本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 VPC 資源端點將 VPC 資源連接至您的 SMF
透過適用於 Deadline Cloud 服務受管機群 (SMF) 的 Amazon VPC 資源端點,您可以將網路檔案系統 (NFS)、授權伺服器和資料庫等 VPC 資源與您的 Deadline Cloud 工作者連線。此功能可讓您利用 Deadline Cloud 的全受管平台,同時與 VPC 中的現有基礎設施整合。
VPC 資源端點的運作方式
VPC 資源端點使用 VPC Lattice 在您的最終雲端 SMF 工作者與 VPC 中的資源之間建立安全連線。連線是單向的,這表示工作者可以建立與 VPC 資源的連線,並來回傳輸資料,但 VPC 中的資源無法與工作者建立連線。
當您將 VPC 資源連線至截止日期雲端服務受管機群時,工作者可以使用私有網域名稱存取 VPC 中的資源。此外,流量會透過 VPC Lattice 從工作者流向 VPC 資源,而 VPC 中的資源也會看到來自 VPC Lattice 資源閘道的流量。
若要進一步了解,請參閱 VPC Lattice 使用者指南。
先決條件
將 VPC 資源連線至截止日期雲端服務受管機群之前,請確定您有下列項目:
-
包含您要連線之資源的 VPC AWS 帳戶。
-
建立和管理 VPC Lattice 資源的 IAM 許可。
-
具有至少一個服務受管機群的截止日期雲端陣列。
-
您想要讓 存取的 VPC 資源 (FSx、NFS、授權伺服器等)。
設定 VPC 資源端點
若要設定 VPC 資源端點,您需要在 VPC Lattice
-
若要在 VPC Lattice 中建立資源閘道,請參閱 VPC Lattice 使用者指南中的建立資源閘道。
-
若要在 VPC Lattice 中建立資源組態,請參閱 VPC Lattice 使用者指南中的建立資源組態。
-
若要與截止日期雲端機群共用資源,請在其中建立資源共用 AWS RAM。如需說明,請參閱建立資源共享。
建立資源共享時,針對委託人,從下拉式清單中選取服務委託人,然後輸入
fleets.deadline.amazonaws.com。 -
若要將資源組態與您的截止日期雲端機群連線,請完成下列步驟。
-
如果您還沒有,請開啟截止日期雲端主控台
。 -
在導覽窗格中,選擇陣列,然後選取您的陣列。
-
選擇機群索引標籤,然後選取您的機群。
-
選擇 Configuration (組態) 標籤。
-
在 VPC 資源端點下,選擇編輯。
-
選取您建立的資源組態,然後選擇儲存變更。
-
存取您的 VPC 資源
將您的 VPC 資源連線至機群後,工作者可以使用以下格式的私有網域名稱來存取它: <resource_config_id>.deadline.<region>.amazonaws.com
此網域是私有的,只有工作者才能存取 (而不是從網際網路或工作站存取)。
身分驗證和安全性
對於需要身分驗證的資源,請將登入資料安全地存放在 AWS Secrets Manager 中、從您的主機組態指令碼或任務指令碼存取秘密,並實作適當的檔案系統許可來控制存取。在多個機群之間共用資源時,請考慮安全問題。例如,如果兩個機群連接到相同的共用儲存體,在一個機群上執行的任務可能可以存取從另一個機群建立的資產。
技術考量事項
使用 VPC 資源端點時,請考慮下列事項:
-
連線只能從工作者啟動至 VPC 資源,不能從 VPC 資源啟動至工作者。
-
建立後,即使資源組態中斷連線,連線仍會持續存在,直到重設為止。
-
VPC Lattice 連線會自動處理可用區域之間的連線,無需額外費用。您的資源閘道必須與 VPC 資源共用可用區域,因此我們建議您設定資源閘道以跨越所有可用區域。
-
經過 VPC 資源端點的流量使用網路位址轉譯 (NAT),這與所有使用案例不相容。例如,Microsoft Active Directory (AD) 無法透過 NAT 連線。
如需 VPC Lattice 配額的詳細資訊,請參閱 VPC Lattice 的配額。
故障診斷
如果您遇到 VPC 資源端點的問題,請檢查下列項目。
-
如果您收到錯誤訊息,例如「mount.nfs:掛載時伺服器拒絕存取」,您可能需要更新 NFS 磁碟區的用戶端組態。
-
從 Amazon EC2 執行個體或 VPC 進行測試,以驗證 AWS CloudShell 您的資源組態設定。
-
使用簡單的 CLI 任務測試您的截止日期雲端連線。如需詳細資訊,請參閱 GitHub 上的截止日期雲端範例
。 -
如果您遇到連線失敗,請檢查資源閘道安全群組上的設定。
-
啟用 VPC 存取日誌以監控連線。
