Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques d'utilisation des volumes Amazon EFS avec Amazon ECS
Prenez note des recommandations de bonnes pratiques suivantes lorsque vous utilisez Amazon EFS avec Amazon ECS.
Contrôles de sécurité et d'accès pour les volumes Amazon EFS
Amazon EFS propose des fonctionnalités de contrôle d'accès que vous pouvez utiliser pour garantir que les données stockées dans un système de fichiers Amazon EFS sont sécurisées et accessibles uniquement depuis les applications qui en ont besoin. Vous pouvez sécuriser les données en activant le chiffrement au repos et en transit. Pour en savoir plus, consultez Chiffrement des données dans Amazon EFS que vous trouverez dans le guide de l’utilisateur Amazon Elastic File System.
Outre le chiffrement des données, vous pouvez également utiliser Amazon EFS pour restreindre l'accès à un système de fichiers. Il existe trois manières de mettre en œuvre le contrôle d'accès dans EFS.
-
Groupes de sécurité : avec les cibles de montage Amazon EFS, vous pouvez configurer un groupe de sécurité utilisé pour autoriser et refuser le trafic réseau. Vous pouvez configurer le groupe de sécurité attaché à Amazon EFS pour autoriser le trafic NFS (port 2049) en provenance du groupe de sécurité attaché à vos instances Amazon ECS ou, lorsque vous utilisez le mode
awsvpcréseau, de la tâche Amazon ECS. -
IAM —Vous pouvez restreindre l'accès à un système de fichiers Amazon EFS à l'aide d'IAM. Une fois configurées, les tâches Amazon ECS nécessitent un rôle IAM pour accéder au système de fichiers afin de monter un système de fichiers EFS. Pour plus d'informations, consultez la section Utilisation d'IAM pour contrôler l'accès aux données du système de fichiers dans le manuel Amazon Elastic File System User Guide.
Les politiques IAM peuvent également appliquer des conditions prédéfinies, telles que l'obligation pour un client d'utiliser le protocole TLS lorsqu'il se connecte à un système de fichiers Amazon EFS. Pour plus d'informations, consultez les clés de condition Amazon EFS pour les clients dans le guide de l'utilisateur Amazon Elastic File System.
-
Points d'accès Amazon EFS : les points d'accès Amazon EFS sont des points d'entrée spécifiques à une application dans un système de fichiers Amazon EFS. Vous pouvez utiliser des points d'accès pour renforcer l'identité d'un utilisateur, y compris les groupes POSIX de l'utilisateur, pour toutes les demandes de système de fichiers effectuées via le point d'accès. Les points d'accès peuvent également imposer un répertoire racine différent au système de fichiers. Cela permet aux clients d'accéder uniquement aux données du répertoire spécifié ou de ses sous-répertoires.
Politiques IAM
Vous pouvez utiliser les politiques IAM pour contrôler l'accès au système de fichiers Amazon EFS.
Vous pouvez spécifier les actions suivantes pour les clients sur un système de fichiers à l’aide d’une stratégie de système de fichiers.
| Action | Description |
|---|---|
|
|
Fournit un accès en lecture seule à un système de fichiers. |
|
|
Fournit les droits d’écriture sur un système de fichiers. |
|
|
Permet d’utiliser l’utilisateur root lors de l’accès à un système de fichiers. |
Vous devez spécifier chaque action dans une politique. Les politiques peuvent être définies de la manière suivante :
-
Basé sur le client : associez la politique au rôle de tâche
Définissez l'option d'autorisation IAM lorsque vous créez la définition de tâche.
-
Basé sur les ressources : attachez la politique au système de fichiers Amazon EFS
Si la politique basée sur les ressources n'existe pas, par défaut, lors de la création du système de fichiers, l'accès est accordé à tous les principaux (*).
Lorsque vous définissez l'option d'autorisation IAM, nous fusionnons la politique associée au rôle de tâche et la politique basée sur les ressources Amazon EFS. L'option d'autorisation IAM transmet l'identité de la tâche (le rôle de la tâche) avec la politique à Amazon EFS. Cela permet à la politique basée sur les ressources Amazon EFS d'avoir un contexte pour l'utilisateur ou le rôle IAM spécifié dans la politique. Si vous ne définissez pas cette option, la politique au niveau des ressources Amazon EFS identifie l'utilisateur IAM comme étant « anonyme ».
