Bewährte Methoden für die Verwendung von Amazon EFS-Volumes mit Amazon ECS - Amazon Elastic Container Service
Sicherheits- und Zugriffskontrollen für Amazon EFS-VolumesLeistung des Amazon EFS-VolumesAmazon EFS-VolumendurchsatzOptimierung der Kosten für Amazon EFS-VolumesAmazon EFS Volumendatenschutz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Verwendung von Amazon EFS-Volumes mit Amazon ECS

Beachten Sie die folgenden Best-Practice-Empfehlungen, wenn Sie Amazon EFS mit Amazon ECS verwenden.

Sicherheits- und Zugriffskontrollen für Amazon EFS-Volumes

Amazon EFS bietet Funktionen zur Zugriffskontrolle, mit denen Sie sicherstellen können, dass die in einem Amazon EFS-Dateisystem gespeicherten Daten sicher sind und nur für Anwendungen zugänglich sind, die sie benötigen. Sie können Daten schützen, indem Sie die Verschlüsselung im Ruhezustand und bei der Übertragung aktivieren. Weitere Informationen finden Sie unter Datenverschlüsselung in Amazon EFS im Benutzerhandbuch zu Amazon Elastic File System.

Neben der Datenverschlüsselung können Sie Amazon EFS auch verwenden, um den Zugriff auf ein Dateisystem einzuschränken. Es gibt drei Möglichkeiten, die Zugriffskontrolle in EFS zu implementieren.

  • Sicherheitsgruppen — Mit Amazon EFS-Mount-Zielen können Sie eine Sicherheitsgruppe konfigurieren, die verwendet wird, um Netzwerkverkehr zuzulassen und abzulehnen. Sie können die an Amazon EFS angehängte Sicherheitsgruppe so konfigurieren, dass NFS-Verkehr (Port 2049) von der Sicherheitsgruppe zugelassen wird, die Ihren Amazon ECS-Instances zugeordnet ist, oder, wenn Sie den awsvpc Netzwerkmodus verwenden, von der Amazon ECS-Task.

  • IAM — Sie können den Zugriff auf ein Amazon EFS-Dateisystem mithilfe von IAM einschränken. Wenn sie konfiguriert sind, benötigen Amazon ECS-Aufgaben eine IAM-Rolle für den Dateisystemzugriff, um ein EFS-Dateisystem zu mounten. Weitere Informationen finden Sie unter Verwenden von IAM zur Steuerung des Dateisystemdatenzugriffs im Amazon Elastic File System-Benutzerhandbuch.

    IAM-Richtlinien können auch vordefinierte Bedingungen erzwingen, z. B. die Anforderung, dass ein Client TLS verwendet, wenn er eine Verbindung zu einem Amazon EFS-Dateisystem herstellt. Weitere Informationen finden Sie unter Amazon EFS-Bedingungsschlüssel für Clients im Amazon Elastic File System-Benutzerhandbuch.

  • Amazon EFS-Zugriffspunkte — Amazon EFS-Zugriffspunkte sind anwendungsspezifische Einstiegspunkte in ein Amazon EFS-Dateisystem. Sie können Access Points verwenden, um eine Benutzeridentität, einschließlich der POSIX-Gruppen des Benutzers, für alle Dateisystemanfragen, die über den Access Point gestellt werden, durchzusetzen. Zugriffspunkte können auch ein anderes Stammverzeichnis für das Dateisystem erzwingen. Auf diese Weise können Clients nur auf Daten im angegebenen Verzeichnis oder seinen Unterverzeichnissen zugreifen.

IAM-Richtlinien

Sie können IAM-Richtlinien verwenden, um den Zugriff auf das Amazon EFS-Dateisystem zu kontrollieren.

Sie können die folgenden Aktionen für Clients festlegen, die über eine Dateisystemrichtlinie auf ein Dateisystem zugreifen.

Aktion Beschreibung

elasticfilesystem:ClientMount

Ermöglicht den Nur-Lese-Zugriff auf ein Dateisystem.

elasticfilesystem:ClientWrite

Bietet Schreibrechte für ein Dateisystem.

elasticfilesystem:ClientRootAccess

Ermöglicht die Verwendung des Root-Benutzers beim Zugriff auf ein Dateisystem.

Sie müssen jede Aktion in einer Richtlinie angeben. Die Richtlinien können auf folgende Weise definiert werden:

  • Client-basiert — Ordnen Sie die Richtlinie der Aufgabenrolle zu

    Legen Sie die IAM-Autorisierungsoption fest, wenn Sie die Aufgabendefinition erstellen.

  • Ressourcenbasiert — Hängen Sie die Richtlinie an das Amazon EFS-Dateisystem an

    Wenn die ressourcenbasierte Richtlinie nicht existiert, wird bei der Erstellung des Dateisystems standardmäßig allen Prinzipalen (*) Zugriff gewährt.

