本文介绍如何在NAS控制台上管理接入点,包括创建接入点、查看接入点域名、删除接入点、修改接入点等。
前提条件
已创建通用型NAS NFS协议文件系统。具体操作,请参见创建文件系统。
创建接入点并不依赖NAS挂载点。即使未创建挂载点或挂载点处于禁用状态,也可以创建接入点,并通过接入点访问NAS数据。
使用限制
仅通用型NAS NFS协议文件系统支持该功能。
单个通用型NAS NFS协议文件系统最多支持在2个交换机下共创建1000个接入点。
说明一个接入点可以被同VPC下的不同交换机下的ECS实例访问。缺省情况下,建议将多个接入点创建至同一个交换机中,建议选择与NAS同可用区的交换机获得最优性能。
创建接入点
登录NAS控制台。
在左侧导航栏,选择文件系统>接入点。
在页面左侧顶部,选择目标文件系统所在的资源组和地域。
在接入点列表页面,单击创建接入点。
在创建接入点面板,配置以下参数。
参数
说明
基本信息
文件系统
选择需要创建接入点的通用型NAS NFS协议文件系统。
网络VPC
选择与ECS实例相同的VPC。如果还未创建,请前往VPC控制台创建。
重要必须选择与云服务器ECS实例相同的VPC。若选择不同的VPC,则需要先通过云企业网连通网络才能挂载文件系统。更多信息,请参见通过云企业网实现同地域跨VPC挂载NAS。
交换机
选择VPC下的交换机。
权限组
根据需求选择权限组。
初始情况下,每个账号都会自动生成一个VPC默认权限组,允许同一VPC网络下的任何IP地址通过该接入点访问文件系统。您也可以根据业务场景创建权限组。具体操作,请参见管理权限组。
接入点名称
指定接入点名称。
长度为2~128个英文或中文字符。
必须以大小写字母或中文开头。
可以包含数字、下划线(_)或者短划线(-)。
接入点根目录
指定接入点在文件系统中的根目录,可以指定一个NAS内的一个子目录作为接入点根目录。通过接入点访问的用户,访问范围将被限制在此子目录内。
限制:
必须以正斜线(/)开头。
支持数字、大小写字母。
可以包含下划线(_)、短划线(-)或半角句号(.)。
路径中不能包含软链接,如本层目录(.)、上层目录(..)或其他软链接。
重要如果接入点根目录不存在,则需要配置目录创建信息,系统将根据设置自动创建指定的根目录。
如果接入点根目录已存在,则不需要配置目录创建信息,如果进行配置,目录创建信息中的配置也会被忽略。
目录创建信息(仅在接入点根目录不存在时必填)
属主用户ID
指定接入点根目录的拥有者用户ID。
支持从0至4294967295的值。
属主用户组ID
指定接入点根目录的拥有者用户组ID。
支持从0至4294967295的值。
POSIX权限
指定应用到接入点根目录路径的POSIX权限。
格式为合法的八进制数,如0755。
POSIX用户(选填)
重要配置后,所有通过此接入点进行的I/O操作将使用此POSIX身份信息覆盖原有客户端POSIX身份信息校验。如果输入了用户ID,则必须输入用户组ID。
用户ID
指定使用此接入点,而且被用于所有文件系统操作的POSIX用户ID。
支持从0至4294967295的值。
用户组ID
指定使用此接入点,而且被用于所有文件系统操作的POSIX用户组ID。
支持从0至4294967295的值。
第二用户组信息(选填)
指定使用此接入点,而且被用于所有文件系统操作的辅助POSIX组ID。
单击完成创建。
创建接入点大概需要10分钟左右,创建成功后,您可以在接入点列表中查看接入点状态、接入点域名、文件系统、根目录及POSIX用户等。当接入点状态为运行中时,您就可以通过接入点挂载NAS文件系统。具体操作,请参见Linux系统通过接入点访问文件系统。
(可选)配置接入点策略
接入点策略是阿里云NAS推出的针对接入点客户端的自定义授权策略,可直接授权给同账号下的不同RAM用户或RAM角色挂载读写或允许使用root账号访问文件系统内资源的权限,更大程度地满足您的细粒度权限要求,从而实现更灵活的权限管理。
鉴权说明
当NAS收到某个计算节点的请求后,NAS会检查相应的接入点策略以验证请求者是否拥有所需的权限。
使用限制
启用接入点策略后,默认禁止所有账号(主账号、RAM用户、RAM角色)使用接入点挂载和访问数据,您需要先配置接入点客户端权限策略,并授权给RAM用户或RAM角色,然后才能通过接入点进行挂载访问。
对于未开启接入点策略并已挂载使用的接入点,启用接入点策略可能会造成正在运行的业务中断。
如果RAM用户或RAM角色已被授予NAS文件系统的完全管理权限AliyunNASFullAccess,则默认该RAM用户或RAM角色有接入点客户端的所有权限。该权限风险很高,不推荐使用。更多信息,请参见接入点策略与系统策略AliyunNASFullAccess、AliyunNASReadOnlyAccess的关系是什么?。
操作步骤
为接入点所属文件系统启用RAM策略。
登录NAS控制台。
在左侧导航栏,选择文件系统>接入点。
在页面左侧顶部,选择目标文件系统所在的资源组和地域。
在目标接入点的操作列,单击管理。
在详情页面,单击接入点策略页签,启用RAM策略。
:启用RAM策略。
:不启用RAM策略。默认配置。
配置接入点客户端权限策略。
使用阿里云账号登录RAM控制台。
在左侧导航栏,选择
。在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
根据业务需求配置以下权限策略内容,然后单击确定。
