Amazon FSx for Windows File Server 支持的客户端、访问方法和环境 - Amazon FSx for Windows File Server

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon FSx for Windows File Server 支持的客户端、访问方法和环境

无论是从 AWS,还是从本地环境中,您都可以使用多种受支持的客户端和方法来访问您的 Amazon FSx 文件系统。

支持的客户端

Amazon FSx 支持通过各种计算实例和操作系统连接您的文件系统。它通过支持使用服务器消息块(SMB)协议(版本 2.0 到 3.1.1)进行访问来实现这一点。

支持将以下 AWS 计算实例与 Amazon FSx 配合使用:

Amazon FSx 支持以下操作系统:

  • Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019 和 Windows Server 2022。

  • Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows 10(包括 WorkSpaces 的 Windows 7 和 Windows 10 桌面体验)和 Windows 11。

  • 使用 cifs-utils 工具的 Linux。

  • macOS

支持的访问方法

您可以将以下访问方法与 Amazon FSx 结合使用。

使用文件系统的默认 DNS 名称访问文件系统

FSx for Windows File Server 为每个文件系统提供了一个域名系统(DNS)名称。您可以使用此 DNS 名称将计算实例上的驱动器盘符映射到 Amazon FSx 文件共享,从而访问 FSx for Windows File Server 文件系统。要了解更多信息,请参阅 使用 Microsoft Windows 文件共享

重要

只有当您使用 Microsoft DNS 作为默认 DNS 时,Amazon FSx 才会注册文件系统的 DNS 记录。如果您使用的是第三方 DNS,则须手动设置 Amazon FSx 文件系统的 DNS 条目。有关为文件系统选择正确 IP 地址的信息,请参阅获取用于 DNS 的正确的文件系统 IP 地址

查找 DNS 名称:

  • 在 Amazon FSx 控制台中,选择文件系统,然后选择详细信息。在网络与安全部分查看 DNS 名称。

  • 或者,在 CreateFileSystemDescribeFileSystems API 命令的响应中查看。

加入 AWS 托管的 Microsoft Active Directory 的所有单可用区文件系统的 DNS 名称如下所示:fs-0123456789abcdef0.ad-dns-domain-name

对于加入自行管理的 Active Directory 的所有单可用区文件系统,以及所有多可用区文件系统,DNS 名称如下所示:amznfsxaa11bb22.ad-domain.com

Kerberos 身份验证使用 DNS 名称

我们建议对 Amazon FSx 使用基于 Kerberos 的身份验证和传输中加密。Kerberos 能够为访问文件系统的客户端提供最安全的身份验证。要为您的 SMB 会话启用基于 Kerberos 的身份验证和传输中数据加密,请使用 Amazon FSx 提供的文件系统的 DNS 名称来访问您的文件系统。

如果您在 AWS 托管的 Microsoft Active Directory 和本地 Active Directory 之间配置了外部信任,那么如果要使用带有 Kerberos 身份验证的 Amazon FSx Remote PowerShell,则必须在客户端上为林搜索顺序配置本地组策略。有关更多信息,请参阅 Microsoft 文档中的 Configure Kerberos Forest Search Order(KFSO)

使用 DNS 别名访问文件系统

FSx for Windows File Server 为每个文件系统提供了一个 DNS 名称,可以用于访问文件共享。您还可以通过为 FSx for Windows File Server 文件系统注册别名来允许通过 DNS 名称,而非 Amazon FSx 创建的默认 DNS 名称访问 Amazon FSx。

使用 DNS 别名,您可以将 Windows 文件共享数据移至 Amazon FSx,然后继续使用现有的 DNS 名称访问 Amazon FSx 上的数据。DNS 别名还允许您使用有意义的名称,从而更轻松地管理连接到 Amazon FSx 文件系统的工具和应用程序。有关更多信息,请参阅管理 DNS 别名

Kerberos 身份验证使用 DNS 别名

我们建议对 Amazon FSx 使用基于 Kerberos 的身份验证和传输中加密。Kerberos 能够为访问文件系统的客户端提供最安全的身份验证。要对使用 DNS 别名访问 Amazon FSx 的客户端启用 Kerberos 身份验证,必须在 Amazon FSx 文件系统的 Active Directory 计算机对象上添加与 DNS 别名对应的服务主体名称(SPN)。

您可以选择通过在 Active Directory 中设置以下组策略对象(GPO),强制使用 DNS 别名访问文件系统的客户端使用 Kerberos 身份验证和加密:

  • 限制 NTLM:向远程服务器传出 NTLM 流量 – 使用此策略设置拒绝或审计从计算机到运行 Windows 操作系统的任何远程服务器的传出 NTLM 流量。

