動或修改 FSx 建立的電腦物件:Amazon FSx 會使用您提供的服務帳戶和許可,在 Active Directory 中建立和管理電腦物件。移動或修改這些電腦物件可能會導致您的檔案系統設定錯誤。
Windows ACLs
透過 Amazon FSx,您可以使用標準 Windows 存取控制清單 (ACLs) 進行精細分級的共用、檔案和資料夾層級存取控制。Amazon FSx 檔案系統會自動驗證存取檔案系統資料以強制執行這些 Windows ACLs的使用者憑證。
-
請勿變更 SYSTEM 使用者的 NTFS ACL 許可:Amazon FSx 要求 SYSTEM 使用者擁有檔案系統內所有資料夾的完整控制 NTFS ACL 許可。變更 SYSTEM 使用者的 NTFS ACL 許可可能會導致您的檔案系統無法存取,且未來的檔案系統備份可能會變得無法使用。
設定和調整檔案系統的正確大小
選取部署類型
Amazon FSx 提供兩種部署選項:單一可用區和多可用區。對於大多數需要高可用性共用 Windows 檔案資料的生產工作負載,我們建議使用多可用區域檔案系統。如需詳細資訊,請參閱可用性和耐久性:單一可用區和多可用區檔案系統。
選取輸送量容量
為您的檔案系統設定足夠的輸送量容量,不僅符合工作負載的預期流量,還滿足支援您想要在檔案系統上啟用的功能所需的額外效能資源。例如,如果您正在執行重複資料刪除,您選取的輸送量容量必須提供足夠的記憶體,才能根據您擁有的儲存體執行重複資料刪除。如果您使用的是影子複本,請將輸送量容量增加到至少為工作負載預期驅動值的三倍的值,以避免 Windows Server 刪除您的影子複本。如需詳細資訊,請參閱輸送量容量對效能的影響。
增加儲存容量和輸送量容量
當檔案系統的可用儲存體不足,或預期您的儲存體需求增長大於目前的儲存體限制時,請增加檔案系統的儲存容量。我們建議您隨時在檔案系統上維持至少 20% 的可用儲存容量。我們也建議在增加儲存容量之前,將輸送量容量增加至少 20%,以抵消增加儲存期間的任何效能影響。您可以使用 FreeStorageCapacity CloudWatch 指標來監控可用的可用儲存量,並了解其趨勢。如需詳細資訊,請參閱管理儲存容量。
如果您的工作負載受限於目前的效能限制,您也應該增加檔案系統的輸送量容量。您可以使用 FSx 主控台上的監控和效能頁面,查看工作負載需求何時接近或超過效能限制,以判斷您的檔案系統是否針對工作負載佈建不足。
為了將儲存擴展持續時間降至最低,並避免降低寫入效能,建議您在增加儲存容量之前增加檔案系統的輸送量容量,然後在儲存容量增加完成後縮減輸送量容量。大多數工作負載在儲存擴展期間對效能的影響最小。不過,具有 HDD 儲存類型的檔案系統,以及涉及大量最終使用者、高階 I/O 或具有大量小型檔案的資料集的工作負載,可能會暫時降低效能。如需詳細資訊,請參閱儲存容量增加,且檔案系統效能。
修改閒置期間的輸送量容量
更新輸送量容量會中斷單一可用區檔案系統的可用性幾分鐘,並導致多可用區檔案系統的容錯移轉和容錯回復。對於多可用區域檔案系統,如果容錯移轉和容錯回復期間有持續的流量,則在此期間所做的任何資料變更都需要在檔案伺服器之間同步。對於寫入密集型和 IOPS 密集型工作負載,資料同步程序最多可能需要數小時。雖然在此期間您的檔案系統將繼續可用,但我們建議您在檔案系統負載最少時,排定維護時段並在閒置期間執行輸送量容量更新,以減少資料同步的持續時間。如需進一步了解,請參閱管理輸送量容量。
