全部产品
Search

搜索本产品

    File Storage NAS:Mengelola titik akses

    文档中心

    File Storage NAS:Mengelola titik akses

    更新时间:Nov 04, 2025

    Topik ini menjelaskan cara mengelola titik akses di Konsol Penyimpanan File NAS (NAS). Contohnya mencakup pembuatan titik akses, peninjauan nama domain dari titik akses, penghapusan titik akses, dan modifikasi titik akses.

    Prasyarat

    Sistem file Network File System (NFS) tujuan umum telah dibuat. Untuk informasi lebih lanjut, lihat Buat sistem file.

    Catatan

    Pembuatan titik akses tidak bergantung pada target pemasangan NAS. Anda dapat membuat titik akses dan menggunakannya untuk mengakses data NAS meskipun tidak ada target pemasangan yang dibuat atau target pemasangan dinonaktifkan.

    Batasan

    • Hanya sistem file NFS tujuan umum yang mendukung titik akses.

    • Sebuah sistem file NFS tujuan umum tunggal memungkinkan Anda membuat hingga 1.000 titik akses di dua vSwitch.

      Catatan

      Titik akses dapat diakses oleh Instance ECS yang termasuk dalam vSwitch berbeda di virtual private cloud (VPC) yang sama. Kami menyarankan Anda secara default membuat beberapa titik akses di vSwitch yang sama. Kami juga menyarankan Anda memilih vSwitch yang berada di zona yang sama dengan sistem file NAS untuk mencapai performa optimal.

    Buat titik akses

    1. Masuk ke Konsol NAS.

    2. Di panel navigasi sisi kiri, pilih File System > Access Point.

    3. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat sistem file Anda berada.

    4. Di halaman Access Point, klik Create Access Point.

    5. Di panel Create Access Point, konfigurasikan parameter. Tabel berikut menjelaskan parameter tersebut.

      Parameter

      Deskripsi

      Informasi Dasar

      File System

      Pilih sistem file NFS tujuan umum untuk mana Anda ingin membuat titik akses.

      VPC

      Pilih VPC tempat instance ECS berada. Jika tidak ada VPC yang tersedia, buat VPC di Konsol VPC.

      Penting

      Anda harus memilih VPC tempat instance ECS yang ingin Anda pasang sistem file berada. Jika Anda memilih VPC yang berbeda dari VPC tempat instance ECS berada, Anda harus menggunakan Cloud Enterprise Network (CEN) untuk membuat koneksi antara VPC. Kemudian, pasang sistem file di seluruh VPC. Untuk informasi lebih lanjut, lihat Gunakan CEN untuk memasang sistem file NAS di seluruh VPC di wilayah yang sama.

      vSwitch

      Pilih vSwitch yang berada di VPC.

      Permission Group

      Pilih grup izin berdasarkan kebutuhan bisnis Anda.

      Grup izin bernama Grup Izin Default VPC (semua diizinkan) secara otomatis dibuat untuk setiap Akun Alibaba Cloud. Grup izin ini mengizinkan akses dari semua alamat IP di VPC ke sistem file menggunakan titik akses. Anda juga dapat membuat grup izin berdasarkan skenario bisnis Anda. Untuk informasi lebih lanjut, lihat Kelola grup izin.

      Access Point Name

      Masukkan nama untuk titik akses.

      • Nama harus memiliki panjang 2 hingga 128 karakter.

      • Nama harus dimulai dengan huruf.

      • Nama dapat berisi huruf, angka, garis bawah (_), dan tanda hubung (-).

      Root Directory of Access Point

      Tentukan direktori root dari titik akses di sistem file. Anda dapat menentukan subdirektori di sistem file sebagai direktori root dari titik akses. Pengguna yang menggunakan titik akses untuk mengakses sistem file hanya dapat mengakses subdirektori yang ditentukan.

      Batasan:

      • Direktori harus dimulai dengan garis miring (/).

      • Direktori dapat berisi angka dan huruf.

      • Direktori dapat berisi garis bawah (_), tanda hubung (-), dan titik (.).

      • Direktori tidak boleh berisi tautan simbolik, seperti direktori saat ini (.), direktori tingkat atas (..), dan tautan simbolik lainnya.

      Penting

      • Jika direktori root dari titik akses tidak ada, konfigurasikan parameter di bagian Create Directory Information. Sistem kemudian secara otomatis membuat direktori root yang ditentukan berdasarkan pengaturan Anda.

