全部產品
Search
文件中心

File Storage NAS:通過NAT Gateway實現本機資料中心訪問阿里雲NAS

更新時間:Sep 20, 2024

一般情況下,NAS檔案系統需要在同帳號、同地區、同VPC下的計算節點中掛載訪問。如果您想在本機資料中心或個人用戶端中掛載NAS,則必須連通NAS所在地區VPC的網路。您可以通過配置NAT Gateway,連通與NAS VPC之間的網路。本文主要介紹如何通過NAT Gateway的設定,實現本機資料中心訪問阿里雲NAS。

背景資訊

對於一個地區(例如華東1杭州)內建立的檔案系統(NFS或者SMB),只支援掛載到同一地區內的ECS上。您在其他地區(例如華北1青島)內的ECS或者本機資料中心的伺服器,無法直接掛載。只有通過建立不同VPC間或者本機資料中心和VPC間的Express Connect才能實現跨地區或者在本機資料中心掛載檔案系統,而部署Express Connect存在高成本問題。

如果已經在本機資料中心部署了VPN網關,推薦使用阿里雲VPN網關來實現本機資料中心與阿里雲NAS之間的網路互連。更多資訊,請參見通過VPN網關實現本機資料中心訪問阿里雲NAS

如果您只是將少量的本機資料上傳到阿里雲NAS,推薦使用NAT Gateway實現本機資料中心與阿里雲NAS之間的網路互連。

使用NAT Gateway從本機資料中心訪問阿里雲NAS的網路架構如下圖所示。架構圖

  • 優勢:配置簡單

  • 缺點:

    • 安全性方面,由於EIP和VPC網路互連,因此任何人都可通過EIP掛載到EIP對應的掛載點。

    • 每個EIP+PORT只能映射到一個掛載點。

    • 當建立DNAT條目時,如果將連接埠設定為任意連接埠,同時訪問多個掛載點時,需要為每個掛載點建立一個EIP。

(可選)設定白名單

在Apsara File Storage NAS中,許可權組是一個白名單機制。為了確保您的資料訪問安全,您可以通過配置自訂許可權組,為不同的IP地址或網段授予不同的存取權限,以滿足不同的訪問情境。

  1. 登入NAS控制台

  2. 建立許可權組。

    1. 在左側導覽列,單擊檔案系統 > 許可權組

    2. 在頁面上方,選擇地區。

    3. 許可權組頁面,選擇通用型NAS或者極速型NAS頁簽,單擊建立許可權組

    4. 建立許可權組對話方塊中,配置相關資訊。

      更多參數說明,請參見重要參數說明

      建立許可權組

  3. 為許可權組添加規則。

    1. 找到剛建立的許可權組,單擊操作列的管理規則,然後單擊添加規則,配置相關規則資訊。

      更多參數說明,請參見管理規則參數說明

      image

    2. 單擊確定

建立檔案系統和掛載點

  1. 登入NAS控制台

  2. 建立檔案系統。具體操作,請參見通過控制台建立通用型NAS檔案系統

  3. 添加專用網路類型掛載點。具體操作,請參見添加掛載點

配置NAT Gateway

通過以下配置,可在任何一台串連公網的PC上(Windows或Linux系統)掛載NAS,實現檔案的上傳和下載。

  1. 登入專用網路控制台

  2. 建立NAT Gateway。具體操作,請參見建立和管理公網NAT Gateway執行個體

    說明

    必須與NAS選擇同一VPC。

  3. 為NAT Gateway綁定Elastic IP Address。具體操作,請參見申請EIP

  4. 建立DNAT條目。具體操作,請參見建立和管理DNAT條目

    重要參數說明,如下所示。

    配置

    說明

    公網IP地址

    建立EIP時產生的公網IP地址。

    私網IP地址

    檔案系統掛載點的IP地址。

    您可以在ECS中ping檔案系統的掛載點地址擷取IP地址。樣本如下:

    ping 0dc404****-****.cn-hangzhou.nas.aliyuncs.com

    有關掛載點地址的資訊,請參見查看掛載點列表

    連接埠設定

    • 具體連接埠:(推薦)

      • NFS檔案系統:

        • 公網連接埠:111,2049連接埠。

        • 私網連接埠:111,2049連接埠。

        • 協議類型:TCP協議。

      • SMB檔案系統:

        • 公網連接埠:4456連接埠。

        • 私網連接埠:445連接埠。

        • 協議類型:TCP協議。

    • 任意連接埠:(不推薦)

