华为云用户手册

监控指标 表1 SFS容量型（已售罄）支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） read_bandwidth 读带宽 该指标用于统计文件系统在周期内的读数据量。 单位：字节/秒 ≥ 0 bytes/s 文件共享 4分钟 write_bandwidth 写带宽 该指标用于统计文件系统在周期内的写数据量 单位：字节/秒 ≥ 0 bytes/s 文件共享 4分钟 rw_bandwidth 读写带宽 该指标用于统计文件系统在周期内的读写数据量。 单位：字节/秒 ≥ 0 bytes/s 文件共享 4分钟 read_ops 读OPS 该指标用于统计文件系统在周期内的读次数。 单位：次/秒 ≥ 0 counts/s 文件共享 4分钟 write_ops 写OPS 该指标用于统计文件系统在周期内的写次数。 单位：次/秒 ≥ 0 counts/s 文件共享 4分钟 rw_ops 读写OPS 该指标用于统计文件系统在周期内的读写次数。 单位：次/秒 ≥ 0 counts/s 文件共享 4分钟 used_capicity 已用容量 该指标用于统计文件系统在周期内的已用容量。 单位：字节 ≥ 0 bytes 文件共享 4分钟 表2 通用文件系统支持的监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） read_bandwidth 读带宽 该指标用于统计文件系统在周期内的读数据量。 单位：字节/秒 ≥ 0 bytes/s 文件共享 4分钟 write_bandwidth 写带宽 该指标用于统计文件系统在周期内的写数据量 单位：字节/秒 ≥ 0 bytes/s 文件共享 4分钟 read_tps 读TPS 该指标用于统计文件系统在周期内的读次数。 单位：次/秒 ≥ 0 counts/s 文件共享 4分钟 write_tps 写TPS 该指标用于统计文件系统在周期内的写次数。 单位：次/秒 ≥ 0 counts/s 文件共享 4分钟 通用文件系统暂不支持used_capicity容量监控。

背景说明 用户可以将本地NAS存储中的数据，通过云专线迁移至云上SFS Turbo文件系统中，进行云上业务拓展。 此方案通过在云上创建一台Linux操作系统的云服务器，来连接本地NAS存储以及云上SFS Turbo文件系统的通信，并通过这台服务器将本地NAS存储中的数据迁移至云上。 将云上NAS存储数据迁移至SFS Turbo文件系统中也可以参考本方案，具体说明请参考云上NAS数据迁移至弹性文件服务。

操作步骤 登录弹性云服务器管理控制台。 登录已创建好的Linux系统云服务器，用于同时访问本地NAS存储和云上SFS Turbo文件系统。 输入以下挂载命令，用于访问本地NAS存储。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock 本地NAS挂载地址 /mnt/src 输入以下挂载命令，用于访问云上文件系统。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock 文件系统挂载地址 /mnt/dst 在Linux云服务器中执行以下命令安装rclone工具。 wget https://downloads.rclone.org/v1.53.4/rclone-v1.53.4-linux-amd64.zip --no-check-certificate unzip rclone-v1.53.4-linux-amd64.zip chmod 0755 ./rclone-*/rclone cp ./rclone-*/rclone /usr/bin/ rm -rf ./rclone-* 执行以下命令，进行数据同步。 rclone copy /mnt/src /mnt/dst -P --transfers 32 --checkers 64 --links --create-empty-src-dirs 参数说明如下，transfers和checkers数目可以根据系统规格自行配置： --transfers：传输文件的并发数目。 --checkers：扫描本地文件的并发数目。 -P：数据拷贝进度。 --links：复制源端的软链接，目的端保持为软链接的形式。 --copy-links：复制源端软链接指向的文件内容，目的端变成文件的形式，不再是软链接。 --create-empty-src-dirs：复制源端的空目录到目的端。 等待数据完成同步后，可前往目标文件系统查看是否已成功迁移。