Wenn Sie die IAM-Autorisierungsoption festlegen, führen wir die der Aufgabenrolle zugeordnete Richtlinie und die ressourcenbasierte Amazon EFS-Richtlinie zusammen. Die IAM-Autorisierungsoption übergibt die Aufgabenidentität (die Aufgabenrolle) mit der Richtlinie an Amazon EFS. Dadurch kann die ressourcenbasierte Amazon EFS-Richtlinie einen Kontext für den in der Richtlinie angegebenen IAM-Benutzer oder die IAM-Rolle haben. Wenn Sie die Option nicht festlegen, identifiziert die Amazon EFS-Richtlinie auf Ressourcenebene den IAM-Benutzer als „anonym“.

Erwägen Sie die Implementierung aller drei Zugriffskontrollen in einem Amazon EFS-Dateisystem, um maximale Sicherheit zu gewährleisten. Sie können beispielsweise die Sicherheitsgruppe, die einem Amazon EFS-Bereitstellungspunkt zugeordnet ist, so konfigurieren, dass nur eingehender NFS-Verkehr von einer Sicherheitsgruppe zugelassen wird, die Ihrer Container-Instance oder Amazon ECS-Aufgabe zugeordnet ist. Darüber hinaus können Sie Amazon EFS so konfigurieren, dass für den Zugriff auf das Dateisystem eine IAM-Rolle erforderlich ist, auch wenn die Verbindung aus einer zugelassenen Sicherheitsgruppe stammt. Schließlich können Sie Amazon EFS-Zugriffspunkte verwenden, um POSIX-Benutzerberechtigungen durchzusetzen und Stammverzeichnisse für Anwendungen anzugeben.

Der folgende Ausschnitt aus der Aufgabendefinition zeigt, wie ein Amazon EFS-Dateisystem mithilfe eines Access Points bereitgestellt wird.

"volumes": [
    {
      "efsVolumeConfiguration": {
        "fileSystemId": "fs-1234",
        "authorizationConfig": {
          "accessPointId": "fsap-1234",
          "iam": "ENABLED"
        },
        "transitEncryption": "ENABLED",
        "rootDirectory": ""
      },
      "name": "my-filesystem"
    }
]

Leistung des Amazon EFS-Volumes

Amazon EFS bietet zwei Leistungsmodi: General Purpose und Max I/O. General Purpose eignet sich für latenzempfindliche Anwendungen wie Content-Management-Systeme und CI/CD tools. In contrast, Max I/O Dateisysteme eignen sich für Workloads wie Datenanalyse, Medienverarbeitung und maschinelles Lernen. Diese Workloads müssen parallel Operationen von Hunderten oder sogar Tausenden von Containern aus ausführen und erfordern den höchstmöglichen Gesamtdurchsatz und die höchstmöglichen IOPS. Weitere Informationen finden Sie unter Amazon EFS-Leistungsmodi im Amazon Elastic File System-Benutzerhandbuch.

Einige latenzempfindliche Workloads erfordern sowohl die höheren I/O-Stufen, die durch den Modus Max I/O Performance bereitgestellt werden, als auch die niedrigere Latenz, die durch den Allzweck-Performance-Modus bereitgestellt wird. Für diese Art von Workload empfehlen wir, mehrere Allzweck-Leistungsmodus-Dateisysteme zu erstellen. Auf diese Weise können Sie die Arbeitslast Ihrer Anwendung auf all diese Dateisysteme verteilen, sofern die Arbeitslast und die Anwendungen sie unterstützen können.

Amazon EFS-Volumendurchsatz

Allen Amazon EFS-Dateisystemen ist ein gemessener Durchsatz zugeordnet, der entweder durch die Menge des bereitgestellten Durchsatzes für Dateisysteme mit bereitgestelltem Durchsatz oder durch die Menge der in der EFS-Speicherklasse Standard oder One Zone gespeicherten Daten für Dateisysteme mit Bursting Throughput bestimmt wird. Weitere Informationen finden Sie unter Understanding Metered Throughput im Amazon Elastic File System-Benutzerhandbuch.

Der Standard-Durchsatzmodus für Amazon EFS-Dateisysteme ist der Bursting-Modus. Im Bursting-Modus wird der Durchsatz, der einem Dateisystem zur Verfügung steht, mit zunehmendem Dateisystem nach oben oder unten skaliert. Da dateibasierte Workloads in der Regel stark ansteigen und für bestimmte Zeiträume einen hohen Durchsatz und für den Rest der Zeit einen niedrigeren Durchsatz erfordern, ist Amazon EFS so konzipiert, dass es schnell geht, um hohe Durchsatzwerte für bestimmte Zeiträume zu ermöglichen. Da viele Workloads leseintensiv sind, werden Lesevorgänge außerdem im Verhältnis 1:3 zu anderen NFS-Vorgängen (wie Schreiben) gemessen.

Alle Amazon EFS-Dateisysteme bieten eine konsistente Basisleistung von 50 MB/s for each TB of Amazon EFS Standard or Amazon EFS One Zone storage. All file systems (regardless of size) can burst to 100 MB/s. File systems with more than 1TB of EFS Standard or EFS One Zone storage can burst to 100 MB/s for each TB. Because read operations are metered at a 1:3 ratio, you can drive up to 300 MiBs/s pro TiB Lesedurchsatz. Wenn Sie Ihrem Dateisystem Daten hinzufügen, wird der maximale Durchsatz, der für das Dateisystem verfügbar ist, linear und automatisch mit Ihrem Speicher in der Amazon EFS-Standardspeicherklasse skaliert. Wenn Sie mehr Durchsatz benötigen, als Sie mit Ihrer gespeicherten Datenmenge erreichen können, können Sie den bereitgestellten Durchsatz auf die spezifische Menge konfigurieren, die Ihre Arbeitslast benötigt.

