配置多VPC
VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。使用弹性文件服务时,文件系统和云服务器归属于同一VPC下才能文件共享。
VPC可以通过网络ACL进行访问控制。网络ACL是对一个或多个子网的访问控制策略系统,根据与子网关联的入站/出站规则,判断数据包是否被允许流入/流出关联子网。在文件系统的VPC列表中每添加一个授权地址并设置相应权限即创建了一个网络ACL。
更多关于VPC的信息请参见虚拟私有云 VPC。
操作场景
现支持为SFS容量型文件系统配置多个VPC,以使归属于不同VPC的云服务器,只要所属的VPC被添加到文件系统的VPC列表下,或云服务器被添加到了VPC的授权地址中,则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。
SFS Turbo文件系统支持通过虚拟私有云的VPC对等连接功能,将同区域的两个或多个VPC互连以使这些VPC互通,则实际上不同的VPC便处于同一个网络中,归属于这些VPC下的云服务器也能共享访问同一个文件系统。更多关于VPC对等连接功能信息请参见VPC对等连接。
本章节介绍SFS容量型文件系统/通用文件系统如何实现跨VPC访问。
使用限制
- 一个文件系统最多可以添加20个可用的VPC,对于添加的VPC所创建的ACL规则总和不能超过400个。添加VPC时会自动添加默认IP地址0.0.0.0/0。
- 如果已经在VPC控制台删除文件系统绑定的VPC,该VPC在文件系统绑定的VPC列表下可见且授权的IP地址/地址段为“激活”状态,但此时该VPC已无法进行使用,建议将该VPC从列表中删除。
- 通用文件系统在配置VPC前,需要先完成创建VPC终端节点,建立计算资源与弹性文件服务的通信后,再进行配置。
- 通用文件系统新配置的VPC,均需要创建对应的VPC终端节点,否则会导致文件系统挂载失败。
SFS容量型操作步骤
- 登录弹性文件服务管理控制台。
- 在文件系统列表中单击目标文件系统名称,进入权限列表界面。
- 如果没有可用的VPC,需要先申请VPC。可以为文件系统添加多个VPC,单击“添加VPC”,弹出“添加VPC”对话框。如图1所示。
可以在下拉列表中选中多个VPC。
- 单击“确定”,完成添加。添加成功的VPC会出现在列表中,添加VPC时会自动添加默认IP地址0.0.0.0/0,默认读写权限为“读写”,默认用户权限为“no_all_squash”,默认用户root权限为“no_root_squash”。
- 在VPC列表下可以看到所有添加的VPC的信息,参数说明如表1所示。
表1 参数说明 参数
说明
名称
已添加的VPC的名称,例如:vpc-01。
授权IP数量
已经添加的IP地址或IP地址段的个数。
操作
包含“添加”和“删除”操作。“添加”即添加授权的IP地址,包括对授权的IP地址、读/写权限、用户权限、用户root权限及优先级的设置,请参见表2。“删除”即删除该VPC。
- 单击VPC名称左边的,可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列,单击“添加”,弹出“添加授权地址”的弹窗,如图2所示。可以根据参数说明如表2所示完成添加。
表2 参数说明 参数
说明
授权地址
- 只能输入一个IPv4地址/地址段。
- 输入的IPv4地址/地址段必须合法,且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段,其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时,不能为127以及224~255开头的IP地址或地址段,例如127.0.0.1,224.0.0.1,255.255.255.255,因为以224-239开头的IP地址或地址段是属于D类地址,用于组播;以240-255开头的IP地址或地址段属于E类地址,用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。
- 无法输入多个地址,如:10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。
- 如果要表示一个地址段,如192.168.1.0-192.168.1.255的地址段应使用掩码形式:192.168.1.0/24,不支持192.168.1.0-255等其他地址段表示形式。掩码位数的取值为0到31的整数,且只有为0.0.0.0/0时掩码位数可取0,其他情况均不合法。
读或写权限
分为读写权限和只读权限。默认为“读写”。
用户权限
设置是否保留共享目录的UID和GID。默认为“no_all_squash”。
- all_squash:共享文件的UID(User ID)和GID(Group ID)映射给nobody用户,适合公共目录。
- no_all_squash:保留共享文件的UID和GID。
CIFS类型的文件系统添加授权地址时,不涉及该参数。
用户root权限
设置是否允许客户端的root权限。默认为“no_root_squash”。
- root_squash:不允许客户端以root用户访问,客户端使用root用户访问时映射为nobody用户。
- no_root_squash:允许客户端以root用户访问,root用户具有根目录的完全控制访问权限。
CIFS类型的文件系统添加授权地址时,不涉及该参数。
优先级
优先级只能是0-100的整数。0表示优先级最高,100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限,存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。