操作步骤 执行如下命令，在本地路径下创建文件系统的子目录。 mkdir 本地路径/子目录 本地路径：云服务器上用于挂载文件系统的本地路径，例如“/local_path”。与挂载根目录时的本地路径保持一致。 执行如下命令，将文件系统子目录挂载到与文件系统所属VPC相同的云服务器上。文件系统目前仅支持NFSv3协议挂载到Linux云服务器。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock 文件系统域名或IP:/子目录 本地路径 文件系统域名或IP：可以从文件系统列表或详情中获取。 SFS容量型：example.com:/share-xxx/子目录 通用文件系统：example.com:/share-xxx/子目录 SFS Turbo：xx.xx.xx.xx:/子目录 子目录：上一步骤创建的子目录 本地路径：云服务器上用于挂载文件系统的本地路径，例如“/local_path”。与挂载根目录时的本地路径保持一致。 挂载完成后，执行如下命令，查看已挂载的文件系统。 mount -l 如果回显包含如下类似信息，说明挂载成功。 挂载地址 on /local_path type nfs (rw,vers=3,timeo=600,nolock,addr=) 挂载成功后，用户可以在云服务器上访问文件系统的子目录，执行读取或写入操作。

配置参考 登录弹性文件服务管理控制台。 在左侧导航栏，选择“SFS容量型”。在页面右上角单击“创建文件系统”。 在创建文件系统页面，根据界面提示配置参数。 配置完成后，单击“立即创建”，完成文件系统创建。 Linux系统E CS 挂载操作请参见挂载NFS文件系统到云服务器（Linux）；Windows系统ECS挂载操作请参见挂载NFS文件系统到云服务器（Windows）和挂载CIFS文件系统到云服务器（Windows）。 配置日志目录为共享文件系统（建议每个主机使用不同的日志文件）。 启动应用程序。

配置参考 登录弹性文件服务管理控制台。 在左侧导航栏，选择“SFS容量型”。在页面右上角单击“创建文件系统”。 在创建文件系统页面，根据界面提示配置参数。 配置完成后，单击“立即创建”，完成文件系统创建。 Linux系统ECS挂载操作请参见挂载NFS文件系统到云服务器（Linux）；Windows系统ECS挂载操作请参见挂载NFS文件系统到云服务器（Windows）和挂载CIFS文件系统到云服务器（Windows）。 登录头节点，将需要上传的基因测序文件上传到挂载的文件系统。 启动基因测序任务，计算节点从挂载的文件系统中获取基因测序文件进行计算。

场景介绍 高性能计算通常指以计算为目的，使用了很多处理器的单个计算机系统或者使用了多台计算机集群的计算机系统和环境。能够执行一般个人电脑无法处理的大资料量与高性能的运算。高性能计算具有超高浮点计算能力，可用于解决计算密集型、海量数据处理等业务的计算需求，如应用于工业设计CAD/CAE，生物科学，能源勘探，图片渲染和异构计算等涉及高性能计算集群来解决大型计算问题的领域。根据其业务特性对共享的文件系统有如下要求：

SFS自定义策略样例 示例1：授权用户创建文件系统。 { "Version": "1.1", "Statement": [ { "Action": [ "sfs:shares:createShare" ], "Effect": "Allow" } ] } 示例2：拒绝用户删除文件系统 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予SFS FullAccess的系统策略，但不希望用户拥有SFS FullAccess中定义的删除文件系统权限，您可以创建一条拒绝删除文件系统的自定义策略，然后同时将SFS FullAccess和拒绝策略授予用户，根据Deny优先原则，则用户可以对SFS执行除了删除文件系统外的所有操作。拒绝策略示例如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "sfs:shares:deleteShare" ] } ] } 示例3：多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务或都是全局级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "sfs:shares:createShare", "sfs:shares:deleteShare", "sfs:shares:updateShare" ] }, { "Effect": "Allow", "Action": [ "ecs:servers:delete" ] } ] }

操作步骤 登录弹性云服务器管理控制台。 登录已创建好的Linux系统云服务器，用于同时访问SFS容量型文件系统和SFS Turbo文件系统。 输入以下挂载命令，用于访问文件系统1。文件系统1可以是SFS容量型文件系统或SFS Turbo文件系统。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock 文件系统1挂载地址 /mnt/src 输入以下挂载命令，用于访问文件系统2。文件系统2可以是SFS容量型文件系统或SFS Turbo文件系统。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock 文件系统2挂载地址 /mnt/dst 在Linux云服务器中执行以下命令安装rclone工具。 wget https://downloads.rclone.org/v1.53.4/rclone-v1.53.4-linux-amd64.zip --no-check-certificate unzip rclone-v1.53.4-linux-amd64.zip chmod 0755 ./rclone-*/rclone cp ./rclone-*/rclone /usr/bin/ rm -rf ./rclone-* 执行以下命令，进行数据同步。 rclone copy /mnt/src /mnt/dst -P --transfers 32 --checkers 64 --links --create-empty-src-dirs 参数说明如下，transfers和checkers数目可以根据系统规格自行配置： /mnt/src ：源路径 /mnt/dst：目标路径 --transfers：传输文件的并发数目。 --checkers：扫描本地文件的并发数目。 -P：数据拷贝进度。 --links：复制源端的软链接，目的端保持为软链接的形式。 --copy-links：复制源端软链接指向的文件内容，目的端变成文件的形式，不再是软链接。 --create-empty-src-dirs：复制源端的空目录到目的端。 等待数据完成同步后，可前往目标文件系统查看是否已成功迁移。

