Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Actualización más reciente 2023-01-11 GMT+08:00

Configuración de acceso multi-VPC

VPC proporciona un entorno de red virtual aislado definido y administrado por usted mismo, mejorando la seguridad de los recursos en la nube y simplificando la implementación de la red. Cuando se utiliza SFS, un sistema de archivos y los ECS asociados deben pertenecer a la misma VPC para compartir archivos.

Además, la VPC puede usar listas de control de acceso a la red (ACL) para implementar el control de acceso. Una ACL de red es un sistema de políticas de control de acceso para una o más subredes. Basado en reglas entrantes y salientes, determina si los paquetes de datos están permitidos dentro o fuera de cualquier subred asociada. En la lista de VPC de un sistema de archivos, cada vez que se agrega una dirección autorizada y se establecen los permisos correspondientes, se crea una ACL de red.

Para obtener más información acerca de VPC, consulte la Virtual Private Cloud.

Escenarios

El acceso multi-VPC se puede configurar para un sistema de archivos SFS orientado a la capacidad de modo que los ECS en diferentes VPC puedan compartir el mismo sistema de archivos, siempre que las VPCs a las que pertenecen los ECS se agreguen a la lista de VPC del sistema de archivos o las direcciones IP de ECS se agreguen como direcciones IP autorizadas de las VPC.

Un sistema de archivos SFS Turbo permite que dos o más VPC en la misma región se interconectan entre sí a través de la conexión de pares de VPC. En este caso, hay diferentes VPC en la misma red, y los ECS en estas VPC pueden compartir el mismo sistema de archivos. Para obtener más información sobre la conexión de pares de VPC, consulte Conexión de pares de VPC.

Esta sección describe cómo configurar el acceso multi-VPC para un sistema de archivos orientado a capacidad de SFS.

Restricciones

  • Puede agregar un máximo de 20 VPC para cada sistema de archivos. Se puede crear un máximo de 400 reglas de ACL para VPCs añadidas. Al agregar una VPC, la dirección IP predeterminada 0.0.0.0/0 se agrega automáticamente.
  • Si una VPC añadida a un sistema de archivos se ha eliminado de la consola de VPC, la dirección IP/segmento de dirección de esta VPC todavía se puede ver como activado en la lista de VPC del sistema de archivos. Pero esta VPC ya no se puede utilizar y se recomienda eliminarla de la lista.

Procedimiento

  1. Inicie sesión en SFS Consola.
  2. En la lista Sistema de archivos, haga clic en el nombre del sistema de archivos de destino. En la página mostrada, busque el área Authorizations.
  3. Si no hay VPC disponibles, cree uno. Puede agregar varias VPC para un sistema de archivos. Haga clic en Add Authorized VPC y aparecerá el cuadro de diálogo Add Authorized VPC. Consulte Figura 1.

    Puede seleccionar varias VPC de la lista desplegable.

    Figura 1 Adición de VPCs

  4. Haga clic en OK. Se muestra una VPC agregada correctamente en la lista. Al agregar una VPC, la dirección IP predeterminada 0.0.0.0/0 se agrega automáticamente. El permiso de lectura/escritura predeterminado es Read-write, el permiso de usuario predeterminado es no_all_squash y el permiso raíz predeterminado es no_root_squash.
  5. Vea la información de la VPC en la lista de VPC. Para obtener más información sobre los parámetros, consulte Tabla 1.

    Tabla 1 Descripción del parámetro

    Parámetro

    Descripción

    Name

    Nombre de la VPC añadida, por ejemplo, vpc-01

    Authorized Addresses/Segments

    Número de direcciones IP o segmentos de dirección IP añadidos

    Operation

    El valor puede ser Add o Delete. Add: Añade una VPC autorizada. Esta operación configura la dirección IP, el permiso de lectura/escritura, el permiso de usuario, el permiso de usuario root y la prioridad. Para más detalles, consulte Tabla 2. Delete: elimina esta VPC.

  6. Haga clic en a la izquierda del nombre de la VPC para ver detalles sobre las direcciones IP/segmentos agregados a esta VPC. Puede agregar, editar o eliminar direcciones IP/segmentos. En la columna Operation de la VPC de destino, haga clic en Add. Aparece el cuadro de diálogo Add Authorized Address/Segment. Consulte Figura 2. Tabla 2 describe los parámetros que se van a configurar.