  • 限制 NTLM:为 NTLM 身份验证添加远程服务器例外 – 如果配置了网络安全:限制 NTLM:向远程服务器传出 NTLM 流量策略设置,则使用此策略设置创建允许客户端设备使用 NTLM 身份验证的远程服务器例外列表。

有关更多信息,请参阅演练 5:使用 DNS 别名访问文件系统

使用 FSx for Windows File Server 文件系统和 DFS 命名空间

FSx for Windows File Server 支持使用 Microsoft 分布式文件系统(DFS)命名空间。您可以使用 DFS 命名空间将多个文件系统上的文件共享组织到一个用于访问整个文件数据集的公共文件夹结构(命名空间)。您可以使用 DFS 命名空间中的名称来访问您的 Amazon FSx 文件系统,方法是将其链接目标配置为文件系统的 DNS 名称。有关更多信息,请参阅使用 DFS 命名空间为多个文件系统分组

支持的环境

您可以从与您的文件系统位于同一 VPC 中的资源访问您的文件系统。有关更多信息和详细说明,请参阅演练 1:入门先决条件

您还可以通过本地资源以及其他 VPC、AWS 账户或 AWS 区域中的资源访问 2019 年 2 月 22 日之后创建的文件系统。下表说明了 Amazon FSx 支持从每个受支持环境中的客户端进行访问的环境,具体取决于文件系统的创建时间。

客户位于… 访问 2019 年 2 月 22 日之前创建的文件系统 访问 2020 年 12 月 17 日之前创建的文件系统 访问 2020 年 12 月 17 日之后创建的文件系统

创建文件系统的子网

创建文件系统的 VPC 的主要 CIDR 块

创建文件系统的 VPC 的辅助 CIDR

IP 地址在 RFC 1918 私有 IP 地址范围内的客户端:

  • 10.0.0.0/8

  • 172.16.0.0/12

  • 192.168.0.0/16

IP 地址在以下 CIDR 块范围之外的客户端:198.19.0.0/16

其他 CIDR 或对等网络

注意

在某些情况下,您可能需要使用非私有 IP 地址范围从本地访问在 2020 年 12 月 17 日之前创建的文件系统。为此,请从文件系统的备份创建一个新的文件系统。有关更多信息,请参阅使用备份

下面,您可以看到有关如何从本地以及不同的 VPC、AWS 账户或 AWS 区域访问 FSx for Windows File Server 文件系统的信息。

从本地访问 FSx for Windows File Server 文件系统

FSx for Windows File Server 支持使用 AWS Direct Connect 或 AWS VPN 从本地计算实例访问您的文件系统。有了对 AWS Direct Connect 的支持,FSx for Windows File Server 使您可以通过专用网络连接从本地环境访问文件系统。有了对 AWS VPN 的支持,FSx for Windows File Server 使您可以通过安全的专用隧道从本地环境访问文件系统。

将本地环境连接到与 Amazon FSx 文件系统关联的 VPC 后,您可以使用文件系统的 DNS 名称或 DNS 别名访问文件系统。您可以像在 VPC 内的计算实例中一样执行此操作。有关 AWS Direct Connect 的更多信息,请参阅《AWS Direct Connect 用户指南。有关设置 AWS VPN 连接的更多信息,请参阅《Amazon VPC 用户指南》中的 VPN 连接

FSx for Windows File Server 还支持使用 Amazon FSx 文件网关,从本地计算实例提供低延迟、无缝访问云中 FSx for Windows File Server 文件共享的权限。有关更多信息,请参阅《Amazon FSx 文件网关用户指南

从另一个 VPC、账户、或 AWS 区域 访问 FSx for Windows File Server 文件系统。

您可以从不同于您的文件系统所关联的 VPC、AWS 账户或 AWS 区域中的计算实例访问 FSx for Windows File Server 文件系统。为此,您可以使用 VPC 对等连接或传输网关。使用 VPC 对等连接或中转网关连接 VPC 时,一个 VPC 中的计算实例可以访问另一个 VPC 中的 Amazon FSx 文件系统。即使 VPC 属于不同账户,或位于不同的 AWS 区域,也可以进行此类访问。

VPC 对等连接是两个 VPC 之间的网络连接,通过此连接,您可以使用私有 IPv4 或 IP 版本 6(IPv6)地址在这两个 VPC 之间路由流量。您可以使用 VPC 对等连接来连接位于同一 AWS 区域或两个 AWS 区域中的 VPC。有关 VPC 对等连接的更多信息,请参阅《Amazon VPC 对等连接指南》中的什么是 VPC 对等连接?

中转网关是网络中转中心,您可用它来互连 VPC 和本地网络。有关使用 VPC 中转网关的更多信息,请参阅《Amazon VPC 中转网关》中的开始使用中转网关

设置 VPC 对等连接或传输网关连接后,您可以使用文件系统的 DNS 名称访问文件系统。您可以像在关联的 VPC 内的计算实例中一样执行此操作。