单个操作权限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "nas:ClientMount", "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>", "Condition": { "StringEquals": { "nas:AccessPointArn": "<接入点ARN>" } } } ] }
多个操作权限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "nas:ClientMount", "nas:ClientWrite" ], "Resource": [ "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>" ], "Condition": { "StringEquals": { "nas:AccessPointArn": "<接入点ARN>" } } } ] }
重要参数说明如下表所示。
参数
说明
Action
您可以为接入点客户端配置多个操作权限。取值:
nas:ClientMount:支持挂载文件系统和读取数据。
nas:ClientWrite:支持写数据。不单独使用,需要同时授权ClientMount以支持文件系统挂载和读写。
nas:ClientRootAccess:允许使用root账号访问。
如果没有授权该操作,以root用户身份访问时,将映射成nobody用户。
如果接入点绑定了Posix用户,则该Posix用户也受ClientRootAccess影响。例如,绑定了Posix用户为root,但是没有授权ClientRootAccess,通过该接入点挂载后所有IO的Posix用户最终会映射为nobody用户。
nobody用户是Linux系统的默认用户,只能访问服务器上的公共内容,具有低权限,高安全性的特点。
Resource
接入点所属文件系统资源。格式为
acs:nas:<region>:<account-id>:filesystem/<FilesystemId>
。格式说明如下:region
:接入点所属文件系统所在地域。例如:cn-hangzhou
,您可以在接入点的ARN中找到region信息。具体操作,请参见查看接入点ARN。account-id
:阿里云账号ID。例如:123456789012***
。FilesystemId
:接入点所属文件系统的ID。例如:0d9f24****
,您可以在文件系统列表页面获取文件系统ID。
nas:AccessPointArn
接入点的ARN。例如,
acs:nas:cn-hangzhou:117848947****:accesspoint/fsap-1
。您可以在接入点的基本信息页面中获取ARN。具体操作,请参见查看接入点ARN。
在创建权限策略弹框中,输入权限策略名称和备注。
单击确定。
为RAM用户或RAM角色授权接入点客户端权限策略。
说明RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。该方式只适用于短期访问NAS,当STS Token过期后,RAM角色如果继续访问文件系统,IO将会报错。
当您为RAM用户或RAM角色授权后,授权信息分发机制需要一定的时间来确保授权生效。您需要等待一定的时间,授权才能在云产品中生效。更多信息,请参见为什么RAM授权后,没有立刻在云产品中生效?。
为RAM用户授权。
为RAM角色授权。
创建RAM角色。具体操作,请参见创建可信实体为阿里云账号的RAM角色。
如果RAM角色已创建,请跳过该步骤,执行下一步。
将接入点客户端权限策略(自定义策略)授权给RAM角色,同时您还需要为RAM角色授予STS的管理权限(AliyunSTSAssumeRoleAccess)。具体操作,请参见为RAM角色授权。
接入点策略配置完成后,您就可以通过接入点挂载NAS文件系统。具体操作,请参见Linux系统通过接入点访问文件系统。
查看接入点域名
您可以通过以下两种方式查看接入点域名。
在接入点列表页面查看。
在接入点列表页面,查看目标文件系统的接入点域名。
在文件系统详情页面查看。
在文件系统列表页面,找到目标文件系统,单击管理,在文件系统详情页面,单击左侧的挂载使用,然后单击接入点页签,查看接入点域名。
查看接入点根目录
您可以通过以下两种方式查看接入点根目录。
在接入点列表页面查看。
在接入点列表页面,查看目标文件系统的接入点根目录。
在文件系统详情页面查看。
在文件系统列表页面,找到目标文件系统,单击管理,在文件系统详情页面,单击左侧挂载使用,然后单击接入点页签,查看接入点根目录。
查看接入点ARN
您可以通过以下两种方式查看接入点ARN。
在接入点列表页面查看。
在接入点列表页面,单击目标文件系统的操作列的管理。
单击基本信息页签,在ARN区域,获取该接入点的ARN信息。
在文件系统详情页面查看。
在文件系统列表页面,找到目标文件系统,单击管理,
在文件系统详情页面,单击左侧挂载使用,然后单击接入点页签.
单击目标接入点名称,进入接入点详情页面,并在ARN区域,获取该接入点的ARN信息。
移除接入点
在接入点列表的操作列,单击移除,移除接入点。
移除接入点后,会立即中断当前正在通过接入点访问此目录的所有I/O,请谨慎操作。
修改接入点权限组
在接入点列表的操作列,单击管理,进入接入点详情页面,单击权限组右侧的修改,可修改接入点的权限组。关于权限组的更多信息,请参见管理权限组。