管理接入点

前提条件

已创建通用型NAS NFS协议文件系统。具体操作，请参见创建文件系统。

使用限制

• 仅通用型NAS NFS协议文件系统支持该功能。

• 单个通用型NAS NFS协议文件系统最多支持在2个交换机下共创建1000个接入点。

  说明

  一个接入点可以被同VPC下的不同交换机下的ECS实例访问。缺省情况下，建议将多个接入点创建至同一个交换机中，建议选择与NAS同可用区的交换机获得最优性能。

创建接入点

1. 登录NAS控制台。

2. 在左侧导航栏，选择文件系统>接入点。

3. 在页面左侧顶部，选择目标文件系统所在的资源组和地域。

   

4. 在接入点列表页面，单击创建接入点。

5. 在创建接入点面板，配置以下参数。

   参数	说明
   基本信息
   文件系统	选择需要创建接入点的通用型NAS NFS协议文件系统。
   网络VPC	选择与ECS实例相同的VPC。如果还未创建，请前往VPC控制台创建。 重要 必须选择与云服务器ECS实例相同的VPC。若选择不同的VPC，则需要先通过云企业网连通网络才能挂载文件系统。更多信息，请参见通过云企业网实现同地域跨VPC挂载NAS。
   交换机	选择VPC下的交换机。
   权限组	根据需求选择权限组。 初始情况下，每个账号都会自动生成一个VPC默认权限组，允许同一VPC网络下的任何IP地址通过该接入点访问文件系统。您也可以根据业务场景创建权限组。具体操作，请参见管理权限组。
   接入点名称	指定接入点名称。 长度为2~128个英文或中文字符。 必须以大小写字母或中文开头。 可以包含数字、下划线（_）或者短划线（-）。
   接入点根目录	指定接入点在文件系统中的根目录，可以指定一个NAS内的一个子目录作为接入点根目录。通过接入点访问的用户，访问范围将被限制在此子目录内。 限制： 必须以正斜线（/）开头。 支持数字、大小写字母。 可以包含下划线（_）、短划线（-）或半角句号（.）。 路径中不能包含软链接，如本层目录（.）、上层目录（..）或其他软链接。 重要 如果接入点根目录不存在，则需要配置目录创建信息，系统将根据设置自动创建指定的根目录。 如果接入点根目录已存在，则不需要配置目录创建信息，如果进行配置，目录创建信息中的配置也会被忽略。
   目录创建信息（仅在接入点根目录不存在时必填）
   属主用户ID	指定接入点根目录的拥有者用户ID。 支持从0至4294967295的值。
   属主用户组ID	指定接入点根目录的拥有者用户组ID。 支持从0至4294967295的值。
   POSIX权限	指定应用到接入点根目录路径的POSIX权限。 格式为合法的八进制数，如0755。
   POSIX用户（选填） 重要 配置后，所有通过此接入点进行的I/O操作将使用此POSIX身份信息覆盖原有客户端POSIX身份信息校验。如果输入了用户ID，则必须输入用户组ID。
   用户ID	指定使用此接入点，而且被用于所有文件系统操作的POSIX用户ID。 支持从0至4294967295的值。
   用户组ID	指定使用此接入点，而且被用于所有文件系统操作的POSIX用户组ID。 支持从0至4294967295的值。
   第二用户组信息（选填）	指定使用此接入点，而且被用于所有文件系统操作的辅助POSIX组ID。

6. 单击完成创建。

   创建接入点大概需要10分钟左右，创建成功后，您可以在接入点列表中查看接入点状态、接入点域名、文件系统、根目录及POSIX用户等。当接入点状态为运行中时，您就可以通过接入点挂载NAS文件系统。具体操作，请参见Linux系统通过接入点访问文件系统。

（可选）配置接入点策略

接入点策略是阿里云NAS推出的针对接入点客户端的自定义授权策略，可直接授权给同账号下的不同RAM用户或RAM角色挂载读写或允许使用root账号访问文件系统内资源的权限，更大程度地满足您的细粒度权限要求，从而实现更灵活的权限管理。

鉴权说明

当NAS收到某个计算节点的请求后，NAS会检查相应的接入点策略以验证请求者是否拥有所需的权限。

使用限制

• 启用接入点策略后，默认禁止所有账号（主账号、RAM用户、RAM角色）使用接入点挂载和访问数据，您需要先配置接入点客户端权限策略，并授权给RAM用户或RAM角色，然后才能通过接入点进行挂载访问。

• 对于未开启接入点策略并已挂载使用的接入点，启用接入点策略可能会造成正在运行的业务中断。

• 如果RAM用户或RAM角色已被授予NAS文件系统的完全管理权限AliyunNASFullAccess，则默认该RAM用户或RAM角色有接入点客户端的所有权限。该权限风险很高，不推荐使用。更多信息，请参见接入点策略与系统策略AliyunNASFullAccess、AliyunNASReadOnlyAccess的关系是什么？。

操作步骤

1. 为接入点所属文件系统启用RAM策略。

   1. 登录NAS控制台。

   2. 在左侧导航栏，选择文件系统>接入点。

   3. 在页面左侧顶部，选择目标文件系统所在的资源组和地域。

      

