Greifen Sie mit Transfer Family auf Ihre FSx für NetApp ONTAP Dateisysteme zu - AWS Transfer Family
-ÜbersichtVoraussetzungenSo funktioniert FSx Speicher mit Transfer FamilyErstellen eines S3-Zugriffspunkts für FSxVerwenden von S3-Zugangspunkt-Aliasnamen mit FSxKonfiguration der Transfer Family für FSx SpeicherBenutzer für FSx den Speicher verwaltenKonfiguration von DateiübertragungsclientsProblembehebung FSx beim Speicher

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Greifen Sie mit Transfer Family auf Ihre FSx für NetApp ONTAP Dateisysteme zu

-Übersicht

Transfer Family unterstützt Amazon FSx für NetApp ONTAP über S3-Zugriffspunkte. Amazon FSx for NetApp ONTAP ist ein vollständig verwalteter Service, der äußerst zuverlässige, skalierbare, leistungsstarke und funktionsreiche Dateispeicherung bietet, die auf dem beliebten NetApp ONTAP-Dateisystem basiert. Wenn Sie Transfer Family mit einem FSx Dateisystem konfigurieren, stellen Ihre Benutzer mithilfe von Standard-Dateiübertragungsclients eine Verbindung zu Transfer Family-Endpunkten her. Transfer Family leitet Dateioperationen über einen S3-Zugriffspunkt weiter, der an Ihr FSx Volume angeschlossen ist, während Ihre Daten im FSx Dateisystem verbleiben. Weitere Informationen zu FSx for NetApp ONTAP finden Sie unter Was ist Amazon FSx for NetApp ONTAP?

Diese Integration ermöglicht Ihnen:

  • Dateien mithilfe von SFTP-, FTPS- oder FTP-Protokollen in einen Dateispeicher der Enterprise-Klasse übertragen

  • Greifen Sie über mehrere Protokolle (SFTP, NFS, SMB) auf dieselben Daten zu

  • Verwenden Sie FSx Funktionen wie Snapshots, Backups und Data Tiering

Wichtig

Einige Dateioperationen werden nicht unterstützt, wenn FSx Dateisysteme mit Transfer Family verwendet werden, einschließlich Umbenennungs- und Anfügeoperationen. Bei Upload-Vorgängen sind die Dateigrößen auf 5 GB begrenzt. Eine vollständige Liste der Einschränkungen finden Sie unter Access Point-Kompatibilität.

Voraussetzungen

Bevor Sie Transfer Family mit Amazon konfigurieren FSx, müssen Sie die folgenden Anforderungen erfüllen.

FSx für NetApp ONTAP-Anforderungen

Um NetApp ONTAP mit Transfer Family zu verwenden FSx , benötigen Sie:

  • Ein FSx für NetApp ONTAP Dateisystem, auf dem ONTAP Version 9.17.1 oder höher ausgeführt wird

  • Das Dateisystem und der S3-Zugangspunkt befinden sich in derselben Region AWS

  • Dasselbe AWS Konto, dem sowohl das Dateisystem als auch der Access Point gehören

Weitere Informationen finden Sie unter Erste Schritte mit Amazon FSx for NetApp ONTAP.

Erforderliche IAM-Berechtigungen

Sie können jeden S3-Zugriffspunkt mit unterschiedlichen Berechtigungen und Netzwerkkontrollen konfigurieren, die S3 für jede Anfrage anwendet, die über diesen Access Point gestellt wird. S3-Zugriffspunkte unterstützen IAM-Ressourcenrichtlinien, mit denen Sie die Nutzung des Access Points nach Ressourcen, Benutzern oder anderen Bedingungen steuern können. Damit eine Anwendung oder ein Benutzer über einen Access Point auf Dateien zugreifen kann, müssen sowohl der Access Point als auch das zugrunde liegende Volume die Anfrage zulassen. Weitere Informationen finden Sie unter Richtlinien für IAM-Zugriffspunkte.

Amazon S3 S3-Zugriffspunkte für die FSx Verwendung eines dualen Autorisierungsmodells, das IAM-Berechtigungen mit Berechtigungen auf Dateisystemebene kombiniert. Dieser Ansatz stellt sicher, dass Datenzugriffsanfragen sowohl auf der AWS Service-Ebene als auch auf der Ebene des zugrunde liegenden Dateisystems ordnungsgemäß autorisiert werden.

