管理 DNS 别名 - Amazon FSx for Windows File Server
Kerberos 身份验证使用 DNS 别名查看与文件系统和备份关联的 DNS 别名DNS 别名状态在创建新文件系统时关联 DNS 别名管理现有文件系统上的 DNS 别名

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理 DNS 别名

FSx for Windows File Server 为每个文件系统提供了一个默认域名系统(DNS)名称,可以用于访问文件系统上的数据。您也可以使用自行选择的 DNS 别名访问您的文件系统。DNS 别名使您能够在将文件系统存储从本地迁移到 Amazon FSx 时,继续使用现有 DNS 名称访问存储在 Amazon FSx 上的数据。有关更多信息,请参阅 将现有文件存储迁移到 Amazon FSx

注意

美国东部时间 2020 年 11 月 9 日下午 12:00 之后创建的 FSx for Windows File Server 文件系统支持 DNS 别名。若要在美国东部时间 2020 年 11 月 9 日下午 12:00 之前创建的文件系统上使用 DNS 别名,请执行如下操作:

  1. 备份现有文件系统。有关更多信息,请参阅 使用用户启动备份

  2. 将备份恢复到新的文件系统。有关更多信息,请参阅 还原备份

新文件系统可用后,您将能够根据本节中提供的信息使用 DNS 别名访问该文件系统。

注意

此处提供的信息假设您完全在 Active Directory 内进行工作,并且您没有使用外部 DNS 提供商。第三方 DNS 提供商可能会导致意外行为。

只有当您要加入的 AD 域使用 Microsoft DNS 作为默认 DNS 时,Amazon FSx 才会注册文件系统的 DNS 记录。如果您使用的是第三方 DNS,则需要在创建文件系统后手动设置 Amazon FSx 文件系统的 DNS 条目。有关为文件系统选择正确 IP 地址的更多信息,请参阅获取用于 DNS 的正确的文件系统 IP 地址

在创建新文件系统以及从备份创建新文件系统时,可以将 DNS 别名与现有 FSx for Windows File Server 相关联。每次最多可以将 50 个 DNS 别名与一个文件系统关联。

除了将 DNS 别名关联到文件系统外,客户端要使用 DNS 别名连接到文件系统,您还必须执行以下操作:

  • 为 Kerberos 身份验证和加密配置服务主体名称(SPN)。

  • 为 DNS 别名配置一个新的 DNS CNAME 记录,将其解析为 Amazon FSx 文件系统的默认 DNS 名称。

有关更多信息,请参阅 演练 5:使用 DNS 别名访问文件系统

DNS 别名必须满足以下要求:

  • 必须采用完全限定域名(FQDN)格式。

  • 可以包含字母数字字符和连字符(‐)。

  • 不得以连字符开头或结尾。

  • 可以使用数字开头。

对于 DNS 别名,Amazon FSx 会将字母字符存储为小写字母(a-z),无论您指定将其存储为大写字母、小写字母还是转义码中的对应字母。

若您尝试关联已与文件系统关联的别名,则操作无效。若您尝试取消关联未关联至此文件系统的文件系统别名,则 Amazon FSx 会响应请求错误。

注意

当 Amazon FSx 在文件系统上添加或删除别名时,已连接的客户端会暂时断开并自动重新连接到该文件系统。由映射非持续可用(非 CA)共享的客户端在断开连接时打开的任何文件,都必须使用该客户端重新打开。

Kerberos 身份验证使用 DNS 别名

我们建议对 Amazon FSx 使用基于 Kerberos 的身份验证和传输中加密。Kerberos 能够为访问文件系统的客户端提供最安全的身份验证。要对使用 DNS 别名访问 Amazon FSx 的客户端启用 Kerberos 身份验证,必须在 Amazon FSx 文件系统的 Active Directory 计算机对象上配置与 DNS 别名对应的服务主体名称(SPN)。

如果您为已分配给 Active Directory 中某个计算机对象上的另一个文件系统的 DNS 别名配置了 SPN,则必须先删除这些 SPN,然后再将 SPN 添加到文件系统的计算机对象。有关更多信息,请参阅 演练 5:使用 DNS 别名访问文件系统

查看与文件系统和备份关联的 DNS 别名

您可以使用 Amazon FSx 控制台、CLI 以及 Amazon FSx AP AWS I 和软件开发工具包查看当前与文件系统和备份关联的 DNS 别名。

要查看与文件系统和备份关联的 DNS 别名,请执行以下操作:

  • 使用控制台 – 选择一个文件系统,查看文件系统详细信息页面。选择网络与安全选项卡,查看 DNS 别名

  • 使用 CLI 或 API-使用 describe-file-system-aliases CLI 命令或 DescribeFileSystemAliasesAPI 操作。

要查看与备份关联的 DNS 别名,请执行以下操作:

  • 使用控制台 – 在导航窗格中,选择备份,然后选择您要查看的备份。在摘要窗格中,查看 DNS 别名字段。

  • 使用 CLI 或 API-使用 describe-backups CLI 命令或 DescribeBackupsAPI 操作。

DNS 别名状态

DNS 别名可以具有以下某个值:

