AWS 内からデータにアクセスする - FSx for ONTAP
同じ VPC からのデータへのアクセス別の VPC からデータにアクセスする

AWS 内からデータにアクセスする

Amazon FSx の各ファイルシステムは、仮想プライベートクラウド (VPC) に関連付けられています。FSx for ONTAP ファイルシステムには、アベイラビリティーゾーンに関係なく、ファイルシステムの VPC 内の任意の場所からアクセスできます。別の AWS アカウントまたは AWS リージョンにあるその他の VPC からファイルシステムにアクセスすることもできます。以降のセクションで説明する FSx for ONTAP リソースへのアクセスの要件に加えて、データと管理トラフィックがファイルシステムとクライアントの間を移動できるようファイルシステムの VPC セキュリティグループが設定されていることを確認する必要もあります。必要なポートでのセキュリティグループの設定の詳細については、「Amazon VPC セキュリティグループ」を参照してください。

同じ VPC 内からデータへのアクセス

Amazon FSx for NetApp ONTAP ファイルシステムを作成するときに、それが配置されている Amazon VPC を選択します。Amazon FSx for NetApp ONTAP ファイルシステムに関連付けられているすべての SVM およびボリュームも同じ VPC に配置されます。ボリュームをマウントしているクライアントとファイルシステムが同じ VPC と AWS アカウント にある場合、ボリュームをマウントするとき、クライアントに応じて、SVM の DNS 名とボリュームジャンクションまたは SMB 共有を使用できます。詳細については、「ボリュームをマウントする」を参照してください。

クライアントとボリュームがファイルシステムのサブネットまたはマルチ AZ ファイルシステムの優先サブネットと同じアベイラビリティーゾーンにある場合、最適なパフォーマンスを実現できます。ファイルシステムのサブネットまたは優先サブネットを識別するには、Amazon FSx コンソールで [ファイルシステム] を選択し、マウントしているボリュームがある ONTAP ファイルシステムを選択します。サブネットまたは優先サブネット (マルチ AZ) が [サブネット] または [優先サブネット] に表示されます。

デプロイ用の VPC の外部からのデータへのアクセス

このセクションでは、ファイルシステムのデプロイ VPC の外部にある AWS ロケーションから FSx for ONTAP ファイルシステムのエンドポイントにアクセスする方法について説明します。

マルチ AZ ファイルシステム上の NFS、SMB、ONTAP 管理エンドポイントにアクセスする

Amazon FSx for NetApp ONTAP のマルチ AZ ファイルシステムの NFS、SMB、ONTAP 管理エンドポイントは、フローティングインターネットプロトコル (IP) アドレスを使用しています。これにより、接続しているクライアントがフェイルオーバーイベント中に優先ファイルサーバーとスタンバイファイルサーバー間をシームレスに移行できるようにします。フェイルオーバーについての詳細は、「FSx for ONTAP のフェイルオーバープロセス」を参照してください。

これらのフローティング IP アドレスは、ファイルシステムに関連付けられた VPC ルートテーブルに作成され、作成時に指定できるファイルシステムの EndpointIpAddressRange 内にあります。EndpointIpAddressRange は、ファイルシステムの作成方法に応じて、以下のアドレス範囲を使用します。

  • Amazon FSx コンソールを使用して作成されたマルチ AZ ファイルシステムは、デフォルトでは、ファイルシステムの EndpointIpAddressRange に対して VPC のプライマリ CIDR 範囲の末尾 64 個の IP アドレスを使用します。

  • AWS CLI または Amazon FSx API を使用して作成されたマルチ AZ ファイルシステムは、デフォルトでは、EndpointIpAddressRange に対して 198.19.0.0/16 アドレスブロック内の IP アドレス範囲を使用します。

フローティング IP アドレスをサポートするのは AWS Transit Gateway だけです。これは推移的なピアリング接続とも呼ばれます。VPC ピアリング、AWS Direct Connect、AWS VPN は推移的ピアリングをサポートしません。そのため、ファイルシステムの VPC の外部にあるネットワークからこれらのインターフェイスにアクセスするには、Transit Gateway を使用する必要があります。

下の図は、アクセス元のクライアントとは別の VPC にあるマルチ AZ ファイルシステムに対する NFS、SMB、または管理アクセスに Transit Gateway を使用する方法を示しています。

Transit Gateway を使用して、ファイルシステムとは別の VPC にあるクライアントで、FSx for ONTAP のマルチ AZ ファイルシステムの NFS、SMB、ONTAP 管理エンドポイントにアクセスする方法です。
注記

使用しているすべてのルートテーブルがマルチ AZ ファイルシステムに関連付けられていることを確認します。これにより、フェイルオーバー中に使用できなくなるのを防ぐことができます。Amazon VPC ルートテーブルとファイルシステムの関連付けの詳細については、「ファイルシステムの更新」を参照してください。

FSx for ONTAP ファイルシステムにアクセスするために Transit Gateway を使用する必要がある場合の詳細については、「Transit Gateway はどのような場合に必要ですか。」を参照してください。