      • Jika direktori root dari titik akses sudah ada, Anda tidak perlu mengonfigurasi parameter di bagian Create Directory Information. Konfigurasi di bagian Create Directory Information akan diabaikan meskipun Anda mengonfigurasi parameter.

      Buat Informasi Direktori (Diperlukan hanya jika direktori root dari titik akses tidak ada)

      ID Pemilik

      Tentukan ID pemilik untuk direktori root dari titik akses.

      Nilai valid: 0 hingga 4294967295.

      ID Grup Pemilik

      Tentukan ID grup pemilik untuk direktori root dari titik akses.

      Nilai valid: 0 hingga 4294967295.

      Izin POSIX

      Tentukan izin Portable Operating System Interface (POSIX) yang diterapkan pada direktori root dari titik akses.

      Nilainya adalah angka oktal yang valid, seperti 0755.

      Pengguna POSIX (Opsional)

      Penting

      Setelah Anda mengonfigurasi pengguna POSIX, semua operasi input/output (I/O) yang dilakukan melalui titik akses menggunakan informasi pengguna POSIX yang ditentukan untuk menimpa informasi pengguna POSIX asli dari klien untuk verifikasi. Jika Anda menentukan ID pengguna, Anda juga harus menentukan ID grup pengguna.

      UID

      Tentukan ID pengguna POSIX yang menggunakan titik akses dan melakukan semua operasi pada sistem file.

      Nilai valid: 0 hingga 4294967295.

      ID Grup Pengguna

      Tentukan ID grup pengguna POSIX yang menggunakan titik akses dan melakukan semua operasi pada sistem file.

      Nilai valid: 0 hingga 4294967295.

      Informasi Grup Pengguna Sekunder (Opsional)

      Tentukan ID grup pengguna POSIX sekunder yang menggunakan titik akses dan melakukan semua operasi pada sistem file.

    6. Klik OK.

      Proses pembuatan titik akses memerlukan waktu sekitar 10 menit. Setelah titik akses dibuat, tinjau status, nama domain, sistem file, direktori root, dan pengguna POSIX dari titik akses di halaman Titik Akses. Saat titik akses dalam keadaan Berjalan, gunakan titik akses untuk memasang sistem file NAS. Untuk informasi lebih lanjut, lihat Akses sistem file dari instance Linux menggunakan titik akses.

    (Opsional) Konfigurasikan kebijakan untuk titik akses

    Kebijakan untuk titik akses adalah kebijakan Resource Access Management (RAM) kustom yang disediakan oleh Alibaba Cloud NAS untuk klien titik akses. Anda dapat memberikan izin pemasangan, baca, dan tulis pada sistem file kepada pengguna RAM atau peran RAM dalam Akun Alibaba Cloud yang sama. Anda juga dapat mengonfigurasi izin untuk mengakses sistem file sebagai pengguna root untuk titik akses. Ini memenuhi kebutuhan izin detail halus Anda dan menerapkan pengelolaan izin yang fleksibel.

    Deskripsi Otentikasi

    Saat NAS menerima permintaan dari node komputasi, NAS memeriksa apakah peminta memiliki izin yang diperlukan berdasarkan kebijakan RAM yang dikonfigurasi untuk titik akses.

    Batasan

    • Setelah fitur kebijakan RAM diaktifkan, tidak ada akun (termasuk Akun Alibaba Cloud, pengguna RAM, dan peran RAM) yang diizinkan menggunakan titik akses untuk memasang dan mengakses data secara default. Untuk menggunakan titik akses untuk memasang dan mengakses data sebagai pengguna RAM atau peran RAM, Anda harus mengonfigurasi kebijakan untuk klien titik akses dan melampirkan kebijakan tersebut ke pengguna RAM atau peran RAM.

    • Jika titik akses telah digunakan untuk pemasangan tetapi fitur kebijakan RAM dinonaktifkan, layanan yang sedang berjalan mungkin terganggu saat Anda mengaktifkan fitur kebijakan RAM.

    • Jika pengguna RAM atau peran RAM telah diberi akses penuh (AliyunNASFullAccess) ke sistem file NAS, pengguna RAM atau peran RAM tersebut memiliki semua izin pada klien titik akses secara default. Untuk memastikan keamanan sistem file NAS Anda, kami menyarankan agar Anda tidak memberikan izin kepada pengguna RAM atau peran RAM. Untuk informasi lebih lanjut, lihat Apa hubungan antara kebijakan RAM untuk titik akses dan kebijakan sistem AliyunNASFullAccess dan AliyunNASReadOnlyAccess?

