全部產品
Search
文件中心

File Storage NAS:管理存取點

更新時間:Dec 11, 2024

本文介紹如何在NAS控制台上管理存取點,包括建立存取點、查看存取點網域名稱、刪除存取點、修改存取點等。

前提條件

已建立通用型NAS NFS協議檔案系統。具體操作,請參見建立檔案系統

說明

建立存取點並不依賴NAS掛載點。即使未建立掛載點或掛載點處于禁用狀態,也可以建立存取點,並通過存取點訪問NAS資料。

使用限制

  • 僅通用型NAS NFS協議檔案系統支援該功能。

  • 單個通用型NAS NFS協議檔案系統最多支援在2個交換器下共建立1000個存取點。

    說明

    一個存取點可以被同VPC下的不同交換器下的ECS執行個體訪問。預設情況下,建議將多個存取點建立至同一個交換器中,建議選擇與NAS同可用性區域的交換器獲得最優效能。

建立存取點

  1. 登入NAS控制台

  2. 在左側導覽列,選擇檔案系統>存取點

  3. 在頁面左側頂部,選擇目標檔案系統所在的資源群組和地區。

    image

  4. 存取點列表頁面,單擊建立存取點

  5. 建立存取點面板,配置以下參數。

    參數

    說明

    基本資料

    檔案系統

    選擇需要建立存取點的通用型NAS NFS協議檔案系統。

    網路VPC

    選擇與ECS執行個體相同的VPC。如果還未建立,請前往VPC控制台建立。

    重要

    必須選擇與Elastic Compute Service執行個體相同的VPC。若選擇不同的VPC,則需要先通過雲企業網連通網路才能掛載檔案系統。更多資訊,請參見通過雲企業網實現同地區跨VPC掛載NAS

    交換器

    選擇VPC下的交換器。

    許可權組

    根據需求選擇許可權組。

    初始情況下,每個帳號都會自動產生一個VPC預設許可權組,允許同一VPC網路下的任何IP地址通過該存取點訪問檔案系統。您也可以根據業務情境建立許可權組。具體操作,請參見系統管理權限組

    存取點名稱

    指定存取點名稱。

    • 長度為2~128個英文或中文字元。

    • 必須以大小寫字母或中文開頭。

    • 可以包含數字、底線(_)或者短劃線(-)。

    存取點根目錄

    指定存取點在檔案系統中的根目錄,可以指定一個NAS內的一個子目錄作為存取點根目錄。通過存取點訪問的使用者,存取範圍將被限制在此子目錄內。

    限制:

    • 必須以正斜線(/)開頭。

    • 支援數字、大小寫字母。

    • 可以包含底線(_)、短劃線(-)或半形句號(.)。

    • 路徑中不能包含軟連結,如本層目錄(.)、上層目錄(..)或其他軟連結。

    重要
    • 如果存取點根目錄不存在,則需要配置目錄建立資訊,系統將根據設定自動建立指定的根目錄。

    • 如果存取點根目錄已存在,則不需要配置目錄建立資訊,如果進行配置,目錄建立資訊中的配置也會被忽略。

    目錄建立資訊(僅在存取點根目錄不存在時必填)

    屬主使用者ID

    指定存取點根目錄的擁有者使用者ID。

    支援從0至4294967295的值。

    屬主使用者組ID

    指定存取點根目錄的擁有者使用者組ID。

    支援從0至4294967295的值。

    POSIX許可權

    指定應用到存取點根目錄路徑的POSIX許可權。

    格式為合法的八位元,如0755。

    POSIX使用者(選填)

    重要

    配置後,所有通過此存取點進行的I/O操作將使用此POSIX身份資訊覆蓋原有用戶端POSIX身份資訊校正。如果輸入了使用者ID,則必須輸入使用者組ID。

    使用者ID

    指定使用此存取點,而且被用於所有檔案系統操作的POSIX使用者ID。

    支援從0至4294967295的值。

    使用者組ID

    指定使用此存取點,而且被用於所有檔案系統操作的POSIX使用者組ID。

    支援從0至4294967295的值。

    第二使用者組資訊(選填)

