File Storage NAS:アクセスポイントの管理

前提条件

汎用 Network File System (NFS) ファイルシステムが作成されていること。詳細については、「ファイルシステムを作成する」をご参照ください。

制限事項

• 汎用 NFS ファイルシステムのみがアクセスポイントをサポートします。

• 単一の汎用 NFS ファイルシステムでは、2 つの vSwitch に最大 1,000 個のアクセスポイントを作成できます。

  説明

  アクセスポイントは、同じ仮想プライベートクラウド (VPC) 内の異なる vSwitch に属する ECS インスタンスからアクセスできます。デフォルトでは、同じ vSwitch に複数のアクセスポイントを作成することをお勧めします。最適なパフォーマンスを得るには、NAS ファイルシステムと同じゾーンにある vSwitch を選択することをお勧めします。

アクセスポイントの作成

1. NAS コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ファイルシステム] > [アクセスポイント] を選択します。

3. 上部のナビゲーションバーで、ファイルシステムが存在するリソースグループとリージョンを選択します。

4. [アクセスポイント] ページで、[アクセスポイントの作成] をクリックします。

5. [アクセスポイントの作成] パネルで、パラメーターを設定します。次の表にパラメーターを示します。

   パラメーター	説明
   基本情報
   ファイルシステム	アクセスポイントを作成する汎用 NFS ファイルシステムを選択します。
   VPC	ECS インスタンスが存在する VPC を選択します。利用可能な VPC がない場合は、VPC コンソールで VPC を作成します。 重要 ファイルシステムをマウントする ECS インスタンスが存在する VPC を選択する必要があります。ECS インスタンスが存在する VPC とは異なる VPC を選択した場合は、Cloud Enterprise Network (CEN) を使用して VPC 間の接続を確立する必要があります。その後、VPC をまたいでファイルシステムをマウントします。詳細については、「CEN を使用して同じリージョン内の VPC をまたいで NAS ファイルシステムをマウントする」をご参照ください。
   vSwitch	VPC 内に存在する vSwitch を選択します。
   権限グループ	ビジネス要件に基づいて権限グループを選択します。 VPC デフォルト権限グループ (すべて許可) という名前の権限グループが、各 Alibaba Cloud アカウントに対して自動的に作成されます。この権限グループは、VPC 内のすべての IP アドレスからアクセスポイントを使用してファイルシステムにアクセスすることを許可します。ビジネスシナリオに基づいて権限グループを作成することもできます。詳細については、「権限グループの管理」をご参照ください。
   アクセスポイント名	アクセスポイントの名前を入力します。 名前の長さは 2～128 文字である必要があります。 名前は文字で始まる必要があります。 名前に使用できる文字は、英字、数字、アンダースコア (_)、ハイフン (-) です。
   アクセスポイントのルートディレクトリ	ファイルシステム内のアクセスポイントのルートディレクトリを指定します。ファイルシステム内のサブディレクトリをアクセスポイントのルートディレクトリとして指定できます。アクセスポイントを使用してファイルシステムにアクセスするユーザーは、指定されたサブディレクトリにのみアクセスできます。 制限事項: ディレクトリはスラッシュ (/) で始まる必要があります。 ディレクトリには数字と文字を含めることができます。 ディレクトリには、アンダースコア (_)、ハイフン (-)、ピリオド (.) を含めることができます。 ディレクトリには、カレントディレクトリ (.)、上位ディレクトリ (..)、その他のシンボリックリンクなどのシンボリックリンクを含めることはできません。 重要 アクセスポイントのルートディレクトリが存在しない場合は、[ディレクトリ情報の作成] セクションでパラメーターを設定します。システムは設定に基づいて指定されたルートディレクトリを自動的に作成します。 アクセスポイントのルートディレクトリが存在する場合、[ディレクトリ情報の作成] セクションでパラメーターを設定する必要はありません。パラメーターを設定しても、[ディレクトリ情報の作成] セクションの設定は無視されます。
   ディレクトリ情報の作成 (アクセスポイントのルートディレクトリが存在しない場合にのみ必須)
   オーナー ID	アクセスポイントのルートディレクトリのオーナーの ID を指定します。 有効な値: 0～4294967295。
   オーナーグループ ID	アクセスポイントのルートディレクトリのオーナーグループの ID を指定します。 有効な値: 0～4294967295。
   POSIX 権限	アクセスポイントのルートディレクトリに適用される Portable Operating System Interface (POSIX) 権限を指定します。 値は、0755 などの有効な 8 進数です。
   POSIX ユーザー (オプション) 重要 POSIX ユーザーを設定すると、アクセスポイントを介して実行されるすべての入出力 (I/O) 操作は、指定された POSIX ユーザー情報を使用して、検証のためにクライアントの元の POSIX ユーザー情報を上書きします。ユーザー ID を指定する場合は、ユーザーグループ ID も指定する必要があります。
   UID	アクセスポイントを使用し、ファイルシステム上のすべての操作を実行する POSIX ユーザーの ID を指定します。 有効な値: 0～4294967295。
   ユーザーグループ ID	アクセスポイントを使用し、ファイルシステム上のすべての操作を実行する POSIX ユーザーグループの ID を指定します。 有効な値: 0～4294967295。
   セカンダリユーザーグループ情報 (オプション)	アクセスポイントを使用し、ファイルシステム上のすべての操作を実行するセカンダリ POSIX ユーザーグループの ID を指定します。

