Amazon FSx for Windows File Server でサポートされているクライアント、アクセス方法、および環境 - Amazon FSx for Windows File Server

Amazon FSx for Windows File Server でサポートされているクライアント、アクセス方法、および環境

AWS 環境とオンプレミス環境の両方からサポートされているさまざまなクライアントとメソッドを使用して、Amazon FSx ファイルシステムにアクセスできます。

サポートされているクライアント

Amazon FSx は、さまざまなコンピューティングインスタンスおよびオペレーティングシステムからのファイルシステムへの接続をサポートしています。これは、サーバーメッセージブロック (SMB) プロトコル、バージョン 2.0 から 3.1.1 を介したアクセスをサポートすることによって行われます。

AWS コンピューティングインスタンスは、Amazon FSx との使用をサポートしています。

Amazon FSx では、次のオペレーティングシステムがサポートされています。

  • Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、および Windows Server 2022。

  • Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10 (WorkSpace の Windows 7 と Windows 10 のデスクトップエクスペリエンスを含む)、および Windows 11。

  • cifs-utils ツールを使用した Linux。

  • macOS

サポートされているアクセス方法

Amazon FSx では、次のアクセス方法とアプローチを使用できます。

デフォルトの DNS 名を使用してファイルシステムにアクセスする

FSx for Windows ファイルサーバーは、すべてのファイルシステムに対してドメインネームシステム (DNS) 名を提供します。FSx for Windows ファイルサーバーファイルシステムにアクセスするには、この DNS 名を使用して、コンピューティングインスタンス上のドライブ文字を Amazon FSx ファイル共有にマッピングします。詳細については、「Microsoft Windows ファイル共有を使用する」を参照してください。

重要

Amazon FSx は、Microsoft DNS をデフォルトの DNS として使用している場合にのみ、ファイルシステムの DNS レコードを登録します。サードパーティー DNS を使用している場合は、Amazon FSx ファイルシステムの DNS エントリをマニュアルで設定する必要があります。ファイルシステムに使用する正しい IP アドレスの選択については、「DNS に使用する正しいファイルシステムの IP アドレスを取得する」を参照してください。

DNS 名を見つけるには:

  • Amazon FSx コンソールで [File systems] (ファイルシステム) を選択し、[Details] (詳細) を選択します。[Network & Security] (ネットワークとセキュリティ) で DNS 名を表示します。

  • または、CreateFileSystem ないし DescribeFileSystems API コマンドのレスポンスで表示します。

AWS マネージド Microsoft アクティブディレクトリに接続しているすべてのシングル AZ ファイルシステムの場合、DNS 名は以下のようになります。fs-0123456789abcdef0.ad-dns-domain-name

セルフマネージドアクティブディレクトリに接続しているすべてのシングル AZ ファイルシステム、およびマルチ AZ ファイルシステムでは、DNS 名は次のようになります。amznfsxaa11bb22.ad-domain.com

Kerberos 認証での DNS 名の使用

Amazon FSx との転送中に、Kerberos ベースの認証と暗号化を使用することをお勧めします。Kerberos は、ファイルシステムにアクセスするクライアントに対して最も安全な認証を提供します。SMB セッションで転送中のデータの Kerberos ベースの認証と暗号化を有効にするには、Amazon FSx によって提供されるファイルシステムの DNS 名を使用してファイルシステムにアクセスします。

AWS マネージド Microsoft アクティブディレクトリとオンプレミスのアクティブディレクトリの間に外部信頼が設定されている場合、Amazon FSx Remote PowerShell を Kerberos 認証で使用するには、クライアント上でフォレストの検索順序をローカルグループポリシーで設定する必要があります。詳細については、「Microsoft ドキュメント」の「Kerberos フォレスト検索順序 (KFSO) の設定」を参照してください。

