本文介紹如何在NAS控制台上管理存取點,包括建立存取點、查看存取點網域名稱、刪除存取點、修改存取點等。
前提條件
已建立通用型NAS NFS協議檔案系統。具體操作,請參見建立檔案系統。
建立存取點並不依賴NAS掛載點。即使未建立掛載點或掛載點處于禁用狀態,也可以建立存取點,並通過存取點訪問NAS資料。
使用限制
僅通用型NAS NFS協議檔案系統支援該功能。
單個通用型NAS NFS協議檔案系統最多支援在2個交換器下共建立1000個存取點。
說明一個存取點可以被同VPC下的不同交換器下的ECS執行個體訪問。預設情況下,建議將多個存取點建立至同一個交換器中,建議選擇與NAS同可用性區域的交換器獲得最優效能。
建立存取點
登入NAS控制台。
在左側導覽列,選擇檔案系統>存取點。
在頁面左側頂部,選擇目標檔案系統所在的資源群組和地區。
在存取點列表頁面,單擊建立存取點。
在建立存取點面板,配置以下參數。
參數
說明
基本資料
檔案系統
選擇需要建立存取點的通用型NAS NFS協議檔案系統。
網路VPC
選擇與ECS執行個體相同的VPC。如果還未建立,請前往VPC控制台建立。
重要必須選擇與Elastic Compute Service執行個體相同的VPC。若選擇不同的VPC,則需要先通過雲企業網連通網路才能掛載檔案系統。更多資訊,請參見通過雲企業網實現同地區跨VPC掛載NAS。
交換器
選擇VPC下的交換器。
許可權組
根據需求選擇許可權組。
初始情況下,每個帳號都會自動產生一個VPC預設許可權組,允許同一VPC網路下的任何IP地址通過該存取點訪問檔案系統。您也可以根據業務情境建立許可權組。具體操作,請參見系統管理權限組。
存取點名稱
指定存取點名稱。
長度為2~128個英文或中文字元。
必須以大小寫字母或中文開頭。
可以包含數字、底線(_)或者短劃線(-)。
存取點根目錄
指定存取點在檔案系統中的根目錄,可以指定一個NAS內的一個子目錄作為存取點根目錄。通過存取點訪問的使用者,存取範圍將被限制在此子目錄內。
限制:
必須以正斜線(/)開頭。
支援數字、大小寫字母。
可以包含底線(_)、短劃線(-)或半形句號(.)。
路徑中不能包含軟連結,如本層目錄(.)、上層目錄(..)或其他軟連結。
重要如果存取點根目錄不存在,則需要配置目錄建立資訊,系統將根據設定自動建立指定的根目錄。
如果存取點根目錄已存在,則不需要配置目錄建立資訊,如果進行配置,目錄建立資訊中的配置也會被忽略。
目錄建立資訊(僅在存取點根目錄不存在時必填)
屬主使用者ID
指定存取點根目錄的擁有者使用者ID。
支援從0至4294967295的值。
屬主使用者組ID
指定存取點根目錄的擁有者使用者組ID。
支援從0至4294967295的值。
POSIX許可權
指定應用到存取點根目錄路徑的POSIX許可權。
格式為合法的八位元,如0755。
POSIX使用者(選填)
重要配置後,所有通過此存取點進行的I/O操作將使用此POSIX身份資訊覆蓋原有用戶端POSIX身份資訊校正。如果輸入了使用者ID,則必須輸入使用者組ID。
使用者ID
指定使用此存取點,而且被用於所有檔案系統操作的POSIX使用者ID。
支援從0至4294967295的值。
使用者組ID
指定使用此存取點,而且被用於所有檔案系統操作的POSIX使用者組ID。
支援從0至4294967295的值。
第二使用者組資訊(選填)
指定使用此存取點,而且被用於所有檔案系統操作的輔助POSIX組ID。
單擊完成建立。
建立存取點大概需要10分鐘左右,建立成功後,您可以在存取點列表中查看存取點狀態、存取點網域名稱、檔案系統、根目錄及POSIX使用者等。當存取點狀態為運行中時,您就可以通過存取點掛載NAS檔案系統。具體操作,請參見Linux系統通過存取點訪問檔案系統。
(可選)配置存取點策略
存取點策略是阿里雲NAS推出的針對存取點用戶端的自訂授權策略,可直接授權給同帳號下的不同RAM使用者或RAM角色掛載讀寫或允許使用root帳號訪問檔案系統內資源的許可權,更大程度地滿足您的細粒度許可權要求,從而實現更靈活的許可權管理。
鑒權說明
當NAS收到某個計算節點的請求後,NAS會檢查相應的存取點策略以驗證要求者是否擁有所需的許可權。
使用限制
啟用存取點策略後,預設禁止所有帳號(主帳號、RAM使用者、RAM角色)使用存取點掛載和訪問資料,您需要先配置存取點用戶端權限原則,並授權給RAM使用者或RAM角色,然後才能通過存取點進行掛載訪問。
對於未開啟存取點策略並已掛載使用的存取點,啟用存取點策略可能會造成正在啟動並執行業務中斷。
如果RAM使用者或RAM角色已被授予NAS檔案系統的完全系統管理權限AliyunNASFullAccess,則預設該RAM使用者或RAM角色有存取點用戶端的所有許可權。該許可權風險很高,不推薦使用。更多資訊,請參見存取點策略與系統策略AliyunNASFullAccess、AliyunNASReadOnlyAccess的關係是什嗎?。
操作步驟
為存取點所屬檔案系統啟用RAM策略。
登入NAS控制台。
在左側導覽列,選擇檔案系統>存取點。
在頁面左側頂部,選擇目標檔案系統所在的資源群組和地區。
在目標存取點的操作列,單擊管理。
在詳情頁面,單擊存取點策略頁簽,啟用RAM策略。
:啟用RAM策略。
:不啟用RAM策略。預設配置。
配置存取點用戶端權限原則。
使用阿里雲帳號登入RAM控制台。
在左側導覽列,選擇
。在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
根據業務需求配置以下權限原則內容,然後單擊確定。
單個操作許可權