例如:用户在执行挂载操作时的IP地址为10.1.1.32,而在已经授权的IP地址/地址段中10.1.1.32(读写)优先级为100和10.1.1.0/24(只读)优先级为50均符合要求,则用户权限会使用优先级为50的10.1.1.0/24(只读)的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32,在无其他授权优先级的情况下,则将会使用优先级为50的10.1.1.0/24(只读)的只读权限。
属于VPC A中的弹性云服务器IP地址可以被成功添加至VPC B的授权IP地址内,但该云服务器无法挂载属于VPC B下的文件系统。弹性云服务器和文件系统所使用的VPC需为同一个。
通用文件系统
- 登录弹性文件服务管理控制台。
- 左侧导航栏选择“通用文件系统”,跳转到通用文件系统控制台。
- 在文件系统列表中,单击目标文件系统名称进入文件系统基本信息页面。
- 单击左侧导航栏“权限管理”,进入权限列表界面。
- 如果没有可用的VPC,需要先申请VPC。单击“添加授权”,弹出“添加授权”对话框。如图3所示。
可以根据参数说明如表3所示完成添加。
表3 参数说明 参数
说明
VPC
添加的VPC,例如:vpc-30e0。如无VPC,可选择新建VPC。
读写权限
支持选择读写权限和只读权限。默认为“读写”。
用户权限
支持选择root用户不匿名(no_root_squash)、root用户匿名(root_squash)或者所有用户匿名(all_squash)。
- root用户不匿名(no_root_squash):允许使用root用户访问文件系统。
- root用户匿名(root_squash):root用户身份访问时,将映射nobody为用户,允许用户访问文件系统。
- 所有用户匿名(all_squash):无论以何种用户身份访问,均映射为nobody用户,允许用户访问、修改、删除文件系统
授权地址条目
支持选择所有IP地址和指定IP地址。默认为“所有IP地址”。
说明:填写指定IP地址时,您可以在IP地址组内添加多个不同格式的IP地址,每个IP地址输入完成后,按回车键换行。
完成授权添加后,单击权限管理列表的授权地址条目数,可查看或查询授权地址条目信息。
- 单击“确定”,完成添加。添加成功的VPC会出现在列表中。
- 在“终端节点”页面,单击“购买终端节点”。
进入“购买终端节点”页面。
图4 购买终端节点
- 根据界面提示配置参数。
表4 终端节点配置参数 参数
说明
区域
终端节点所在区域,需要与规划的通用文件系统所在区域保持一致。
目前仅华北-北京四、华东-上海一、华北-乌兰察布一、中国-香港和华南-广州区域支持通用文件系统。
计费方式
此处选择按需计费,但通用文件系统的VPC终端节点不会收取费用。
服务类别
选择“按名称查找服务”。
根据不同的区域,填写不同的服务名称。
- 华北-北京四:cn-north-4.com.myhuaweicloud.v4.storage.lz13
- 华南-广州(可用区1):cn-south-1.com.myhuaweicloud.v4.obsv2
- 华南-广州(可用区6):cn-south-1.com.myhuaweicloud.v4.obsv2.storage.lz06
- 华东-上海一:cn-east-3.com.myhuaweicloud.v4.storage.lz07
- 华北-乌兰察布一:cn-north-9.com.myhuaweicloud.v4.obsv2.storage.lz15
- 中国-香港:ap-southeast-1.com.myhuaweicloud.v4.obsv2.storage.lz005
填写完成后,单击“验证”:
如果显示“已找到服务”,继续后续操作。
如果显示“未找到服务”,请检查“区域”是否和终端节点服务所在区域一致或输入的“服务名称”是否正确。如果仍未解决,可以提交工单进行技术咨询。
虚拟私有云
选择配置在通用文件系统权限列表中的虚拟私有云VPC。
标签
可选参数。
终端节点的标识,包括键和值。可以为终端节点创建20个标签。
标签的命名规则请参考表5。
说明:如果已经通过TMS的预定义标签功能预先创建了标签,则可以直接选择对应的标签键和值。
预定义标签的详细内容,请参见预定义标签简介。
标签的设置说明如表5所示。 - 参数配置完成,单击“立即购买”,进行规格确认。
- 规格确认无误,单击“提交”,任务提交成功。
- 参数信息配置有误,需要修改,单击“上一步”,修改参数,然后单击“提交”。
- 返回终端节点列表,如果终端节点状态为“已接受”,表示终端节点已成功连接至终端节点服务。
图5 终端节点创建成功
验证
将其他VPC添加至文件系统后,如果文件系统能够成功挂载其他VPC下的云服务器,云服务器能够访问文件系统,则表示配置成功。
示例
某用户创建一个SFS容量型文件系统A,文件系统使用的是VPC-B,网段为10.0.0.0/16。此前该用户拥有一个使用VPC-C网段为192.168.10.0/24的弹性云服务器D,私有IP地址为192.168.10.11。如果该用户需要将文件系统A挂载至弹性云服务器D上进行读写操作,需要将VPC-C添加至文件系统A的VPC列表中,并将弹性云服务器D的私有IP地址或所在的地址段添加至VPC-C的授权地址中,读或写权限设置为读写即可。
该用户同时新购买一个使用VPC-C网段为192.168.10.0/24的弹性云服务器F,私有IP地址为192.168.10.22。如果该用户希望此服务器只有读权限,且读优先级比弹性云服务器D低,需要将私有IP地址加入到VPC-C的授权地址中,读或写权限设置为只读,优先级填入大于弹性云服务器D的0-100的正整数即可。