View a markdown version of this page

对 S3 接入点问题进行故障排除 - FSx 适用于 ONTAP
由于文件系统用户身份查询失败,S3 接入点创建失败由于未装入卷,S3 接入点创建失败。由于 SVM 上已禁用 S3 协议,S3 接入点创建失败文件系统无法处理 S3 请求使用自动创建的服务角色的默认 S3 接入点权限拒绝访问

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 S3 接入点问题进行故障排除

本节介绍从 S3 接入点访问 FSx 数据时遇到问题的症状、原因和解决方案。

由于文件系统用户身份查询失败,S3 接入点创建失败

创建和连接 S3 接入点时,FileSystemIdentity必须提供。您负责在 ONTAP 中配置提供的 UNIX 或 Windows 用户。

如果提供UnixUser了,则 ONTAP 必须能够将 UnixUser 名称映射到 UNIX U GIDs ID/。ONTAP 使用名称服务交换机配置来确定如何执行此映射。

> vserver services name-service ns-switch show
Vserver         Database       Order
--------------- ------------   ---------
svm_1           hosts          files,
                               dns
svm_1           group          files,
                               ldap
svm_1           passwd         files,
                               ldap
svm_1           netgroup       nis,
                               files

请确保您在 UnixUser passwdgroup数据库中有使用有效来源(filesldap、等)的条目。可以使用vserver services name-service unix-uservserver services name-service unix-group命令配置files源。可以使用vserver services name-service ldap命令配置ldap源。

如果提供WindowsUser了,则 ONTAP 必须能够在加入的 Active Directory 域中找到该 WindowsUser 名称。

要确认提供的 UnixUser 或映射 WindowsUser 是否正确,fsxadmin可以使用以下命令(替换为 f -unix-user-name o -win-name r WindowsUsers):

> vserver services access-check authentication show-creds -node FsxId0fd48ff588b9d3eee-01 -vserver svm_name -unix-user-name root -show-partial-unix-creds true

成功输出示例:

 UNIX UID: root

 GID: daemon
 Supplementary GIDs:
  daemon

不成功的输出示例:

Error: Acquire UNIX credentials procedure failed
  [  2 ms] Entry for user-name: unmapped-user not found in the
           current source: FILES. Entry for user-name: unmapped-user
           not found in any of the available sources
**[     3] FAILURE: Unable to retrieve UID for UNIX user
**         unmapped-user

Error: command failed: Failed to resolve user name to a UNIX ID. Reason: "SecD Error: object not found".

不正确的用户映射可能会导致 S3 Access Denied 出现错误。请参阅下面的失败原因示例。

Entry for user-name not found in the current source: LDAP

如果您配置ns-switch为使用ldap源,请确保 ONTAP 已配置为正确使用您的 LDAP 服务器。有关更多信息 NetApp,请参阅配置 LDAP 的技术报告

RESULT_ERROR_DNS_CANT_REACH_SERVERRESULT_ERROR_SECD_IN_DISCOVERY

此错误表示 ONTAP 中虚拟服务器的 DNS 配置存在问题。运行以下命令以确保您的虚拟服务器的 DNS 配置正确:

> dns check -vserver svm_name

NT_STATUS_PENDING

此错误表示与域控制器通信时出现问题。根本原因可能是由于缺乏中小型企业积分。有关更多信息,请参阅 NetApp KB

由于未装入卷,S3 接入点创建失败。

只能 FSx 为已安装的 ONTAP 卷(具有接合路径)连接到 S3 接入点。这也适用于 DP(数据保护)卷类型。有关更多信息,请参阅 ONTAP 卷装载文档

由于 SVM 上已禁用 S3 协议,S3 接入点创建失败

S3 接入点要求在存储虚拟机 (SVM) 上启用 S3 协议。要启用 S3 协议,请使用fsxadmin以下命令在 ONTAP CLI 中运行以下命令:

> vserver add-protocols -vserver svm_name -protocols s3

要验证协议是否已启用,请执行以下操作:

> vserver show -vserver svm_name -fields allowed-protocols,disallowed-protocols

文件系统无法处理 S3 请求

如果特定工作负载的 S3 请求量超过文件系统处理流量的容量,则可能会遇到 S3 请求错误(例如Internal Server Error503 Slow Down、和Service Unavailable)。您可以使用 Amazon CloudWatch 指标(例如和CPU utilization)主动监控文件系统的性能Network throughput utilization并发出警报。如果您发现性能下降,则可以通过增加文件系统的吞吐容量来解决此问题。

使用自动创建的服务角色的默认 S3 接入点权限拒绝访问

某些 S3 集成 AWS 服务将创建自定义服务角色并针对您的特定用例自定义附加权限。将您的 S3 接入点别名指定为 S3 资源时,这些附加的权限可能包括使用存储桶 ARN 格式(例如arn:aws:s3:::my-fsx-ap-foo7detztxouyjpwtu8krroppxytruse1a-ext-s3alias)而不是接入点 ARN 格式(例如)的接入点。arn:aws:s3:us-east-1:1234567890:accesspoint/my-fsx-ap要解决此问题,请修改策略以使用接入点的 ARN。