    指定使用此存取點,而且被用於所有檔案系統操作的輔助POSIX組ID。

  6. 單擊完成建立

    建立存取點大概需要10分鐘左右,建立成功後,您可以在存取點列表中查看存取點狀態、存取點網域名稱、檔案系統、根目錄及POSIX使用者等。當存取點狀態為運行中時,您就可以通過存取點掛載NAS檔案系統。具體操作,請參見Linux系統通過存取點訪問檔案系統

(可選)配置存取點策略

存取點策略是阿里雲NAS推出的針對存取點用戶端的自訂授權策略,可直接授權給同帳號下的不同RAM使用者或RAM角色掛載讀寫或允許使用root帳號訪問檔案系統內資源的許可權,更大程度地滿足您的細粒度許可權要求,從而實現更靈活的許可權管理。

鑒權說明

當NAS收到某個計算節點的請求後,NAS會檢查相應的存取點策略以驗證要求者是否擁有所需的許可權。

使用限制

  • 啟用存取點策略後,預設禁止所有帳號(主帳號、RAM使用者、RAM角色)使用存取點掛載和訪問資料,您需要先配置存取點用戶端權限原則,並授權給RAM使用者或RAM角色,然後才能通過存取點進行掛載訪問。

  • 對於未開啟存取點策略並已掛載使用的存取點,啟用存取點策略可能會造成正在啟動並執行業務中斷。

  • 如果RAM使用者或RAM角色已被授予NAS檔案系統的完全系統管理權限AliyunNASFullAccess,則預設該RAM使用者或RAM角色有存取點用戶端的所有許可權。該許可權風險很高,不推薦使用。更多資訊,請參見存取點策略與系統策略AliyunNASFullAccess、AliyunNASReadOnlyAccess的關係是什嗎?

操作步驟

  1. 為存取點所屬檔案系統啟用RAM策略。

    1. 登入NAS控制台

    2. 在左側導覽列,選擇檔案系統>存取點

    3. 在頁面左側頂部,選擇目標檔案系統所在的資源群組和地區。

      image

    4. 在目標存取點的操作列,單擊管理

    5. 在詳情頁面,單擊存取點策略頁簽,啟用RAM策略。

      • image.png:啟用RAM策略。

      • image.png:不啟用RAM策略。預設配置。

  2. 配置存取點用戶端權限原則。

    1. 使用阿里雲帳號登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 權限原則頁面,單擊建立權限原則

    4. 建立權限原則頁面,單擊指令碼編輯頁簽。

    5. 根據業務需求配置以下權限原則內容,然後單擊確定

      • 單個操作許可權

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "nas:ClientMount",
              "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>",
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<存取點ARN>"
                }
              }
            }
          ]
        }
      • 多個操作許可權

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "nas:ClientMount",
                "nas:ClientWrite"
               ],
              "Resource": [
                "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>"
               ],
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<存取點ARN>"
                }
              }
            }
          ]
        }

        重要參數說明如下表所示。

        參數

        說明

        Action

        您可以為存取點用戶端配置多個操作許可權。取值:

        • nas:ClientMount:支援掛載檔案系統和讀取資料。

        • nas:ClientWrite:支援寫資料。不單獨使用,需要同時授權ClientMount以支援檔案系統掛載和讀寫。

        • nas:ClientRootAccess:允許使用root帳號訪問。

          • 如果沒有授權該操作,以root使用者身份訪問時,將映射成nobody使用者。

          • 如果存取點綁定了Posix使用者,則該Posix使用者也受ClientRootAccess影響。例如,綁定了Posix使用者為root,但是沒有授權ClientRootAccess,通過該存取點掛載後所有IO的Posix使用者最終會映射為nobody使用者。

          • nobody使用者是Linux系統的預設使用者,只能訪問伺服器上的公用內容,具有低許可權,高安全性的特點。

        Resource

        存取點所屬檔案系統資源。格式為acs:nas:<region>:<account-id>:filesystem/<FilesystemId>。格式說明如下:

