Apsara File Storage NAS：管理存取點

前提條件

已建立通用型NAS NFS協議檔案系統。具體操作，請參見建立檔案系統。

使用限制

• 僅通用型NAS NFS協議檔案系統支援該功能。

• 單個通用型NAS NFS協議檔案系統最多支援在2個交換器下共建立1000個存取點。

  說明

  一個存取點可以被同VPC下的不同交換器下的ECS執行個體訪問。預設情況下，建議將多個存取點建立至同一個交換器中，建議選擇與NAS同可用性區域的交換器獲得最優效能。

建立存取點

1. 登入NAS控制台。

2. 在左側導航，選擇檔案系統>存取點。

3. 在頂部功能表列，選擇地區。

4. 在存取點列表頁面，單擊建立存取點。

5. 在建立存取點面板，配置以下參數。

   參數	說明
   基本資料
   檔案系統	選擇需要建立存取點的通用型NAS NFS協議檔案系統。
   網路VPC	選擇與ECS執行個體相同的VPC。如果還未建立，請前往VPC控制台建立。 重要 必須選擇與Elastic Compute Service執行個體相同的VPC。若選擇不同的VPC，則需要先通過雲企業網連通網路才能掛載檔案系統。更多資訊，請參見通過雲企業網實現同地區跨VPC掛載NAS。
   交換器	選擇VPC下的交換器。
   許可權組	根據需求選擇許可權組。 初始情況下，每個帳號都會自動產生一個VPC預設許可權組，允許同一VPC網路下的任何IP地址通過該存取點訪問檔案系統。您也可以根據業務情境建立許可權組。具體操作，請參見系統管理權限組。
   存取點名稱	指定存取點名稱。 長度為2~128個英文或中文字元。 必須以大小寫字母或中文開頭。 可以包含數字、底線（_）或者短劃線（-）。
   存取點根目錄	指定存取點在檔案系統中的根目錄，可以指定一個NAS內的一個子目錄作為存取點根目錄。通過存取點訪問的使用者，存取範圍將被限制在此子目錄內。 限制： 必須以正斜線（/）開頭。 支援數字、大小寫字母。 可以包含底線（_）、短劃線（-）或半形句號（.）。 路徑中不能包含軟連結，如本層目錄（.）、上層目錄（..）或其他軟連結。 重要 如果存取點根目錄不存在，則需要配置目錄建立資訊，系統將根據設定自動建立指定的根目錄。 如果存取點根目錄已存在，則不需要配置目錄建立資訊，如果進行配置，目錄建立資訊中的配置也會被忽略。
   目錄建立資訊（僅在存取點根目錄不存在時必填）
   屬主使用者ID	指定存取點根目錄的擁有者使用者ID。 支援從0至4294967295的值。
   屬主使用者組ID	指定存取點根目錄的擁有者使用者組ID。 支援從0至4294967295的值。
   POSIX許可權	指定應用到存取點根目錄路徑的POSIX許可權。 格式為合法的八位元，如0755。
   POSIX使用者（選填） 重要 配置後，所有通過此存取點進行的I/O操作將使用此POSIX身份資訊覆蓋原有用戶端POSIX身份資訊校正。如果輸入了使用者ID，則必須輸入使用者組ID。
   使用者ID	指定使用此存取點，而且被用於所有檔案系統操作的POSIX使用者ID。 支援從0至4294967295的值。
   使用者組ID	指定使用此存取點，而且被用於所有檔案系統操作的POSIX使用者組ID。 支援從0至4294967295的值。
   第二使用者組資訊（選填）	指定使用此存取點，而且被用於所有檔案系統操作的輔助POSIX組ID。

6. 單擊完成建立。

   建立存取點大概需要10分鐘左右，建立成功後，您可以在存取點列表中查看存取點狀態、存取點網域名稱、檔案系統、根目錄及POSIX使用者等。當存取點狀態為運行中時，您就可以通過存取點掛載NAS檔案系統。具體操作，請參見Linux系統通過存取點訪問檔案系統。

