Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Para transferir datos a o desde su sistema de archivos Amazon EFS, debe crear una ubicación de AWS DataSync transferencia. DataSync puede usar esta ubicación como origen o destino para transferir datos.
Proporcionar DataSync acceso a los sistemas de archivos Amazon EFS
La creación de una ubicación implica entender cómo DataSync puede acceder a su almacenamiento. En el caso de Amazon EFS, DataSync monta el sistema de archivos como usuario raíz desde la nube privada virtual (VPC) mediante interfaces de red.
Contenido
Determinar la subred y los grupos de seguridad para su destino de montaje
Al crear la ubicación, debe especificar la subred y los grupos de seguridad que permiten conectarse DataSync a uno de los destinos de montaje del sistema de archivos Amazon EFS.
La subred que especifique debe estar ubicada:
-
En la misma VPC que el sistema de archivos.
-
En la misma zona de disponibilidad que al menos un destino de montaje del sistema de archivos.
nota
No es necesario especificar una subred que incluya un destino de montaje del sistema de archivos.
Los grupos de seguridad que especifique deben permitir el tráfico entrante en el puerto 2049 de NFS. Para obtener información sobre la creación y actualización de grupos de seguridad para sus objetivos de montaje, consulte la Guía del usuario de Amazon EFS.
- Especificación de grupos de seguridad asociados a un destino de montaje
-
Puede especificar un grupo de seguridad asociado a uno de los destinos de montaje del sistema de archivos. Recomendamos este enfoque desde el punto de vista de la administración de la red.
- Especificación de grupos de seguridad que no estén asociados a un destino de montaje
-
También puede especificar un grupo de seguridad que no esté asociado a uno de los destinos de montaje del sistema de archivos. Sin embargo, este grupo de seguridad debe poder comunicarse con el grupo de seguridad de un destino de montaje.
Por ejemplo, así es como puede crear una relación entre el grupo de seguridad D (para DataSync) y el grupo de seguridad M (para el destino de montaje):
-
El grupo de seguridad D, que se especifica al crear la ubicación, debe tener una regla que permita las conexiones salientes del puerto NFS 2049 al grupo de seguridad M.
-
El grupo de seguridad M (que asocia al destino de montaje) debe permitir el acceso de entrada al puerto de NFS 2049 desde el grupo de seguridad S.
-
Cómo encontrar el grupo de seguridad de un objetivo de montaje
Las siguientes instrucciones pueden ayudarle a identificar el grupo de seguridad de un destino de montaje del sistema de archivos Amazon EFS que desea utilizar DataSync para la transferencia.
-
En el AWS CLI, ejecute el siguiente
describe-mount-targetscomando.aws efs describe-mount-targets \ --regionfile-system-region\ --file-system-idfile-system-idEste comando devuelve información sobre los objetivos de montaje del sistema de archivos (similar al resultado del siguiente ejemplo).
{ "MountTargets": [ { "OwnerId": "111222333444", "MountTargetId": "fsmt-22334a10", "FileSystemId": "fs-123456ab", "SubnetId": "subnet-f12a0e34", "LifeCycleState": "available", "IpAddress": "11.222.0.123", "NetworkInterfaceId": "eni-1234a044" } ] } -
Anote el valor
MountTargetIdque desea usar. -
Ejecute el siguiente comando
describe-mount-target-security-groupsusando elMountTargetIdpara averiguar el grupo de seguridad del destino de montaje.aws efs describe-mount-target-security-groups \ --regionfile-system-region\ --mount-target-idmount-target-id
Debe especificar este grupo de seguridad al crear su ubicación.
Acceso a sistemas de archivos restringidos
DataSync pueden transferirse a o desde los sistemas de archivos de Amazon EFS que restringen el acceso a través de puntos de acceso y políticas de IAM.
nota
Si DataSync accede a un sistema de archivos de destino a través de un punto de acceso que impone la identidad del usuario, el usuario y el grupo POSIX de los datos de origen no se conservan si configura la DataSync tarea IDs para copiar la propiedad. En su lugar, los archivos y carpetas transferidos se configuran para el usuario y el grupo del punto de acceso. IDs Cuando esto ocurre, se produce un error en la verificación de la tarea porque DataSync detecta una discrepancia entre los metadatos de las ubicaciones de origen y destino.
Contenido
Crear un rol de DataSync IAM para el acceso al sistema de archivos
Si tiene un sistema de archivos Amazon EFS que restringe el acceso mediante una política de IAM, puede crear un rol de IAM que otorgue DataSync permiso para leer o escribir datos en el sistema de archivos. En ese caso, puede que necesite especificar esa función en la política de su sistema de archivos.
