Pratiques exemplaires en matière d’utilisation des volumes Amazon EFS avec Amazon ECS - Amazon Elastic Container Service
Contrôles de sécurité et d’accès pour les volumes Amazon EFSPerformance des volumes Amazon EFSDébit des volumes Amazon EFSOptimisation des coûts pour les volumes Amazon EFSProtection des données des volumes Amazon EFS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pratiques exemplaires en matière d’utilisation des volumes Amazon EFS avec Amazon ECS

Tenez compte des recommandations suivantes en matière de pratique exemplaire lorsque vous utilisez Amazon EFS avec Amazon ECS.

Contrôles de sécurité et d’accès pour les volumes Amazon EFS

Amazon EFS propose des fonctionnalités de contrôle d’accès que vous pouvez utiliser pour garantir que les données stockées dans un système de fichiers Amazon EFS sont sécurisées et accessibles uniquement depuis les applications qui en ont besoin. Vous pouvez sécuriser les données en activant le chiffrement au repos et en transit. Pour en savoir plus, consultez Chiffrement des données dans Amazon EFS que vous trouverez dans le guide de l’utilisateur Amazon Elastic File System.

Outre le chiffrement des données, vous pouvez également utiliser Amazon EFS pour restreindre l’accès à un système de fichiers. Vous pouvez implémenter le contrôle d’accès dans EFS de trois manières.

  • Groupes de sécurité : avec les cibles de montage Amazon EFS, vous pouvez configurer un groupe de sécurité utilisé pour autoriser ou refuser le trafic réseau. Vous pouvez configurer le groupe de sécurité associé à Amazon EFS afin d’autoriser le trafic NFS (port 2049) provenant du groupe de sécurité associé à vos instances Amazon ECS ou, lorsque vous utilisez le mode réseau awsvpc, à la tâche Amazon ECS.

  • IAM : vous pouvez restreindre l’accès à un système de fichiers Amazon EFS à l’aide d’IAM. Une fois configurées, les tâches Amazon ECS nécessitent un rôle IAM pour accéder au système de fichiers afin de monter un système de fichiers EFS. Pour plus d’informations, consultez la section Utilisation d’IAM pour contrôler l’accès aux données du système de fichiers dans le Guide de l’utilisateur Amazon Elastic File System.

    Les politiques IAM peuvent également appliquer des conditions prédéfinies, telles que l’obligation pour un client d’utiliser TLS lors de la connexion à un système de fichiers Amazon EFS. Pour plus d’informations, consultez la section Clés de condition Amazon EFS pour les clients dans le Guide de l’utilisateur Amazon Elastic File System.

  • Points d’accès Amazon EFS : les points d’accès Amazon EFS sont des points d’entrée spécifiques à l’application dans un système de fichiers Amazon EFS. Vous pouvez utiliser des points d’accès pour imposer une identité utilisateur, y compris les groupes POSIX de l’utilisateur, pour toutes les requêtes du système de fichiers effectuées via le point d’accès. Les points d'accès peuvent également imposer un répertoire racine différent au système de fichiers. Cela permet aux clients d’accéder uniquement aux données stockées dans le répertoire spécifié ou dans ses sous-répertoires.

politiques IAM

Vous pouvez utiliser les politiques IAM pour contrôler l’accès au système de fichiers Amazon EFS.

Vous pouvez spécifier les actions suivantes pour les clients sur un système de fichiers à l’aide d’une stratégie de système de fichiers.

Action Description

elasticfilesystem:ClientMount

Fournit un accès en lecture seule à un système de fichiers.

elasticfilesystem:ClientWrite

Fournit les droits d’écriture sur un système de fichiers.

elasticfilesystem:ClientRootAccess

Permet d’utiliser l’utilisateur root lors de l’accès à un système de fichiers.

Vous devez spécifier chaque action dans une politique. Les politiques peuvent être définies comme suit :

  • Basé sur le client : attachez la politique au rôle de tâche

    Définissez l’option Autorisation IAM lorsque vous créez la définition de tâche.

  • Basé sur les ressources : attachez la politique au système de fichiers Amazon EFS

    Si la stratégie basée sur les ressources n’existe pas, l’accès est accordé par défaut à tous les principaux (*) lors de la création du système de fichiers.

Lorsque vous définissez l’option Autorisation IAM, nous fusionnons la politique associée au rôle de tâche et la politique basée sur les ressources Amazon EFS. L’option Autorisation IAM transmet l’identité de la tâche (le rôle de la tâche) avec la politique à Amazon EFS. Cela permet à la politique basée sur les ressources Amazon EFS d’avoir un contexte pour l’utilisateur ou le rôle IAM spécifié dans la politique. Si vous ne définissez pas cette option, la politique au niveau des ressources Amazon EFS identifie l’utilisateur IAM comme « anonyme ».