（可選）配置存取點策略

存取點策略是阿里雲NAS推出的針對存取點用戶端的自訂授權策略，可直接授權給同帳號下的不同RAM使用者或RAM角色掛載讀寫或允許使用root帳號訪問檔案系統內資源的許可權，更大程度地滿足您的細粒度許可權要求，從而實現更靈活的許可權管理。

鑒權說明

當NAS收到某個計算節點的請求後，NAS會檢查相應的存取點策略以驗證要求者是否擁有所需的許可權。

使用限制

• 啟用存取點策略後，預設禁止所有帳號（主帳號、RAM使用者、RAM角色）使用存取點掛載和訪問資料，您需要先配置存取點用戶端權限原則，並授權給RAM使用者或RAM角色，然後才能通過存取點進行掛載訪問。

• 對於未開啟存取點策略並已掛載使用的存取點，啟用存取點策略可能會造成正在啟動並執行業務中斷。

• 如果RAM使用者或RAM角色已被授予NAS檔案系統的完全系統管理權限AliyunNASFullAccess，則預設該RAM使用者或RAM角色有存取點用戶端的所有許可權。該許可權風險很高，不推薦使用。更多資訊，請參見存取點策略與系統策略AliyunNASFullAccess、AliyunNASReadOnlyAccess的關係是什嗎？。

操作步驟

1. 為存取點所屬檔案系統啟用RAM策略。

   1. 登入NAS控制台。

   2. 在左側導覽列，選擇檔案系統>存取點。

   3. 在頂部功能表列，選擇地區。

   4. 在目標存取點的操作列，單擊管理。

   5. 在詳情頁面，單擊存取點策略頁簽，啟用RAM策略。

      • ：啟用RAM策略。

      • ：不啟用RAM策略。預設配置。

2. 配置存取點用戶端權限原則。

   1. 使用阿里雲帳號登入RAM控制台。

   2. 在左側導覽列，選擇許可權管理 > 權限原則。

   3. 在權限原則頁面，單擊建立權限原則。

   4. 在建立權限原則頁面，單擊指令碼編輯頁簽。

   5. 根據業務需求配置以下權限原則內容，然後單擊繼續編輯基本資料。

      • 單個操作許可權

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "nas:ClientMount",
              "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>",
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<存取點ARN>"
                }
              }
            }
          ]
        }

      • 多個操作許可權

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "nas:ClientMount",
                "nas:ClientWrite"
               ],
              "Resource": [
                "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>"
               ],
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<存取點ARN>"
                }
              }
            }
          ]
        }

        重要參數說明如下表所示。

        參數	說明
        Action	您可以為存取點用戶端配置多個操作許可權。取值： nas:ClientMount：支援掛載檔案系統和讀取資料。 nas:ClientWrite：支援寫資料。不單獨使用，需要同時授權ClientMount以支援檔案系統掛載和讀寫。 nas:ClientRootAccess：允許使用root帳號訪問。 如果沒有授權該操作，以root使用者身份訪問時，將映射成nobody使用者。 如果存取點綁定了Posix使用者，則該Posix使用者也受ClientRootAccess影響。例如，綁定了Posix使用者為root，但是沒有授權ClientRootAccess，通過該存取點掛載後所有IO的Posix使用者最終會映射為nobody使用者。 nobody使用者是Linux系統的預設使用者，只能訪問伺服器上的公用內容，具有低許可權，高安全性的特點。
        Resource	存取點所屬檔案系統資源。格式為acs:nas:<region>:<account-id>:filesystem/<FilesystemId>。格式說明如下： region：存取點所屬檔案系統所在地區。例如：cn-hangzhou，您可以在存取點的ARN中找到region資訊。具體操作，請參見查看存取點ARN。 account-id：阿里雲帳號ID。例如：123456789012***。 FilesystemId：存取點所屬檔案系統的ID。例如：0d9f24****，您可以在檔案系統列表頁面擷取檔案系統ID。
        nas:AccessPointArn	存取點的ARN。例如，acs:nas:cn-hangzhou:117848947****:accesspoint/fsap-1。您可以在存取點的基本資料頁面中擷取ARN。具體操作，請參見查看存取點ARN。