DNS エイリアスを使用したファイルシステムへのアクセス

FSx for Windows ファイルサーバー、ファイル共有にアクセスするために使用できるすべてのファイルシステムの DNS 名を提供します。FSx for Windows ファイルサーバーのファイルシステムのエイリアスを登録することにより、Amazon FSx が作成するデフォルトの DNS 名以外の DNS 名から Amazon FSx へのアクセスを有効にすることもできます。

DNS エイリアスを使用すると、Windows ファイル共有データを Amazon FSx に移動しても、既存の DNS 名を引き続き使用して Amazon FSx のデータにアクセスできます。DNS エイリアスを使うと、意味を持った名前を使用して Amazon FSx ファイルシステムに接続するためのツールやアプリケーションを管理しやすくすることもできます。詳細については、「DNS エイリアスを管理する」を参照してください。

Kerberos 認証での DNS エイリアスの使用

Amazon FSx との転送中に、Kerberos ベースの認証と暗号化を使用することをお勧めします。Kerberos は、ファイルシステムにアクセスするクライアントに対して最も安全な認証を提供します。DNS エイリアスを使用して Amazon FSx にアクセスするクライアントに対して Kerberos 認証を有効にするには、Amazon FSx ファイルシステムのアクティブディレクトリコンピュータオブジェクトの DNS エイリアスに対応するサービスプリンシパル名 (SPN) を追加する必要があります。

必要に応じて、アクティブディレクトリで次のグループポリシーオブジェクト (GPO) を設定することで、DNS エイリアスを使用してファイルシステムにアクセスするクライアントに Kerberos 認証と暗号化を使用するように強制できます。

  • NTLM の制限: リモートサーバーへの発信 NTLM トラフィック - このポリシー設定を使用して、コンピュータから Windows オペレーティングシステムを実行しているリモートサーバーへの発信 NTLM トラフィックを拒否または監査します。

  • NTLM の制限: NTLM 認証用のリモート サーバーの例外を追加する - このポリシー設定を使用すると、ネットワークセキュリティ: NTLM の制限: リモートサーバーへの発信 NTLM トラフィックのポリシーが設定されている場合に、クライアントデバイスが NTLM 認証を使用することが許可されるリモートサーバーの例外リストを作成できます。

詳細については、「チュートリアル 5: DNS エイリアスを使用してファイルシステムにアクセスする」を参照してください。

FSx for Windows ファイルサーバーのファイルシステムおよび DFS 名前空間の操作

FSx for Windows ファイルサーバーでは、Microsoft 分散ファイルシステム (DFS) 名前空間の使用がサポートされています。DFS 名前空間を使用すると、複数のファイルシステム上のファイル共有を、ファイルデータセット全体にアクセスするために使用する 1 つの共通のフォルダ構造 (名前空間) に整理できます。DFS 名前空間内の名前を使用して Amazon FSx ファイルシステムにアクセスするには、リンクターゲットをファイルシステムの DNS 名に設定します。詳細については、「DFS 名前空間で複数のファイルシステムをグループ化する」を参照してください。

サポートされている環境

ファイルシステムと同じ VPC にあるリソースからファイルシステムにアクセスできます。詳細と手順については、「チュートリアル 1:スタートするための前提条件」を参照してください。

また、2019 年 2 月 22 日以降に作成されたファイルシステムには、オンプレミスのリソースや別の VPC、AWS アカウント、またはAWS リージョンにあるリソースからアクセスすることができます。次の表は、ファイルシステムが作成された時期に応じて、サポートされている各環境で Amazon FSx がクライアントからのアクセスをサポートする環境を示しています。

次の場所に所在するクライアント 2019 年 2 月 22 日以前に作成されたファイルシステムへのアクセス 2020 年 12 月 17 日以前に作成されたファイルシステムへのアクセス 2020 年 12 月 17 日以降に作成されたファイルシステムへのアクセス

ファイルシステムが作成されるサブネット

ファイルシステムが作成された VPC のプライマリ CIDR ブロック

ファイルシステムが作成された VPC のセカンダリ CIDR

RFC1918 プライベート IP アドレス範囲内の IP アドレスを持つクライアント:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

