管理接入点

本文介绍如何在NAS控制台上管理接入点,包括创建接入点、查看接入点域名、删除接入点、修改接入点等。

前提条件

已创建通用型NAS NFS协议文件系统。具体操作,请参见创建文件系统

说明

创建接入点并不依赖NAS挂载点。即使未创建挂载点或挂载点处于禁用状态,也可以创建接入点,并通过接入点访问NAS数据。

使用限制

  • 仅通用型NAS NFS协议文件系统支持该功能。

  • 单个通用型NAS NFS协议文件系统最多支持在2个交换机下共创建1000个接入点。

    说明

    一个接入点可以被同VPC下的不同交换机下的ECS实例访问。缺省情况下,建议将多个接入点创建至同一个交换机中,建议选择与NAS同可用区的交换机获得最优性能。

创建接入点

  1. 登录NAS控制台

  2. 在左侧导航栏,选择文件系统>接入点

  3. 在页面左侧顶部,选择目标文件系统所在的资源组和地域。

    image

  4. 接入点列表页面,单击创建接入点

  5. 创建接入点面板,配置以下参数。

    参数

    说明

    基本信息

    文件系统

    选择需要创建接入点的通用型NAS NFS协议文件系统。

    网络VPC

    选择与ECS实例相同的VPC。如果还未创建,请前往VPC控制台创建。

    重要

    必须选择与云服务器ECS实例相同的VPC。若选择不同的VPC,则需要先通过云企业网连通网络才能挂载文件系统。更多信息,请参见通过云企业网实现同地域跨VPC挂载NAS

    交换机

    选择VPC下的交换机。

    权限组

    根据需求选择权限组。

    初始情况下,每个账号都会自动生成一个VPC默认权限组,允许同一VPC网络下的任何IP地址通过该接入点访问文件系统。您也可以根据业务场景创建权限组。具体操作,请参见管理权限组

    接入点名称

    指定接入点名称。

    • 长度为2~128个英文或中文字符。

    • 必须以大小写字母或中文开头。

    • 可以包含数字、下划线(_)或者短划线(-)。

    接入点根目录

    指定接入点在文件系统中的根目录,可以指定一个NAS内的一个子目录作为接入点根目录。通过接入点访问的用户,访问范围将被限制在此子目录内。

    限制:

    • 必须以正斜线(/)开头。

    • 支持数字、大小写字母。

    • 可以包含下划线(_)、短划线(-)或半角句号(.)。

    • 路径中不能包含软链接,如本层目录(.)、上层目录(..)或其他软链接。

    重要
    • 如果接入点根目录不存在,则需要配置目录创建信息,系统将根据设置自动创建指定的根目录。

    • 如果接入点根目录已存在,则不需要配置目录创建信息,如果进行配置,目录创建信息中的配置也会被忽略。

    目录创建信息(仅在接入点根目录不存在时必填)

    属主用户ID

    指定接入点根目录的拥有者用户ID。

    支持从04294967295的值。

    属主用户组ID

    指定接入点根目录的拥有者用户组ID。

    支持从04294967295的值。

    POSIX权限

    指定应用到接入点根目录路径的POSIX权限。

    格式为合法的八进制数,如0755。

    POSIX用户(选填)

    重要

    配置后,所有通过此接入点进行的I/O操作将使用此POSIX身份信息覆盖原有客户端POSIX身份信息校验。如果输入了用户ID,则必须输入用户组ID。

    用户ID

    指定使用此接入点,而且被用于所有文件系统操作的POSIX用户ID。

    支持从04294967295的值。

    用户组ID

    指定使用此接入点,而且被用于所有文件系统操作的POSIX用户组ID。

    支持从04294967295的值。

    第二用户组信息(选填)

    指定使用此接入点,而且被用于所有文件系统操作的辅助POSIXID。

  6. 单击完成创建

    创建接入点大概需要10分钟左右,创建成功后,您可以在接入点列表中查看接入点状态、接入点域名、文件系统、根目录及POSIX用户等。当接入点状态为运行中时,您就可以通过接入点挂载NAS文件系统。具体操作,请参见Linux系统通过接入点访问文件系统

(可选)配置接入点策略

接入点策略是阿里云NAS推出的针对接入点客户端的自定义授权策略,可直接授权给同账号下的不同RAM用户或RAM角色挂载读写或允许使用root账号访问文件系统内资源的权限,更大程度地满足您的细粒度权限要求,从而实现更灵活的权限管理。

鉴权说明

NAS收到某个计算节点的请求后,NAS会检查相应的接入点策略以验证请求者是否拥有所需的权限。

使用限制

  • 启用接入点策略后,默认禁止所有账号(主账号、RAM用户、RAM角色)使用接入点挂载和访问数据,您需要先配置接入点客户端权限策略,并授权给RAM用户或RAM角色,然后才能通过接入点进行挂载访问。

  • 对于未开启接入点策略并已挂载使用的接入点,启用接入点策略可能会造成正在运行的业务中断。

  • 如果RAM用户或RAM角色已被授予NAS文件系统的完全管理权限AliyunNASFullAccess,则默认该RAM用户或RAM角色有接入点客户端的所有权限。该权限风险很高,不推荐使用。更多信息,请参见接入点策略与系统策略AliyunNASFullAccess、AliyunNASReadOnlyAccess的关系是什么?