创建备份操作步骤 请确认目标文件系统为“可用”状态，否则无法启动备份任务。此步骤介绍如何手动创建文件系统备份。 如果在执行备份时对文件系统进行了修改，则可能会出现不一致，例如重复、偏差或排除的数据。这些修改包括写入、重命名、移动或删除等操作。为确保一致的备份，我们建议您在备份过程中暂停修改文件系统的应用程序或进程。或者，将备份安排在不修改文件系统期间。 登录云备份管理控制台。 在左侧导航栏选择“SFS Turbo备份”。 参考《云备份用户指南》的“购买文件服务备份存储库”章节，完成创建备份存储库的操作，再根据创建文件系统备份完成创建备份操作。 系统会自动进行文件系统的备份。 您可以在备份页面，查看备份创建状态。当文件系统备份的“备份状态”变为“可用”时，表示备份创建成功。 当文件系统发生错误等故障时，可以使用备份创建新的文件系统，具体请参考使用备份创建新文件系统。

约束与限制 SFS容量型文件系统支持在线容量调整，容量调整时对业务无任何影响。并且扩容时文件系统必须处于运行中状态。 SFS Turbo文件系统支持在线扩容，扩容过程中挂载文件系统可能失败，正在挂载使用的连接会感知30秒左右的IO延迟（最长可能为3分钟），建议业务低峰期扩容。注意扩容时文件系统必须处于运行中状态。 暂无法直接对SFS Turbo文件系统进行缩容操作，可以通过购买小容量的新文件系统再将原文件系统数据进行手动迁移，实现“缩容”。 通用文件系统无容量限制，不支持容量调整。

示例 某用户创建一个SFS容量型文件系统A，文件系统使用的是VPC-B，网段为10.0.0.0/16。此前该用户拥有一个使用VPC-C网段为192.168.10.0/24的弹性云服务器D，私有IP地址为192.168.10.11。如果该用户需要将文件系统A挂载至弹性云服务器D上进行读写操作，需要将VPC-C添加至文件系统A的VPC列表中，并将弹性云服务器D的私有IP地址或所在的地址段添加至VPC-C的授权地址中，读或写权限设置为读写即可。 该用户同时新购买一个使用VPC-C网段为192.168.10.0/24的弹性云服务器F，私有IP地址为192.168.10.22。如果该用户希望此服务器只有读权限，且读优先级比弹性云服务器D低，需要将私有IP地址加入到VPC-C的授权地址中，读或写权限设置为只读，优先级填入大于弹性云服务器D的0-100的正整数即可。

