建立 SMB 檔案共享 - AWSStorage Gateway
建立 SMB 檔案共享

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 SMB 檔案共享

建立伺服器訊息塊 (SMB) 檔案共享之前,請確定已設定檔案閘道的 SMB 安全設定。您還必須配置 Microsoft Active Directory (AD) 或訪客存取來進行身分驗證。檔案共享只提供一個類型的 SMB 存取。如需說明,請參閱「」編輯網關的 SMB 設置

注意

除非您的安全組中已打開所需的端口,否則 SMB 檔案共享將無法正常運作。如需詳細資訊,請參閱 連接埠需求

注意

SMB 客户端將文件寫入文件網關時,文件網關會將文件的數據上傳到 Amazon S3,然後是其元數據(所有權、時間戳等)。上傳文件數據會創建一個 S3 對象,上傳文件的元數據會更新 S3 對象的元數據。此過程將創建對象的另一個版本,從而產生兩個版本的對象。如果啟用了 S3 版本控制,則存放兩個版本。

如果更改存儲在文件網關中的文件的元數據,則會創建一個新的 S3 對象並替換現有 S3 對象。此行為不同於在文件系統中編輯文件,在文件系統中編輯文件不會導致創建新文件。測試您計劃使用的所有文件操作AWSStorage Gateway,以便您瞭解每個文件操作如何與 Amazon S3 存儲交互。

當您從文件網關上傳數據時,請仔細考慮在 Amazon S3 中使用 S3 版本控制和跨區域複製 (CRR)。如果啟用 S3 版本控制,將文件從您的文件網關上傳到 Amazon S3,則至少會產生兩個版本的 S3 對象。

某些涉及大型文件和文件寫入模式的工作流(如文件上傳),通過多個步驟執行,可能會增加存儲 S3 對象版本的數量。如果文件網關緩存因文件寫入速率高而需要釋放空間,則可能會創建多個 S3 對象版本。如果啟用了 S3 版本控制,這些方案會增加 S3 存儲,並增加與 CRR 相關的傳輸成本。測試您計劃與 Storage Gateway 一起使用的所有文件操作,以便瞭解每個文件操作如何與 Amazon S3 存儲交互。

將 Rsync 實用程序與您的文件網關結合使用可以在緩存中創建臨時文件,並在 Amazon S3 中創建臨時 S3 對象。此情況會在 S3 標準 — 不常存取 (S3 標準 — IA) 和 S3 智慧型分層儲存類別中產生早期刪除費用。

建立 SMB 檔案共享

建立 SMB 檔案共享

  1. 開啟AWSStorage Gateway 於https://console.aws.amazon.com/storagegateway/home/

  2. 選擇建立檔案共享開啟檔案共享設定(憑證已建立!) 頁面上的名稱有些許差異。

  3. 適用於門戶,請從清單中選擇 Amazon S3 檔案閘道。

  4. 適用於Amazon S3 位置,執行下列其中一項動作:

    • 若要將檔案共享直接連接至 S3 儲存貯體,請選擇S3 儲存儲體名稱,然後輸入存儲桶名稱和文件共享創建的對象的前綴名稱(可選)。您的網關使用此存儲桶來存儲和檢索文件。如需有關建立新儲存貯體的詳細資訊,請參如何建立 S3 儲存貯體?中的Amazon S3 使用者指南

    • 若要將檔案共享連接至 S3 儲存貯體透過存取點,請選擇S3 存取點,然後輸入 S3 接入點名稱和文件共享創建的對象的前綴名稱(可選)。您的存儲桶策略必須配置為將訪問控制委派給接入點。如需存取點的詳細資訊,請參使用 Amazon S3 存取點管理資料存取將存取控制委派給存取點中的Amazon S3 使用者指南

    • 要通過接入點別名將文件共享連接到 S3 存儲桶,請選擇S3 存取點別名,然後輸入 S3 接入點別名和文件共享創建的對象的前綴名稱(可選)。如果選擇此選項,則文件網關無法創建新的AWS Identity and Access Management(IAM) 角色並代您存取政策。您必須選擇現有 IAM 角色並在存取 S3 儲存貯體部分。如需存取點別名的詳細資訊,請參為您的存取點使用儲存貯體型別名中的Amazon S3 使用者指南