    Figura 2 Adición de una dirección o segmento autorizado
    Tabla 2 Descripción del parámetro

    Parámetro

    Descripción

    Authorized Address/Segment

    • Introduzca una dirección IPv4 o un segmento de dirección a la vez.
    • La dirección IPv4 introducida o el segmento de dirección debe ser válido y no puede ser uno que comience por 0 excepto 0.0.0.0/0. Si agrega 0.0.0.0/0, cualquier dirección IP dentro de esta VPC estará autorizada para acceder al sistema de archivos. Las direcciones IP de clase D y clase E no son compatibles. Por lo tanto, no introduzca una dirección IP o segmento de dirección que comience con ningún número que va desde 224 a 255, por ejemplo 224.0.0.1 o 255.255.255.255. Las direcciones IP o los segmentos de dirección que comienzan con 127 tampoco son compatibles. Si se utiliza una dirección IP o un segmento de dirección no válidos, es posible que la regla de acceso no se agregue o que la regla de acceso agregada no surta efecto.
    • No introduzca varias direcciones IP (separadas mediante comas) a la vez. Por ejemplo, no escriba 10.0.1.32,10.5.5.10.
    • Si introduce un segmento de dirección IP, introdúzcalo en el formato de dirección IP address/mask. Por ejemplo, escriba 192.168.1.0/24. No ingrese en el formato de 192.168.1.0-255 o 192.168.1.0-192.168.1.255. El número de bits de una máscara de subred debe ser un número entero comprendido entre 0 y 31, y el valor de máscara 0 sólo es válido en 0.0.0.0/0.

    Read-Write Permission

    El valor puede ser Read-write o Read-only. El valor predeterminado es Read-write.

    User Permission

    Si se debe conservar el identificador de usuario (UID) y el identificador de grupo (GID) del directorio compartido. El valor predeterminado es no_all_squash.

    • all_squash: El UID y el GID de un directorio compartido se asignan al usuario nobody, que es aplicable a directorios públicos.
    • no_all_squash: se conservan el UID y el GID de un directorio compartido.

    Este parámetro no está involucrado cuando se agrega una dirección autorizada para un sistema de archivos CIFS.

    User Root Permission

    Si se permite el permiso root del cliente. El valor predeterminado es no_root_squash.

    • root_squash: Los clientes no pueden acceder como usuario root. Cuando un cliente accede como usuario root, el usuario se asigna al usuario nobody.
    • no_root_squash: Los clientes pueden acceder como usuario root que tiene control total y permisos de acceso de los directorios root.

    Este parámetro no está involucrado cuando se agrega una dirección autorizada para un sistema de archivos CIFS.

    Priority

    El valor debe ser un número entero comprendido entre 0 y 100. 0 indica la prioridad más alta y 100 indica la prioridad más baja. En la misma VPC, se usa preferentemente el permiso de la dirección IP o segmento de dirección con la prioridad más alta. Si algunas direcciones IP o segmentos de direcciones tienen la misma prioridad, se utiliza el permiso del más reciente agregado o modificado.

    Por ejemplo, si la dirección IP para el montaje es 10.1.1.32 y tanto 10.1.1.32 (lectura/escritura) con prioridad 100 como 10.1.1.0/24 (solo lectura) con prioridad 50 cumplen los requisitos, Se utiliza el permiso de 10.1.1.0/24 (solo lectura) con prioridad 50. Es decir, si no hay otra prioridad autorizada, el permiso de todas las direcciones IP en el segmento 10.1.1.0/24, incluyendo 10.1.1.32, es de sólo lectura.

    Para un ECS en la VPC A, su dirección IP se puede añadir a la lista de direcciones IP autorizadas de la VPC B, pero el sistema de archivos de la VPC B no se puede montar en este ECS. La VPC del ECS y el sistema de archivos deben ser iguales.

Verificación

Después de configurar otra VPC para el sistema de archivos, si el sistema de archivos se puede montar en ECS en la VPC y los ECS pueden acceder al sistema de archivos, la configuración se realiza correctamente.

Ejemplo

Un usuario crea un sistema de archivos SFS orientado a la capacidad A en VPC-B. El segmento de red es 10.0.0.0/16. El usuario tiene un ECS D en VPC-C, usando la dirección IP privada 192.168.10.11 en el segmento de red 192.168.10.0/24. Si el usuario desea montar el sistema de archivos A en ECS D y permitir que el sistema de archivos sea leído y escrito, el usuario necesita agregar VPC-C a la lista de VPC del sistema de archivos A. agregue la dirección IP privada de ECS D o el segmento de dirección a las direcciones autorizadas de VPC-C y, a continuación, establezca Read-Write Permission en Read-write.

El usuario compra un ECS F que utiliza la dirección IP privada 192.168.10.22 en el segmento de red VPC-C 192.168.10.0/24. Si el usuario desea que ECS F solo tenga el permiso de lectura para el sistema de archivos A y que su prioridad de lectura sea inferior a la de ECS D, el usuario necesita agregar la dirección IP privada de ECS F a las direcciones autorizadas de VPC-C. establezca Read-Write Permission en Read-only y establezca Priority en un entero entre 0 y 100 y mayor que la prioridad establecida para ECS D.