Envisagez de mettre en œuvre les trois contrôles d'accès sur un système de fichiers Amazon EFS pour une sécurité maximale. Par exemple, vous pouvez configurer le groupe de sécurité attaché à un point de montage Amazon EFS pour autoriser uniquement le trafic NFS entrant provenant d'un groupe de sécurité associé à votre instance de conteneur ou à votre tâche Amazon ECS. En outre, vous pouvez configurer Amazon EFS pour exiger un rôle IAM pour accéder au système de fichiers, même si la connexion provient d'un groupe de sécurité autorisé. Enfin, vous pouvez utiliser les points d'accès Amazon EFS pour appliquer les autorisations des utilisateurs POSIX et spécifier des répertoires racines pour les applications.
L'extrait de définition de tâche suivant montre comment monter un système de fichiers Amazon EFS à l'aide d'un point d'accès.
"volumes": [ { "efsVolumeConfiguration": { "fileSystemId": "fs-1234", "authorizationConfig": { "accessPointId": "fsap-1234", "iam": "ENABLED" }, "transitEncryption": "ENABLED", "rootDirectory": "" }, "name": "my-filesystem" } ]
Performances des volumes Amazon EFS
Amazon EFS propose deux modes de performance : les systèmes de I/O. General Purpose is suitable for latency-sensitive applications such as content management systems and CI/CD tools. In contrast, Max I/O fichiers General Purpose et Max conviennent aux charges de travail telles que l'analyse de données, le traitement multimédia et l'apprentissage automatique. Ces charges de travail doivent effectuer des opérations parallèles à partir de centaines, voire de milliers de conteneurs et nécessitent un débit agrégé et des IOPS les plus élevés possibles. Pour plus d'informations, consultez les modes de performance Amazon EFS dans le guide de l'utilisateur d'Amazon Elastic File System.
Certaines charges de travail sensibles à la latence nécessitent à la fois les I/O niveaux les plus élevés fournis par le mode de I/O performance Max et les niveaux de latence plus faibles fournis par le mode de performance General Purpose. Pour ce type de charge de travail, nous vous recommandons de créer plusieurs systèmes de fichiers en mode de performance Usage général. Ainsi, vous pouvez répartir la charge de travail de votre application sur tous ces systèmes de fichiers, à condition que la charge de travail et les applications puissent la supporter.
Débit du volume Amazon EFS
Tous les systèmes de fichiers Amazon EFS sont associés à un débit mesuré qui est déterminé soit par le débit alloué pour les systèmes de fichiers utilisant le débit provisionné, soit par la quantité de données stockées dans la norme EFS ou dans la classe de stockage One Zone pour les systèmes de fichiers utilisant le débit en rafale. Pour plus d'informations, consultez la section Comprendre le débit mesuré dans le guide de l'utilisateur d'Amazon Elastic File System.
Le mode de débit par défaut pour les systèmes de fichiers Amazon EFS est le mode rafale. Avec le mode rafale, le débit disponible pour un système de fichiers augmente ou diminue en fonction de la croissance du système de fichiers. Étant donné que les charges de travail basées sur des fichiers augmentent généralement, nécessitant des niveaux de débit élevés pendant un certain temps et des niveaux de débit inférieurs le reste du temps, Amazon EFS est conçu pour fonctionner en rafale afin de permettre des niveaux de débit élevés pendant un certain temps. En outre, étant donné que de nombreuses charges de travail sont gourmandes en lecture, les opérations de lecture sont mesurées selon un ratio de 1:3 par rapport aux autres opérations NFS (comme l'écriture).
Tous les systèmes de fichiers Amazon EFS fournissent une performance de référence constante de 50 MB/s % pour chaque To de stockage Amazon EFS Standard ou Amazon EFS One Zone. Tous les systèmes de fichiers (quelle que soit leur taille) peuvent atteindre 100 MB/s. File systems with more than 1TB of EFS Standard or EFS One Zone storage can burst to 100 MB/s for each TB. Because read operations are metered at a 1:3 ratio, you can drive up to 300 MiBs/s pour chaque TiB de débit de lecture. Lorsque vous ajoutez des données à votre système de fichiers, le débit maximal disponible pour le système de fichiers évolue de manière linéaire et automatique en fonction de votre stockage dans la classe de stockage Amazon EFS Standard. Si vous avez besoin d'un débit supérieur à celui que vous pouvez atteindre avec la quantité de données stockées, vous pouvez configurer le débit provisionné en fonction de la quantité spécifique requise par votre charge de travail.