Der Dateisystemdurchsatz wird von allen EC2 Amazon-Instances gemeinsam genutzt, die mit einem Dateisystem verbunden sind. Zum Beispiel ein Dateisystem mit einer Kapazität von 1 TB, das bis zu 100 MB/s of throughput can drive 100 MB/s from a single Amazon EC2 instance can each drive 10 MB/s TB erreichen kann. Weitere Informationen finden Sie unter Amazon EFS-Leistung im Amazon Elastic File System-Benutzerhandbuch.

Optimierung der Kosten für Amazon EFS-Volumes

Amazon EFS vereinfacht die Speicherskalierung für Sie. Amazon EFS-Dateisysteme wachsen automatisch, wenn Sie mehr Daten hinzufügen. Insbesondere im Amazon EFS Bursting Throughput-Modus skaliert der Durchsatz auf Amazon EFS, wenn die Größe Ihres Dateisystems in der Standardspeicherklasse zunimmt. Um den Durchsatz zu verbessern, ohne zusätzliche Kosten für den bereitgestellten Durchsatz auf einem EFS-Dateisystem zu zahlen, können Sie ein Amazon EFS-Dateisystem mit mehreren Anwendungen gemeinsam nutzen. Mithilfe von Amazon EFS-Zugriffspunkten können Sie die Speicherisolierung in gemeinsam genutzten Amazon EFS-Dateisystemen implementieren. Auf diese Weise können die Anwendungen, obwohl sie immer noch dasselbe Dateisystem verwenden, nicht auf Daten zugreifen, es sei denn, Sie autorisieren sie.

Wenn Ihre Daten wachsen, hilft Ihnen Amazon EFS dabei, Dateien, auf die selten zugegriffen wird, automatisch in eine niedrigere Speicherklasse zu verschieben. Die Amazon EFS-Speicherklasse Standard-Infrequent Access (IA) reduziert die Speicherkosten für Dateien, auf die nicht täglich zugegriffen wird. Dies geschieht, ohne auf die hohe Verfügbarkeit, Haltbarkeit, Elastizität und den POSIX-Dateisystemzugriff zu verzichten, den Amazon EFS bietet. Weitere Informationen finden Sie unter EFS-Speicherklassen im Amazon Elastic File System-Benutzerhandbuch.

Erwägen Sie die Verwendung von Amazon EFS-Lebenszyklusrichtlinien, um automatisch Geld zu sparen, indem Sie selten aufgerufene Dateien in den Amazon EFS IA-Speicher verschieben. Weitere Informationen finden Sie unter Amazon-EFS-Lebenszyklusverwaltung im Benutzerhandbuch zu Amazon Elastic File System.

Bei der Erstellung eines Amazon EFS-Dateisystems können Sie wählen, ob Amazon EFS Ihre Daten über mehrere Availability Zones (Standard) hinweg repliziert oder Ihre Daten redundant in einer einzigen Availability Zone speichert. Die Amazon EFS One Zone-Speicherklasse kann die Speicherkosten im Vergleich zu Amazon EFS Standard-Speicherklassen erheblich senken. Erwägen Sie die Verwendung der Amazon EFS One Zone-Speicherklasse für Workloads, die keine Multi-AZ-Resilienz erfordern. Sie können die Kosten für Amazon EFS One Zone-Speicher weiter senken, indem Sie Dateien, auf die selten zugegriffen wird, nach Amazon EFS One Zone-Infrequent Access verschieben. Weitere Informationen finden Sie unter Amazon EFS Infrequent Access.

Amazon EFS Volumendatenschutz

Amazon EFS speichert Ihre Daten redundant in mehreren Availability Zones für Dateisysteme, die Standardspeicherklassen verwenden. Wenn Sie Amazon EFS One Zone-Speicherklassen auswählen, werden Ihre Daten redundant in einer einzigen Availability Zone gespeichert. Darüber hinaus ist Amazon EFS so konzipiert, dass es über ein bestimmtes Jahr eine Haltbarkeit von 99,999999999% (11 9) bietet.

Wie in jeder Umgebung ist es eine bewährte Methode, ein Backup zu erstellen und Schutzmaßnahmen gegen versehentliches Löschen zu treffen. Für Amazon EFS-Daten umfasst diese bewährte Methode ein funktionierendes, regelmäßig getestetes Backup mit AWS Backup. Dateisysteme, die Amazon EFS One Zone-Speicherklassen verwenden, sind so konfiguriert, dass Dateien bei der Erstellung des Dateisystems standardmäßig automatisch gesichert werden, sofern Sie diese Funktion nicht deaktivieren. Weitere Informationen finden Sie unter Sicherung von EFS-Dateisystemen im Amazon Elastic File System-Benutzerhandbuch.