すべてのプロダクト
Search

このプロダクト

    File Storage NAS:アクセスポイントの管理

    ドキュメントセンター

    File Storage NAS:アクセスポイントの管理

    最終更新日:Dec 20, 2024

    このトピックでは、File Storage NAS (NAS) コンソールでアクセスポイントを管理する方法について説明します。 たとえば、アクセスポイントの作成、アクセスポイントのドメイン名の表示、アクセスポイントの削除、アクセスポイントの変更などができます。

    前提条件

    汎用ネットワークファイルシステム (NFS) ファイルシステムが作成されます。 詳細については、「ファイルシステムの作成」をご参照ください。

    説明

    アクセスポイントの作成は、NASマウント対象に依存しません。 マウントターゲットが作成されていない場合、またはマウントターゲットが無効になっている場合でも、アクセスポイントを作成し、アクセスポイントを使用してNASデータにアクセスできます。

    制限事項

    • 汎用NFSファイルシステムのみがアクセスポイントをサポートしています。

    • 単一の汎用NFSファイルシステムを使用すると、2つのvSwitchに最大1,000のアクセスポイントを作成できます。

      説明

      アクセスポイントは、同じ仮想プライベートクラウド (VPC) 内の異なるvSwitchに属するECSインスタンスからアクセスできます。 デフォルトでは、同じvSwitchに複数のアクセスポイントを作成することを推奨します。 最適なパフォーマンスを実現するには、NASファイルシステムと同じゾーンにあるvSwitchを選択することをお勧めします。

    アクセスポイントの作成

    1. NASコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ファイルシステム]> [アクセスポイント] を選択します。

    3. 上部のナビゲーションバーで、ファイルシステムが存在するリソースグループとリージョンを選択します。

    4. [アクセスポイント] ページで、[アクセスポイントの作成] をクリックします。

    5. [アクセスポイントの作成] パネルで、パラメーターを設定します。 下表に、各パラメーターを説明します。

      パラメーター

      説明

      基本情報

      ファイルシステム

      アクセスポイントを作成する汎用NFSファイルシステムを選択します。

      [VPC]

      ECSインスタンスが存在するVPCを選択します。 利用可能なVPCがない場合は、VPCコンソールでVPCを作成します。

      重要

      ファイルシステムをマウントするECSインスタンスが存在するVPCを選択する必要があります。 ECSインスタンスが存在するVPCとは異なるVPCを選択した場合、VPC間の接続を確立するためにCloud Enterprise Network (CEN) を使用する必要があります。 その後、VPC間でファイルシステムをマウントできます。 詳細については、「CENを使用した同じリージョンのVPC間のNASファイルシステムのマウント」をご参照ください。

      vSwitch

      VPCに存在するvSwitchを選択します。

      権限グループ

      ビジネス要件に基づいて権限グループを選択します。

      Alibaba Cloudアカウントごとに、VPCデフォルト権限グループ (すべて許可) という名前の権限グループが自動的に作成されます。 この権限グループは、アクセスポイントを使用して、VPC内のすべてのIPアドレスからファイルシステムへのアクセスを許可します。 ビジネスシナリオに基づいて権限グループを作成することもできます。 詳細については、「権限グループの管理」をご参照ください。

      アクセスポイント名

      アクセスポイントの名前を入力します。

      • 名前の長さは 2 ~ 128 文字である必要があります。

      • 先頭は英字とする必要があります。

      • 名前には、英数字、アンダースコア (_) 、およびハイフン (-) を使用できます。

      アクセスポイントのルートディレクトリ

      ファイルシステムのアクセスポイントのルートディレクトリを指定します。 アクセスポイントのルートディレクトリとして、ファイルシステム内のサブディレクトリを指定できます。 アクセスポイントを使用してファイルシステムにアクセスするユーザーは、指定したサブディレクトリにのみアクセスできます。

      制限事項

      • ディレクトリはスラッシュ (/) で始める必要があります。

      • ディレクトリには数字と文字を含めることができます。

      • ディレクトリには、アンダースコア (_) 、ハイフン (-) 、およびピリオド (.) を含めることができます。

      • 現在のディレクトリ (.) 、上位ディレクトリ (..) 、その他のシンボリックリンクなどのシンボリックリンクを含めることはできません。

      重要

      • アクセスポイントのルートディレクトリが存在しない場合は、[ディレクトリ情報の作成] セクションでパラメーターを設定します。 その後、システムは設定に基づいて指定されたルートディレクトリを自動的に作成します。