シングル AZ ファイルシステムの NFS、SMB、または ONTAP CLI と API にアクセスする

NFS または SMB 経由の FSx for ONTAP のシングル AZ ファイルシステムへのアクセス、およびONTAP CLI または REST API を使用したファイルシステムの管理に使用されるエンドポイントは、アクティブなファイルサーバーの ENI 上のセカンダリ IP アドレスです。セカンダリ IP アドレスは VPC の CIDR 範囲内にあるため、クライアントは VPC ピアリング、AWS Direct Connect、AWS VPN を使用してデータと管理ポートにアクセスできます。AWS Transit Gateway は必要ありません。

下の図は、アクセス元のクライアントとは別の VPC にあるシングル AZ に対する NFS、SMB、または管理アクセスに AWS VPN または AWS Direct Connect を使用する方法を示しています。

AWS VPN または AWS Direct Connect を使用して、アクセスするクライアントとは別の VPC にあるマルチ AZ ファイルシステムの NFS、SMB、ONTAP 管理エンドポイントにアクセスする方法です。

Transit Gateway はどのような場合に必要ですか。

マルチ AZ ファイルシステムに Transit Gateway が必要かどうかは、ファイルシステムのデータへのアクセスに使用する方法によって異なります。シングル AZ ファイルシステムには、Transit Gateway は必要ありません。次の表は、マルチ AZ ファイルシステムへのアクセスに AWS Transit Gateway 使用する必要がある場合を示しています。

データアクセス Transit Gateway は必要ですか。

NFS、SMB、または NetApp ONTAP REST API、CLI、または BlueXP 経由での FSx へのアクセス

次の場合のみ必要です。

  • ピアリング接続されたネットワーク (オンプレミスなど) からアクセスし、

  • NetApp FlexCache またはグローバルファイルキャッシュインスタンスから FSx にアクセスしない
iSCSI 経由でデータにアクセスする いいえ
SVM をアクティブディレクトリに結合する いいえ
SnapMirror いいえ
FlexCache キャッシュ いいえ
グローバルファイルキャッシュ いいえ

AWS Transit Gateway を使用してルーティングを設定する

VPC の CIDR 範囲外にある EndpointIPAddressRange を持つマルチ AZ ファイルシステムを使用している場合は、ピアネットワークまたはオンプレミスネットワークからファイルシステムにアクセスするために、AWS Transit Gateway に追加のルーティングを設定する必要があります。

重要

Transit Gateway を使用してマルチ AZ ファイルシステムにアクセスするには、ルートテーブルがファイルシステムに関連付けられているサブネットにトランジットゲートウェイの各アタッチメントを作成する必要があります。

注記

VPC の IP アドレス範囲内にある EndpointIPAddressRange を持つシングル AZ ファイルシステムまたはマルチ AZ ファイルシステムでは、中継ゲートウェイの設定は必要ありません。

AWS Transit Gateway を使用してルーティングを設定するには

  1. https://console.aws.amazon.com/fsx/ で Amazon FSx コンソールを開きます。

  2. ピアリングされた接続ネットワークからのアクセスを設定する FSx for ONTAP ファイルシステムを選択します。

  3. [Network & security] (ネットワークとセキュリティ) で [Endpoint IP address range] (エンドポイント IP アドレス範囲) をコピーします。

    コピーするエンドポイント IP アドレス範囲の値を表示している Amazon FSx コンソールのファイルシステムのネットワークとセキュリティタブ。

  4. この IP アドレス範囲宛てのトラフィックをファイルシステムの VPC にルーティングするルートを Transit Gateway に追加します。詳細については、「Amazon VPC Transit Gateways」にある「トランジットゲートウェイの使用」を参照してください。

  5. ピアリングされたネットワークから FSx for ONTAP ファイルシステムにアクセスできることを確認します。

ルートテーブルをファイルシステムに追加するには、「ファイルシステムの更新」を参照してください。

注記

管理、NFS、および SMB エンドポイントの DNS レコードは、ファイルシステムと同じ VPC 内からのみ解決できます。ボリュームをマウントしたり、別のネットワークから管理ポートに接続したりするには、エンドポイントの IP アドレスを使用する必要があります。これらの IP アドレスは、時間の経過とともに変化しません。

デプロイ用 VPC の外部の iSCSI またはクラスター間エンドポイントにアクセスする

VPC ピアリングまたは AWS Transit Gateway を使用してファイルシステムのデプロイ VPC の外部からファイルシステムの iSCSI またはクラスター間エンドポイントにアクセスできます。VPC ピアリングを使用して、VPC 間で iSCSI とクラスター間トラフィックをルーティングできます。VPC ピアリング接続は 2 つの VPC の間のネットワーキング接続で、プライベート IPv4 アドレスを使用して 2 つの VPC 間でトラフィックをルーティングするために使用されます。VPC ピアリング接続を使用して、同じ AWS リージョン または異なる AWS リージョン 間の VPC を接続できます。詳細については、[Amazon VPC Peering Guide] (Amazon VPC ピアリングガイド) の [What is VPC peering? (VPC ピアリング機能とは) を参照してください。