通用文件系统 登录弹性文件服务管理控制台。 在文件系统列表中单击目标文件系统名称，进入权限列表界面。 如果没有可用的VPC，需要先申请VPC。单击“添加VPC”，弹出“添加VPC”对话框。如图3所示。 可以根据参数说明如表3所示完成添加。 图3 添加VPC 表3 参数说明 参数 说明 VPC 添加的VPC，例如：vpc-30e0。如无VPC，可选择新建VPC。 读或写权限 分为读写权限和只读权限。默认为“读写”。 单击“确定”，完成添加。添加成功的VPC会出现在列表中。 在“终端节点”页面，单击“购买终端节点”。 进入“购买终端节点”页面。 图4 购买终端节点 根据界面提示配置参数。 表4 终端节点配置参数 参数 说明 区域 终端节点所在区域，需要与规划的通用文件系统所在区域保持一致。 目前仅华北-北京四、华东-上海一和华南-广州区域支持通用文件系统。 计费方式 此处选择按需计费，但通用文件系统的 VPC终端节点 不会收取费用。 服务类别 选择“按名称查找服务”。 根据不同的区域，填写不同的服务名称。 华北-北京四：cn-north-4.com.myhuaweicloud.v4.storage.lz13 华南-广州（可用区1）：cn-south-1.com.myhuaweicloud.v4.obsv2 华南-广州（可用区6）：cn-south-1.com.myhuaweicloud.v4.obsv2.storage.lz06 华东-上海一：cn-east-3.com.myhuaweicloud.v4.storage.lz07 填写完成后，单击“验证”： 若显示“已找到服务”，继续后续操作。 若显示“未找到服务”，请检查“区域”是否和终端节点服务所在区域一致或输入的“服务名称”是否正确。如果仍未解决，可以提交工单进行技术咨询。 虚拟私有云 选择配置在通用文件系统权限列表中的 虚拟私有云VPC 。 标签 可选参数。 终端节点的标识，包括键和值。可以为终端节点创建10个标签。 标签的命名规则请参考表5。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 标签的设置说明如表5所示。 表5 标签说明 参数 说明 举例 键 输入标签的键，同一个备份标签的键不能重复。键可以自定义，也可以选择预先在标签服务（TMS）创建好的标签的键。 键命名规则如下： 长度范围为1到36个Unicode字符。 只能包含大写字母、小写字母、数字和特殊字符“-”和“_”以及中文字符。 Key_0001 值 输入标签的值，标签的值可以重复，并且可以为空。 标签值的命名规则如下： 长度范围为0到43个Unicode字符。 只能包含大写字母、小写字母、数字和特殊字符“-”和“_”以及中文字符。 Value_0001 参数配置完成，单击“立即购买”，进行规格确认。 规格确认无误，单击“提交”，任务提交成功。 参数信息配置有误，需要修改，单击“上一步”，修改参数，然后单击“提交”。 返回终端节点列表，如果终端节点状态为“已接受”，表示终端节点已成功连接至终端节点服务。 图5 终端节点创建成功

SFS容量型操作步骤 登录弹性文件服务管理控制台。 在文件系统列表中单击目标文件系统名称，进入权限列表界面。 如果没有可用的VPC，需要先申请VPC。可以为文件系统添加多个VPC，单击“添加VPC”，弹出“添加VPC”对话框。如图1所示。 可以在下拉列表中选中多个VPC。 图1 添加VPC 单击“确定”，完成添加。添加成功的VPC会出现在列表中，添加VPC时会自动添加默认IP地址0.0.0.0/0，默认读写权限为“读写”，默认用户权限为“no_all_squash”，默认用户root权限为“no_root_squash”。 在VPC列表下可以看到所有添加的VPC的信息，参数说明如表1所示。 表1 参数说明 参数 说明 名称 已添加的VPC的名称，例如：vpc-01。 授权IP数量 已经添加的IP地址或IP地址段的个数。 操作 包含“添加”和“删除”操作。“添加”即添加授权的IP地址，包括对授权的IP地址、读/写权限、用户权限、用户root权限及优先级的设置，请参见表2。“删除”即删除该VPC。 单击VPC名称左边的，可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列，单击“添加”，弹出“添加授权地址”的弹窗，如图2所示。可以根据参数说明如表2所示完成添加。 图2 添加授权地址 表2 参数说明 参数 说明 授权地址 只能输入一个IPv4地址/地址段。 输入的IPv4地址/地址段必须合法，且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段，其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时，不能为127以及224~255开头的IP地址或地址段，例如127.0.0.1，224.0.0.1，255.255.255.255，因为以224-239开头的IP地址或地址段是属于D类地址，用于组播；以240-255开头的IP地址或地址段属于E类地址，用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 无法输入多个地址，如：10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。 如果要表示一个地址段，如192.168.1.0-192.168.1.255的地址段应使用掩码形式：192.168.1.0/24，不支持192.168.1.0-255等其他地址段表示形式。掩码位数的取值为0到31的整数，且只有为0.0.0.0/0时掩码位数可取0，其他情况均不合法。 读或写权限 分为读写权限和只读权限。默认为“读写”。 用户权限 设置是否保留共享目录的UID和GID。默认为“no_all_squash”。 all_squash：共享文件的UID（User ID）和GID（Group ID）映射给nobody用户，适合公共目录。 no_all_squash：保留共享文件的UID和GID。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 用户root权限 设置是否允许客户端的root权限。默认为“no_root_squash”。 root_squash：不允许客户端以root用户访问，客户端使用root用户访问时映射为nobody用户。 no_root_squash：允许客户端以root用户访问，root用户具有根目录的完全控制访问权限。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 优先级 优先级只能是0-100的整数。0表示优先级最高，100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限，存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。 例如：用户在执行挂载操作时的IP地址为10.1.1.32，而在已经授权的IP地址/地址段中10.1.1.32（读写）优先级为100和10.1.1.0/24（只读）优先级为50均符合要求，则用户权限会使用优先级为50的10.1.1.0/24（只读）的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32，在无其他授权优先级的情况下，则将会使用优先级为50的10.1.1.0/24（只读）的只读权限。 属于VPC A中的弹性云服务器IP地址可以被成功添加至VPC B的授权IP地址内，但该云服务器无法挂载属于VPC B下的文件系统。弹性云服务器和文件系统所使用的VPC需为同一个。

