云版本网络

来自Lustre文件系统
跳转至: 导航搜索

访问AWS API端节点

Lustre的Intel云版本需要访问某些AWS API,以便执行初始文件系统配置以及自动响应故障,维持对文件系统的高可用性 (HA) 访问。云版本实例不需要访问整个公共互联网,也不需要响应除了来自AWS API端点之外的任何入站访问。无论采用何种连接方式,所有AWS API流量都会进行SSL加密。

Lustre文件系统流量(即Lustre客户端实例和云版本服务器实例之间的连接)完全是VPC的本地流量,不需要任何出站连接。

有关云版本中HA工作原理的更多信息,请参考文档云版本文档中HA与故障转移章节

通过NAT网关实例访问

图 1. 编辑访问栏

云版本的默认配置是在公共子网(即已配置互联网网关,并允许从该子网中的实例向外访问的子网)中创建一个NAT实例,并使用该网关直接访问AWS API端点。网关实例也可以作为入站的"跳转节点",允许从VPC外部进行SSH访问。这种配置的优点是方便测试和"跳转",但可能不符合站点安全要求。

通过NAT网关访问(待定,计划中的功能)

与NAT网关实例类似,该选项配置了一个出站NAT网关,该网关为云版本实例启用了互联网访问功能,但不允许入站SSH访问。

通过HTTPS代理访问

图 1. 编辑访问栏

云版本的这一配置使用稍有不同的CloudFormation模板来配置安装,该安装不使用NAT网关访问AWS API端点。相反,可以通过模板提供HTTPS代理地址和端口,并在初始化时将在云版本实例中应用于这些设置。实例将通过代理路由其所有的AWS API流量,使该配置最适合于更受限制的环境。云版本目前不支持需要验证的HTTPS代理。

云版本使用的AWS端节点

从云版本1.3开始,需要访问以下AWS端点才能使产品正常运行。为便于说明,下面列出了当前的us-east-1端点节URL,但这些端节点URL将因地区而异,并可能不断变化。

服务名称 us-east-1端节点URL
CloudFormation自定义资源 cloudformation-custom-resource-response-useast1.s3.amazonaws.com :443
CloudFormation等待条件 cloudformation-waitcondition-us-east-1.s3.amazonaws.com :443
CloudFormation cloudformation.us-east-1.amazonaws.com :443
DynamoDB dynamodb.us-east-1.amazonaws.com :443
EC2 ec2.us-east-1.amazonaws.com :443
SQS queue.amazonaws.com :443
S3可选,仅导入时需要 s3.amazonaws.com :443

加密

AWS APIs

云版本使用SSL来保护与AWS API端节点的连接。这种保护是在云版本用于访问API的底层AWS SDK中实现的。

Lustre

云版本文件系统可选择配置为通过IPSec来保护组件(服务器、客户端)之间的Lustre通信。此选项可提供"传输中(in flight)"数据的保护。从1.3版本开始,EBS加密功能始终处于启用状态,以提供"静止"数据的保护,因为性能测试表明,加密和未加密的EBS卷之间没有性能差异。

请注意,IPSec加密Lustre通信是CPU密集型的,会对Lustre文件系统整体性能产生负面影响,影响的程度取决于实例类型。基于Xeon v3 (Haswell)平台的较新实例类型比旧实例类型的性能要好得多,这是因为对某些加密操作进行了硬件加速。请参考AWS EC2实例类型页面,了解当前实例类型的详细信息。

当用户为其云版本文件系统启用IPSec加密时,Intel强烈建议应该在投入生产前评估文件系统的性能/效益权衡。