6. [OK] をクリックします。

   アクセスポイントの作成には約 10 分かかります。アクセスポイントが作成されたら、アクセスポイントページでアクセスポイントのステータス、ドメイン名、ファイルシステム、ルートディレクトリ、および POSIX ユーザーを表示します。アクセスポイントが実行中の状態になったら、アクセスポイントを使用して NAS ファイルシステムをマウントします。詳細については、「アクセスポイントを使用して Linux インスタンスからファイルシステムにアクセスする」をご参照ください。

(オプション) アクセスポイントのポリシーを設定する

アクセスポイントのポリシーは、Alibaba Cloud NAS がアクセスポイントクライアントに提供するカスタム Resource Access Management (RAM) ポリシーです。同じ Alibaba Cloud アカウント内の異なる RAM ユーザーまたは RAM ロールに、ファイルシステムに対するマウント、読み取り、書き込みの権限を付与できます。また、アクセスポイントに対して root ユーザーとしてファイルシステムにアクセスする権限を設定することもできます。これにより、詳細な権限要件を満たし、柔軟な権限管理を実現できます。

認証の説明

NAS が計算ノードからリクエストを受信すると、NAS はアクセスポイントに設定された RAM ポリシーに基づいて、リクエスターが必要な権限を持っているかどうかを確認します。

制限事項

• RAM ポリシー機能が有効になると、デフォルトではどのアカウント (Alibaba Cloud アカウント、RAM ユーザー、RAM ロールを含む) もアクセスポイントを使用してデータをマウントおよびアクセスすることはできません。RAM ユーザーまたは RAM ロールとしてアクセスポイントを使用してデータをマウントおよびアクセスするには、アクセスポイントクライアントのポリシーを設定し、そのポリシーを RAM ユーザーまたは RAM ロールにアタッチする必要があります。

• アクセスポイントがすでにマウントに使用されているが、RAM ポリシー機能が無効になっている場合、RAM ポリシー機能を有効にすると、実行中のサービスが中断される可能性があります。

• RAM ユーザーまたは RAM ロールに NAS ファイルシステムへのフルアクセス (AliyunNASFullAccess) が付与されている場合、その RAM ユーザーまたは RAM ロールはデフォルトでアクセスポイントクライアントに対するすべての権限を持ちます。NAS ファイルシステムのセキュリティを確保するため、RAM ユーザーまたは RAM ロールに権限を付与しないことをお勧めします。詳細については、「アクセスポイントの RAM ポリシーとシステムポリシー AliyunNASFullAccess および AliyunNASReadOnlyAccess の関係」をご参照ください。