操作场景 现支持为SFS容量型文件系统配置多个VPC，以使归属于不同VPC的云服务器，只要所属的VPC被添加到文件系统的VPC列表下，或云服务器被添加到了VPC的授权地址中，则实际上归属于不同VPC的云服务器也能共享访问同一个文件系统。 SFS Turbo文件系统支持通过虚拟私有云的VPC对等连接功能，将同区域的两个或多个VPC互连以使这些VPC互通，则实际上不同的VPC便处于同一个网络中，归属于这些VPC下的云服务器也能共享访问同一个文件系统。更多关于VPC对等连接功能信息请参见VPC对等连接。 本章节介绍SFS容量型文件系统/通用文件系统如何实现跨VPC访问。

使用限制 一个文件系统最多可以添加20个可用的VPC，对于添加的VPC所创建的ACL规则总和不能超过400个。添加VPC时会自动添加默认IP地址0.0.0.0/0。 如果已经在VPC控制台删除文件系统绑定的VPC，该VPC在文件系统绑定的VPC列表下可见且授权的IP地址/地址段为“激活”状态，但此时该VPC已无法进行使用，建议将该VPC从列表中删除。 通用文件系统在配置VPC前，需要先完成创建VPC终端节点，建立计算资源与弹性文件服务的通信后，再进行配置。 通用文件系统新配置的VPC，均需要创建对应的VPC终端节点，否则会导致文件系统挂载失败。

使用限制 当前仅20MB/s/TiB、40MB/s/TiB、125MB/s/TiB、250MB/s/TiB、500MB/s/TiB、1000MB/s/TiB规格文件系统支持目录级配额。 只能对空目录设置配额，删除配额。 支持设置配额的最大目录深度为16层，不允许对根目录使用此功能。（注：根目录为第一层目录） 修改目录配额时，配额只能高于或等于已使用配额，不允许子目录配额高于父目录配额。 建议设置配额目录深度不超过3层，否则会出现修改类操作性能下降，性能下降幅度与配额目录深度有关。 不允许跨配额目录创建硬链接、rename操作。 图1 跨配额目录 跨配额目录操作为图1 跨配额目录红线所示，会穿过黑色虚线。 配额目录： D1，D2_0。 目录深度：根目录/往下到当前目录的层数，例如，目录/D1/D2_0/D3_1深度为4。 配额目录深度：当前目录不断往上找，穿过黑色矩形虚线的层数。例如，目录/D1/D2_0/D3_1配额目录深度为2。 红线与绿线：mv或者link操作，绿色表示允许操作，红色表示不允许操作。 虚线矩形：配额目录区域。

操作场景 SFS容量型文件系统除了支持多VPC访问，还支持跨账号跨VPC访问。 只要将其他账号使用的VPC的VPC ID添加到SFS容量型文件系统的权限列表下，且云服务器IP地址或地址段被添加至授权地址中，则实际上不同账号间的云服务器也能共享访问同一个文件系统。 更多关于VPC的信息请参见虚拟私有云 VPC。 SFS Turbo文件系统基于VPC的对等连接功能，实现跨账号访问。更多关于VPC对等连接功能信息和实现方法请参见VPC对等连接。 本章节介绍SFS容量型文件系统如何实现跨账号跨VPC访问。SFS容量型文件系统目前仅北京四支持跨账号访问功能。