Damit eine Anwendung oder ein Benutzer erfolgreich über einen Access Point auf Daten zugreifen kann, müssen sowohl die S3-Zugriffspunktrichtlinie als auch das zugrunde liegende FSx Volume die Anfrage zulassen.

Um diese Integration zu erstellen und zu konfigurieren, benötigen Sie die folgenden Berechtigungen:

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy(wenn Sie eine optionale Zugriffspunktrichtlinie erstellen)

So funktioniert FSx Speicher mit Transfer Family

Wenn Sie Transfer Family mit einem FSx Dateisystem konfigurieren, arbeiten die folgenden Komponenten zusammen, um Dateiübertragungen zu ermöglichen:

  1. Ein Benutzer stellt über einen SFTP-, FTPS- oder FTP-Client eine Verbindung zum Transfer Family Family-Server her.

  2. Transfer Family authentifiziert den Benutzer mithilfe von vom Dienst verwalteten Identitäten, einem benutzerdefinierten Identitätsanbieter oder. AWS Directory Service for Microsoft Active Directory Nach der Authentifizierung übernimmt Transfer Family die dem Benutzer zugeordnete IAM-Rolle.

  3. Bei jedem Dateivorgang fungiert Transfer Family als standardmäßiger S3-API-Client, der Anfragen an den S3 Access Point unter Verwendung der angenommenen IAM-Rolle des Benutzers sendet und die Berechtigungen anhand der S3-Zugriffspunktrichtlinie überprüft.

  4. Das FSx Dateisystem überprüft, ob der mit dem Access Point verknüpfte Dateisystembenutzer berechtigt ist, den angeforderten Vorgang auszuführen. Die Dateioperation wird dann auf dem FSx Volume ausgeführt.

Damit ein Dateivorgang erfolgreich ist, müssen beide Autorisierungsebenen die Anforderung zulassen.

Anmerkung

Das Anhängen eines S3-Zugriffspunkts an ein FSx Volume ändert nichts daran, wie sich das Volume verhält, wenn direkt über NFS oder SMB darauf zugegriffen wird. Der bestehende Dateiprotokollzugriff funktioniert unverändert weiter.

Benutzeridentität im Dateisystem

Jeder Access Point verwendet eine Dateisystem-Benutzeridentität, die Sie bei der Erstellung des Access Points angeben. Diese Identität autorisiert alle Dateizugriffsanforderungen, die über diesen Access Point gestellt werden. Der Dateisystembenutzer ist ein Benutzerkonto im zugrunde liegenden FSx Amazon-Dateisystem. Wenn der Dateisystembenutzer nur Lesezugriff hat, sind nur Leseanfragen autorisiert, die über den Access Point gestellt werden, und Schreibanforderungen werden blockiert. Wenn der Dateisystembenutzer über Lese- und Schreibzugriff verfügt, sind sowohl Lese- als auch Schreibanforderungen an das angehängte Volume autorisiert, die über den Zugriffspunkt gestellt werden.

Erstellen eines S3-Zugriffspunkts für FSx

Bevor Sie Transfer Family konfigurieren, müssen Sie einen S3-Zugriffspunkt erstellen, der an Ihr FSx Volume angeschlossen ist. S3-Zugriffspunkte sind so genannte Netzwerkendpunkte, die mit einer Datenquelle wie einem Bucket oder einem Amazon FSx for ONTAP-Volume verbunden sind. Sie können mithilfe der FSx Amazon-Konsole, AWS CLI oder API einen Access Point FSx für NetApp ONTAP erstellen und diesem zuordnen. Nach dem Anhängen können Sie das S3-Objekt verwenden APIs , um auf Ihre Dateidaten zuzugreifen. Ihre Daten befinden sich weiterhin im FSx Amazon-Dateisystem und sind weiterhin für Ihre vorhandenen Workloads direkt zugänglich. Sie verwalten Ihren Speicher weiterhin mit allen Speicherverwaltungsfunktionen von NetApp ONTAP, einschließlich Backups, Snapshots, Benutzer- und Gruppenkontingenten sowie Komprimierung. FSx

Weitere Informationen finden Sie unter Erstellen von Zugriffspunkten.