Para crear el rol de IAM DataSync
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación situado a la izquierda, en Administración de acceso, elija Roles y luego Crear rol.
-
En la página Seleccionar entidad de confianza, en Tipo de entidad de confianza, elija Política de confianza personalizada.
-
Pegue el siguiente JSON en el editor de políticas:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole" }] } -
Elija Next (Siguiente). En la página Agregar permisos, elija Siguiente.
-
Introduzca un nombre de rol y elija Crear rol.
Especifique este rol al crear su ubicación.
Ejemplo de política del sistema de archivos que permite DataSync el acceso
El siguiente ejemplo de política del sistema de archivos muestra cómo el acceso a un sistema de archivos de Amazon EFS (identificado en la política comofs-) está restringido, pero aún permite el acceso a DataSync través de un rol de IAM denominado1234567890abcdef0MyDataSyncRole
{
"Version": "2012-10-17",
"Id": "ExampleEFSFileSystemPolicy",
"Statement": [{
"Sid": "AccessEFSFileSystem",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0",
"Condition": {
"Bool": {
"aws:SecureTransport": "true"
},
"StringEquals": {
"elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890"
}
}
}]
}-
Principal— Especifica un rol de IAM que da DataSync permiso para acceder al sistema de archivos. -
Action— Otorga acceso DataSync root y le permite leer y escribir en el sistema de archivos. -
aws:SecureTransport: requiere que los clientes de NFS utilicen TLS al conectarse al sistema de archivos. -
elasticfilesystem:AccessPointArn: permite el acceso al sistema de archivos solo a través de un punto de acceso específico.
Consideraciones de red con las transferencias de Amazon EFS
VPCs con los que utilices DataSync debe tener el arrendamiento predeterminado. VPCs con un arrendamiento dedicado no son compatibles.
Consideraciones de rendimiento con las transferencias de Amazon EFS
El modo de rendimiento del sistema de archivos de Amazon EFS puede afectar a la duración de la transferencia y al rendimiento del sistema de archivos durante la transferencia. Considere lo siguiente:
-
Para obtener los mejores resultados, se recomienda usar el modo de rendimiento de Elastic. Si no utilizas el modo de rendimiento elástico, es posible que la transferencia tarde más.
-
Si utiliza el modo de rendimiento por ráfagas, es posible que el rendimiento de las aplicaciones del sistema de archivos se vea afectado, ya que DataSync consume los créditos de ráfaga del sistema de archivos.
-
La forma en que se configura DataSync para comprobar los datos transferidos puede afectar al rendimiento del sistema de archivos y a los costes de acceso a los datos.
Para obtener más información, consulte Rendimiento de Amazon EFS en la Guía del usuario de Amazon Elastic File System y en la página Precios de Amazon EFS
Creación de la ubicación de transferencia de Amazon EFS
Para crear la ubicación de transferencia, necesita un sistema de archivos de Amazon EFS existente. Si no tiene uno, consulte Introducción a Amazon EFS en la Guía del usuario de Amazon Elastic File System.
Abra la AWS DataSync consola en https://console.aws.amazon.com/datasync/
. En el panel de navegación situado a la izquierda, expanda Transferencia de datos y, a continuación, seleccione Ubicaciones y Crear ubicación.
-
En Tipo de ubicación, elija el sistema de archivos de Amazon EFS.
Puede configurar esta ubicación como origen o destino posteriormente.
-
En Sistema de archivos, elija el sistema de archivos de Amazon EFS que desea utilizar como ubicación.
-
En Ruta de montaje, escriba la ruta de montaje de su sistema de archivos de Amazon EFS.
Especifica dónde se DataSync leen o escriben los datos (dependiendo de si se trata de una ubicación de origen o de destino) en el sistema de archivos.
De forma predeterminada, DataSync utiliza el directorio raíz (o el punto de acceso si proporciona uno para la configuración del punto de acceso EFS). También puede especificar subdirectorios usando barras diagonales (por ejemplo,
/path/to/directory). -
En Subred, elija una subred en la que desee DataSync crear las interfaces de red para administrar el tráfico de transferencia de datos.
La subred debe estar ubicada:
-
En la misma VPC que el sistema de archivos.
-
En la misma zona de disponibilidad que al menos un destino de montaje del sistema de archivos.
nota
No es necesario especificar una subred que incluya un destino de montaje del sistema de archivos.
