Configuração do acesso Multi-VPC
A VPC provisiona um ambiente de rede virtual isolado definido e gerenciado por você mesmo, melhorando a segurança dos recursos da nuvem e simplificando a implantação da rede. Ao usar o SFS, um sistema de arquivos e os ECSs associados precisam pertencer à mesma VPC para compartilhamento de arquivos.
Além disso, a VPC pode usar listas de controle de acesso (ACLs) de rede para implementar o controle de acesso. Uma ACL de rede é um sistema de política de controle de acesso para uma ou mais sub-redes. Com base nas regras de entrada e saída, ele determina se os pacotes de dados são permitidos dentro ou fora de qualquer sub-rede associada. Na lista VPC de um sistema de arquivos, cada vez que um endereço autorizado é adicionado e as permissões correspondentes são definidas, uma ACL de rede é criada.
Para obter mais informações sobre a VPC, consulte Virtual Private Cloud.
Cenários
O acesso multi-VPC pode ser configurado para um sistema de arquivos SFS orientado à capacidade para que os ECSs em diferentes VPCs possam compartilhar o mesmo sistema de arquivos, desde que as VPCs às quais os ECSs pertencem sejam adicionadas à lista de VPCs do sistema de arquivos ou os endereços IP do ECS sejam adicionados como endereços IP autorizados das VPCs.
Um sistema de arquivos do SFS Turbo permite que duas ou mais VPCs na mesma região se interconectem entre si por meio da conexão de emparelhamento da VPC. Nesse caso, VPCs diferentes estão na mesma rede, e os ECSs nessas VPCs podem compartilhar o mesmo sistema de arquivos. Para obter detalhes sobre a conexão de emparelhamento da VPC, consulte Conexão de emparelhamento da VPC.
Esta seção descreve como configurar o acesso multi-VPC para um sistema de arquivos do SFS Capacity-Oriented.
Restrições
- Você pode adicionar um máximo de 20 VPCs para cada sistema de arquivos. É possível criar no máximo 400 regras de ACL para VPCs adicionadas. Ao adicionar uma VPC, o endereço IP padrão 0.0.0.0/0 é adicionado automaticamente.
- Se uma VPC adicionada a um sistema de arquivos tiver sido excluída do console da VPC, o endereço IP/segmento de endereço dessa VPC ainda poderá ser visto como ativado na lista de VPCs do sistema de arquivos. Mas essa VPC não pode mais ser usada e é aconselhável excluí-la da lista.
Procedimento
- Faça logon no console do SFS.
- Na lista do sistema de arquivos, clique no nome do sistema de arquivos de destino. Na página exibida, localize a área Authorizations.
- Se nenhuma VPC estiver disponível, crie uma. Você pode adicionar várias VPCs a um sistema de arquivos. Clique em Add Authorized VPC e a caixa de diálogo Add Authorized VPC será exibida. Veja Figura 1.
Você pode selecionar várias VPCs na lista suspensa.
- Clique em OK. Uma VPC adicionada com sucesso é exibida na lista. Ao adicionar uma VPC, o endereço IP padrão 0.0.0.0/0 é adicionado automaticamente. A permissão padrão de leitura/gravação é Read-write, a permissão padrão do usuário é no_all_squash e a permissão padrão de root é no_root_squash.
- Veja as informações da VPC na lista VPC. Para obter detalhes sobre os parâmetros, consulte Tabela 1.
Tabela 1 Descrição do parâmetro Parâmetro
Descrição
Nome
Nome da VPC adicionada, por exemplo, vpc-01
Endereços/Segmentos autorizados
Número de endereços IP ou segmentos do endereço IP adicionados
Operação
O valor pode ser Add ou Delete. Add: adiciona uma VPC autorizada. Esta operação configura o endereço IP, a permissão de leitura/gravação, a permissão de usuário, a permissão de usuário root e a prioridade. Para mais detalhes, consulte Tabela 2. Delete: exclui essa VPC.
- Clique em na esquerda do nome da VPC para exibir detalhes sobre os endereços/segmentos do IP adicionados a essa VPC. Você pode adicionar, editar ou excluir endereços IP/segmentos. Na coluna Operation da VPC de destino, clique em Add. A caixa de diálogo Add Authorized Address/Segment é exibida. Veja Figura 2. Tabela 2 descreve os parâmetros a serem configurados.
Tabela 2 Descrição do parâmetro Parâmetro
Descrição
Authorized Address/Segment
- Insira um endereço IPv4 ou segmento de endereço por vez.