手順

1. アクセスポイントのファイルシステムに対して RAM ポリシー機能を有効にします。

   1. NAS コンソールにログインします。

   2. 左側のナビゲーションウィンドウで、[ファイルシステム] > [アクセスポイント] を選択します。

   3. 上部のナビゲーションバーで、ファイルシステムが存在するリソースグループとリージョンを選択します。

   4. アクセスポイントページで、アクセスポイントの [アクション] 列にある [管理] をクリックします。

   5. 詳細ページで、[アクセスポイントポリシー] タブをクリックし、RAM ポリシー機能を有効にします。

      • : RAM ポリシー機能を有効にします。

      • : RAM ポリシー機能を無効にします。RAM ポリシー機能はデフォルトで無効になっています。

2. アクセスポイントクライアントの RAM ポリシーを設定します。

   1. Alibaba Cloud アカウントで RAM コンソールにログインします。

   2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

   3. [ポリシー] ページで、[ポリシーの作成] をクリックします。

   4. [ポリシーの作成] ページで、[JSON] タブをクリックします。

   5. ビジネス要件に基づいて次のポリシーコンテンツを設定し、[OK] をクリックします。

      • 単一操作に対する権限

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": "nas:ClientMount",
              "Resource": "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>",
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<ARN of the access point>"
                }
              }
            }
          ]
        }

      • 複数操作に対する権限

        {
          "Version": "1",
          "Statement": [
            {
              "Effect": "Allow",
              "Action": [
                "nas:ClientMount",
                "nas:ClientWrite"
               ],
              "Resource": [
                "acs:nas:<Region>:<account-id>:filesystem/<FilesystemId>"
               ],
              "Condition": {
                "StringEquals": {
                  "nas:AccessPointArn": "<ARN of the access point>"
                }
              }
            }
          ]
        }

        次の表にパラメーターを示します。

        パラメーター	説明
        アクション	アクセスポイントクライアントに設定できる操作権限。有効な値: nas:ClientMount: ファイルシステムをマウントしてデータを読み取る権限。 nas:ClientWrite: データを書き込む権限。この権限は、ファイルシステムをマウントし、ファイルシステムからデータを読み取り、ファイルシステムにデータを書き込むために、nas:ClientMount 権限と一緒に設定する必要があります。 nas:ClientRootAccess: root ユーザーとしてファイルシステムにアクセスする権限。 この権限が付与されていない場合、root ユーザーとしてファイルシステムにアクセスすると、nobody ユーザーとして最小限の権限が付与されます。 POSIX ユーザーがアクセスポイントにバインドされている場合、POSIX ユーザーも nas:ClientRootAccess 権限の影響を受けます。たとえば、POSIX ユーザーが root ユーザーとしてバインドされているが、nas:ClientRootAccess 権限が付与されていない場合、アクセスポイントを介してファイルシステムがマウントされた後に I/O 操作を実行するすべての POSIX ユーザーは、最終的に nobody ユーザーとして最小限の権限が付与されます。 nobody ユーザーは Linux 上で最小限の権限を持ち、ファイルシステムのパブリックコンテンツにのみアクセスできます。これにより、ファイルシステムのセキュリティが確保されます。
        リソース	アクセスポイントのファイルシステムのリソース。フォーマット: acs:nas:<region>:<account-id>:filesystem/<FilesystemId>。Resource パラメーターには次のフィールドが含まれます: region: アクセスポイントのファイルシステムが存在するリージョン。例: cn-hangzhou。リージョン情報は、アクセスポイントの Alibaba Cloud リソースネーム (ARN) で確認できます。詳細については、このトピックの「アクセスポイントの ARN を表示する」セクションをご参照ください。 account-id: Alibaba Cloud アカウントの ID。例: 123456789012***。 FilesystemId: アクセスポイントのファイルシステムの ID。例: 0d9f24****。ファイルシステム ID は、ファイルシステムリストページで取得できます。
        nas:AccessPointArn	アクセスポイントの ARN。例: acs:nas:cn-hangzhou:117848947****:accesspoint/fsap-1。ARN は、アクセスポイントの基本情報タブで取得できます。詳細については、このトピックの「アクセスポイントの ARN を表示する」セクションをご参照ください。

