通过NAT网关实现本地客户端访问NAS SMB文件系统

本文涉及的产品
对象存储 OSS,20GB 3个月
对象存储 OSS,恶意文件检测 1000次 1年
对象存储 OSS,内容安全 1000次 1年
简介: 通过NAT网关实现本地客户端访问NAS SMB文件系统。帮助用户使用本地的MacOS、iPad、Linux、Windows等客户端连接阿里云上的NAS SMB文件系统,实现文件跨机器共享和永久存储。虽然NAT网关可以将NAS SMB挂载点开放到公网方便用户本地客户端进行访问,但是直接暴露NAS SMB文件系统到公网有安全风险,任何人拿到公网地址和端口都可以进行访问。推荐使用VPN或者专线方案将连接保护起来。VPN + SSL的方案可以参考MacOS客户端连接阿里云NAS SMB文件系统,以及通过VPN网关实现本地数据中心访问阿里云NAS。

用户希望使用本地的MacOS、iPad、Linux、Windows等客户端连接阿里云上的NAS SMB文件系统,实现文件跨机器共享和永久存储。
我们接下来介绍如何通过NAT网关建立混合云架构,访问阿里云NAS SMB文件系统。

一、创建网关,将NAS SMB挂载点开放到公网

参考通过NAT网关实现本地数据中心访问阿里云NAS

1. 建立NAT网关

2. 建立NAS SMB挂载点

3. 通过一台ECS挂载NAS SMB挂载点,找到NAS SMB挂载点IP

4. 创建网关DNAT将公网IP和445端口映射到挂载点IP和445端口

如果用户所在公网ISP没有屏蔽445端口,这样配置完成之后就可以直接访问NAS SMB文件系统。

二、将NAS SMB挂载点映射到非445端口

绝大部分公网ISP会屏蔽445端口,这时可以在网关DNAT配置时将NAS SMB 445端口映射到公网非445端口,比如16445。
DNAT 16445

1. Linux客户端

Linux客户端可以直接使用以下命令挂载公网SMB。

mount -t cifs -o port=16445 //公网IP/myshare /mnt -o vers=2.1,guest,mfsymlinks

2. MacOS客户端

实验发现MacOS客户端通过NAT网关访问NAS SMB时,需要打开NAS SMB的SMB ACL功能,然后打开匿名访问。具体方法参考将阿里云SMB协议文件系统挂载点接入AD域的控制台部分。

然后可以通过mount_smbfs命令进行访问。

mount_smbfs '//guest@公网IP:16445/myshare' /Volumes/myshare/

或者使用MacOS的Finder->Go->Connect to Server挂载,选择Guest身份进行挂载。参考Apple Mac OS X connect to SMB share

3. Windows客户端

研究发现Windows的SMB客户端难以将445端口替换为别的端口。比如使用以下命令时:

net use z: \\公网IP@16445\myshare

抓包发现即使TCP能够连通,Windows客户端会发出HTTP请求,走WebDAV协议,而不是走SMB协议,从而导致访问失败。如果有用户研究出SMB客户端换端口的方案,欢迎告知我们。
SMB 16445 becomes WebDAV.PNG

三、总结

虽然NAT网关可以将NAS SMB挂载点开放到公网方便用户本地客户端进行访问,但是直接暴露NAS SMB文件系统到公网有安全风险,任何人拿到公网地址和端口都可以进行访问。
推荐使用VPN或者专线方案将连接保护起来。VPN + SSL的方案可以参考MacOS客户端连接阿里云NAS SMB文件系统,以及通过VPN网关实现本地数据中心访问阿里云NAS