- O endereço IPv4 inserido ou segmento de endereço deve ser válido e não pode ser um começando com 0, exceto 0.0.0.0/0. Se você adicionar 0.0.0.0/0, qualquer endereço IP dentro dessa VPC será autorizado a acessar o sistema de arquivos. Os endereços IP de classe D e classe E não são suportados. Portanto, não insira um endereço IP ou segmento de endereço começando com qualquer número variando de 224 a 255, por exemplo, 224.0.0.1 ou 255.255.255.255. Endereços IP ou segmentos de endereço começando com 127 também não são suportados. Se um endereço IP ou segmento de endereço inválido for usado, a regra de acesso pode falhar ao ser adicionada ou a regra de acesso adicionada não pode entrar em vigor.
- Não insira vários endereços IP (separados por vírgulas) de uma vez. Por exemplo, não insira 10.0.1.32,10.5.5.10.
- Se você inserir um segmento de endereço IP, insira-o no formato de IP address/mask. Por exemplo, insira 192.168.1.0/24. Não insira no formato 192.168.1.0-255 ou 192.168.1.0-192.168.1.255. O número de bits em uma máscara de sub-rede deve ser um número inteiro variando de 0 a 31, e o valor da máscara 0 é válido somente em 0.0.0.0/0.
Read-Write Permission
O valor pode ser Read-write ou Read-only. O valor padrão é Read-write.
User Permission
Se deve manter o identificador de usuário (UID) e o identificador de grupo (GID) do diretório compartilhado. O valor padrão é no_all_squash.
- all_squash: o UID e o GID de um diretório compartilhado são mapeados para o usuário nobody, que é aplicável a diretórios públicos.
- no_all_squash: o UID e o GID de um diretório compartilhado são mantidos.
Este parâmetro não está envolvido quando um endereço autorizado é adicionado para um sistema de arquivos CIFS.
User Root Permission
Se permitir a permissão root do cliente. O valor padrão é no_root_squash.
- root_squash: os clientes não podem acessar como usuário root. Quando um cliente acessa como o usuário root, o usuário é mapeado para o usuário nobody.
- no_root_squash: os clientes têm permissão para acessar como o usuário root que tem controle total e permissões de acesso dos diretórios raiz.
Este parâmetro não está envolvido quando um endereço autorizado é adicionado para um sistema de arquivos CIFS.
Priority
O valor deve ser um número inteiro de 0 a 100. 0 indica a prioridade mais alta e 100 indica a prioridade mais baixa. Na mesma VPC, a permissão do endereço IP ou segmento de endereço com a maior prioridade é usada preferencialmente. Se alguns endereços IP ou segmentos de endereços tiverem a mesma prioridade, a permissão do mais recente adicionado ou modificado é usada.
Por exemplo, se o endereço IP para montagem for 10.1.1.32 e ambos 10.1.1.32 (leitura/gravação) com prioridade 100 e 10.1.1.0/24 (somente leitura) com prioridade 50 atenderem aos requisitos, a permissão de 10.1.1.0/24 (somente leitura) com prioridade 50 é utilizada. Ou seja, se não houver outra prioridade autorizada, a permissão de todos os endereços IP no segmento 10.1.1.0/24, incluindo 10.1.1.32, é somente leitura.
Para um ECS na VPC A, seu endereço IP pode ser adicionado à lista de endereços IP autorizados da VPC B, mas o sistema de arquivos da VPC B não pode ser montado nesse ECS. A VPC do ECS e o sistema de arquivos devem ser iguais.
Verificação
Depois que outra VPC for configurada para o sistema de arquivos, se o sistema de arquivos puder ser montado em ECSs na VPC e os ECSs puderem acessar o sistema de arquivos, a configuração será bem-sucedida.
Exemplo
Um usuário cria um sistema de arquivos orientado à capacidade do SFS A no VPC-B. O segmento de rede é 10.0.0.0/16. O usuário tem um ECS D no VPC-C, usando o endereço IP privado 192.168.10.11 no segmento de rede 192.168.10.0/24. Se o usuário quiser montar o sistema de arquivos A no ECS D e permitir que o sistema de arquivos seja lido e gravado, o usuário precisará adicionar a VPC-C à lista de VPCs do sistema de arquivos A, adicione o endereço IP privado ou segmento de endereço do ECS D aos endereços autorizados da VPC-C e, em seguida, defina Read-Write Permission como Read-write.
O usuário compra um ECS F que usa o endereço IP privado 192.168.10.22 no segmento da rede VPC-C 192.168.10.0/24. Se o usuário quiser que o ECS F tenha apenas a permissão de leitura para o sistema de arquivos A e sua prioridade de leitura seja menor que a do ECS D, o usuário precisará adicionar o endereço IP privado do ECS F aos endereços autorizados da VPC-C, defina Read-Write Permission como Read-only, e defina Priority como um número inteiro entre 0 e 100 e maior que a prioridade definida para o ECS D.