    Prosedur

    1. Aktifkan fitur kebijakan RAM untuk sistem file dari titik akses.

      1. Masuk ke Konsol NAS.

      2. Di panel navigasi sisi kiri, pilih File System > Access Point.

      3. Di bilah navigasi atas, pilih kelompok sumber daya dan wilayah tempat sistem file Anda berada.

      4. Di halaman Titik Akses, klik Manage di kolom Actions dari titik akses.

      5. Di halaman detail, klik tab Access Point Policy dan aktifkan fitur kebijakan RAM.

        • image.png: mengaktifkan fitur kebijakan RAM.

        • image.png: menonaktifkan fitur kebijakan RAM. Fitur kebijakan RAM dinonaktifkan secara default.

    2. Konfigurasikan kebijakan RAM untuk klien titik akses.

      1. Masuk ke Konsol RAM dengan Akun Alibaba Cloud.

      2. Di panel navigasi sisi kiri, pilih Permissions > Policies.

      3. Di halaman Policies, klik Create Policy.

      4. Di halaman Create Policy, klik tab JSON.

      5. Konfigurasikan konten kebijakan berikut berdasarkan kebutuhan bisnis Anda dan klik OK.

        • Izin pada operasi tunggal

          {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "nas:ClientMount",
      "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>",
      "Condition": {
        "StringEquals": {
          "nas:AccessPointArn": "<ARN of the access point>"
        }
      }
    }
  ]
}

        • Izin pada beberapa operasi

          {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "nas:ClientMount",
        "nas:ClientWrite"
       ],
      "Resource": [
        "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>"
       ],
      "Condition": {
        "StringEquals": {
          "nas:AccessPointArn": "<ARN of the access point>"
        }
      }
    }
  ]
}

          Tabel berikut menjelaskan parameter.

          Parameter

          Deskripsi

          Action

          Izin operasi yang dapat Anda konfigurasikan untuk klien titik akses. Nilai valid:

          • nas:ClientMount: izin untuk memasang sistem file dan membaca data.

          • nas:ClientWrite: izin untuk menulis data. Izin ini harus dikonfigurasikan bersama dengan izin nas:ClientMount untuk memasang sistem file, membaca data dari sistem file, dan menulis data ke sistem file.

          • nas:ClientRootAccess: izin untuk mengakses sistem file sebagai pengguna root.

            • Jika Anda tidak diberi izin ini, Anda diberi izin minimal sebagai pengguna nobody saat mengakses sistem file sebagai pengguna root.

            • Jika pengguna POSIX terikat ke titik akses, pengguna POSIX juga dipengaruhi oleh izin nas:ClientRootAccess. Sebagai contoh, jika pengguna POSIX terikat sebagai pengguna root tetapi tidak diberi izin nas:ClientRootAccess, semua pengguna POSIX yang melakukan operasi I/O setelah sistem file dipasang melalui titik akses akhirnya diberi izin minimal sebagai pengguna nobody.

            • Pengguna nobody memiliki izin minimal di Linux dan hanya dapat mengakses konten publik dari sistem file. Ini memastikan keamanan sistem file.

          Resource

          Sumber daya sistem file untuk titik akses. Format: acs:nas:<region>:<account-id>:filesystem/<FilesystemId>. Parameter Resource berisi bidang berikut:

          • region: wilayah tempat sistem file dari titik akses berada. Contoh: cn-hangzhou. Anda dapat menemukan informasi wilayah di Nama Sumber Daya Alibaba Cloud (ARN) dari titik akses. Untuk informasi lebih lanjut, lihat bagian Lihat ARN dari titik akses dalam topik ini.

          • account-id: ID Akun Alibaba Cloud. Contoh: 123456789012***.

          • FilesystemId: ID sistem file untuk titik akses. Contoh: 0d9f24****. Anda dapat memperoleh ID sistem file di halaman Daftar Sistem File.

          nas:AccessPointArn

          ARN dari titik akses. Contoh: acs:nas:cn-hangzhou:117848947****:accesspoint/fsap-1. Anda dapat memperoleh ARN di tab Informasi Dasar dari titik akses. Untuk informasi lebih lanjut, lihat bagian Lihat ARN dari titik akses dalam topik ini.