  • 可用 – DNS 别名已与 Amazon FSx 文件系统相关联。

  • 正在创建 – Amazon FSx 正在创建 DNS 别名并将其与文件系统关联。

  • 正在删除 – Amazon FSx 正在取消 DNS 别名与文件系统的关联并将其删除。

  • 创建失败 – Amazon FSx 无法将 DNS 别名与文件系统关联。

  • 删除失败 – Amazon FSx 无法取消 DNS 别名与文件系统的关联。

在创建新文件系统时关联 DNS 别名

从零开始创建新文件系统或使用备份创建文件系统时,可以关联 DNS 别名。

  1. 通过以下网址打开 Amazon FSx 控制台:https://console.aws.amazon.com/fsx/

  2. 按照“入门”部分的步骤 1:创建文件系统中所述的步骤创建新文件系统。

  3. 创建文件系统向导的访问 – 可选部分,输入要与文件系统关联的 DNS 别名。

    创建文件系统向导中的访问部分用于输入要与文件系统关联的 DNS 别名。

  4. 当文件系统为可用状态时,您可以使用 DNS 别名对其进行访问,方法是配置服务主体名称(SPN),并为该别名更新或创建 DNS CNAME 记录。有关更多信息,请参阅 演练 5:使用 DNS 别名访问文件系统

  1. 创建新文件系统时,使用带有 CreateFileSystemAPI 操作的 Ali as 属性将 DNS 别名与新文件系统关联。

    aws fsx create-file-system \
  --file-system-type WINDOWS \
  --storage-capacity 2000 \
  --storage-type SSD \
  --subnet-ids subnet-123456 \
  --windows-configuration Aliases=[financials.corp.example.com,accts-rcv.corp.example.com]

  2. 当文件系统为可用状态时,您可以使用 DNS 别名对其进行访问,方法是配置服务主体名称(SPN),并为该别名更新或创建 DNS CNAME 记录。有关更多信息,请参阅 演练 5:使用 DNS 别名访问文件系统

  1. 通过现有文件系统的备份创建新文件系统时,可以将 Aliases 属性与 CreateFileSystemFromBackupAPI 操作配合使用,如下所示:

    • 默认情况下,与备份关联的所有别名都会被关联到新的文件系统。

    • 要使用备份创建文件系统而不保留其中的任何别名,请使用带有空集的 Aliases 属性。

      要关联其他 DNS 别名,请使用 Aliases 属性,并包含与备份关联的原始别名和要关联的新别名。

    以下 CLI 命令会将两个别名关联到使用备份创建的 Amazon FSx 文件系统。

    aws fsx create-file-system-from-backup \
  --backup-id backup-0123456789abcdef0
  --storage-capacity 2000 \
  --storage-type HDD \
  --subnet-ids subnet-123456 \
  --windows-configuration Aliases=[transactions.corp.example.com,accts-rcv.corp.example.com]

  2. 当文件系统为可用状态时,您可以使用 DNS 别名对其进行访问,方法是配置服务主体名称(SPN),并为该别名更新或创建 DNS CNAME 记录。有关更多信息,请参阅 演练 5:使用 DNS 别名访问文件系统

管理现有文件系统上的 DNS 别名

您可以在现有文件系统上添加和删除别名。

  1. 通过以下网址打开 Amazon FSx 控制台:https://console.aws.amazon.com/fsx/

  2. 导航到文件系统,然后选择要管理其 DNS 别名的 Windows 文件系统。

  3. 网络与安全选项卡上,选择 DNS 别名对应的管理,即可显示管理 DNS 别名对话框。

    使用 FSx 控制台“管理 DNS 别名”窗口将 DNS 别名关联到 FSx for Windows File Server 文件系统,以及取消两者之间关联。

    • 关联 DNS 别名 – 在关联新的别名框中,输入要关联的 DNS 别名。选择关联

    • 取消关联 DNS 别名 – 在当前别名列表中,选择要取消关联的别名。选择取消关联

    可以在当前别名列表中监控管理的别名的状态。刷新列表,更新状态。将别名关联到文件系统或取消关联最多需要 2.5 分钟。

  4. 当别名为可用状态时,您可以使用 DNS 别名访问您的文件系统,方法是配置服务主体名称(SPN),并为该别名更新或创建 DNS CNAME 记录。有关更多信息,请参阅 演练 5:使用 DNS 别名访问文件系统

  1. 使用 associate-file-system-aliases CLI 命令或 AssociateFileSystemAliasesAPI 操作将 DNS 别名与现有文件系统关联。

    以下 CLI 请求将两个别名与指定的文件系统关联。

    aws fsx associate-file-system-aliases \
  --file-system-id fs-0123456789abcdef0 \
  --aliases financials.corp.example.com transfers.corp.example.com

    响应显示了 Amazon FSx 与文件系统关联的别名的状态。

    {
    "Aliases": [
        {
            "Name": "financials.corp.example.com",
            "Lifecycle": CREATING
        },
        {
            "Name": "transfers.corp.example.com",
            "Lifecycle": CREATING
        }
    ]
}

  2. 使用 describe-file-system-aliases CLI 命令(等效DescribeFileSystemAliases的 API 操作)监控您正在关联的别名的状态。

  3. Lifecycle 值为“AVAILABLE”时(过程最多需要 2.5 分钟),您可以使用 DNS 别名访问您的文件系统,方法是配置服务主体名称(SPN),并为该别名更新或创建 DNS CNAME 记录。有关更多信息,请参阅 演练 5:使用 DNS 别名访问文件系统

  • 使用 disassociate-file-system-aliases CLI 命令或 DisassociateFileSystemAliasesAPI 操作解除 DNS 别名与现有文件系统的关联。

    以下命令会取消一个别名与文件系统的关联。

    aws fsx disassociate-file-system-aliases \
  --file-system-id fs-0123456789abcdef0 \
  --aliases financials.corp.example.com

    响应显示了 Amazon FSx 正在解除与文件系统的关联的别名的状态。

    {
    "Aliases": [
        {
            "Name": "financials.corp.example.com",
            "Lifecycle": DELETING
        }
    ]
}

    使用 describe-file-system-aliases CLI 命令(等同DescribeFileSystemAliases于 API 操作)监控别名的状态。删除别名最多需要 2.5 分钟。