操作步骤

  1. 为接入点所属文件系统启用RAM策略。

    1. 登录NAS控制台

    2. 在左侧导航栏,选择文件系统>接入点

    3. 在页面左侧顶部,选择目标文件系统所在的资源组和地域。

      image

    4. 在目标接入点的操作列,单击管理

    5. 在详情页面,单击接入点策略页签,启用RAM策略。

      • image.png:启用RAM策略。

      • image.png:不启用RAM策略。默认配置。

  2. 配置接入点客户端权限策略。

    1. 使用阿里云账号登录RAM控制台

    2. 在左侧导航栏,选择权限管理 > 权限策略

    3. 权限策略页面,单击创建权限策略

    4. 创建权限策略页面,单击脚本编辑页签。

    5. 根据业务需求配置以下权限策略内容,然后单击确定

      • 单个操作权限

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "nas:ClientMount",
              "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>",
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<接入点ARN>"
                }
              }
            }
          ]
        }
      • 多个操作权限

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "nas:ClientMount",
                "nas:ClientWrite"
               ],
              "Resource": [
                "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>"
               ],
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<接入点ARN>"
                }
              }
            }
          ]
        }

        重要参数说明如下表所示。

        参数

        说明

        Action

        您可以为接入点客户端配置多个操作权限。取值:

        • nas:ClientMount:支持挂载文件系统和读取数据。

        • nas:ClientWrite:支持写数据。不单独使用,需要同时授权ClientMount以支持文件系统挂载和读写。

        • nas:ClientRootAccess:允许使用root账号访问。

          • 如果没有授权该操作,以root用户身份访问时,将映射成nobody用户。

          • 如果接入点绑定了Posix用户,则该Posix用户也受ClientRootAccess影响。例如,绑定了Posix用户为root,但是没有授权ClientRootAccess,通过该接入点挂载后所有IOPosix用户最终会映射为nobody用户。

          • nobody用户是Linux系统的默认用户,只能访问服务器上的公共内容,具有低权限,高安全性的特点。

        Resource

        接入点所属文件系统资源。格式为acs:nas:<region>:<account-id>:filesystem/<FilesystemId>。格式说明如下:

        • region:接入点所属文件系统所在地域。例如:cn-hangzhou,您可以在接入点的ARN中找到region信息。具体操作,请参见查看接入点ARN

        • account-id:阿里云账号ID。例如:123456789012***

        • FilesystemId:接入点所属文件系统的ID。例如:0d9f24****,您可以在文件系统列表页面获取文件系统ID。

        nas:AccessPointArn

        接入点的ARN。例如,acs:nas:cn-hangzhou:117848947****:accesspoint/fsap-1。您可以在接入点的基本信息页面中获取ARN。具体操作,请参见查看接入点ARN

    6. 创建权限策略弹框中,输入权限策略名称备注

    7. 单击确定

  3. RAM用户或RAM角色授权接入点客户端权限策略。

    说明
    • RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。该方式只适用于短期访问NAS,当STS Token过期后,RAM角色如果继续访问文件系统,IO将会报错。

    • 当您为RAM用户或RAM角色授权后,授权信息分发机制需要一定的时间来确保授权生效。您需要等待一定的时间,授权才能在云产品中生效。更多信息,请参见为什么RAM授权后,没有立刻在云产品中生效?

    • RAM用户授权。

      1. 创建RAM用户。具体操作,请参见创建RAM用户

        如果RAM用户已创建,请跳过该步骤,执行下一步。

      2. 将接入点客户端权限策略(自定义策略)授权给RAM用户。具体操作,请参见RAM用户授权

    • RAM角色授权。

      1. 创建RAM角色。具体操作,请参见创建可信实体为阿里云账号的RAM角色

        如果RAM角色已创建,请跳过该步骤,执行下一步。

      2. 将接入点客户端权限策略(自定义策略)授权给RAM角色,同时您还需要为RAM角色授予STS的管理权限(AliyunSTSAssumeRoleAccess)。具体操作,请参见RAM角色授权

接入点策略配置完成后,您就可以通过接入点挂载NAS文件系统。具体操作,请参见Linux系统通过接入点访问文件系统

查看接入点域名

您可以通过以下两种方式查看接入点域名。

  • 在接入点列表页面查看。

    接入点列表页面,查看目标文件系统的接入点域名

  • 在文件系统详情页面查看。

    文件系统列表页面,找到目标文件系统,单击管理,在文件系统详情页面,单击左侧的挂载使用,然后单击接入点页签,查看接入点域名

查看接入点根目录

您可以通过以下两种方式查看接入点根目录。

  • 在接入点列表页面查看。

    接入点列表页面,查看目标文件系统的接入点根目录

  • 在文件系统详情页面查看。

    文件系统列表页面,找到目标文件系统,单击管理,在文件系统详情页面,单击左侧挂载使用,然后单击接入点页签,查看接入点根目录

查看接入点ARN

您可以通过以下两种方式查看接入点ARN。

  • 在接入点列表页面查看。

    1. 接入点列表页面,单击目标文件系统的操作列的管理

    2. 单击基本信息页签,在ARN区域,获取该接入点的ARN信息。

      image.png

  • 在文件系统详情页面查看。

    1. 文件系统列表页面,找到目标文件系统,单击管理

    2. 文件系统详情页面,单击左侧挂载使用,然后单击接入点页签.

    3. 单击目标接入点名称,进入接入点详情页面,并在ARN区域,获取该接入点的ARN信息。

移除接入点

在接入点列表的操作列,单击移除,移除接入点。

重要

移除接入点后,会立即中断当前正在通过接入点访问此目录的所有I/O,请谨慎操作。

修改接入点权限组

在接入点列表的操作列,单击管理,进入接入点详情页面,单击权限组右侧的修改,可修改接入点的权限组。关于权限组的更多信息,请参见管理权限组