SFS容量型操作步骤 登录弹性文件服务管理控制台。 在文件系统列表中单击目标文件系统名称，进入权限列表界面。 可以为文件系统添加多个其他账号使用的VPC，单击“租户授权添加VPC”，弹出“租户授权添加VPC”对话框。如图1所示。 图1 租户授权添加VPC 可以根据参数说明如表1所示完成添加。 表1 参数说明 参数 说明 虚拟私有云 添加VPC的VPC ID。VPC ID可以前往虚拟私有云控制台，查看目标VPC详情获取。 授权地址 只能输入一个IPv4地址/地址段。 输入的IPv4地址/地址段必须合法，且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段，其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时，不能为127以及224~255开头的IP地址或地址段，例如127.0.0.1，224.0.0.1，255.255.255.255，因为以224-239开头的IP地址或地址段是属于D类地址，用于组播；以240-255开头的IP地址或地址段属于E类地址，用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 无法输入多个地址，如：10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。 如果要表示一个地址段，如192.168.1.0-192.168.1.255的地址段应使用掩码形式：192.168.1.0/24，不支持192.168.1.0-255等其他地址段表示形式。掩码位数的取值为0到31的整数，且只有为0.0.0.0/0时掩码位数可取0，其他情况均不合法。 优先级 优先级只能是0-100的整数。0表示优先级最高，100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限，存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。例如：用户在执行挂载操作时的IP地址为10.1.1.32，而在已经授权的IP地址/地址段中10.1.1.32（读写）优先级为100和10.1.1.0/24（只读）优先级为50均符合要求，则用户权限会使用优先级为50的10.1.1.0/24（只读）的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32，在无其他授权优先级的情况下，则将会使用优先级为50的10.1.1.0/24（只读）的只读权限。 读或写权限 分为读/写权限和只读权限。默认为“读/写”。 用户权限 设置是否保留共享目录的UID和GID。默认为“no_all_squash”。 all_squash：共享文件的UID（User ID）和GID（Group ID）映射给nobody用户，适合公共目录。 no_all_squash：保留共享文件的UID和GID。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 用户root权限 设置是否允许客户端的root权限。默认为“no_root_squash”。 root_squash：不允许客户端以root用户访问，客户端使用root用户访问时映射为nobody用户。 no_root_squash：允许客户端以root用户访问，root用户具有根目录的完全控制访问权限。 CIFS类型的文件系统添加授权地址时，不涉及该参数。 单击“确定”，完成添加。添加成功的VPC会出现在列表中。 单击VPC名称左边的，可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列，单击“添加”，弹出“添加授权地址”的弹窗，如图2所示。可以根据参数说明如表1所示完成添加。 图2 增加授权地址

加密挂载教程-Linux 安装stunnel。 stunnel是一个开源网络中继。stunnel会监听本地端口，并将发到其上的流量加密转发到SFS Turbo文件系统，要使用加密传输功能需要先安装stunnel。请执行以下命令进行安装： ubuntu或Debian操作系统安装命令 sudo apt update sudo apt-get install stunnel CentOS，EulerOS或HCE OS操作系统安装命令 sudo yum install stunnel 推荐使用Stunnel版本为5.56或以上。 选取未被占用的端口作为本地监听端口。 如下示例，执行如下命令查看本地已被占用的端口： netstat -anp | grep 127.0.0.1 图1 本地已被占用端口 由于20049已被占用，所以需要在20050到21049之间选择一个未被占用的端口作为本地监听端口。 配置stunnel配置文件。 在/etc/stunnel路径下新建stunnel_[本地监听端口].conf文件，在此文件中写入： client = yes sslVersion = TLSv1.2 [nfs] ciphers = ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256 accept = 127.0.0.1:[本地监听端口] connect = [dns name]:2052 执行如下命令拉起stunnel进程。 stunnel /etc/stunnel/stunnel_[本地监听端口].conf 执行如下挂载命令。 mount -t nfs -o vers=3,nolock,tcp,port=[本地监听端口],mountport=[本地监听端口] 127.0.0.1:/ [挂载点] 加密挂载完成后，在此挂载点上的所有文件操作与非加密场景的文件操作一致。 如果stunnel进程异常退出会导致文件操作卡住，可以利用crontab等linux能力，保证stunnel进程退出后自动拉起。

