Amazon FSx for Windows File Server 的支持客户、访问方法和环境 - Amazon FSx for Windows File Server

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon FSx for Windows File Server 的支持客户、访问方法和环境

您可以使用两种支持的客户端和方法访问您的 Amazon FSx 文件系统AWS和本地环境。

支持的客户

Amazon FSx 支持从各种计算实例和操作系统连接到您的文件系统。它通过支持通过服务器消息块 (SMB) 协议(版本 2.0 到 3.1.1)进行访问来实现此目的。

以下AWS计算实例支持与 Amazon FSx 一起使用:

Amazon FSx 支持使用以下操作系统:

  • Windows Server 2008 R2、Windows Server 2008 R2、Windows Server 2012 R2、Windows Server 2018 和 Windows Server 2022

  • Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10(包括 Windows 7 和 Windows 10 桌面体验 WorkSpaces)和 Windows 11。

  • Linux,使用cifs-utils工具。

  • macOS

支持的访问方法

您可以在 Amazon FSx 中使用以下访问方法和方法。

使用其默认 DNS 名称访问文件系统

FSx for Windows File Server 为每个文件系统提供域名系统 (DNS) 名称。您可以使用此 DNS 名称将计算实例上的驱动器号映射到 Amazon FSx 文件共享,从而访问您的 FSx for Windows 文件服务器文件系统。要了解更多信息,请参阅 使用微软 Windows 文件共享

重要

如果您使用微软 DNS 作为默认 DNS,则 Amazon FSx 仅为文件系统注册 DNS 记录。如果您使用第三方 DNS,则必须手动设置 Amazon FSx 文件系统的 DNS 条目。有关选择用于文件系统的正确 IP 地址的信息,请参阅获取用于 DNS 的正确文件系统 IP 地址.

要查找 DNS 名称,请执行以下操作:

  • 在 Amazon FSx 控制台中,选择文件系统,然后选择详细信息. 在中查看 DNS 名称网络与安全部分。

  • 或者,在回复中查看CreateFileSystem要么DescribeFileSystemsAPI 命令。

对于所有加入的单可用区文件系统AWS管理的微软 Active Directory,DNS 名称如下所示:fs-0123456789abcdef0.ad-dns-domain-name

对于所有加入自我管理的 Active Directory 的单可用区文件系统以及任何多可用区文件系统,DNS 名称如下所示:amznfsxaa11bb22.ad-domain.com

将 DNS 名称与 Kerberos 身份验证结合使用

我们建议您在 Amazon FSx 的传输过程中使用基于 Kerberos 的身份验证和加密。Kerberos 为访问您的文件系统的客户端提供最安全的身份验证。要为您的 SMB 会话启用基于 Kerberos 的身份验证和传输中的数据加密,请使用 Amazon FSx 提供的文件系统的 DNS 名称来访问您的文件系统。

如果你在你之间配置了外部信任AWS管理微软 Active Directory 和你的本地 Active Directory,以便使用 PowerShell 使用 Kerberos 身份验证,您必须在客户端上为林搜索顺序配置本地组策略。有关更多信息,请参阅配置 Kerberos 森林搜索顺序 (KFSO)在微软文档中。

使用 DNS 别名访问文件系统

FSx for Windows File Server 为每个文件系统提供一个 DNS 名称,您可以使用它来访问文件共享。您还可以通过为 FSx for Windows 文件服务器文件系统注册别名,允许从 Amazon FSx 创建的默认 DNS 名称之外的 DNS 名称访问 Amazon FSx。

使用 DNS 别名,您可以将 Windows 文件共享数据移至 Amazon FSx,并继续使用现有的 DNS 名称来访问 Amazon FSx 上的数据。DNS 别名还允许您使用有意义的名称,从而更轻松地管理连接到 Amazon FSx 文件系统的工具和应用程序。有关更多信息,请参阅 管理 DNS 别名

将 DNS 别名与 Kerberos 身份验证结合使用

我们建议您在 Amazon FSx 的传输过程中使用基于 Kerberos 的身份验证和加密。Kerberos 为访问您的文件系统的客户端提供最安全的身份验证。要为使用 DNS 别名访问 Amazon FSx 的客户端启用 Kerberos 身份验证,您必须在亚马逊 FSx 文件系统的 Active Directory 计算机对象上添加与 DNS 别名相对应的服务主体名称 (SPN)。

您可以选择通过在 Active Directory 中设置以下组策略对象 (GPO) 来强制使用 DNS 别名访问文件系统的客户端使用 Kerberos 身份验证和加密:

  • Restrictions:向远程服务器传出 NTLM 流量-使用此策略设置拒绝或审核从计算机到运行 Windows 操作系统的任何远程服务器的传出 NTLM 流量。