      • アクセスポイントのルートディレクトリが存在する場合、[ディレクトリ情報の作成] セクションでパラメーターを設定する必要はありません。 [ディレクトリ情報の作成] セクションの設定は、パラメーターを設定しても無視されます。

      ディレクトリ情報の作成 (アクセスポイントのルートディレクトリが存在しない場合のみ必要)

      所有者 ID

      アクセスポイントのルートディレクトリの所有者のIDを指定します。

      有効な値: 0 ~ 4294967295

      所有者グループID

      アクセスポイントのルートディレクトリの所有者グループのIDを指定します。

      有効な値: 0 ~ 4294967295

      POSIX権限

      アクセスポイントのルートディレクトリに適用されるPortable Operating System Interface (POSIX) 権限を指定します。

      値は0755などの有効な8進数です。

      POSIXユーザー (オプション)

      重要

      POSIXユーザーを設定した後、アクセスポイントを介して実行されるすべての入出力 (I/O) 操作は、指定されたPOSIXユーザー情報を使用して、検証のためにクライアントの元のPOSIXユーザー情報を上書きします。 ユーザーIDを指定する場合は、ユーザーグループIDも指定する必要があります。

      UID

      アクセスポイントを使用し、ファイルシステム上ですべての操作を実行するPOSIXユーザーのIDを指定します。

      有効な値: 0 ~ 4294967295

      ユーザーグループID

      アクセスポイントを使用し、ファイルシステム上ですべての操作を実行するPOSIXユーザーグループのIDを指定します。

      有効な値: 0 ~ 4294967295

      セカンダリユーザーグループ情報 (オプション)

      アクセスポイントを使用し、ファイルシステム上ですべての操作を実行するセカンダリPOSIXユーザーグループのIDを指定します。

    6. [OK] をクリックします。

      アクセスポイントの作成には約10分かかります。 アクセスポイントの作成後、アクセスポイントのステータス、ドメイン名、ファイルシステム、ルートディレクトリ、およびPOSIXユーザーを [アクセスポイント] ページで表示できます。 アクセスポイントが [実行中] 状態の場合、アクセスポイントを使用してNASファイルシステムをマウントできます。 詳細については、「アクセスポイントを使用したLinuxのファイルシステムへのアクセス」をご参照ください。

    (オプション) アクセスポイントのポリシーの設定

    アクセスポイントのポリシーは、Alibaba Cloud NASがアクセスポイントクライアント用に提供するカスタムRAM (Resource access Management) ポリシーです。 ファイルシステムのマウント、読み取り、および書き込み権限を、同じAlibaba Cloudアカウント内の異なるRAMユーザーまたはRAMロールに付与できます。 アクセスポイントのルートユーザーとしてファイルシステムにアクセスする権限を設定することもできます。 これは、きめ細かい権限要件を満たし、柔軟な権限管理を実装します。

    認証の説明

    NASがコンピュートノードからリクエストを受信すると、アクセスポイントに設定されたRAMポリシーに基づいて、リクエスト元が必要な権限を持っているかどうかを確認します。

    制限事項

    • RAMポリシー機能を有効にすると、デフォルトでアクセスポイントを使用してデータをマウントおよびアクセスすることが許可されるアカウント (Alibaba Cloudアカウント、RAMユーザー、RAMロールを含む) はありません。 アクセスポイントを使用してRAMユーザーまたはRAMロールとしてデータをマウントおよびアクセスするには、アクセスポイントクライアントのポリシーを構成し、そのポリシーをRAMユーザーまたはRAMロールにアタッチする必要があります。

    • アクセスポイントがマウントに使用されているが、RAMポリシー機能が無効になっている場合、RAMポリシー機能を有効にすると、実行中のサービスが中断されることがあります。

    • RAMユーザーまたはRAMロールにNASファイルシステムへのフルアクセス (AliyunNASFullAccess) が付与されている場合、RAMユーザーまたはRAMロールには、デフォルトでアクセスポイントクライアントに対するすべての権限が付与されます。 NASファイルシステムのセキュリティを確保するために、RAMユーザーまたはRAMロールに権限を付与しないことを推奨します。 詳細については、「」をご参照ください。アクセスポイントのRAMポリシーとシステムポリシーAliyunNASFullAccessとAliyunNASReadOnlyAccessの関係を教えてください。