    注意

    • 如果輸入前綴名稱,或選擇通過接入點或接入點別名進行連接,則必須輸入文件共享名稱。

    • 字首名稱必須以正斜線 (/

    • 建立檔案共享後,無法修改或刪除。

    • 如需使用前綴名稱的詳細資訊,請參使用字首整理物件中的Amazon S3 使用者指南

  5. 適用於AWS 區域中,選擇AWS 區域S3 儲存儲體。

  6. 適用於檔案共享名稱中,輸入檔案共享的名稱。默認名稱為 S3 儲存貯體名稱或存取點名稱。

    注意

    • 如果輸入了前綴名稱,或選擇通過接入點或接入點別名進行連接,則必須輸入文件共享名稱。

    • 創建文件共享後,無法刪除文件共享名稱。

  7. (可選)對於AWS PrivateLinkS3,執行下列操作:

    1. 若要將檔案共享配定為透過在虛擬私有雲端 (VPC) 內的接口端點連接至 S3,由AWS PrivateLink,選擇使用 VPC 端點

    2. 要標識您希望文件共享連接的 VPC 接口終端節點,請選擇VPC 端點 ID或者VPC 端點 DNS 名稱,然後在相應字段中提供所需信息。

    注意

    • 如果文件共享通過 VPC 接入點或通過與 VPC 接入點關聯的別名連接到 S3,則需要執行此步驟。

    • 使用檔案共享用AWS PrivateLink在 FIPS 網關上不受支持。

    • 如需AWS PrivateLink,請參AWS PrivateLink適用於 Amazon S3中的Amazon Storage Service 使用者指南

  8. 針對 Access objects using (使用下列方式存取物件),選擇 Server Message Block (SMB) (伺服器訊息區塊 (SMB))

  9. 針對 Audit logs (稽核日誌),選擇下列其中一項:

    • 若要關閉日誌,選擇Disable logging (停用日誌記錄)

    • 若要建立新的審核日誌,選擇建立新的日誌

    • 若要使用現有的日誌組,選擇使用現有的日誌,然後從清單中選擇審核日誌。

    如需稽核的詳細資訊,請參閱瞭解文件網關審核日誌

  10. 適用於從 S3 自動刷新緩存,選擇設定刷新間隔,然後設置使用生存時間 (TTL) 刷新文件共享緩存的時間(天、小時和分鐘)。TTL 是自上次刷新以來的時間長度。TTL 間隔過後,訪問目錄會導致文件網關首先從 Amazon S3 存儲桶刷新該目錄的內容。

  11. 適用於檔案上傳通知,選擇建立時間 (秒)以便在文件網關完全上傳到 S3 時收到通知。將建立時間以秒為單位控制在客户端寫入文件的最後一個時間點之後等待的秒數,然後再生成ObjectUploaded通知。由於客户端可以對文件進行許多小寫入,因此最好儘可能長地設置此參數,以避免在較短的時間內為同一文件生成多個通知。如需詳細資訊,請參閱 獲取文件上傳通知

    注意

    此設置對象上傳到 S3 的時間沒有影響,僅影響通知的時間。

  12. (可選)在標籤部分中,選擇添加新標記,然後輸入金鑰和值以將標籤新增至您的檔案共享。標籤為區分大小寫的索引鍵值組,可協助您管理、篩選和搜尋檔案共享。

  13. 選擇 Next (下一步)。所以此Amazon S3 儲存設置頁面隨即出現。

  14. 適用於新對象的存儲類下,請選擇在 Amazon S3 儲存貯體中建立的新物件要使用的儲存體類別:

    • 若要透過備援方式在多個不同地理位置可用區域存放經常存取的物件資料,請選擇S3 標準。如需 S3 標準儲存類別的詳細資訊,請參經常存取物件的儲存體方案中的Amazon Storage Service 使用者指南

    • 若要自動將資料移至最經濟實惠的儲存存取層,以最佳化儲存成本,請選擇S3 Intelligent-Tiering。如需 S3 智慧型分層儲存類別的詳細資訊,請參自動最佳化經常存取物件與不常存取物件的儲存體方案中的Amazon Storage Service 使用者指南