Envisagez d’implémenter les trois contrôles d’accès sur un système de fichiers Amazon EFS pour une sécurité maximale. Par exemple, vous pouvez configurer le groupe de sécurité attaché à un point de montage Amazon EFS pour n’autoriser que le trafic NFS entrant provenant d’un groupe de sécurité associé à votre instance de conteneur ou à votre tâche Amazon ECS. En outre, vous pouvez configurer Amazon EFS pour exiger un rôle IAM pour accéder au système de fichiers, même si la connexion provient d’un groupe de sécurité autorisé. Enfin, vous pouvez utiliser les points d’accès Amazon EFS pour imposer les autorisations des utilisateurs POSIX et spécifier des répertoires racines pour les applications.

L’extrait de définition de tâche suivant illustre comment monter un système de fichiers Amazon EFS à l’aide d’un point d’accès.

"volumes": [
    {
      "efsVolumeConfiguration": {
        "fileSystemId": "fs-1234",
        "authorizationConfig": {
          "accessPointId": "fsap-1234",
          "iam": "ENABLED"
        },
        "transitEncryption": "ENABLED",
        "rootDirectory": ""
      },
      "name": "my-filesystem"
    }
]

Performance des volumes Amazon EFS

Amazon EFS propose deux modes de performance : les systèmes de I/O. General Purpose is suitable for latency-sensitive applications such as content management systems and CI/CD tools. In contrast, Max I/O fichiers General Purpose et Max conviennent aux charges de travail telles que l'analyse de données, le traitement multimédia et l'apprentissage automatique. Ces charges de travail doivent effectuer des opérations parallèles à partir de centaines, voire de milliers de conteneurs, et nécessitent un débit global et un nombre d’opérations d’entrée/sortie par seconde (IOPS) aussi élevés que possible. Pour plus d’informations, consultez la section Modes de performances Amazon EFS dans le Guide de l’utilisateur Amazon Elastic File System.

Certaines charges de travail sensibles à la latence nécessitent à la fois les I/O niveaux les plus élevés fournis par le mode de I/O performance Max et les niveaux de latence plus faibles fournis par le mode de performance General Purpose. Pour ce type de charge de travail, nous vous recommandons de créer plusieurs systèmes de fichiers en mode de performance Usage général. De cette manière, vous pouvez répartir la charge de travail de vos applications sur tous ces systèmes de fichiers, à condition que la charge de travail et les applications le permettent.

Débit des volumes Amazon EFS

Tous les systèmes de fichiers Amazon EFS présentent un débit mesuré associé qui est déterminé soit par la quantité de débit alloué pour les systèmes de fichiers utilisant le débit alloué, soit par la quantité de données stockées dans la classe de stockage EFS Standard ou One Zone pour les systèmes de fichiers utilisant le débit de débordement. Pour plus d’informations, consultez la section Compréhension du débit mesuré dans le Guide de l’utilisateur Amazon Elastic File System.

Le mode de débit par défaut pour les systèmes de fichiers Amazon EFS est le mode de débordement. Avec le mode de débordement, le débit disponible pour un système de fichiers augmente ou diminue au fur et à mesure que le système de fichiers grandit. Étant donné que les charges de travail basées sur des fichiers connaissent généralement des pics, nécessitant des niveaux de débit élevés pendant certaines périodes et des niveaux de débit plus faibles le reste du temps, Amazon EFS est conçu pour déborder afin d’autoriser des niveaux de débit élevés pendant certaines périodes. En outre, étant donné que de nombreuses charges de travail sont gourmandes en lecture, les opérations de lecture sont mesurées selon un ratio de 1:3 par rapport aux autres opérations NFS (comme l’écriture).

Tous les systèmes de fichiers Amazon EFS fournissent une performance de référence constante de 50 MB/s  % pour chaque To de stockage Amazon EFS Standard ou Amazon EFS One Zone. Tous les systèmes de fichiers (quelle que soit leur taille) peuvent atteindre 100 MB/s. File systems with more than 1TB of EFS Standard or EFS One Zone storage can burst to 100 MB/s for each TB. Because read operations are metered at a 1:3 ratio, you can drive up to 300 MiBs/s pour chaque TiB de débit de lecture. Lorsque vous ajoutez des données à votre système de fichiers, le débit maximal disponible pour le système de fichiers évolue de manière linéaire et automatique en fonction de votre stockage dans la classe de stockage Amazon EFS Standard. Si vous avez besoin d’un débit supérieur à celui que vous pouvez obtenir avec la quantité de données stockées, vous pouvez configurer le débit alloué en fonction des besoins spécifiques de votre charge de travail.