    手順

    1. アクセスポイントのファイルシステムのRAMポリシー機能を有効にします。

      1. NASコンソールにログインします。

      2. 左側のナビゲーションウィンドウで、[ファイルシステム] > [アクセスポイント] を選択します。

      3. 上部のナビゲーションバーで、ファイルシステムが存在するリソースグループとリージョンを選択します。

      4. [アクセスポイント] ページで、アクセスポイントの [操作] 列の [管理] をクリックします。

      5. 詳細ページで、[アクセスポイントポリシー] タブをクリックし、RAMポリシー機能を有効にします。

        • image.png: RAMポリシー機能を有効にします。

        • image.png: RAMポリシー機能を無効にします。 RAMポリシー機能はデフォルトで無効になっています。

    2. アクセスポイントクライアントのRAMポリシーを設定します。

      1. Alibaba Cloud アカウントで RAM コンソールにログインします。

      2. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。

      3. [ポリシー] ページで [ポリシーの作成] をクリックします。

      4. [ポリシーの作成] ページで、[JSON] タブをクリックします。

      5. ビジネス要件に基づいて次のポリシーコンテンツを設定し、[OK] をクリックします。

        • 単一操作に対する権限

          {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "nas:ClientMount",
      "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>",
      "Condition": {
        "StringEquals": {
          "nas:AccessPointArn": "<ARN of the access point>"
        }
      }
    }
  ]
}

        • 複数の操作に対する権限

          {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "nas:ClientMount",
        "nas:ClientWrite"
       ],
      "Resource": [
        "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>"
       ],
      "Condition": {
        "StringEquals": {
          "nas:AccessPointArn": "<ARN of the access point>"
        }
      }
    }
  ]
}

          下表に、各パラメーターを説明します。

          パラメーター

          説明

          Action

          アクセスポイントクライアントに対して設定できる操作権限。 有効な値:

          • nas:ClientMount: ファイルシステムをマウントしてデータを読み取る権限。

          • nas:ClientWrite: データを書き込む権限。 この権限は、ファイルシステムをマウントし、ファイルシステムからデータを読み取り、ファイルシステムにデータを書き込むために、nas:ClientMount権限と一緒に設定する必要があります。

          • nas:ClientRootAccess: rootユーザーとしてファイルシステムにアクセスするためのアクセス許可。

            • この権限が付与されていない場合、rootユーザーとしてファイルシステムにアクセスするときに、nobodyユーザーとして最小限の権限が付与されます。

            • POSIXユーザーがアクセスポイントにバインドされている場合、POSIXユーザーはnas:ClientRootAccess権限の影響も受けます。 たとえば、POSIXユーザーがrootユーザーとしてバインドされているが、nas:ClientRootAccess権限が付与されていない場合、ファイルシステムがアクセスポイントにマウントされた後にI/O操作を実行するすべてのPOSIXユーザーには、最終的にnobodyユーザーとして最小限の権限が付与されます。

            • noneユーザーはLinux上で最も少ない権限を持ち、ファイルシステムのパブリックコンテンツにのみアクセスできます。 これにより、ファイルシステムのセキュリティが確保されます。

          リソース

          アクセスポイントのファイルシステムのリソース。 形式: acs:nas:<region >:< account-id>:filesystem/<FilesystemId> Resourceパラメータには、次のフィールドが含まれます。

          • region: アクセスポイントのファイルシステムが存在するリージョン。 例: cn-hangzhou リージョン情報は、アクセスポイントのAlibaba Cloud Resource Name (ARN) で確認できます。 詳細については、このトピックの「アクセスポイントのARNの表示」をご参照ください。

          • account-id: Alibaba CloudアカウントのID。 例: 123456789012 ***

          • FilesystemId: アクセスポイントのファイルシステムのID。 例: 0d9f24 **** ファイルシステムIDは、[ファイルシステムリスト] ページで取得できます。

          nas:AccessPointArn

          アクセスポイントのARN。 例: acs:nas:cn-hangzhou:117848947 ****:accesspoint/fsap-1 ARNは、アクセスポイントの [基本情報] タブで取得できます。 詳細については、このトピックの「アクセスポイントのARNの表示」をご参照ください。