场景介绍 媒体处理 包括媒体素材的上传、下载、编目、节目转码和数据归档等工作，涉及音视频数据的存储、调用和管理，根据其业务特性对共享的文件系统有如下要求： 媒体素材的视频码率高，文件规模大，要求文件系统容量大且易于扩展。 音视频的采集、编辑、合成等应用要求文件系统无抖动、低时延。 多用户同时进行编辑制作，要求文件系统提供稳定易用的数据共享。 视频渲染、特效加工需要频繁处理小文件，要求文件系统具有较高的数据读写性能。 弹性文件服务是基于文件系统的共享存储服务，具有高速数据共享，动态分级存储，按需平滑扩展，支持在线扩容等特点，能充分满足媒体处理中用户对存储容量，吞吐量，IOPS（每秒读写次数）和各种工作负荷下低时延的需求。 某卫视频道栏目组外拍大量音视频素材，现需要将这组素材编辑处理成为即将播出的节目，节目的编辑处理将由多个编辑工作站协作完成。为实现多个编辑工作站访问到同一素材文件，栏目组选用了弹性文件服务。首先将同一文件系统挂载到栏目组的作为上载工作站和编辑工作站的云服务器上，再将素材文件由上载工作站上传到挂载的文件系统，最终实现多个编辑工作站直接对挂载文件系统中的素材进行编辑。

配置参考 登录弹性文件服务管理控制台。 在左侧导航栏，选择“SFS容量型”。在页面右上角单击“创建文件系统”。 在创建文件系统页面，根据界面提示配置参数。 配置完成后，单击“立即创建”，完成文件系统创建。 Linux系统ECS挂载操作请参见挂载NFS文件系统到云服务器（Linux）；Windows系统ECS挂载操作请参见挂载NFS文件系统到云服务器（Windows）和挂载CIFS文件系统到云服务器（Windows）。 登录上载工作站将需要上传的素材文件上传到挂载的文件系统。 登录编辑工作站，从挂载的文件系统中获取到素材文件进行编辑。

支持审计的详细操作列表 表1 云审计 服务支持的SFS操作列表 操作名称 资源类型 事件名称 创建共享 sfs createShare 修改共享信息 sfs updateShareInfo 删除共享 sfs deleteShare 添加共享访问规则 sfs addShareACL 删除共享访问规则 sfs deleteShareACL 扩容共享 sfs extendShare 缩容共享 sfs shrinkShare 表2 云审计服务支持的SFS Turbo操作列表 操作名称 资源类型 事件名称 创建文件系统 sfs_turbo createShare 删除文件系统 sfs_turbo deleteShare

操作步骤 以root账号登录弹性云服务器。 给非root的普通用户添加root权限。 执行chmod 777 /etc/sudoers命令修改sudoers文件权限为可编辑权限。 使用which命令查看mount和umount命令的路径。 图1 查看命令路径 执行vi /etc/sudoers命令编辑sudoers文件。 在root账号下添加普通用户账号，下图以添加普通用户Mike为例。 图2 添加用户 编辑完成后，单击“Esc”，并输入:wq，保存文件并退出。 执行chmod 440 /etc/sudoers命令恢复sudoers文件权限为只读权限。 切换到普通用户Mike登录弹性云服务器。 执行如下命令挂载文件系统。挂载参数参见表1。 sudo mount -t nfs -o vers=3,timeo=600,noresvport,nolock 挂载地址 本地路径 表1 参数说明 参数 说明 挂载地址 SFS容量型文件系统的格式为：文件系统域名:/路径，例如：example.com:/share-xxx。SFS Turbo文件系统的格式为：文件系统IP:/，例如192.168.0.0:/。 说明： x是数字或字母。 由于挂载地址名称较长，需要拉宽该栏以便完整显示。 本地路径 云服务器上用于挂载文件系统的本地路径，例如“/local_path”。 挂载完成后，执行如下命令，查看已挂载的文件系统。 mount -l 如果回显包含如下类似信息，说明挂载成功。 example.com:/share-xxx on /local_path type nfs (rw,vers=3,timeo=600,nolock,addr=)

创建加密文件系统 当您需要使用文件系统加密功能时，创建SFS容量型文件系统需要授权文件系统访问KMS。如果您拥有“Security Administrator”权限，则可直接授权。如果权限不足，需要联系系统管理员获取安全管理员权限，然后再重新操作，具体使用方法请参见文件系统加密。 若创建SFS Turbo文件系统时，则不需要授权。 可以新创建加密或者不加密的文件系统，无法更改已有文件系统的加密属性。 创建加密文件系统的具体操作请参见创建文件系统。