   4. 在目标接入点的操作列，单击管理。

   5. 在详情页面，单击接入点策略页签，启用RAM策略。

      • ：启用RAM策略。

      • ：不启用RAM策略。默认配置。

2. 配置接入点客户端权限策略。

   1. 使用阿里云账号登录RAM控制台。

   2. 在左侧导航栏，选择权限管理 > 权限策略。

   3. 在权限策略页面，单击创建权限策略。

   4. 在创建权限策略页面，单击脚本编辑页签。

   5. 根据业务需求配置以下权限策略内容，然后单击继续编辑基本信息。

      • 单个操作权限

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "nas:ClientMount",
              "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>",
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<接入点ARN>"
                }
              }
            }
          ]
        }

      • 多个操作权限

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "nas:ClientMount",
                "nas:ClientWrite"
               ],
              "Resource": [
                "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>"
               ],
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<接入点ARN>"
                }
              }
            }
          ]
        }

        重要参数说明如下表所示。

        参数	说明
        Action	您可以为接入点客户端配置多个操作权限。取值： nas:ClientMount：支持挂载文件系统和读取数据。 nas:ClientWrite：支持写数据。不单独使用，需要同时授权ClientMount以支持文件系统挂载和读写。 nas:ClientRootAccess：允许使用root账号访问。 如果没有授权该操作，以root用户身份访问时，将映射成nobody用户。 如果接入点绑定了Posix用户，则该Posix用户也受ClientRootAccess影响。例如，绑定了Posix用户为root，但是没有授权ClientRootAccess，通过该接入点挂载后所有IO的Posix用户最终会映射为nobody用户。 nobody用户是Linux系统的默认用户，只能访问服务器上的公共内容，具有低权限，高安全性的特点。
        Resource	接入点所属文件系统资源。格式为acs:nas:<region>:<account-id>:filesystem/<FilesystemId>。格式说明如下： region：接入点所属文件系统所在地域。例如：cn-hangzhou，您可以在接入点的ARN中找到region信息。具体操作，请参见查看接入点ARN。 account-id：阿里云账号ID。例如：123456789012***。 FilesystemId：接入点所属文件系统的ID。例如：0d9f24****，您可以在文件系统列表页面获取文件系统ID。
        nas:AccessPointArn	接入点的ARN。例如，acs:nas:cn-hangzhou:117848947****:accesspoint/fsap-1。您可以在接入点的基本信息页面中获取ARN。具体操作，请参见查看接入点ARN。

   6. 单击继续编辑基本信息，输入权限策略名称和备注。

   7. 单击确定。

3. 为RAM用户或RAM角色授权接入点客户端权限策略。

   说明

   • RAM角色不具备永久身份凭证，而只能通过STS获取可以自定义时效和访问权限的临时身份凭证，即安全令牌（STS Token）。该方式只适用于短期访问NAS，当STS Token过期后，RAM角色如果继续访问文件系统，IO将会报错。

   • 当您为RAM用户或RAM角色授权后，授权信息分发机制需要一定的时间来确保授权生效。您需要等待一定的时间，授权才能在云产品中生效。更多信息，请参见为什么RAM授权后，没有立刻在云产品中生效？。

   • 为RAM用户授权。

     1. 创建RAM用户。具体操作，请参见创建RAM用户。

        如果RAM用户已创建，请跳过该步骤，执行下一步。

     2. 将接入点客户端权限策略（自定义策略）授权给RAM用户。具体操作，请参见为RAM用户授权。

   • 为RAM角色授权。

     1. 创建RAM角色。具体操作，请参见创建可信实体为阿里云账号的RAM角色。

        如果RAM角色已创建，请跳过该步骤，执行下一步。

     2. 将接入点客户端权限策略（自定义策略）授权给RAM角色，同时您还需要为RAM角色授予STS的管理权限（AliyunSTSAssumeRoleAccess）。具体操作，请参见为RAM角色授权。

接入点策略配置完成后，您就可以通过接入点挂载NAS文件系统。具体操作，请参见Linux系统通过接入点访问文件系统。

查看接入点域名

您可以通过以下两种方式查看接入点域名。

• 在接入点列表页面查看。

  在接入点列表页面，查看目标文件系统的接入点域名。

• 在文件系统详情页面查看。

  在文件系统列表页面，找到目标文件系统，单击管理，在文件系统详情页面，单击左侧的挂载使用，然后单击接入点页签，查看接入点域名。

查看接入点根目录

您可以通过以下两种方式查看接入点根目录。

• 在接入点列表页面查看。

  在接入点列表页面，查看目标文件系统的接入点根目录。

• 在文件系统详情页面查看。

  在文件系统列表页面，找到目标文件系统，单击管理，在文件系统详情页面，单击左侧挂载使用，然后单击接入点页签，查看接入点根目录。

查看接入点ARN

您可以通过以下两种方式查看接入点ARN。

• 在接入点列表页面查看。

  1. 在接入点列表页面，单击目标文件系统的操作列的管理。

  2. 单击基本信息页签，在ARN区域，获取该接入点的ARN信息。

     

• 在文件系统详情页面查看。

  1. 在文件系统列表页面，找到目标文件系统，单击管理，

  2. 在文件系统详情页面，单击左侧挂载使用，然后单击接入点页签.

  3. 单击目标接入点名称，进入接入点详情页面，并在ARN区域，获取该接入点的ARN信息。

移除接入点

在接入点列表的操作列，单击移除，移除接入点。

修改接入点权限组

在接入点列表的操作列，单击管理，进入接入点详情页面，单击权限组右侧的修改，可修改接入点的权限组。关于权限组的更多信息，请参见管理权限组。