      6. [ポリシーの作成] ダイアログボックスで、ポリシーの名前説明を入力します。

      7. [OK] をクリックします。

    3. アクセスポイントクライアントのポリシーをRAMユーザーまたはRAMロールにアタッチします。

      説明

      • RAMロールには永続的なID資格情報はありません。 RAMロールは、Security Token Service (STS) トークンを使用してのみNASリソースにアクセスできます。 STSトークンが発行されると、STSトークンの有効期間とアクセス許可を指定できます。 STSトークンは、NASファイルシステムへの一時的なアクセスにのみ使用できます。 STSトークンの有効期限が切れた後もファイルシステムにアクセスし続けると、I/Oエラーが発生します。

      • RAMユーザーまたはRAMロールに権限を付与した後、RAMは権限が有効になるまでの期間を必要とします。 したがって、権限がクラウドサービスに有効になるのを待つ必要があります。 詳細については、「RAMで権限を付与しましたが、クラウドサービスでは権限がすぐには有効になりません」をご参照ください。 これはなぜですか。」をご参照ください。

      • RAMユーザーに権限を付与します。

        1. RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。

          RAMユーザーを作成した場合は、この手順をスキップして次の手順に進みます。

        2. アクセスポイントクライアントのポリシーをRAMユーザーにアタッチします。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。

      • RAMロールに権限を付与します。

        1. RAM ロールを作成します。 詳細については、「信頼できるAlibaba CloudアカウントのRAMロールの作成」をご参照ください。

          RAMロールを作成した場合は、この手順をスキップして次の手順に進みます。

        2. アクセスポイントクライアントのポリシーをRAMロールにアタッチし、STS管理権限 (AliyunSTSAssumeRoleAccess) をRAMロールに付与します。 詳細については、「RAMロールへの権限の付与」をご参照ください。

    アクセスポイントのポリシーを設定した後、アクセスポイントを使用してNASファイルシステムをマウントできます。 詳細については、「アクセスポイントを使用したLinuxのファイルシステムへのアクセス」をご参照ください。

    アクセスポイントのドメイン名を表示する

    次のいずれかの方法を使用して、アクセスポイントのドメイン名を表示できます。

    • [アクセスポイント] ページ

      [アクセスポイント] ページで、ファイルシステムの [アクセスポイントのドメイン名] 列の情報を表示します。

    • ファイルシステムの詳細ページ

      [ファイルシステムリスト] ページで、ファイルシステムの [操作] 列の [管理] をクリックします。 ファイルシステムの詳細ページで、[ターゲットのマウント] タブをクリックします。 次に、[アクセスポイント] タブをクリックし、[アクセスポイントのドメイン名] 列の情報を表示します。

    アクセスポイントのルートディレクトリを表示する

    次のいずれかの方法を使用して、アクセスポイントのルートディレクトリを表示できます。

    • [アクセスポイント] ページ

      [アクセスポイント] ページで、ファイルシステムの [ルートディレクトリ] 列の情報を表示します。

    • ファイルシステムの詳細ページ

      [ファイルシステムリスト] ページで、ファイルシステムの [操作] 列の [管理] をクリックします。 ファイルシステムの詳細ページで、[ターゲットのマウント] タブをクリックします。 次に、[アクセスポイント] タブをクリックし、[ルートディレクトリ] 列の情報を表示します。

    アクセスポイントのARNの表示

    次のいずれかの方法を使用して、アクセスポイントのARNを表示できます。

    • [アクセスポイント] ページ

      1. [アクセスポイント] ページで、ファイルシステムの [操作] 列の [管理] をクリックします。

      2. [基本情報] タブをクリックします。 ARNセクションで、アクセスポイントのARNを表示します。

    • ファイルシステムの詳細ページ

      1. [ファイルシステムリスト] ページで、ファイルシステムの [操作] 列の [管理] をクリックします。

      2. ファイルシステムの詳細ページで、[ターゲットのマウント] タブをクリックします。 次に、[アクセスポイント] タブをクリックします。

      3. アクセスポイント名をクリックします。 アクセスポイントの詳細ページで、ARNセクションでアクセスポイントのARNを表示します。

    アクセスポイントを削除する

    [アクセスポイント] ページで、アクセスポイントの [操作] 列の [削除] をクリックします。

    重要

    アクセスポイントを削除すると、アクセスポイントを介してアクセスされたディレクトリで実行されているすべてのI/O操作がすぐに中断されます。 作業は慎重に行ってください。

    アクセスポイントの権限グループの変更

    アクセスポイントの [操作] 列で [管理] をクリックします。 アクセスポイントの詳細ページで、権限グループの右側にある [変更] をクリックして権限グループを変更します。 権限グループの詳細については、「権限グループの管理」をご参照ください。