迁移说明 SFS Turbo默认只能被云上同一个VPC内的ECS/CCE访问，用户可通过云专线/VPN/对等连接等方式打通网络，实现多种访问方式。 云下或其他云访问： 云专线/VPN 云上同区域同一账号不同VPC： VPC对等连接 云上同区域跨账号访问： VPC对等连接 不同区域访问： 云连接 迁移数据分为两种网络条件，通过可访问公网的ECS直接挂载迁移。 通过mount方式挂载访问SFS Turbo，将本地NAS存储中的数据迁移至SFS Turbo。 通过云专线迁移 无法打通网络直接挂载，可以通过公网访问华为云ECS绑定的EIP，也可进行传输迁移。 使用公网迁移 父主题： 数据迁移

低频存储 通用文件系统支持通过配置生命周期管理规则，将设定时间内通用文件系统文件转换为低频存储，从而节约成本。 低频存储具有以下优势： 配置简单，无须编写脚本或手动迁移数据 您只需设置生命周期规则，文件系统会自动将符合生命周期规则的数据转储至低频存储，无须复杂、高风险的数据迁移操作。 成本低 低频存储相比普通文件存储的费用低。 低频存储的计费模型：标准存储每GB费率*存储容量*标准存储使用时长+低频存储每GB费率*存储容量*低频存储使用时长 示例：系统预设的生命周期规则中“转换为低频访问存储天数”为14天，那14天及之前就按标准存储费用计费，14天后按低频存储费用计费。 转换为低频存储的数据可正常访问 数据转储为低频存储后，文件系统的内容和结构保持不变，应用可正常访问这些数据，不需要修改应用或暂停业务。

配置生命周期规则 您可以为某个文件系统或文件系统内的某个目录路径设置生命周期规则，符合生命周期规则的文件将从标准存储转换为低频存储。 一个文件系统下可配置20条生命周期管理规则。 生命周期规则支持复制、启用、禁用、修改和删除操作。请参考以下操作步骤创建生命周期规则。 登录管理控制台，选择“弹性文件服务”。 左侧导航栏选择“通用文件系统”，跳转到通用文件系统控制台。 在文件系统列表中，单击文件系统名称进入文件系统基本信息页面。 在“生命周期管理”页签，单击“创建规则”，系统弹出如图2所示对话框。 图1 生命周期管理 图2 创建生命周期规则 配置生命周期规则。 状态：选中“启用”，启用本条生命周期规则。 规则名称：输入规则名称，仅可包含英文字母大小写、数字、英文句号、下划线、中划线。 目录路径：设置需要进行生命周期管理的目录路径，如果不输入则表示配置到整个文件系统。目录路径不能以“/”开头， 不能两个“/”相邻。 转换为低频访问存储天数：指定文件在最后一次更新后多少天转换为低频访问存储。系统预置了14天，30天，60天，90天四种选择，当指定目录符合预置天数未被访问，文件将会转储至低频存储。 单击“确定”，完成生命周期规则配置。

复制生命周期规则 您可以新建生命周期规则，也可以从其他文件系统复制已有的生命周期规则。请参考以下操作步骤复制生命周期规则。 登录管理控制台，选择“弹性文件服务”。 左侧导航栏选择“通用文件系统”，跳转到通用文件系统控制台。 在文件系统列表中，单击文件系统名称进入文件系统基本信息页面。 在“生命周期管理”页签，单击“更多”下的“复制”，弹出如图3所示对话框。 图3 复制生命周期规则 选择复制源，即生命周期规则所在的源文件系统。 从源文件系统复制生命周期规则的操作为增量复制，不会删除当前文件系统已存在的生命周期规则，与已存在的生命周期规则冲突的规则不会复制。 您可以按需移除不需要复制的生命周期规则。 单击“确定”，将源文件系统的生命周期规则复制到当前文件系统。

设置配额 登录管理控制台，选择“弹性文件服务”。 左侧导航栏选择“通用文件系统”，跳转到通用文件系统控制台。 在文件系统列表页，单击指定文件系统右侧的“配额管理”进入配额管理页面。 在配额管理页面，单击“设置配额”，系统弹出如图2所示对话框。 图1 配额管理页面 图2 设置配额 设置文件系统配额。 容量配额：必填，输入容量配额，必须大于0且不可低于已用容量。单位是GB。 文件数限制：选填，输入文件数限制，必须大于0且不可低于当前文件数。单位是个。 单击“确定”，完成文件系统配额设置。在配额管理页面可以看到配额详情。 图3 配额详情