  • Restrictions:为 NTLM 身份验证添加远程服务器例外-使用此策略设置创建允许客户端设备使用 NTLM 身份验证的远程服务器例外列表,如果网络安全性:Restrictions:向远程服务器传出 NTLM 流量策略设置已配置。

有关更多信息,请参阅 演练 5:使用 DNS 别名访问您的文件系统

使用 FSx for Windows File Server 文件系统和 DFS 命名空间

FSx for Windows File Server 支持使用微软分布式文件系统 (DFS) 命名空间。您可以使用 DFS 命名空间将多个文件系统上的文件共享组织成一个用于访问整个文件数据集的通用文件夹结构(命名空间)。您可以使用 DFS 命名空间中的名称来访问您的 Amazon FSx 文件系统,方法是将其链接目标配置为文件系统的 DNS 名称。有关更多信息,请参阅 使用 DFS 命名空间对多个文件系统进行分组

支持的环境

您可以从与文件系统位于同一 VPC 中的资源访问您的文件系统。有关更多信息和详细说明,请参阅演练 1:开始使用的先决条件.

您还可以从本地资源和不同 VPC 中的资源访问 2019 年 2 月 22 日之后创建的文件系统,AWS账户,或AWS区域。下表说明了 Amazon FSx 支持在每个支持的环境中从客户端进行访问的环境,具体取决于文件系统的创建时间。

客户位于... 访问在 2019 年 2 月 22 日之前创建的文件系统 访问在 2020 年 12 月 17 日之前创建的文件系统 访问在 2020 年 12 月 17 日之后创建的文件系统

创建文件系统的子网

创建文件系统的 VPC 的主 CIDR 块

创建文件系统的 VPC 的辅助 CIDR

具有 IP 地址的客户端RFC 1918私有 IP 地址范围:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

IP 地址超出以下 CIDR 封禁范围的客户端:198.19.0.0/16

其他 CIDR 或对等网络

注意

在某些情况下,您可能需要使用非私有 IP 地址范围从本地访问 2020 年 12 月 17 日之前创建的文件系统。为此,请从文件系统的备份中创建一个新的文件系统。有关更多信息,请参阅 使用备份

接下来,你可以找到关于如何从本地和不同的 VPC 访问你的 FSx for Windows File Server 文件系统的信息,AWS账户,或AWS区域。

从本地访问 Amazon FSx for Windows File Server 文件系统

FSx for Windows File Server 支持使用AWS Direct Connect要么AWS VPN从本地计算实例访问您的文件系统。支持AWS Direct Connect,FSx for Windows File Server 使您能够通过专用网络连接从本地环境访问文件系统。支持AWS VPN,FSx for Windows File Server 使您能够通过安全的私有隧道从本地设备访问文件系统。

将本地环境连接到与 Amazon FSx 文件系统关联的 VPC 后,您可以使用其 DNS 名称或 DNS 别名访问您的文件系统。您可以像在 VPC 内使用计算实例一样执行此操作。有关 AWS Direct Connect 的更多信息,请参阅 AWS Direct Connect 用户指南。有关设置的更多信息AWS VPN连接,请参阅VPN 连接在里面Amazon VPC User Guide.

FSx for Windows File Server 还支持使用 Amazon FSx File Gateway 来提供从本地计算实例对 Windows 文件服务器文件共享的低延迟、无缝访问 FSx。有关更多信息,请参阅 。亚马逊 FSx 文件网关用户指南.

从另一个 VPC 或账户访问 FSx for Windows File Server 文件系统AWS 区域

您可以从不同 VPC 中的计算实例访问 FSx for Windows File Server 文件系统,AWS账户,或AWS与您的文件系统关联的区域。为此,您可以使用 VPC 对等或中转网关。当您使用 VPC 对等连接或传输网关连接 VPC 时,一个 VPC 中的计算实例可以访问另一个 VPC 中的 Amazon FSx 文件系统。即使 VPC 属于不同的账户,即使 VPC 位于不同的账户,这种访问也是可能的AWS区域。

一个VPC 对等连接是两个 VPC 之间的网络连接,通过此连接,您可以使用私有 IPv4 或 IP 版本 6 (IPv6) 地址或 IP 版本 6 (IPv6) 地址在两个 VPC 之间路由流量。您可以使用 VPC 对等连接同一个 VPCAWS区域或之间AWS区域。有关 VPC 对等的更多信息,请参阅什么是 VPC 对等?在里面Amazon VPC Peering Guide.

中转网关 是网络中转中心,您可用它来互连 VPC 和本地网络。有关使用 VPC 传输网关的更多信息,请参阅公交网关入门在里面Amazon VPC Transit Gateway.

设置 VPC 对等或传输网关连接后,您可以使用文件系统的 DNS 名称访问文件系统。您可以像在关联的 VPC 中使用计算实例一样执行此操作。