Benennung der Access Points

Beachten Sie bei der Benennung Ihres Access Points die folgenden Richtlinien:

  • Die Namen der Access Points müssen innerhalb Ihres AWS Kontos und Ihrer Region eindeutig sein.

  • Namen dürfen nicht mit -ext-s3alias (reserviert für Aliase) enden.

  • Vermeiden Sie es, vertrauliche Informationen in Namen aufzunehmen, da diese im DNS veröffentlicht werden.

Eine vollständige Liste der Benennungsregeln finden Sie unter Benennungsregeln, Einschränkungen und Einschränkungen für Access Points.

Einen Access Point FSx für NetApp ONTAP erstellen

Gehen Sie wie folgt vor, um einen S3-Zugriffspunkt FSx für ein NetApp ONTAP-Volume zu erstellen.

So erstellen Sie einen Access Point (Konsole)

  1. Öffnen Sie die FSx Amazon-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Wählen Sie im Navigationsbereich Dateisysteme aus.

  3. Wählen Sie Ihr FSx NetApp ONTAP-Dateisystem aus.

  4. Wählen Sie den Tab Volumes.

  5. Wählen Sie das Volume aus, das Sie anhängen möchten.

  6. Wählen Sie unter Aktionen die Option S3-Zugangspunkt erstellen aus.

  7. Geben Sie unter Name des Zugriffspunkts einen aussagekräftigen Namen ein (z. B.transfer-family-ap).

  8. Wählen Sie für den Identitätstyp des Dateisystembenutzers eine der folgenden Optionen aus:

    • UNIX-Identität — Für Volumes mit UNIX-Sicherheitsstil

    • Windows-Identität — Für Volumes mit NTFS-Sicherheitsstil

  9. (Optional) Geben Sie für die Zugriffspunktrichtlinie eine IAM-Richtlinie ein, die definiert, welche IAM-Prinzipale welche Operationen an Objekten ausführen können, auf die über diesen Access Point zugegriffen wird. Weitere Informationen finden Sie unter Zugriffspunktzugriff verwalten.

  10. Wählen Sie Erstellen aus.

  11. Notieren Sie sich nach der Erstellung den Access Point-Alias für die Verwendung in der Transfer Family Family-Konfiguration.

Anmerkung

Wenn im Namen Ihrer verbundenen SFTP/FTPS Benutzer auf S3-Ressourcen AWS Transfer Family zugegriffen wird, stammen Anfragen von der AWS Transfer Family Infrastruktur, nicht von Ihrer VPC. Aus diesem Grund lehnen S3 Access Points, die mit einem VPC-Netzwerkursprung konfiguriert sind, diese Anfragen ab. Selbst wenn Sie einen Access Point verwenden, der mit einem Internet-Netzwerkursprung konfiguriert ist, bleibt der gesamte Datenverkehr zwischen Transfer Family und dem Access Point privat und wird über das AWS Backbone-Netzwerk übertragen — er durchquert nicht das öffentliche Internet.

Konfiguration von Dateisystemberechtigungen

Der von Ihnen angegebene Dateisystembenutzer bestimmt, welche Operationen Transfer Family Family-Benutzer ausführen können. Sie müssen die entsprechenden Berechtigungen für Ihr FSx Volume konfigurieren.

UNIX-Beispiel:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Windows-Beispiel:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

Verwenden von S3-Zugangspunkt-Aliasnamen mit FSx

Wenn Sie FSx Dateisysteme mit Transfer Family verwenden, müssen Sie S3-Zugriffspunkt-Aliase verwenden. Transfer Family unterstützt nicht die Verwendung von Access Points ARNs oder anderen Referenzmethoden für die FSx Speicherung.

Wichtig

AWS Transfer Family unterstützt nur S3-Zugriffspunkt-Aliase bei der Verwendung von FSx Dateisystemen. Sie können den Access Point ARNs oder virtual-hosted-style URIs nicht verwenden.

Wichtig

Der Access Point muss sich in derselben Region wie das Volume befinden.

Über Aliase für Access Points

Wenn Sie einen S3-Zugriffspunkt erstellen, der an ein FSx Volume angehängt ist, generiert Amazon S3 automatisch einen Access Point-Alias. Dieser Alias ist eine eindeutige Kennung, die Sie überall verwenden können, wo Sie einen S3-Bucket-Namen verwenden.