    • 若要透過備援方式在多個不同地理位置可用區域存放不常存取的物件資料,請選擇S3 標準 – IA。如需 S3 標準 IA 儲存類別的詳細資訊,請參不常存取物件的儲存體方案中的Amazon Storage Service 使用者指南

    • 若要將不常存取的物件資料存放在單一可用區域中,請選擇S3 單區域 – IA。如需 S3 單區域 — IA 儲存類別的詳細資訊,請參不常存取物件的儲存體方案中的Amazon Storage Service 使用者指南

    要幫助監控 S3 賬單,請使用AWS Trusted Advisor。如需詳細資訊,請參閱「」監控工具中的Amazon Storage Service 使用者指南

  15. 針對 Object metadata (物件中繼資料),選擇您要使用的中繼資料:

    • 若要啟用以副檔名為基礎的上傳物件使用 MIME 類型的猜想,請選擇猜測 MIME 類型

    • 若要將完整控制權授予映射至 SMB 檔案共享的 S3 儲存貯體擁有者,請選擇讓存儲桶擁有者完全控制。如需使用檔案共享存取另一個賬户擁有儲存貯體中之物件的詳細資訊,請參使用檔案共享進行跨賬户存取

    • 若要將完整控制權授予映射至 SMB 檔案共享的 S3 儲存貯體擁有者,請選擇啟用請求者付款。如需詳細資訊,請參閱請求者付款儲存貯體

  16. 適用於存取 S3 儲存貯體中,選擇AWS Identity and Access Management(IAM) 角色,您希望檔案閘道用來存取您的 Amazon S3 儲存貯體:

    • 若要啟用檔案閘道代您建立新的 IAM 角色並代您存取政策,請選擇創建新的 IAM 角色。如果文件共享使用接入點別名連接到 Amazon S3,則此選項不可用。

    • 要選擇現有 IAM 角色並手動設置訪問策略,請選擇使用現有 IAM 角色。如果您的文件共享使用接入點別名連接到 Amazon S3,則必須使用此選項。在 中IAM 角色框中,輸入用於存取您儲存貯體的角色的 Amazon Resource Name (ARN)。如需 IAM 角色的資訊,請參。IAM 角色中的AWS Identity and Access Management使用者指南

    如需存取 S3 儲存貯體的詳細資訊,請參閱授予對 Amazon S3 儲存貯體的存取權

  17. 適用於Encryption (加密)下,請選擇您的檔案閘道存放在 Amazon S3 中的物件加密所用的加密金鑰類型:

    • 若要使用 Amazon S3 (SSE-S3) 管理的伺服器端加密,請選擇S3 受管金鑰 (SSE-S3)

    • 若要使用伺服器端加密AWS Key Management Service(SSE-KMS),選擇KMS 管理金鑰 (SSE-KMS)。在 中Primary key (主索引鍵)框中,選擇現有的AWS KMS key或選擇建立新的 KMS 金鑰在AWS Key Management Service(AWS KMS) 主控台。如需有關 的詳細資訊AWS KMS,請參什麼是AWS Key Management Service?中的AWS Key Management Service開發人員指南

      注意

      若要指定AWS KMS鍵與未列出的別名一起使用AWS KMS鍵來自不同的AWS 帳戶,您必須使用AWS Command Line Interface(AWS CLI。如需詳細資訊,請參閱「」CreateNFSFileShare中的AWSStorage Gateway API 參考

      不支持非對稱 KMS 密鑰。

  18. 選擇 Next (下一步)。所以此檔案存取設定頁面隨即出現。

  19. 適用於身份驗證方法中,選擇您想要使用的身份驗證方法。

    • 若要使用您的公司 Microsoft AD,進行 SMB 檔案共享的使用者驗證存取權,請選擇Active Directory。您的檔案閘道必須加入網域。

    • 要僅提供來賓訪問權限,請選擇訪客存取。如果您選擇此身份驗證方法,檔案閘道不需要是 Microsoft AD 網域的一部分。您也可以使用身為 AD 網域成員的檔案閘道,來建立具有訪客存取權的檔案共享。您必須在相應的字段中為 SMB 服務器設置來賓密碼。