        • region:存取點所屬檔案系統所在地區。例如:cn-hangzhou,您可以在存取點的ARN中找到region資訊。具體操作,請參見查看存取點ARN

        • account-id:阿里雲帳號ID。例如:123456789012***

        • FilesystemId:存取點所屬檔案系統的ID。例如:0d9f24****,您可以在檔案系統列表頁面擷取檔案系統ID。

        nas:AccessPointArn

        存取點的ARN。例如,acs:nas:cn-hangzhou:117848947****:accesspoint/fsap-1。您可以在存取點的基本資料頁面中擷取ARN。具體操作,請參見查看存取點ARN

    6. 建立權限原則彈框中,輸入權限原則名稱備忘

    7. 單擊確定

  3. 為RAM使用者或RAM角色授權存取點用戶端權限原則。

    說明
    • RAM角色不具備永久身份憑證,而只能通過STS擷取可以自訂時效和存取權限的臨時身份憑證,即安全性權杖(STS Token)。該方式只適用於短期訪問NAS,當STS Token到期後,RAM角色如果繼續訪問檔案系統,IO將會報錯。

    • 當您為RAM使用者或RAM角色授權後,授權資訊分發機制需要一定的時間來確保授權生效。您需要等待一定的時間,授權才能在雲產品中生效。更多資訊,請參見為什麼RAM授權後,沒有立刻在雲產品中生效?

    • 為RAM使用者授權。

      1. 建立RAM使用者。具體操作,請參見建立RAM使用者

        如果RAM使用者已建立,請跳過該步驟,執行下一步。

      2. 將存取點用戶端權限原則(自訂策略)授權給RAM使用者。具體操作,請參見為RAM使用者授權

    • 為RAM角色授權。

      1. 建立RAM角色。具體操作,請參見建立可信實體為阿里雲帳號的RAM角色

        如果RAM角色已建立,請跳過該步驟,執行下一步。

      2. 將存取點用戶端權限原則(自訂策略)授權給RAM角色,同時您還需要為RAM角色授予STS的系統管理權限(AliyunSTSAssumeRoleAccess)。具體操作,請參見為RAM角色授權

存取點策略配置完成後,您就可以通過存取點掛載NAS檔案系統。具體操作,請參見Linux系統通過存取點訪問檔案系統

查看存取點網域名稱

您可以通過以下兩種方式查看存取點網域名稱。

  • 在存取點列表頁面查看。

    存取點列表頁面,查看目標檔案系統的存取點網域名稱

  • 在檔案系統詳情頁面查看。

    檔案系統列表頁面,找到目標檔案系統,單擊管理,在檔案系統詳情頁面,單擊左側的掛載使用,然後單擊存取點頁簽,查看存取點網域名稱

查看存取點根目錄

您可以通過以下兩種方式查看存取點根目錄。

  • 在存取點列表頁面查看。

    存取點列表頁面,查看目標檔案系統的存取點根目錄

  • 在檔案系統詳情頁面查看。

    檔案系統列表頁面,找到目標檔案系統,單擊管理,在檔案系統詳情頁面,單擊左側掛載使用,然後單擊存取點頁簽,查看存取點根目錄

查看存取點ARN

您可以通過以下兩種方式查看存取點ARN。

  • 在存取點列表頁面查看。

    1. 存取點列表頁面,單擊目標檔案系統的操作列的管理

    2. 單擊基本資料頁簽,在ARN地區,擷取該存取點的ARN資訊。

  • 在檔案系統詳情頁面查看。

    1. 檔案系統列表頁面,找到目標檔案系統,單擊管理

    2. 檔案系統詳情頁面,單擊左側掛載使用,然後單擊存取點頁簽.

    3. 單擊目標存取點名稱,進入存取點詳情頁面,並在ARN地區,擷取該存取點的ARN資訊。

移除存取點

在存取點列表的操作列,單擊移除,移除存取點。

重要

移除存取點後,會立即中斷當前正在通過存取點訪問此目錄的所有I/O,請謹慎操作。

修改存取點許可權組

在存取點列表的操作列,單擊管理,進入存取點詳情頁面,單擊許可權組右側的修改,可修改存取點的許可權組。關於許可權組的更多資訊,請參見系統管理權限組