   6. 單擊繼續編輯基本資料，輸入權限原則名稱和備忘。

   7. 單擊確定。

3. 為RAM使用者或RAM角色授權存取點用戶端權限原則。

   說明

   • RAM角色不具備永久身份憑證，而只能通過STS擷取可以自訂時效和存取權限的臨時身份憑證，即安全性權杖（STS Token）。該方式只適用於短期訪問NAS，當STS Token到期後，RAM角色如果繼續訪問檔案系統，IO將會報錯。

   • 當您為RAM使用者或RAM角色授權後，授權資訊分發機制需要一定的時間來確保授權生效。您需要等待一定的時間，授權才能在雲產品中生效。更多資訊，請參見為什麼RAM授權後，沒有立刻在雲產品中生效？。

   • 為RAM使用者授權。

     1. 建立RAM使用者。具體操作，請參見建立RAM使用者。

        如果RAM使用者已建立，請跳過該步驟，執行下一步。

     2. 將存取點用戶端權限原則（自訂策略）授權給RAM使用者。具體操作，請參見為RAM使用者授權。

   • 為RAM角色授權。

     1. 建立RAM角色。具體操作，請參見建立可信實體為阿里雲帳號的RAM角色。

        如果RAM角色已建立，請跳過該步驟，執行下一步。

     2. 將存取點用戶端權限原則（自訂策略）授權給RAM角色，同時您還需要為RAM角色授予STS的系統管理權限（AliyunSTSAssumeRoleAccess）。具體操作，請參見為RAM角色授權。

存取點策略配置完成後，您就可以通過存取點掛載NAS檔案系統。具體操作，請參見Linux系統通過存取點訪問檔案系統。

查看存取點網域名稱

您可以通過以下兩種方式查看存取點網域名稱。

• 在存取點列表頁面查看。

  在存取點列表頁面，查看目標檔案系統的存取點網域名稱。

• 在檔案系統詳情頁面查看。

  在檔案系統列表頁面，找到目標檔案系統，單擊管理，在檔案系統詳情頁面，單擊左側的掛載使用，然後單擊存取點頁簽，查看存取點網域名稱。

查看存取點根目錄

您可以通過以下兩種方式查看存取點根目錄。

• 在存取點列表頁面查看。

  在存取點列表頁面，查看目標檔案系統的存取點根目錄。

• 在檔案系統詳情頁面查看。

  在檔案系統列表頁面，找到目標檔案系統，單擊管理，在檔案系統詳情頁面，單擊左側掛載使用，然後單擊存取點頁簽，查看存取點根目錄。

查看存取點ARN

您可以通過以下兩種方式查看存取點ARN。

• 在存取點列表頁面查看。

  1. 在存取點列表頁面，單擊目標檔案系統的操作列的管理。

  2. 單擊基本資料頁簽，在ARN地區，擷取該存取點的ARN資訊。

• 在檔案系統詳情頁面查看。

  1. 在檔案系統列表頁面，找到目標檔案系統，單擊管理，

  2. 在檔案系統詳情頁面，單擊左側掛載使用，然後單擊存取點頁簽.

  3. 單擊目標存取點名稱，進入存取點詳情頁面，並在ARN地區，擷取該存取點的ARN資訊。

移除存取點

在存取點列表的操作列，單擊移除，移除存取點。

修改存取點許可權組

在存取點列表的操作列，單擊管理，進入存取點詳情頁面，單擊許可權組右側的修改，可修改存取點的許可權組。關於許可權組的更多資訊，請參見系統管理權限組。