    注意

    兩種存取類型皆可同時使用。

  20. 在 中SMB 共用設定部分中,選擇您的設置。

    使用 Export as (匯出為) 時,選擇下面其中一個選項:

    • 讀取/寫入 (預設值)

    • 唯讀

    注意

    對於掛載在 Microsoft Windows 客户端上的文件共享,如果選擇唯讀,則可能會看到內容關於您無法建立資料夾之意外錯誤的訊息。您可以略過此訊息。

    對於 File/directory access controlled by (檔案/目錄存取控制者),請選擇以下其中一項:

    • 若要設定 SMB 檔案共享中檔案和資料夾之精確的許可,請選擇Windows Storage Control List (。如需詳細資訊,請參閱 使用 Microsoft Windows ACL 來控制 SMB 檔案共享的存取

    • 若要使用 POSIX 許可來控制透過 NFS 或 SMB 檔案共享存放之檔案和目錄的存取權,請選擇POSIX 權限

    如果您的身份驗證方法是Active Directory, 用於管理員用户/組中,輸入 AD 使用者和羣組的逗號分隔清單。如果您希望管理員使用者具有更新檔案共享中所有檔案和資料夾之存取控制清單 (ACL) 的權限,請這麼做。這些使用者和群組就會對檔案共享具有管理員權限。一個羣組前面必須加上@字符,例如,@group1

    適用於區分大小寫下,選擇下列其中一項:

    • 要允許網關控制區分大小寫,請選擇客户端指定

    • 要允許客户端控制區分大小寫,請選擇強制區分大小寫

    注意

    • 如果選中此項,此設置將立即應用於新的 SMB 客户端連接。現有 SMB 客户端連接必須斷開與文件共享的連接,然後重新連接,設置才能生效。

    適用於基於存取的枚舉下,選擇下列其中一項:

    • 要使共享上的文件和文件夾僅對具有讀取訪問權限的用户可見,請選擇對文件和目錄禁用

    • 要在目錄枚舉期間使共享上的文件和文件夾對所有用户可見,請選擇為文件和目錄啟用

    注意

    基於訪問的枚舉是一個系統,它根據共享的訪問控制列表 (ACL) 過濾 SMB 文件共享上的文件和文件夾枚舉。

    適用於機會鎖定下,選擇下列其中一項:

    • 要允許文件共享使用機會鎖定來優化文件緩衝策略,請選擇Enabled。在大多數情況下,啟用機會鎖定可提高性能,特別是在 Windows 上下文菜單方面。

    • 要防止使用機會鎖定,請選擇已停用。如果環境中的多個 Windows 客户端經常同時編輯相同的文件,則禁用機會鎖定有時會提高性能。

    注意

    對於涉及訪問不同大小寫的同名文件的工作負載,不建議對區分大小寫的共享啟用機會鎖定。

  21. (可選)在用户和組文件共享訪問部分中,選擇您的設置。

    適用於允許的用户和組,選擇新增允許使用者或者新增允許的組並輸入您要允許存取檔案共享的 AD 使用者或 group。重複此過程以允許根據需要允許儘可能多的用户和組。

    適用於被拒絕的用户和組,選擇新增拒絕使用者或者新增拒絕的羣組並輸入您要拒絕檔案共享存取權限的 AD 使用者或 group。重複此過程可根據需要拒絕任意數量的用户和組。

    注意

    所以此用户和組文件共享訪問部分僅在Active Directory已選取。

    僅輸入 AD 使用者或群組名稱。網域名稱是由閘道加入之特定 AD 閘道的成員資格所暗示。

    如果您未指定任何允許或拒絕的使用者或羣組,則任何已驗證的 AD 使用者都可以匯出檔案共享。

  22. 選擇 Next (下一步)。

  23. 檢您的檔案共享組態設定,然後選擇完成

    在您的 SMB 檔案共享建立之後,您可以在檔案共享的 Details (詳細資訊) 標籤中看到您的檔案共享設定。

後續步驟

在用户端掛載您的 SMB 檔案共享