      任何訪問EIP的請求都會轉寄到目標NAS上,建議指定具體連接埠。

掛載檔案系統

NFS協議檔案系統

  1. 安裝NFS用戶端。具體操作,請參見安裝NFS用戶端

    如果已安裝,請跳過此步驟,執行掛載NFS檔案系統。

  2. 掛載NFS檔案系統。更多掛載命令參數,請參見參數說明

    mount -t nfs4 100.10.xx.xx:/ /mnt
    • 100.10.xx.xx為建立EIP時產生的公網IP地址,請根據實際情況替換。

    • /mnt為掛載的目標地址,請根據實際情況替換。

SMB協議檔案系統

  1. 啟動Workstation服務和TCP/IP NetBIOS Helper服務。具體操作,請參見開啟Workstation和TCP/IP NetBIOS Helper服務

  2. 檢查本地445連接埠是否被佔用。

    • 執行命令

      netstat -ano | findstr ":445"
    • 如果返回如下類似資訊,則表示本地445連接埠被佔用。

        TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
        TCP    [::]:445               [::]:0                 LISTENING       4

      其中,4為佔用445連接埠的程式的PID。

    如果本地445連接埠被佔用,請在命令提示字元中執行以下命令,或使用快速鍵Win+R,輸入services.msc進入本地服務 ,查看Server服務的狀態。

    sc query LanmanServer
    • 如果Server服務狀態為運行中(RUNNING),請在命令提示字元中執行以下命令,或使用快速鍵Win+R,輸入services.msc進入本地服務 ,停止並禁用Server服務。然後重啟伺服器,並確認445連接埠不再被佔用。

      net stop LanmanServer && sc config LanmanServer start= disabled
    • 如果Server服務狀態為停止(STOPPED),或重啟伺服器後445連接埠依然被佔用,您可以執行以下命令,查看佔用445連接埠的程式。在確認該程式可以停止後,終止該程式,然後重啟伺服器。

      tasklist /FI "PID eq 4"

      其中,4為執行netstat -ano | findstr ":445"返回資訊中的PID,請根據實際值替換。

  3. 配置本地連接埠轉寄

    SMB協議預設的445連接埠為高危連接埠,網路電訊廠商(ISP)預設會關閉。如果本機資料中心通過NAT公網訪問NAS,則需要在本地做連接埠轉寄。

    本地通過netsh(Windows用戶端)將本地445連接埠轉寄至非445連接埠(4456)。

    netsh interface portproxy add v4tov4 listenaddress=192.168.xx.xx listenport=445 connectaddress=100.10.xx.xx connectport=4456

    其中,192.168.xx.xx為本機伺服器IP地址,100.10.xx.xx為建立EIP時產生的公網IP地址,請根據實際值替換。本機伺服器IP地址也可以使用127.0.0.1

    說明

    如果DNAT條目公網連接埠為445連接埠或連接埠為任意連接埠時,無需配置本地連接埠轉寄,直接使用EIP公網地址掛載即可。

  4. 掛載SMB協議檔案系統。具體操作,請參見掛載SMB協議檔案系統

    net use D: \\192.168.xx.xx\myshare
    • D為當前Windows系統上要掛載的目標盤符,請根據實際值替換。

    • 192.168.xx.xx為本機伺服器IP地址,也可以使用127.0.0.1,請根據實際情況替換。

    • myshare為SMB的共用名稱,不允許變更。

驗證掛載結果

NFS協議檔案系統

執行mount -l命令,顯示如下內容,則表示掛載成功。掛載成功後,您可以進行讀寫操作。

image

SMB協議檔案系統

在檔案管理工具中,可以訪問SMB檔案系統,則表示掛載成功。掛載成功後,您可以進行讀寫操作。

說明

如果未發現掛載的盤符,您可以在檔案管理工具中,輸入\\192.168.xx.xx\myshare進行訪問。其中192.168.xx.xx為本機伺服器IP地址,請根據實際值替換。

掛載結果

NAT Gateway方案和VPN網關方案的對比

使用NAT與使用VPN的優缺點對比如下所示。

對比項

NAT Gateway方案

VPN網關方案

配置

簡單,完全在阿里雲控制台完成

複雜,需要在阿里雲控制台配置VPN網關,還需要在本機資料中心配置使用者側VPN網關

安全性

靈活性

受限,一個EIP只能映射到一個NAS掛載點

好,可以同時訪問所有的NAS掛載點

適合情境

臨時,少量資料上傳下載

使用者線下環境和阿里雲NAS長期的連通