本文介绍如果在本地IDC通过VPN网络访问阿里云文件存储NAS。

NAS使用限制

阿里云文件存储服务在使用时有一个限制:对于一个地域(比如华东1)内创建的文件系统(NFS或者SMB),只支持同一地域内的ECS挂载,用户在其他地域(比如华北1)内的ECS,或者用户自己IDC机房的服务器,无法直接挂载;只有通过建立不同VPC间或者IDC和VPC间的高速通道才能实现跨地域或者从IDC服务器挂载文件系统,而部署高速通道带来的高成本将是很多用户面临的一个非常现实的问题。

解决方案

通过阿里云VPN网关服务,您可以完成本地IDC到阿里云VPC的访问,以及不同地域的VPC之间的互通。对于阿里云文件存储的用户来说,通过VPN网关服务,现在用户可以部署如下图所示的网络拓扑,实现两种方式的文件系统挂载:

  • 从用户IDC内挂载文件系统
  • 从ECS跨地域挂载文件系统

从用户IDC内挂载文件系统的操作步骤

  1. 在NAS控制台,创建文件系统并为文件系统添加VPC挂载点,详情请参见Linux系统
  2. 登录控制台,创建VPN连接,连接VPC内VPN网关和用户IDC内的VPN网关,详情请参见建立VPC到本地数据中心的连接
  3. 使用ping命令验证IDC服务器和VPC内ECS或者文件系统挂载点的连通性。
  4. 确认ping通后,在IDC内VPN网关侧的服务器上挂载VPC内的文件系统,详情请参见挂载说明

从ECS跨地域挂载文件系统的操作步骤

从ECS跨地域挂载文件系统有两种方法,方法一需要在VPC2内使用一台ECS服务器搭建VPN网关,适合于已经部署类似网关服务的用户,如果用户没有这样的环境,可以采用方法二。

方法一:

  1. 登录控制台,创建文件系统,并为文件系统添加在VPC1内的VPC挂载点,具体步骤请参见Linux系统
  2. 在另一个地域的VPC2内使用一台ECS服务器搭建用户VPN网关作为用户侧网关,注意该ECS需要有公网IP,才能有VPC1内的VPN网关建立连接。
    说明 关于如何试用ECS服务器搭建VPN网关,可以参考互联网上的一些教程,例如Using StrongSwan for IPSec VPN on CentOS 7
  3. 登录控制台,创建VPN连接,连接VPC1内VPN网关和VPC2内的网关(即,上一步骤中创建的网关),具体步骤请参见建立VPC到本地数据中心的连接
  4. 在VPC2内的其他ECS添加静态路由,目标网段是VPC1的网段,下一跳节点是VPC2内的网关(即,上一步骤中创建的网关)。
  5. 可以用ping命令验证VPC1和VPC2内ECS或者文件系统挂载点的连通性。
  6. 在确认两端的IP互相可以ping通之后,在VPC2内的其他ECS就可以挂载VPC1内的文件系统,挂载的具体步骤请参见挂载说明

方法二:

  1. 登录控制台,创建文件系统,并为文件系统添加在VPC1内的VPC挂载点,具体步骤请参见Linux系统
  2. 登录控制台,在VPC1内创建VPN网关,具体步骤请参见建立VPC到本地数据中心的连接
  3. 登录控制台,在另一个地域的VPC2内,也创建VPN网关。
  4. 分别以第2步和第3步创建的VPN网关的IP,创建用户网关,具体步骤请参见建立VPC到本地数据中心的连接
  5. 分别为两个VPC添加路由,对于VPC1,目标网段是VPC2的内网IP,下一跳节点是VPC1内的网关,对于VPC2,目标网段是VPC1的内网IP,下一跳节点是VPC2内的网关,具体步骤请参见建立VPC到本地数据中心的连接
  6. 可以用ping命令验证VPC1和VPC2内ECS或者文件系统挂载点的连通性。
  7. 在确认两端的IP互相可以ping通之后,在VPC2内的其他ECS就可以挂载VPC1内的文件系统,挂载的具体步骤请参见挂载说明

使用VPN的优劣势

  • 优势
    • VPN解决了连通性的问题
    • VPN提供安全的访问(通过IPsec实现加密通信)
    • 使用VPN与使用高速通道相比,用户的成本会有明显下降。
  • 劣势

    通过VPN访问文件系统时的I/O性能将受限于从IDC到VPC或者VPC之间的公网带宽和时延。