一般情況下,NAS檔案系統需要在同帳號、同地區、同VPC下的計算節點中掛載訪問。如果您想在本機資料中心或個人用戶端中掛載NAS,則必須連通NAS所在地區VPC的網路。您可以通過配置NAT Gateway,連通與NAS VPC之間的網路。本文主要介紹如何通過NAT Gateway的設定,實現本機資料中心訪問阿里雲NAS。
背景資訊
對於一個地區(例如華東1杭州)內建立的檔案系統(NFS或者SMB),只支援掛載到同一地區內的ECS上。您在其他地區(例如華北1青島)內的ECS或者本機資料中心的伺服器,無法直接掛載。只有通過建立不同VPC間或者本機資料中心和VPC間的Express Connect才能實現跨地區或者在本機資料中心掛載檔案系統,而部署Express Connect存在高成本問題。
如果已經在本機資料中心部署了VPN網關,推薦使用阿里雲VPN網關來實現本機資料中心與阿里雲NAS之間的網路互連。更多資訊,請參見通過VPN網關實現本機資料中心訪問阿里雲NAS。
如果您只是將少量的本機資料上傳到阿里雲NAS,推薦使用NAT Gateway實現本機資料中心與阿里雲NAS之間的網路互連。
使用NAT Gateway從本機資料中心訪問阿里雲NAS的網路架構如下圖所示。
優勢:配置簡單
缺點:
安全性方面,由於EIP和VPC網路互連,因此任何人都可通過EIP掛載到EIP對應的掛載點。
每個EIP+PORT只能映射到一個掛載點。
當建立DNAT條目時,如果將連接埠設定為任意連接埠,同時訪問多個掛載點時,需要為每個掛載點建立一個EIP。
(可選)設定白名單
在Apsara File Storage NAS中,許可權組是一個白名單機制。為了確保您的資料訪問安全,您可以通過配置自訂許可權組,為不同的IP地址或網段授予不同的存取權限,以滿足不同的訪問情境。
建立檔案系統和掛載點
登入NAS控制台。
建立檔案系統。具體操作,請參見通過控制台建立通用型NAS檔案系統。
添加專用網路類型掛載點。具體操作,請參見添加掛載點。
配置NAT Gateway
通過以下配置,可在任何一台串連公網的PC上(Windows或Linux系統)掛載NAS,實現檔案的上傳和下載。
登入專用網路控制台。
建立NAT Gateway。具體操作,請參見建立和管理公網NAT Gateway執行個體。
說明必須與NAS選擇同一VPC。
為NAT Gateway綁定Elastic IP Address。具體操作,請參見申請EIP。
建立DNAT條目。具體操作,請參見建立和管理DNAT條目。
重要參數說明,如下所示。
配置
說明
公網IP地址
建立EIP時產生的公網IP地址。
私網IP地址
檔案系統掛載點的IP地址。
您可以在ECS中
ping
檔案系統的掛載點地址擷取IP地址。樣本如下:ping 0dc404****-****.cn-hangzhou.nas.aliyuncs.com
有關掛載點地址的資訊,請參見查看掛載點列表。
連接埠設定
具體連接埠:(推薦)
NFS檔案系統:
公網連接埠:111,2049連接埠。
私網連接埠:111,2049連接埠。
協議類型:TCP協議。
SMB檔案系統:
公網連接埠:4456連接埠。
私網連接埠:445連接埠。
協議類型:TCP協議。
任意連接埠:(不推薦)
任何訪問EIP的請求都會轉寄到目標NAS上,建議指定具體連接埠。
掛載檔案系統
NFS協議檔案系統
SMB協議檔案系統
啟動Workstation服務和TCP/IP NetBIOS Helper服務。具體操作,請參見開啟Workstation和TCP/IP NetBIOS Helper服務。
檢查本地445連接埠是否被佔用。
執行命令
netstat -ano | findstr ":445"
如果返回如下類似資訊,則表示本地445連接埠被佔用。
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP [::]:445 [::]:0 LISTENING 4
其中,
4
為佔用445連接埠的程式的PID。
如果本地445連接埠被佔用,請在命令提示字元中執行以下命令,或使用快速鍵
Win+R
,輸入services.msc
進入本地服務 ,查看Server服務的狀態。sc query LanmanServer
如果Server服務狀態為運行中(RUNNING),請在命令提示字元中執行以下命令,或使用快速鍵
Win+R
,輸入services.msc
進入本地服務 ,停止並禁用Server服務。然後重啟伺服器,並確認445連接埠不再被佔用。net stop LanmanServer && sc config LanmanServer start= disabled
如果Server服務狀態為停止(STOPPED),或重啟伺服器後445連接埠依然被佔用,您可以執行以下命令,查看佔用445連接埠的程式。在確認該程式可以停止後,終止該程式,然後重啟伺服器。
tasklist /FI "PID eq 4"
其中,
4
為執行netstat -ano | findstr ":445"
返回資訊中的PID,請根據實際值替換。
配置本地連接埠轉寄
SMB協議預設的445連接埠為高危連接埠,網路電訊廠商(ISP)預設會關閉。如果本機資料中心通過NAT公網訪問NAS,則需要在本地做連接埠轉寄。
本地通過
netsh
(Windows用戶端)將本地445連接埠轉寄至非445連接埠(4456)。netsh interface portproxy add v4tov4 listenaddress=192.168.xx.xx listenport=445 connectaddress=100.10.xx.xx connectport=4456
其中,
192.168.xx.xx
為本機伺服器IP地址,100.10.xx.xx
為建立EIP時產生的公網IP地址,請根據實際值替換。本機伺服器IP地址也可以使用127.0.0.1
。說明如果DNAT條目公網連接埠為445連接埠或連接埠為任意連接埠時,無需配置本地連接埠轉寄,直接使用EIP公網地址掛載即可。
掛載SMB協議檔案系統。具體操作,請參見掛載SMB協議檔案系統。
net use D: \\192.168.xx.xx\myshare
D為當前Windows系統上要掛載的目標盤符,請根據實際值替換。
192.168.xx.xx為本機伺服器IP地址,也可以使用127.0.0.1,請根據實際情況替換。
myshare為SMB的共用名稱,不允許變更。
驗證掛載結果
NFS協議檔案系統
執行mount -l
命令,顯示如下內容,則表示掛載成功。掛載成功後,您可以進行讀寫操作。
SMB協議檔案系統
在檔案管理工具中,可以訪問SMB檔案系統,則表示掛載成功。掛載成功後,您可以進行讀寫操作。
如果未發現掛載的盤符,您可以在檔案管理工具中,輸入\\192.168.xx.xx\myshare
進行訪問。其中192.168.xx.xx
為本機伺服器IP地址,請根據實際值替換。
NAT Gateway方案和VPN網關方案的對比
使用NAT與使用VPN的優缺點對比如下所示。
對比項 | NAT Gateway方案 | VPN網關方案 |
配置 | 簡單,完全在阿里雲控制台完成 | 複雜,需要在阿里雲控制台配置VPN網關,還需要在本機資料中心配置使用者側VPN網關 |
安全性 | 差 | 好 |
靈活性 | 受限,一個EIP只能映射到一個NAS掛載點 | 好,可以同時訪問所有的NAS掛載點 |
適合情境 | 臨時,少量資料上傳下載 | 使用者線下環境和阿里雲NAS長期的連通 |