   6. [ポリシーの作成] ダイアログボックスで、ポリシーの名前と説明を入力します。

   7. [OK] をクリックします。

3. アクセスポイントクライアントのポリシーを RAM ユーザーまたは RAM ロールにアタッチします。

   説明

   • RAM ロールには永続的な認証情報がありません。RAM ロールは、セキュリティトークンサービス (STS) トークンを使用してのみ NAS リソースにアクセスできます。STS トークンが発行されるとき、STS トークンの有効期間とアクセス権限を指定します。STS トークンは、NAS ファイルシステムへの一時的なアクセスにのみ使用できます。STS トークンの有効期限が切れた後もファイルシステムにアクセスし続けると、I/O エラーが発生します。

   • RAM ユーザーまたは RAM ロールに権限を付与した後、RAM が権限を有効にするには一定の時間がかかります。したがって、権限がクラウドサービスで有効になるまで待つ必要があります。詳細については、「RAM の権限付与が Alibaba Cloud サービスですぐに有効にならないのはなぜですか？」をご参照ください。

   • RAM ユーザーに権限を付与します。

     1. RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。

        RAM ユーザーをすでに作成している場合は、このステップをスキップして次のステップに進みます。

     2. アクセスポイントクライアントのポリシーを RAM ユーザーにアタッチします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

   • RAM ロールに権限を付与します。

     1. RAM ロールを作成します。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」をご参照ください。

        RAM ロールをすでに作成している場合は、このステップをスキップして次のステップに進みます。

     2. アクセスポイントクライアントのポリシーを RAM ロールにアタッチし、STS 管理権限 (AliyunSTSAssumeRoleAccess) を RAM ロールに付与します。詳細については、「RAM ロールに権限を付与する」をご参照ください。

アクセスポイントのポリシーを設定した後、アクセスポイントを使用して NAS ファイルシステムをマウントします。詳細については、「アクセスポイントを使用して Linux インスタンスからファイルシステムにアクセスする」をご参照ください。

アクセスポイントのドメイン名を表示する

次のいずれかの方法を使用して、アクセスポイントのドメイン名を表示します。

• アクセスポイントページ

  [アクセスポイント] ページで、ファイルシステムの [アクセスポイントのドメイン名] 列の情報を表示します。

• ファイルシステムの詳細ページ

  [ファイルシステムリスト] ページで、ファイルシステムの [アクション] 列にある [管理] をクリックします。[ファイルシステムの詳細] ページで、[マウントポイント] タブをクリックします。次に、[アクセスポイント] タブをクリックし、[アクセスポイントのドメイン名] 列の情報を表示します。

アクセスポイントのルートディレクトリを表示する

次のいずれかの方法を使用して、アクセスポイントのルートディレクトリを表示します。

• アクセスポイントページ

  [アクセスポイント] ページで、ファイルシステムの [ルートディレクトリ] 列の情報を表示します。

• ファイルシステムの詳細ページ

  [ファイルシステムリスト] ページで、ファイルシステムの [アクション] 列にある [管理] をクリックします。[ファイルシステムの詳細] ページで、[マウントポイント] タブをクリックします。次に、[アクセスポイント] タブをクリックし、[ルートディレクトリ] 列の情報を表示します。

アクセスポイントの ARN を表示する

次のいずれかの方法を使用して、アクセスポイントの ARN を表示できます。

• アクセスポイントページ

  1. [アクセスポイント] ページで、ファイルシステムの [アクション] 列にある [管理] をクリックします。

  2. [基本情報] タブをクリックします。[ARN] セクションで、アクセスポイントの ARN を表示します。

• ファイルシステムの詳細ページ

  1. [ファイルシステムリスト] ページで、ファイルシステムの [アクション] 列にある [管理] をクリックします。

  2. [ファイルシステムの詳細] ページで、[マウントポイント] タブをクリックします。次に、[アクセスポイント] タブをクリックします。

  3. アクセスポイント名をクリックします。アクセスポイントの詳細ページで、ARN セクションでアクセスポイントの ARN を表示します。

アクセスポイントを削除する

アクセスポイントページで、アクセスポイントの [アクション] 列にある [削除] をクリックします。

アクセスポイントの権限グループを変更する

アクセスポイントの [アクション] 列にある [管理] をクリックします。アクセスポイントの詳細ページで、権限グループの右側にある [変更] をクリックして権限グループを変更します。権限グループの詳細については、「権限グループの管理」をご参照ください。