Für Access Points, die an FSx Volumes angehängt sind, verwendet der Alias das folgende Format:

access-point-name-metadata-ext-s3alias

Beispiel für einen Alias:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
Anmerkung

Das -ext-s3alias Suffix ist für FSx Access Point-Aliase reserviert. Sie können dieses Suffix nicht in Zugriffspunktnamen verwenden.

Finden Sie den Alias Ihres Access Points

Sie können den Alias des Access Points finden, nachdem Sie den Access Point erstellt haben.

Um den Alias des Access Points zu finden (Konsole)

  1. Öffnen Sie die FSx Amazon-Konsole unter https://console.aws.amazon.com/fsx/.

  2. Wählen Sie im Navigationsbereich Dateisysteme aus.

  3. Wählen Sie Ihr Dateisystem aus.

  4. Wählen Sie die Registerkarte Volumes und wählen Sie das Volume aus, für das Sie den Access Point erstellt haben.

  5. Gehen Sie zur Spalte mit den S3-Zugangspunkt-Details.

  6. Der Alias wird in der Alias-Spalte angezeigt.

So finden Sie den Access Point-Alias (CLI)

Verwenden Sie den Befehl describe-s3-access-point-attachments.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

Die Antwort enthält den Alias:

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Wenn Sie Transfer Family Family-Benutzer konfigurieren, verwenden Sie den Access Point-Alias in Basisverzeichniszuordnungen.

Format des Home-Verzeichnisses:

/access-point-alias/path/to/directory

Beispiel:

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

Konfiguration der Transfer Family für FSx Speicher

Nachdem Sie den S3-Zugriffspunkt erstellt haben, konfigurieren Sie einen Transfer Family Family-Server für die Verwendung.

Erstellen einer IAM-Rolle

Sie müssen eine IAM-Rolle erstellen, die Transfer Family Zugriff auf den S3-Zugriffspunkt gewährt.

Wichtig

IAM-Richtlinien erfordern das Access Point-ARN-Format, nicht den Alias. Verwenden Sie das Format arn:aws:s3:region:account-id:accesspoint/access-point-name in den Ressourcenanweisungen Ihrer IAM-Richtlinie. Der Access Point-Alias (endet auf-ext-s3alias) wird nur für Zuordnungen von Home-Verzeichnissen verwendet.

So erstellen Sie die IAM-Rolle

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen und anschließend Rolle erstellen aus.

  3. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS -Service aus.

  4. Wählen Sie als Anwendungsfall die Option Transfer aus.

  5. Wählen Sie Weiter aus.

  6. Wählen Sie Richtlinie erstellen und geben Sie Ihre Richtlinie ein (siehe Beispielrichtlinie unten).

  7. Hängen Sie die Richtlinie an die Rolle an und wählen Sie Rolle erstellen aus.

Beispiel für eine IAM-Richtlinie:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

Benutzer für FSx den Speicher verwalten

Erstellen Sie Transfer Family Family-Benutzer mit Stammverzeichniszuordnungen, die den S3-Zugriffspunkt-Alias verwenden.

Erstellen eines Benutzers

Wenn Sie einen Benutzer für den FSx Speicher erstellen, verwenden Sie den Access Point-Alias in den Zuordnungen der Home-Verzeichnisse.

So erstellen Sie einen Service Managed-Benutzer (Konsole)

  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

  2. Klicken Sie im Navigationsbereich auf Servers (Server).

  3. Wählen Sie Ihren Server aus.

  4. Wählen Sie im Bereich Benutzer die Option Benutzer hinzufügen aus.

  5. Geben Sie unter Nutzername einen Nutzernamen ein.

  6. Wählen Sie unter Rolle die IAM-Rolle aus, die Sie erstellt haben.

  7. Wählen Sie für Home-Verzeichnis die Option Eingeschränkt aus.

  8. Fügen Sie für Zuordnungen von Home-Verzeichnissen eine Zuordnung mit dem Access Point-Alias hinzu:

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

Um einen Benutzer zu erstellen (CLI)

Verwenden Sie den Befehl create-user. Ersetzen Sie den Access Point-Alias durch Ihren Alias.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

Konfiguration mehrerer Verzeichniszuordnungen

Sie können mehrere virtuelle Verzeichnisse verschiedenen Pfaden auf dem FSx Volume zuordnen.