-
-
En el caso de los grupos de seguridad, elija el grupo de seguridad asociado al destino de montaje de un sistema de archivos de Amazon EFS. Puede elegir varios grupos de seguridad.
nota
Los grupos de seguridad que especifique deben permitir el tráfico entrante en el puerto 2049 de NFS. Para obtener más información, consulte Determinar la subred y los grupos de seguridad para su destino de montaje.
-
Para el cifrado en tránsito, elija si DataSync desea utilizar el cifrado Transport Layer Security (TLS) cuando transfiera datos hacia o desde su sistema de archivos.
nota
Debe habilitar esta configuración para configurar un punto de acceso, un rol de IAM o ambos con su ubicación de Amazon EFS.
-
(Opcional) Para el punto de acceso EFS, elija un punto de acceso que DataSync pueda utilizar para montar el sistema de archivos.
Para obtener más información, consulte Acceso a sistemas de archivos restringidos.
-
(Opcional) Para el rol de IAM, especifique un rol que permita acceder DataSync al sistema de archivos.
Para obtener información sobre la creación de este rol, consulte Crear un rol de DataSync IAM para el acceso al sistema de archivos.
-
(Opcional) Seleccione Añadir etiqueta para etiquetar su sistema de archivos.
Una etiqueta es un par clave-valor que le ayuda a administrar, filtrar y buscar sus ubicaciones.
-
Seleccione Crear ubicación.
-
Copie el siguiente comando
create-location-efs:aws datasync create-location-efs \ --efs-filesystem-arn 'arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id' \ --subdirectory/path/to/your/subdirectory\ --ec2-config SecurityGroupArns='arn:aws:ec2:region:account-id:security-group/security-group-id',SubnetArn='arn:aws:ec2:region:account-id:subnet/subnet-id' \ --in-transit-encryption TLS1_2 \ --access-point-arn 'arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id' \ --file-system-access-role-arn 'arn:aws:iam::account-id:role/datasync-efs-access-role -
Para
--efs-filesystem-arn, especifique el nombre de recurso de Amazon (ARN) del sistema de archivos de Amazon EFS desde o hacia el que está realizando la transferencia. -
Para
--subdirectory, especifique una ruta de montaje para el sistema de archivos.Aquí es donde DataSync lee o escribe los datos (dependiendo de si se trata de una ubicación de origen o de destino) en su sistema de archivos.
De forma predeterminada, DataSync utiliza el directorio raíz (o el punto de acceso si lo proporciona
--access-point-arn). También puede especificar subdirectorios usando barras diagonales (por ejemplo,/path/to/directory). -
En
--ec2-config, haga lo siguiente:-
Para
SecurityGroupArnsnota
Los grupos de seguridad que especifique deben permitir el tráfico entrante en el puerto 2049 de NFS. Para obtener más información, consulte Determinar la subred y los grupos de seguridad para su destino de montaje.
-
Para
SubnetArn, especifique el ARN de la subred en la que desea DataSync crear las interfaces de red para administrar el tráfico de transferencia de datos.La subred debe estar ubicada:
-
En la misma VPC que el sistema de archivos.
-
En la misma zona de disponibilidad que al menos un destino de montaje del sistema de archivos.
nota
No es necesario especificar una subred que incluya un destino de montaje del sistema de archivos.
-
-
-
Para ello
--in-transit-encryption, especifique si DataSync desea utilizar el cifrado Transport Layer Security (TLS) cuando transfiera datos hacia o desde su sistema de archivos.nota
Debe configurar este parámetro como
TLS1_2para configurar un punto de acceso, un rol de IAM o ambos con su ubicación de Amazon EFS. -
(Opcional) Para
--access-point-arn, especifique el ARN de un punto de acceso que DataSync pueda utilizar para montar el sistema de archivos.Para obtener más información, consulte Acceso a sistemas de archivos restringidos.
-
(Opcional) Para
--file-system-access-role-arn, especifique el ARN de un rol de IAM que permita acceder DataSync al sistema de archivos.Para obtener información sobre la creación de este rol, consulte Crear un rol de DataSync IAM para el acceso al sistema de archivos.
-
Ejecute el comando
create-location-efs.Si el comando se ejecuta correctamente, recibirá una respuesta que le mostrará el ARN de la ubicación que creó. Por ejemplo:
{ "LocationArn": "arn:aws:datasync:us-east-1:111222333444:location/loc-0b3017fc4ba4a2d8d" }