四、引用

1. 通过NAT网关实现本地数据中心访问阿里云NAS

2. 将阿里云SMB协议文件系统挂载点接入AD域

3. Apple Mac OS X connect to SMB share

4. MacOS客户端连接阿里云NAS SMB文件系统

5. 通过VPN网关实现本地数据中心访问阿里云NAS

目录
相关文章
|
6月前
|
弹性计算 Linux 文件存储
如何通过ECS挂载NAS文件系统
本实验提供CentOS系统ECS一台和NAS文件服务,带您体验如何通过ECS挂载NAS文件系统。
319 0
|
文件存储 Windows
阿里云文件系统NAS SMB如何修改根目录权限
阿里云文件系统服务SMB文件系统(NAS SMB)在没有打开SMB ACL功能时,只支持只读操作,无法修改根目录权限。 在参考《将阿里云SMB协议文件系统挂载点接入AD域》https://help.aliyun.com/document_detail/154930.html,打开SMB ACL功能之后,用户即可修改根目录权限。
686 0
阿里云文件系统NAS SMB如何修改根目录权限
|
弹性计算 文件存储
云速搭部署NAS文件系统
本篇最佳实践通过云速搭构建一个NAS,并将NAS文件系统挂载到ECS的目录上。
云速搭部署NAS文件系统
|
存储 弹性计算 Linux
企业级客户使用阿里云文件存储NAS SMB配置Home Directory服务指南
阿里云文件存储服务提供SMB/NFS/CIFS等多种文件存储协议,单文件系统可以存储海量数据,方便企业级客户在多个用户之间进行文件共享和协同合作。其中SMB协议是微软生态默认的文件共享协议,经过几十年的长期积累,具备广大的用户群,能够支持Windows、MacOS、Linux等多种客户端。阿里云NAS SMB文件存储通过支持AD域服务,可以对一个企业不同部门的不同员工创建不同的用户身份,结合ACL权限控制功能,达到企业有序可控地共享整个文件系统。
563 0
企业级客户使用阿里云文件存储NAS SMB配置Home Directory服务指南
|
网络协议 Linux 文件存储
NAS SMB ACL自动配置自动检查脚本
NAS SMB ACL的系列文章详细叙述了如何安装并启用AD域服务与DNS服务,将阿里云SMB协议文件系统挂载点接入AD域,将Windows客户端加入AD域,Windows客户端以AD域用户身份挂载并使用阿里云SMB协议文件系统。 即便我们提供了多篇文章尽力描述清楚整个NAS SMB ACL的配置步骤,但是复杂的流程仍然给用户造成了困扰。为了让配置更加简单,我们开发了NAS SMB ACL自动配置和自动检查脚本,将复杂的步骤尽量压缩在数个Powershell命令中。 注意:该Powershell每次运行一条修改命令,会弹出确认框,需要手动确认要执行的命令。
382 0
|
弹性计算 文件存储 Windows
以SYSTEM身份挂载文件卷支持Windows服务访问NAS SMB文件卷
SYSTEM身份挂载文件卷可以解决IIS日志写入、SQLServer使用文件卷的问题,还可以解决类似的Windows服务访问NAS SMB的问题。只有以SYSTEM身份挂载文件卷后,Windows Service才能够正常访问NAS SMB。
4259 0
以SYSTEM身份挂载文件卷支持Windows服务访问NAS SMB文件卷
|
存储 弹性计算 网络协议
NAS支持IPv6访问的使用指南
阿里云文件存储(Network Attached Storage,简称 NAS) 提供VPC内的Ipv4和Ipv6的双栈访问,助力企业平滑升级到Ipv6架构。
8392 0
|
存储 弹性计算 Kubernetes
阿里云ACK服务使用Windows容器挂载NAS SMB最佳实践
前一篇容器文章《Windows容器使用阿里云NAS SMB文件系统做持久化存储目录》介绍了在Windows Docker容器中如何连接阿里云NAS SMB文件卷。本文则着重介绍如何使用K8S配置让阿里云ACK服务的Windows容器使用NAS SMB卷。 我们使用IIS应用作为演示应用,让IIS搭建的网站能够显示出NAS SMB卷的test目录下存储的index.html的内容。 用户可以举一反三,将自己的应用搭建在阿里云ACK上并使用NAS SMB卷。
3949 0
阿里云ACK服务使用Windows容器挂载NAS SMB最佳实践
|
存储 弹性计算 文件存储
Windows容器使用阿里云NAS SMB文件系统做持久化存储目录
随着Windows容器逐渐普及和发展,Windows容器持久化存储以及容器间共享的需求越来越高涨。 本文介绍如何让Windows主机正确配置NAS SMB文件系统,支持Windows容器让Docker镜像使用挂载NAS SMB文件系统的子目录作为持久化存储目录。
5959 0
Windows容器使用阿里云NAS SMB文件系统做持久化存储目录
|
8月前
|
存储 运维 监控
阿里云的文件存储NAS使用心得
阿里云的文件存储NAS使用心得
227 0

相关产品

  • 文件存储NAS