本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 VPC 资源终端节点将 VPC 资源连接到您的 SMF
<a name="smf-vpc"></a>

使用适用于 Deadline Cloud 服务托管舰队 (SMF) 的 Amazon VPC 资源终端节点，您可以将 VPC 资源（例如网络文件系统 (NFS)、许可证服务器和数据库）与 Deadline Cloud 工作人员连接起来。此功能允许您利用 Deadline Cloud 的完全托管平台，同时与 VPC 内的现有基础设施集成。

![该图显示了 Deadline Cloud SMF 如何与 VPC Lattice 连接。](http://docs.aws.amazon.com/zh_cn/deadline-cloud/latest/developerguide/images/vpc-resource-endpoints.png)


**提示**  
有关设置亚马逊 FSx 集群并将其连接到服务托管队列的参考 CloudFormation 模板，请参阅上的 Deadline Cloud 示例存储库中的 s [mf\_vpc\_fsx](https://github.com/aws-deadline/deadline-cloud-samples/tree/mainline/cloudformation/farm_templates/smf_vpc_fsx)。 GitHub

## VPC 资源终端节点的工作原理
<a name="smf-vpc-resources-how-it-works"></a>

VPC 资源终端节点使用 VPC Lattice 在您的 Deadline Cloud SMF 工作线程和 VPC 中的资源之间创建安全连接。连接是单向的，这意味着工作人员可以与您的 VPC 中的资源建立连接并来回传输数据，但是您的 VPC 中的资源无法与工作人员建立连接。

当您将一个 VPC 资源连接到 Deadline Cloud 服务管理的队列时，您的工作人员可以使用私有域名访问您的 VPC 中的资源。此外，流量通过VPC Lattice从工作人员流向您的VPC资源，而您的VPC中的资源则看到来自VPC莱迪思资源网关的流量。

要了解更多信息，请参阅 [VPC Lattice用户指南](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html)。

## 先决条件
<a name="smf-vpc-resources-prerequisites"></a>

在将 VPC 资源连接到 Deadline Cloud 服务管理的队列之前，请确保您具备以下条件：
+ 一个拥有包含您要连接的资源的 VPC 的 AWS 账户。
+ 创建和管理 VPC 莱迪思资源的 IAM 权限。
+ 具有至少一个服务托管队列的 Deadline 云场。
+ 您想要访问的 VPC 资源（FSxNFS、许可证服务器等）。

## 设置 VPC 资源终端节点
<a name="smf-vpc-resources-setup"></a>

要设置 VPC 资源终端节点，您需要在 VP [C Lattice](https://console.aws.amazon.com/vpc/) 中创建资源 [AWS RAM](https://console.aws.amazon.com/ram/)，然后在 Deadline Cloud 中将这些资源连接到您的队列。要为您的 SMF 设置 VPC 资源终端节点，请完成以下步骤。

1. 要在 VPC Lattice 中[创建资源网关，请参阅 VPC 莱迪思用户指南中的创建资源网关](https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-resource-gateway.html)。

1. 要在 VPC Lattice 中[创建资源配置](https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-resource-configuration.html)，请参阅 VPC 莱迪思用户指南中的创建资源配置。

1. 要与您的 Deadline Cloud 队列共享资源，请在中创建资源共享 AWS RAM。有关说明[，请参阅创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。

   在创建资源共享时，对于**委托人**，请从下拉列表中选择**服务主体**，然后输入**fleets.deadline.amazonaws.com**。

1. 要将资源配置与您的 Deadline Cloud 队列连接起来，请完成以下步骤。

   1. 如果您还没有，请打开 De [adline Cloud 控制台](https://console.aws.amazon.com/deadlinecloud/)。

   1. 在导航窗格中，选择**农场**，然后选择您的农场。

   1. 选择 “**舰队**” 选项卡，然后选择您的舰队。

   1. 选择**配置**选项卡。

   1. 在 **VPC 资源终端节点**下，选择**编辑**。

   1. 选择您创建的资源配置，然后选择**保存更改**。

## 访问您的 VPC 资源
<a name="smf-vpc-resources-accessing"></a>

将您的 VPC 资源连接到队列后，工作人员可以使用以下格式的私有域名对其进行访问：`<resource_config_id>.resource-endpoints.deadline.<region>.amazonaws.com`

该域名是私有的，只有工作人员才能访问（不能通过互联网或您的工作站）。

要在您的工作人员上安装或配置对 VPC 资源的访问权限，请使用[主机配置脚本](smf-admin.md)。当工作人员启动时，主机配置脚本以管理员权限运行，允许您装载文件系统、配置网络设置或执行其他设置任务。

## 身份验证和安全
<a name="smf-vpc-resources-security"></a>

对于需要身份验证的资源，请将凭据安全地存储在 S AWS ecrets Manager 中，访问[主机配置脚本](smf-admin.md)或作业脚本中的密钥，并实施适当的文件系统权限来控制访问权限。在多个舰队之间共享资源时，请考虑安全影响。例如，如果两个队列连接到同一个共享存储，则在一个队列上运行的作业可能能够访问从另一个队列创建的资产。

## 技术注意事项
<a name="smf-vpc-resources-technical-considerations"></a>

使用 VPC 资源终端节点时，请考虑以下几点：
+ 只能启动从工作人员到 VPC 资源的连接，不能从 VPC 资源启动到工作线程的连接。
+ 建立连接后，即使资源配置已断开连接，连接也会一直持续到重置为止。
+ VPC Lattice 连接可自动处理可用区之间的连接，无需支付额外费用。您的资源网关必须与您的 VPC 资源共享一个可用区，因此我们建议将资源网关配置为跨越所有可用区。
+ 通过 VPC 资源终端节点的流量使用网络地址转换 (NAT)，这并不与所有用例兼容。例如，微软 Active Directory (AD) 无法通过 NAT 进行连接。

有关 VPC 莱迪思配额的更多信息，请参阅 [VPC 莱迪思配额](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html)。

## 问题排查
<a name="smf-vpc-resources-troubleshooting"></a>

如果您遇到与 VPC 资源终端节点有关的问题，请检查以下内容。
+ 如果您收到诸如 “mount.nfs：装载时服务器拒绝访问” 之类的错误消息，则可能需要更新 NFS 卷的客户端配置。
+ 通过在 Amazon EC2 实例或 VPC AWS CloudShell 中进行测试来验证您的资源配置设置。
+ 使用简单的 CLI 作业测试你的 Deadline Cloud 连接。有关更多信息，请参阅[上的 Deadline Cloud 示例 GitHub](https://github.com/aws-deadline/deadline-cloud-samples)。
+ 如果您遇到连接故障，请检查资源网关安全组的设置。
+ 启用 VPC 访问日志以监控连接。