Amazon VPC を使用したファイルシステムアクセスコントロール - FSx for Lustre

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon VPC を使用したファイルシステムアクセスコントロール

Amazon FSx ファイルシステムは、ファイルシステムに関連付ける Amazon VPC サービスに基づいて仮想プライベートクラウド (VPC) 内に存在する Elastic Network Interface を通してアクセスできます。Amazon FSx ファイルシステムにアクセスするには、ファイルシステムのネットワークインターフェイスにマッピングされる DNS 名を使用します。関連付けられた VPC 内のリソースまたはピアリングされた VPC のみが、ファイルシステムのネットワークインターフェイスにアクセスできます。詳細については、「Amazon VPC ユーザーガイド」の「Amazon VPC とは」を参照してください。

警告

Amazon FSx Elastic Network Interface のネットワークインターフェイスを変更または削除しないでください。このネットワークインターフェイスを変更または削除すると、VPC とファイルシステムとの間の接続が完全に失われる可能性があります。

Amazon VPC セキュリティグループ

VPC 内のファイルシステムのネットワークインターフェイスを通過するネットワークトラフィックをさらにコントロールするには、セキュリティグループを使用してファイルシステムへのアクセスを制限します。セキュリティグループ は、仮想ファイアウォールとして機能し、関連付けられたインスタンスへのトラフィックを管理します。この場合、関連付けられたリソースはファイルシステムのネットワークインターフェイスです。VPC セキュリティグループを使用して Lustre クライアントのネットワークトラフィックをコントロールします。

インバウンドルールとアウトバンドルールを使用したアクセスのコントロール

セキュリティグループを使用して Amazon FSx ファイルシステムと Lustre クライアントへのアクセスをコントロールするには、インバウンドルール、およびファイルシステムと Lustre クライアントから送信されるトラフィックをコントロールするアウトバンドルールを追加します。Amazon FSx ファイルシステムのファイル共有を、サポートされているコンピューティングインスタンス上のフォルダーにマッピングするために、セキュリティグループに適切なネットワークトラフィックルールがあることを確認します。

Amazon EC2 セキュリティグループの詳細については、「Linux インスタンス用の Amazon EC2 ユーザーガイド」の「セキュリティグループルール」を参照してください。

Amazon FSx ファイルシステムのセキュリティグループを作成するには
  1. Amazon EC2 コンソール https://console.aws.amazon.com/ec2 を開きます。

  2. ナビゲーションペインで、[セキュリティグループ] を選択します。

  3. [Create Security Group] (セキュリティグループの作成) を選択します。

  4. セキュリティグループの名前と説明を指定します。

  5. VPC については、Amazon FSx ファイルシステムに関連付けられている VPC を選択し、その VPC 内にセキュリティグループを作成します。

  6. [Create] (作成) を選択して、セキュリティグループを作成します。

次に、作成したセキュリティグループにインバウンドルールを追加して、FSx for Lustre ファイルサーバー間の Lustre トラフィックを有効にします。

セキュリティグループへのインバウンドルールの追加
  1. 作成したセキュリティグループが選択されていない場合は、そのセキュリティグループを選択します。[Actions] (アクション) メニューで、[Edit inbound rules] (インバウンドルールの編集) を選択します。

  2. 次のインバウンドルールを追加します。

    タイプ プロトコル ポート範囲 ソース 説明
    カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、作成したセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバ間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、Lustre クライアントに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、作成したセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバ間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、Lustre クライアントに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
  3. [Save] (保存) をクリックして、新しいインバウンドルールを保存して適用します。

デフォルトでは、セキュリティグループルールは、すべてのアウトバウンドトラフィック (すべて、0.0.0.0/0) を許可します。セキュリティグループがすべてのアウトバウンドトラフィックを許可していない場合は、次のアウトバウンドルールをセキュリティグループに追加します。ルールでは、FSx for Lustre ファイルサーバーと Lustre クライアント間、および Lustre ファイルサーバー間のトラフィックが許可されます。

セキュリティグループにアウトバウンドルールを追加するには
  1. インバウンドルールを追加したのと同じセキュリティグループを選択します。[Actions] (アクション) メニューで、[Edit outbound rules] (アウトバウンドルールの編集) を選択します。

  2. 次のアウトバウンドルールを追加します。

    タイプ プロトコル ポート範囲 ソース 説明
    カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、作成したセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバ間の Lustre トラフィックを許可する
    カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、Lustre クライアントに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、作成したセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバ間の Lustre トラフィックを許可します
    カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、Lustre クライアントに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
  3. [Save] (保存) を選択して、新しいアウトバウンドルールを保存して適用します。

Amazon FSx ファイルシステムに関連付けられているセキュリティグループを関連付けるには
  1. Amazon FSx コンソール (https://console.aws.amazon.com/fsx/) を開きます。

  2. コンソールダッシュボードで、ファイルシステムを選択して詳細を表示します。

  3. リポジトリの [Network & Security] (ネットワーク & セキュリティ) タブで、ファイルシステムのネットワークインターフェイス ID を選択します (例: ENI-01234567890123456)。これにより Amazon EC2 コンソールにリダイレクトされます。

  4. 各ネットワークインターフェイス ID を選択します。アクションごとに、Amazon EC2 コンソールの新しいインスタンスがブラウザで開きます。セキュリティグループで、[Actions] (アクション) の [Change Security Groups] (セキュリティグループ変更) をクリックします。

  5. [Change Security Groups] (セキュリティグループ変更) ダイアログボックスで、使用するセキュリティグループを選択し、[Save] (保存) を選択します。

Lustre クライアント VPC セキュリティグループのルール

VPC セキュリティグループを使用して、Lustre クライアントへのアクセスをコントロールします。これには、Lustre クライアントから送信されるトラフィックをコントロールするインバウンドルール、およびアウトバンドルールを追加します。Lustre トラフィックが Lustre クライアントと Amazon FSx ファイルシステム間を流れることができるように、セキュリティグループに適切なネットワークトラフィックルールがあることを確認してください。

Lustre クライアントに適用されるセキュリティグループに、次のインバウンドルールを追加します。

タイプ プロトコル ポート範囲 ソース 説明
カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 Lustre クライアント間の Lustre トラフィックを許可する
カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 Lustre クライアント間の Lustre トラフィックを許可する
カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します

Lustre クライアントに適用されるセキュリティグループに、次のアウトバウンドルールを追加します。

タイプ プロトコル ポート範囲 ソース 説明
カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 Lustre クライアント間の Lustre トラフィックを許可する
カスタム TCP ルール TCP 988 [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します
カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、Lustre クライアントに適用されたセキュリティグループのセキュリティグループ ID を入力します。 Lustre クライアント間の Lustre トラフィックを許可する
カスタム TCP ルール TCP 1018-1023 [Custom] (カスタム) を選択して、FSx for Lustre ファイルシステムに関連付けられたセキュリティグループのセキュリティグループ ID を入力します。 FSx for Lustre ファイルサーバーと Lustre クライアント間の Lustre トラフィックを許可します