Le débit du système de fichiers est partagé entre toutes les EC2 instances Amazon connectées à un système de fichiers. Par exemple, un système de fichiers de 1 To capable d'atteindre un débit MB/s de 100 % peut en générer 100 à MB/s partir d'une seule EC2 instance Amazon capable de générer 10 Mo/s chacune. Pour plus d'informations, consultez la section relative aux performances d'Amazon EFS dans le manuel Amazon Elastic File System User Guide.
Optimisation des coûts pour les volumes Amazon EFS
Amazon EFS simplifie le dimensionnement du stockage pour vous. Les systèmes de fichiers Amazon EFS augmentent automatiquement au fur et à mesure que vous ajoutez des données. En particulier avec le mode Amazon EFS Bursting Throughput, le débit d'Amazon EFS augmente en fonction de la taille de votre système de fichiers dans la classe de stockage standard. Pour améliorer le débit sans payer de frais supplémentaires pour le débit alloué sur un système de fichiers EFS, vous pouvez partager un système de fichiers Amazon EFS avec plusieurs applications. À l'aide des points d'accès Amazon EFS, vous pouvez implémenter l'isolation du stockage dans les systèmes de fichiers Amazon EFS partagés. Ainsi, même si les applications partagent toujours le même système de fichiers, elles ne peuvent accéder aux données que si vous les autorisez.
Au fur et à mesure que vos données augmentent, Amazon EFS vous aide à déplacer automatiquement les fichiers rarement consultés vers une classe de stockage inférieure. La classe de stockage Amazon EFS Standard-Infrequent Access (IA) réduit les coûts de stockage pour les fichiers auxquels on n'accède pas tous les jours. Cela se fait sans sacrifier la haute disponibilité, la durabilité élevée, l'élasticité et l'accès au système de fichiers POSIX fournis par Amazon EFS. Pour plus d'informations, consultez les classes de stockage EFS dans le manuel Amazon Elastic File System User Guide.
Envisagez d'utiliser les politiques de cycle de vie d'Amazon EFS pour économiser automatiquement de l'argent en transférant les fichiers rarement consultés vers le stockage Amazon EFS IA. Pour plus d’informations, consultez Gestion du cycle de vie Amazon EFS dans le guide de l’utilisateur Amazon Elastic File System.
Lorsque vous créez un système de fichiers Amazon EFS, vous pouvez choisir si Amazon EFS réplique vos données sur plusieurs zones de disponibilité (standard) ou les stocke de manière redondante dans une seule zone de disponibilité. La classe de stockage Amazon EFS One Zone permet de réduire considérablement les coûts de stockage par rapport aux classes de stockage Amazon EFS Standard. Envisagez d'utiliser la classe de stockage Amazon EFS One Zone pour les charges de travail ne nécessitant pas de résilience multi-AZ. Vous pouvez réduire davantage le coût du stockage Amazon EFS One Zone en déplaçant les fichiers rarement consultés vers Amazon EFS One Zone-Infrequent Access. Pour plus d'informations, veuillez consulter Amazon EFS Infrequent Access
Protection des données des volumes Amazon EFS
Amazon EFS stocke vos données de manière redondante dans plusieurs zones de disponibilité pour les systèmes de fichiers à l'aide de classes de stockage standard. Si vous sélectionnez les classes de stockage Amazon EFS One Zone, vos données sont stockées de manière redondante dans une seule zone de disponibilité. En outre, Amazon EFS est conçu pour fournir une durabilité de 99,999999999 % (11 9) sur une année donnée.
Comme dans tout environnement, il est recommandé de disposer d'une sauvegarde et de mettre en place des mesures de protection contre les suppressions accidentelles. Pour les données Amazon EFS, cette bonne pratique inclut une sauvegarde fonctionnelle et régulièrement testée à l'aide de AWS Backup. Les systèmes de fichiers utilisant les classes de stockage Amazon EFS One Zone sont configurés pour sauvegarder automatiquement les fichiers par défaut lors de la création du système de fichiers, sauf si vous choisissez de désactiver cette fonctionnalité. Pour plus d'informations, consultez la section Sauvegarde des systèmes de fichiers EFS dans le manuel Amazon Elastic File System User Guide.