IP アドレスが次の CIDR ブロック範囲外にあるクライアント: 198.19.0.0/16

その他の CIDR またはピアリングされたネットワーク

注記

場合によっては、2020 年 12 月 17 日以前に作成されたファイルシステムに、非プライベート IP アドレス範囲を使用してオンプレミスからアクセスしたいことがあります。これを行うには、ファイルシステムのバックアップから新しいファイルシステムを作成します。詳細については、「バックアップの使用」を参照してください。

次に、オンプレミスや異なる VPC、AWS アカウント、AWS リージョンから FSx for Windows ファイルサーバーファイルシステムにアクセスする方法について説明します。

オンプレミスから FSx for Windows ファイルサーバーファイルシステムへのアクセス

FSx for Windows ファイルサーバーは、AWS Direct Connect または AWS VPN をクリックして、オンプレミスのコンピューティングインスタンスからファイルシステムにアクセスします。AWS Direct Connect をサポートすることで、FSx for Windows ファイルサーバーは、オンプレミス環境から専用のネットワーク接続でファイルシステムにアクセスできるようになります。AWS VPN をサポートすることで、FSx for Windows ファイルサーバーは、安全なプライベートトンネルを介して、オンプレミスデバイスからファイルシステムにアクセスできるようになります。

Amazon FSx ファイルシステムに関連付けられた VPC にオンプレミス環境を接続すると、DNS 名または DNS エイリアスを使用してファイルシステムにアクセスできるようになります。これは、VPC 内のコンピューティングインスタンスからの場合と同様に行います。AWS Direct Connect の詳細については、「AWS Direct Connect ユーザーガイド」を参照してください。AWS VPN 接続の設定の詳細については、「Amazon VPC ユーザーガイド」の「VPN 接続」を参照してください。

FSx for Windows ファイルサーバーでは Amazon FSx ファイルゲートウェイの使用もサポートし、オンプレミスのコンピューティングインスタンスからクラウド内 FSx for Windows ファイルサーバー共有に低レイテンシーでシームレスにアクセスできます。詳細については、「Amazon FSx ファイルゲートウェイユーザーガイド」を参照してください。

別の VPC、アカウント、または AWS リージョン から FSx for Windows ファイルサーバーのファイルシステムにアクセスする

FSx for Windows ファイルサーバーファイルシステムは、ファイルシステムに関連付けられたものとは異なる VPC、AWS アカウント、AWS リージョンのコンピューティングインスタンスからアクセスすることができます。これは、VPC ピアリングまたはトランジットゲートウェイを使用して行うことができます。VPC ピアリング接続またはトランジットゲートウェイを使用して VPC を接続する場合、ある VPC にあるコンピューティングインスタンスは、別の VPC にある Amazon FSx ファイルシステムにアクセスできます。このアクセスは、VPC が異なるアカウントに属していても、VPC が異なる AWS リージョンに存在していても可能です。

VPC ピアリング接続 とは、2 つの VPC 間のネットワーク接続のことで、プライベート IPv4 アドレスまたは IP バージョン 6 (IPv6) アドレスを使って VPC 間でトラフィックをルーティングする場合に使用できます。VPC ピアリング接続を使用して、同じ AWS リージョン内または AWS リージョン間の VPC を接続できます。VPC ピアリングの詳細については、「Amazon VPC ピアリングガイド」の「VPC ピアリングとは?」を参照してください。

トランジットゲートウェイ は、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークのトランジットハブです。VPC トランジットゲートウェイの使用についての詳細は、「Amazon VPC トランジットゲートウェイ」の「トランジットゲートウェイの開始方法」を参照してください。

VPC ピアリング接続またはトランジットゲートウェイ接続を設定したら、DNS 名を使用してファイルシステムにアクセスできます。これは、関連付けられた VPC 内のコンピューティングインスタンスからの場合と同じように行います。