Le débit du système de fichiers est partagé entre toutes les EC2 instances Amazon connectées à un système de fichiers. Par exemple, un système de fichiers de 1 To capable d'atteindre un débit MB/s de 100 % peut en générer 100 à MB/s partir d'une seule EC2 instance Amazon capable de générer 10 Mo/s chacune. Pour plus d’informations, consultez la section Performances Amazon EFS dans le Guide de l’utilisateur Amazon Elastic File System.

Optimisation des coûts pour les volumes Amazon EFS

Amazon EFS simplifie la mise à l’échelle du stockage pour vous. Les systèmes de fichiers Amazon EFS augmentent automatiquement au fur et à mesure que vous ajoutez des données. En particulier avec le mode de débit de débordement Amazon EFS, le débit sur Amazon EFS est mis à l’échelle à mesure que la taille de votre système de fichiers dans la classe de stockage standard augmente. Pour améliorer le débit sans payer de frais supplémentaires pour le débit alloué sur un système de fichiers EFS, vous pouvez partager un système de fichiers Amazon EFS avec plusieurs applications. À l’aide des points d’accès Amazon EFS, vous pouvez implémenter l’isolation du stockage dans les systèmes de fichiers Amazon EFS partagés. Ainsi, même si les applications partagent toujours le même système de fichiers, elles ne peuvent accéder aux données que si vous les y autorisez.

Au fur et à mesure que vos données augmentent, Amazon EFS vous aide à déplacer automatiquement les fichiers rarement consultés vers une classe de stockage inférieure. La classe de stockage Amazon EFS Standard-Infrequent Access (IA) réduit les coûts de stockage pour les fichiers qui ne sont pas consultés quotidiennement. La haute disponibilité, la durabilité, l’élasticité et l’accès au système de fichiers POSIX fournis par Amazon EFS sont conservés. Pour plus d’informations, consultez la section Classes de stockage EFS dans le Guide de l’utilisateur Amazon Elastic File System.

Envisagez d’utiliser les stratégies de cycle de vie Amazon EFS pour réaliser automatiquement des économies en transférant les fichiers rarement consultés vers le stockage Amazon EFS IA. Pour plus d’informations, consultez Gestion du cycle de vie Amazon EFS dans le guide de l’utilisateur Amazon Elastic File System.

Lorsque vous créez un système de fichiers Amazon EFS, vous pouvez choisir si Amazon EFS réplique vos données sur plusieurs zones de disponibilité (standard) ou les stocke de manière redondante dans une seule zone de disponibilité. La classe de stockage Amazon EFS One Zone permet de réduire considérablement les coûts de stockage par rapport aux classes de stockage Amazon EFS Standard. Envisagez d’utiliser la classe de stockage Amazon EFS One Zone pour les charges de travail ne nécessitant pas de résilience multi-AZ. Vous pouvez réduire davantage le coût du stockage Amazon EFS One Zone en déplaçant les fichiers rarement consultés vers Amazon EFS One Zone-Infrequent Access. Pour plus d'informations, veuillez consulter Amazon EFS Infrequent Access.

Protection des données des volumes Amazon EFS

Amazon EFS stocke vos données de manière redondante dans plusieurs zones de disponibilité pour les systèmes de fichiers à l’aide de classes de stockage standard. Si vous sélectionnez les classes de stockage Amazon EFS One Zone, vos données sont stockées de manière redondante dans une seule zone de disponibilité. Amazon EFS est en outre conçu pour fournir 99,99999999999 % (11 9) de durabilité sur une année donnée.

Comme dans tout environnement, il est recommandé de disposer d’une sauvegarde et de mettre en place des mesures de protection contre les suppressions accidentelles. Pour les données Amazon EFS, cette bonne pratique inclut une sauvegarde fonctionnelle et régulièrement testée à l'aide de AWS Backup. Les systèmes de fichiers utilisant les classes de stockage Amazon EFS One Zone sont configurés par défaut pour sauvegarder automatiquement les fichiers lors de la création du système de fichiers, sauf si vous choisissez de désactiver cette fonctionnalité. Pour plus d’informations, consultez la section Sauvegarde des systèmes de fichiers EFS dans le Guide de l’utilisateur Amazon Elastic File System.