Beispiel: Separate Upload- und Download-Verzeichnisse

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

Konfiguration von Dateiübertragungsclients

Wenn Sie FSx Dateisysteme mit Transfer Family verwenden, müssen Sie Ihre Dateiübertragungsclients so konfigurieren, dass Funktionen deaktiviert werden, die nicht unterstützt werden.

WinSCP-Konfiguration

WinSCP verwendet standardmäßig eine temporäre Umbenennungsfunktion, die von S3-Zugriffspunkten für nicht unterstützt wird. FSx

Warnung

Wenn Sie die Funktion zum temporären Umbenennen in WinSCP nicht deaktivieren, schlagen Dateiuploads fehl.

Um die temporäre Umbenennung in WinSCP zu deaktivieren

  1. Öffnen Sie WinSCP.

  2. Wählen Sie im Anmeldedialogfeld Bearbeiten, um Ihre Sitzungseinstellungen zu ändern.

  3. Wählen Sie Erweitert aus.

  4. Wählen Sie in der linken Navigationsleiste unter Transfer die Option Endurance aus.

  5. Wählen Sie für „Übertragung resume/transfer auf temporären Dateinamen aktivieren“ die Option „Deaktivieren“.

  6. Wählen Sie OK, um die Einstellungen zu speichern.

Alternativ können Sie diese Einstellung für eine bestehende Sitzung deaktivieren:

  1. Connect zu Ihrem Transfer Family Family-Server her.

  2. Wählen Sie Optionen und dann Einstellungen.

  3. Wähle „Transfer“ und dann „Endurance“.

  4. Wählen Sie für „Übertragung resume/transfer auf temporären Dateinamen aktivieren“ die Option „Deaktivieren“.

  5. Wählen Sie OK aus.

Andere SFTP-Clients

Deaktivieren Sie für andere SFTP-Clients die folgenden Funktionen, sofern verfügbar:

  • Temporäre Datei-Uploads (in eine temporäre Datei hochladen und dann umbenennen)

  • Übertragungen mithilfe temporärer Dateien fortsetzen

  • Atomare Uploads mithilfe von Umbenennungsoperationen

  • Anfügen-Modus für Uploads

Spezifische Konfigurationsschritte finden Sie in Ihrer Client-Dokumentation.

Problembehebung FSx beim Speicher

In diesem Abschnitt wird beschrieben, wie Sie häufig auftretende Probleme bei der Verwendung von Transfer Family mit FSx Dateisystemen identifizieren und lösen können.

Probleme beim Betrieb von Dateien

Genehmigung verweigert

Wenn Sie die Fehlermeldung „Zugriff verweigert“ erhalten:

  1. Stellen Sie sicher, dass die IAM-Rolle über die richtigen Berechtigungen für den Access Point-Alias verfügt. Sie können dies tun, indem Sie direkt mit S3 APIs testen.

  2. Vergewissern Sie sich, dass die Zugriffspunktrichtlinie die IAM-Rolle zulässt.

  3. Stellen Sie sicher, dass der Dateisystembenutzer über Berechtigungen für den Zielpfad verfügt.

  4. Vergewissern Sie sich, dass bei der Zuordnung des Home-Verzeichnisses der richtige Access Point-Alias verwendet wird.

Upload schlägt mit WinSCP fehl

Wenn Datei-Uploads mit WinSCP fehlschlagen, deaktivieren Sie das temporäre Umbenennen:

  1. Wählen Sie in WinSCP Optionen und dann Einstellungen.

  2. Wählen Sie Transfer und dann Endurance.

  3. Wählen Sie für „Übertragung resume/transfer auf temporären Dateinamen aktivieren“ die Option „Deaktivieren“.

Weitere Informationen finden Sie unter Konfiguration von Dateiübertragungsclients.

Das Hochladen der Datei schlägt fehl

Wenn Datei-Uploads fehlschlagen:

  1. Stellen Sie sicher, dass die Dateigröße unter 5 GB liegt.

  2. Vergewissern Sie sich, dass auf dem FSx Volume ausreichend Speicherplatz verfügbar ist.

  3. Überwachen Sie die CloudWatch Metriken im Hinblick auf Drosselung.