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "nas:ClientMount", "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>", "Condition": { "StringEquals": { "nas:AccessPointArn": "<存取點ARN>" } } } ] }
多個操作許可權
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "nas:ClientMount", "nas:ClientWrite" ], "Resource": [ "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>" ], "Condition": { "StringEquals": { "nas:AccessPointArn": "<存取點ARN>" } } } ] }
重要參數說明如下表所示。
參數
說明
Action
您可以為存取點用戶端配置多個操作許可權。取值:
nas:ClientMount:支援掛載檔案系統和讀取資料。
nas:ClientWrite:支援寫資料。不單獨使用,需要同時授權ClientMount以支援檔案系統掛載和讀寫。
nas:ClientRootAccess:允許使用root帳號訪問。
如果沒有授權該操作,以root使用者身份訪問時,將映射成nobody使用者。
如果存取點綁定了Posix使用者,則該Posix使用者也受ClientRootAccess影響。例如,綁定了Posix使用者為root,但是沒有授權ClientRootAccess,通過該存取點掛載後所有IO的Posix使用者最終會映射為nobody使用者。
nobody使用者是Linux系統的預設使用者,只能訪問伺服器上的公用內容,具有低許可權,高安全性的特點。
Resource
存取點所屬檔案系統資源。格式為
acs:nas:<region>:<account-id>:filesystem/<FilesystemId>
。格式說明如下:region
:存取點所屬檔案系統所在地區。例如:cn-hangzhou
,您可以在存取點的ARN中找到region資訊。具體操作,請參見查看存取點ARN。account-id
:阿里雲帳號ID。例如:123456789012***
。FilesystemId
:存取點所屬檔案系統的ID。例如:0d9f24****
,您可以在檔案系統列表頁面擷取檔案系統ID。
nas:AccessPointArn
存取點的ARN。例如,
acs:nas:cn-hangzhou:117848947****:accesspoint/fsap-1
。您可以在存取點的基本資料頁面中擷取ARN。具體操作,請參見查看存取點ARN。
在建立權限原則彈框中,輸入權限原則名稱和備忘。
單擊確定。
為RAM使用者或RAM角色授權存取點用戶端權限原則。
說明RAM角色不具備永久身份憑證,而只能通過STS擷取可以自訂時效和存取權限的臨時身份憑證,即安全性權杖(STS Token)。該方式只適用於短期訪問NAS,當STS Token到期後,RAM角色如果繼續訪問檔案系統,IO將會報錯。
當您為RAM使用者或RAM角色授權後,授權資訊分發機制需要一定的時間來確保授權生效。您需要等待一定的時間,授權才能在雲產品中生效。更多資訊,請參見為什麼RAM授權後,沒有立刻在雲產品中生效?。
為RAM使用者授權。
為RAM角色授權。
建立RAM角色。具體操作,請參見建立可信實體為阿里雲帳號的RAM角色。
如果RAM角色已建立,請跳過該步驟,執行下一步。
將存取點用戶端權限原則(自訂策略)授權給RAM角色,同時您還需要為RAM角色授予STS的系統管理權限(AliyunSTSAssumeRoleAccess)。具體操作,請參見為RAM角色授權。
存取點策略配置完成後,您就可以通過存取點掛載NAS檔案系統。具體操作,請參見Linux系統通過存取點訪問檔案系統。
查看存取點網域名稱
您可以通過以下兩種方式查看存取點網域名稱。
在存取點列表頁面查看。
在存取點列表頁面,查看目標檔案系統的存取點網域名稱。
在檔案系統詳情頁面查看。
在檔案系統列表頁面,找到目標檔案系統,單擊管理,在檔案系統詳情頁面,單擊左側的掛載使用,然後單擊存取點頁簽,查看存取點網域名稱。
查看存取點根目錄
您可以通過以下兩種方式查看存取點根目錄。
在存取點列表頁面查看。
在存取點列表頁面,查看目標檔案系統的存取點根目錄。
在檔案系統詳情頁面查看。
在檔案系統列表頁面,找到目標檔案系統,單擊管理,在檔案系統詳情頁面,單擊左側掛載使用,然後單擊存取點頁簽,查看存取點根目錄。
查看存取點ARN
您可以通過以下兩種方式查看存取點ARN。
在存取點列表頁面查看。
在存取點列表頁面,單擊目標檔案系統的操作列的管理。
單擊基本資料頁簽,在ARN地區,擷取該存取點的ARN資訊。
在檔案系統詳情頁面查看。
在檔案系統列表頁面,找到目標檔案系統,單擊管理,
在檔案系統詳情頁面,單擊左側掛載使用,然後單擊存取點頁簽.
單擊目標存取點名稱,進入存取點詳情頁面,並在ARN地區,擷取該存取點的ARN資訊。
移除存取點
在存取點列表的操作列,單擊移除,移除存取點。
移除存取點後,會立即中斷當前正在通過存取點訪問此目錄的所有I/O,請謹慎操作。
修改存取點許可權組
在存取點列表的操作列,單擊管理,進入存取點詳情頁面,單擊許可權組右側的修改,可修改存取點的許可權組。關於許可權組的更多資訊,請參見系統管理權限組。