通过NAT网关实现本地客户端访问NAS SMB文件系统

本文涉及的产品
对象存储 OSS,20GB 3个月
文件存储 NAS,50GB 3个月
日志服务 SLS,月写入数据量 50GB 1个月
简介: 通过NAT网关实现本地客户端访问NAS SMB文件系统。帮助用户使用本地的MacOS、iPad、Linux、Windows等客户端连接阿里云上的NAS SMB文件系统,实现文件跨机器共享和永久存储。虽然NAT网关可以将NAS SMB挂载点开放到公网方便用户本地客户端进行访问,但是直接暴露NAS SMB文件系统到公网有安全风险,任何人拿到公网地址和端口都可以进行访问。推荐使用VPN或者专线方案将连接保护起来。VPN + SSL的方案可以参考MacOS客户端连接阿里云NAS SMB文件系统,以及通过VPN网关实现本地数据中心访问阿里云NAS。

用户希望使用本地的MacOS、iPad、Linux、Windows等客户端连接阿里云上的NAS SMB文件系统,实现文件跨机器共享和永久存储。
我们接下来介绍如何通过NAT网关建立混合云架构,访问阿里云NAS SMB文件系统。

一、创建网关,将NAS SMB挂载点开放到公网

参考通过NAT网关实现本地数据中心访问阿里云NAS

1. 建立NAT网关

2. 建立NAS SMB挂载点

3. 通过一台ECS挂载NAS SMB挂载点,找到NAS SMB挂载点IP

4. 创建网关DNAT将公网IP和445端口映射到挂载点IP和445端口

如果用户所在公网ISP没有屏蔽445端口,这样配置完成之后就可以直接访问NAS SMB文件系统。

二、将NAS SMB挂载点映射到非445端口

绝大部分公网ISP会屏蔽445端口,这时可以在网关DNAT配置时将NAS SMB 445端口映射到公网非445端口,比如16445。
DNAT 16445

1. Linux客户端

Linux客户端可以直接使用以下命令挂载公网SMB。

mount -t cifs -o port=16445 //公网IP/myshare /mnt -o vers=2.1,guest,mfsymlinks

2. MacOS客户端

实验发现MacOS客户端通过NAT网关访问NAS SMB时,需要打开NAS SMB的SMB ACL功能,然后打开匿名访问。具体方法参考将阿里云SMB协议文件系统挂载点接入AD域的控制台部分。

然后可以通过mount_smbfs命令进行访问。

mount_smbfs '//guest@公网IP:16445/myshare' /Volumes/myshare/

或者使用MacOS的Finder->Go->Connect to Server挂载,选择Guest身份进行挂载。参考Apple Mac OS X connect to SMB share

3. Windows客户端

研究发现Windows的SMB客户端难以将445端口替换为别的端口。比如使用以下命令时:

net use z: \\公网IP@16445\myshare

抓包发现即使TCP能够连通,Windows客户端会发出HTTP请求,走WebDAV协议,而不是走SMB协议,从而导致访问失败。如果有用户研究出SMB客户端换端口的方案,欢迎告知我们。
SMB 16445 becomes WebDAV.PNG

三、总结

虽然NAT网关可以将NAS SMB挂载点开放到公网方便用户本地客户端进行访问,但是直接暴露NAS SMB文件系统到公网有安全风险,任何人拿到公网地址和端口都可以进行访问。
推荐使用VPN或者专线方案将连接保护起来。VPN + SSL的方案可以参考MacOS客户端连接阿里云NAS SMB文件系统,以及通过VPN网关实现本地数据中心访问阿里云NAS

四、引用

1. 通过NAT网关实现本地数据中心访问阿里云NAS

2. 将阿里云SMB协议文件系统挂载点接入AD域

3. Apple Mac OS X connect to SMB share

4. MacOS客户端连接阿里云NAS SMB文件系统

5. 通过VPN网关实现本地数据中心访问阿里云NAS

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
目录
相关文章
|
4月前
|
消息中间件 存储 Serverless
函数计算产品使用问题之怎么访问网络附加存储(NAS)存储模型文件
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
3天前
|
数据采集 安全 文件存储
NAS极速远程访问!贝锐花生壳推出飞牛fnOS专属内网穿透服务
贝锐花生壳与飞牛私有云fnOS合作,推出专属客户端及映射服务,实现3倍传输速率提升。用户只需在fnOS应用中心搜索“花生壳”,一键安装即可享受高速、稳定、安全的远程NAS访问体验。
62 7
|
3月前
|
文件存储 网络架构 Docker
NAS部署Alist、Nextcloud、File Browser,贝锐花生壳实现远程访问
对于NAS用户而言,文件管理和私有云应用如Alist、Nextcloud、File Browser等已成为标配。这些应用不仅能在Synology、QNAP等品牌设备上轻松安装,还可通过Docker容器便捷部署。借助贝锐花生壳Docker版,用户无需公网IP和复杂路由器配置,即可实现远程访问和管理文件资源。通过下载并加载贝锐花生壳镜像、启动容器及配置服务,即可生成固定访问域名,轻松实现远程访问。
127 4
NAS部署Alist、Nextcloud、File Browser,贝锐花生壳实现远程访问
|
2月前
|
弹性计算 网络协议 网络安全
内网DNS解析&VPN网关联动实现云上访问云下资源
内网DNS解析&VPN网关联动实现云上访问云下资源
|
4月前
|
负载均衡 应用服务中间件 nginx
搭建域名访问环境二(负载均衡到网关)
这篇文章讲述了如何配置Nginx实现域名访问环境,通过负载均衡将请求从Nginx反向代理到服务网关,并提供了详细的配置步骤和测试验证方法。
搭建域名访问环境二(负载均衡到网关)
|
4月前
|
Kubernetes 安全 数据安全/隐私保护
利用服务网格实现全链路mTLS(二):通过出口网关访问外部mTLS服务
阿里云服务网格(Service Mesh,简称ASM)提供了一个全托管式的服务网格平台,兼容Istio开源服务网格,简化服务治理,包括流量管理、服务间通信安全及网格可观测性。ASM出口网关统一管理网格内的出口流量,实现全链路加密通信与精细访问控制。本文介绍如何配置ASM出口网关以管理出口流量并发起mTLS通信,涉及配置ServiceEntry、创建出口网关、设置虚拟服务及目标规则等步骤,最终实现安全可控的mTLS服务访问。
171 3
|
5月前
|
存储 并行计算 开发工具
SLS Prometheus存储问题之相比客户端SDK聚合写入,SLS网关侧聚合写入有什么优势
SLS Prometheus存储问题之相比客户端SDK聚合写入,SLS网关侧聚合写入有什么优势
|
5月前
|
存储 运维 监控
函数计算产品使用问题之NAS里面没有文件系统,为什么会产生费用
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
6月前
|
运维 Serverless 文件存储
函数计算产品使用问题之在利用Docker镜像部署应用时,容器内的应用如何能访问函数计算配置的NAS挂载
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
6月前
|
缓存 运维 Serverless
Serverless 应用引擎产品使用合集之如何配置NAS文件系统
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。

相关产品

  • 文件存储 NAS