本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 VPC 資源端點將 VPC 資源連接至您的 SMF
<a name="smf-vpc"></a>

透過適用於 Deadline Cloud 服務受管機群 (SMF) 的 Amazon VPC 資源端點，您可以將網路檔案系統 (NFS)、授權伺服器和資料庫等 VPC 資源與您的 Deadline Cloud 工作者連線。此功能可讓您利用 Deadline Cloud 的全受管平台，同時與 VPC 中的現有基礎設施整合。

![顯示截止日期雲端 SMF 如何與 VPC Lattice 連線的圖表。](http://docs.aws.amazon.com/zh_tw/deadline-cloud/latest/developerguide/images/vpc-resource-endpoints.png)


**提示**  
如需設定 Amazon FSx 叢集並將其連接到服務受管機群的參考 CloudFormation 範本，請參閱 GitHub 上截止日期雲端範例儲存庫中的 [ smf\_vpc\_fsx](https://github.com/aws-deadline/deadline-cloud-samples/tree/mainline/cloudformation/farm_templates/smf_vpc_fsx)。

## VPC 資源端點的運作方式
<a name="smf-vpc-resources-how-it-works"></a>

VPC 資源端點使用 VPC Lattice 在您的最終雲端 SMF 工作者與 VPC 中的資源之間建立安全連線。連線是單向的，這表示工作者可以建立與 VPC 資源的連線，並來回傳輸資料，但 VPC 中的資源無法與工作者建立連線。

當您將 VPC 資源連線至截止日期雲端服務受管機群時，工作者可以使用私有網域名稱存取 VPC 中的資源。此外，流量會透過 VPC Lattice 從工作者流向 VPC 資源，而 VPC 中的資源也會看到來自 VPC Lattice 資源閘道的流量。

若要進一步了解，請參閱 [VPC Lattice 使用者指南](https://docs.aws.amazon.com/vpc-lattice/latest/ug/what-is-vpc-lattice.html)。

## 先決條件
<a name="smf-vpc-resources-prerequisites"></a>

將 VPC 資源連線至截止日期雲端服務受管機群之前，請確定您有下列項目：
+ 具有 VPC AWS 的帳戶，其中包含您要連線的資源。
+ 建立和管理 VPC Lattice 資源的 IAM 許可。
+ 具有至少一個服務受管機群的截止日期雲端陣列。
+ 您想要讓 存取的 VPC 資源 (FSx、NFS、授權伺服器等）。

## 設定 VPC 資源端點
<a name="smf-vpc-resources-setup"></a>

若要設定 VPC 資源端點，您需要在 [VPC Lattice](https://console.aws.amazon.com/vpc/) 和 中建立資源[AWS RAM](https://console.aws.amazon.com/ram/)，然後將這些資源連接到截止日期雲端中的機群。若要為您的 SMF 設定 VPC 資源端點，請完成下列步驟。

1. 若要在 VPC Lattice 中建立資源閘道，請參閱 VPC Lattice 使用者指南中的[建立資源閘道](https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-resource-gateway.html)。

1. 若要在 VPC Lattice 中建立資源組態，請參閱 VPC Lattice 使用者指南中的[建立資源組態](https://docs.aws.amazon.com/vpc-lattice/latest/ug/create-resource-configuration.html)。

1. 若要與截止日期雲端機群共用資源，請在其中建立資源共用 AWS RAM。如需說明[，請參閱建立資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。

   建立資源共享時，針對**委託人**，從下拉式清單中選取**服務委託**人，然後輸入 **fleets.deadline.amazonaws.com**。

1. 若要將資源組態與您的截止日期雲端機群連線，請完成下列步驟。

   1. 如果您還沒有，請開啟[截止日期雲端主控台](https://console.aws.amazon.com/deadlinecloud/)。

   1. 在導覽窗格中，選擇**陣列**，然後選取您的陣列。

   1. 選擇**機群**索引標籤，然後選取您的機群。

   1. 選擇 **Configuration** (組態) 標籤。

   1. 在 **VPC 資源端點**下，選擇**編輯**。

   1. 選取您建立的資源組態，然後選擇**儲存變更**。

## 存取您的 VPC 資源
<a name="smf-vpc-resources-accessing"></a>

將您的 VPC 資源連線至機群後，工作者可以使用以下格式的私有網域名稱來存取它： `<resource_config_id>.resource-endpoints.deadline.<region>.amazonaws.com`

此網域是私有的，只有工作者才能存取 （而不是從網際網路或工作站存取）。

若要在工作者上掛載或設定對 VPC 資源的存取，請使用[主機組態指令碼](smf-admin.md)。主機組態指令碼會在工作者開始時以管理員權限執行，可讓您掛載檔案系統、設定網路設定，或執行其他設定任務。

## 身分驗證和安全性
<a name="smf-vpc-resources-security"></a>

對於需要身分驗證的資源，請將登入資料安全地存放在 AWS Secrets Manager 中，從您的[主機組態指令碼](smf-admin.md)或任務指令碼存取秘密，並實作適當的檔案系統許可來控制存取。在多個機群之間共用資源時，請考慮安全問題。例如，如果兩個機群連接到相同的共用儲存體，在一個機群上執行的任務可能可以存取從另一個機群建立的資產。

## 技術考量事項
<a name="smf-vpc-resources-technical-considerations"></a>

使用 VPC 資源端點時，請考慮下列事項：
+ 連線只能從工作者啟動至 VPC 資源，不能從 VPC 資源啟動至工作者。
+ 建立後，即使資源組態中斷連線，連線仍會持續存在，直到重設為止。
+ VPC Lattice 連線會自動處理可用區域之間的連線，無需額外費用。您的資源閘道必須與 VPC 資源共用可用區域，因此我們建議您設定資源閘道以跨所有可用區域。
+ 經過 VPC 資源端點的流量使用網路位址轉譯 (NAT)，這與所有使用案例不相容。例如，Microsoft Active Directory (AD) 無法透過 NAT 連線。

如需 VPC Lattice 配額的詳細資訊，請參閱 [ VPC Lattice 的配額](https://docs.aws.amazon.com/vpc-lattice/latest/ug/quotas.html)。

## 疑難排解
<a name="smf-vpc-resources-troubleshooting"></a>

如果您遇到 VPC 資源端點的問題，請檢查下列項目。
+ 如果您收到錯誤訊息，例如「mount.nfs：掛載時伺服器拒絕存取」，您可能需要更新 NFS 磁碟區的用戶端組態。
+ 從 Amazon EC2 執行個體或在 VPC AWS CloudShell 中進行測試，以驗證您的資源組態設定。
+ 使用簡單的 CLI 任務測試您的截止日期雲端連線。如需詳細資訊，請參閱 [ GitHub 上的截止日期雲端範例](https://github.com/aws-deadline/deadline-cloud-samples)。
+ 如果您遇到連線失敗，請檢查資源閘道安全群組上的設定。
+ 啟用 VPC 存取日誌以監控連線。