      6. Di kotak dialog Create Policy, masukkan name dan description untuk kebijakan.

      7. Klik OK.

    3. Lampirkan kebijakan untuk klien titik akses ke pengguna RAM atau peran RAM.

      Catatan

      • Peran RAM tidak memiliki kredensial identitas permanen. Peran RAM hanya dapat mengakses sumber daya NAS dengan menggunakan token Layanan Keamanan (STS). Saat token STS diterbitkan, tentukan periode validitas dan izin akses untuk token STS. Token STS hanya dapat digunakan untuk akses sementara ke sistem file NAS. Jika Anda terus mengakses sistem file setelah token STS kedaluwarsa, kesalahan I/O akan terjadi.

      • Setelah Anda memberikan izin kepada pengguna RAM atau peran RAM, RAM memerlukan waktu untuk izin tersebut berlaku. Oleh karena itu, Anda harus menunggu izin tersebut berlaku pada layanan cloud. Untuk informasi lebih lanjut, lihat Mengapa otorisasi RAM tidak langsung berlaku di layanan Alibaba Cloud?

      • Berikan izin kepada pengguna RAM.

        1. Buat pengguna RAM. Untuk informasi lebih lanjut, lihat Buat pengguna RAM.

          Jika Anda telah membuat pengguna RAM, lewati langkah ini dan lanjutkan ke langkah berikutnya.

        2. Lampirkan kebijakan untuk klien titik akses ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.

      • Berikan izin kepada peran RAM.

        1. Buat peran RAM. Untuk informasi lebih lanjut, lihat Buat peran RAM untuk akun Alibaba Cloud tepercaya.

          Jika Anda telah membuat peran RAM, lewati langkah ini dan lanjutkan ke langkah berikutnya.

        2. Lampirkan kebijakan untuk klien titik akses ke peran RAM dan berikan izin manajemen STS (AliyunSTSAssumeRoleAccess) kepada peran RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada peran RAM.

    Setelah Anda mengonfigurasi kebijakan untuk titik akses, gunakan titik akses untuk memasang sistem file NAS. Untuk informasi lebih lanjut, lihat Akses sistem file dari instance Linux menggunakan titik akses.

    Lihat nama domain dari titik akses

    Gunakan salah satu metode berikut untuk melihat nama domain dari titik akses:

    • Di halaman Titik Akses

      Di halaman Access Point, lihat informasi di kolom Domain Name of Access Point dari sistem file.

    • Di halaman detail sistem file

      Di halaman File System List, klik Manage di kolom Tindakan dari sistem file. Di halaman file system details, klik tab Mount Targets. Kemudian, klik tab Access Point dan lihat informasi di kolom Domain Name of Access Point.

    Lihat direktori root dari titik akses

    Gunakan salah satu metode berikut untuk melihat direktori root dari titik akses:

    • Di halaman Titik Akses

      Di halaman Access Point, lihat informasi di kolom Root Directory dari sistem file.

    • Di halaman detail sistem file

      Di halaman File System List, klik Manage di kolom Tindakan dari sistem file. Di halaman file system details, klik tab Mount Targets. Kemudian, klik tab Access Point dan lihat informasi di kolom Root Directory.

    Lihat ARN dari titik akses

    Anda dapat menggunakan salah satu metode berikut untuk melihat ARN dari titik akses:

    • Di halaman Titik Akses

      1. Di halaman Access Point, klik Manage di kolom Actions dari sistem file.

      2. Klik tab Basic Information. Di bagian ARN, lihat ARN dari titik akses.

    • Di halaman detail sistem file

      1. Di halaman File System List, klik Manage di kolom Tindakan dari sistem file.

      2. Di halaman file system details, klik tab Mount Targets. Kemudian, klik tab Access Point.

      3. Klik nama titik akses. Di halaman detail titik akses, lihat ARN dari titik akses di bagian ARN.

    Hapus titik akses

    Di halaman Titik Akses, klik Remove di kolom Actions dari titik akses.

    Penting

    Setelah Anda menghapus titik akses, semua operasi I/O yang sedang dilakukan pada direktori yang diakses melalui titik akses akan segera terganggu. Lanjutkan dengan hati-hati.

    Modifikasi grup izin dari titik akses

    Klik Manage di kolom Actions dari titik akses. Di halaman detail titik akses, klik Modify di sebelah kanan grup izin untuk memodifikasi grup izin. Untuk informasi lebih lanjut tentang grup izin, lihat Kelola grup izin.