Amazon EFS: Cara kerjanya

Berikut ini, Anda dapat menemukan deskripsi tentang cara kerja Amazon EFS, detail implementasinya, dan pertimbangan keamanan.

Ikhtisar

Amazon Elastic File System menyediakan sistem file set-and-forget elastis yang sederhana, tanpa server. Dengan Amazon EFS, Anda dapat membuat sistem file, memasang sistem file pada instans Amazon EC2, lalu membaca dan menulis data ke dan dari sistem file Anda. Anda dapat memasang sistem file Amazon EFS di cloud pribadi virtual (VPC) Anda, melalui protokol Network File System versi 4.0 dan 4.1 (NFSv4). Kami merekomendasikan untuk menggunakan klien Linux NFSv4.1 generasi saat ini, seperti yang ditemukan di Amazon Linux terbaru, Amazon Linux 2, Red Hat, Ubuntu, dan macOS Big Sur AMI, bersama dengan mount helper Amazon EFS. Untuk petunjuk, lihat Menggunakan amazon-efs-utils alat.

Untuk daftar Amazon EC2 Linux dan macOS Amazon Machine Images (AMI) yang mendukung protokol ini, lihat. Dukungan NFS Untuk beberapa AMI, Anda harus menginstal klien NFS untuk memasang sistem file Anda di instans Amazon EC2 Anda. Untuk petunjuk, lihat Menginstal klien NFS.

Anda dapat mengakses sistem file Amazon EFS secara bersamaan dari beberapa klien NFS, sehingga aplikasi yang berskala melampaui satu koneksi dapat mengakses sistem file. Amazon EC2 dan instans AWS komputasi lainnya yang berjalan di beberapa Availability Zone dalam hal yang sama Wilayah AWS dapat mengakses sistem file, sehingga banyak pengguna dapat mengakses dan berbagi sumber data umum.

Untuk daftar Wilayah AWS tempat Anda dapat membuat sistem file Amazon EFS, lihat Referensi Umum Amazon Web.

Untuk mengakses sistem file Amazon EFS Anda di VPC, Anda membuat satu atau beberapa target pemasangan di VPC.

• Untuk sistem file Regional, Anda dapat membuat target mount di setiap Availability Zone diWilayah AWS.

• Untuk sistem file One Zone, Anda hanya membuat satu target mount yang berada di Availability Zone yang sama dengan sistem file.

Untuk informasi selengkapnya, lihat Kelas penyimpanan EFS.

Target pemasangan menyediakan alamat IP untuk titik akhir NFSv4 tempat Anda dapat memasang sistem file Amazon EFS. Anda memasang sistem file Anda menggunakan nama Domain Name Service (DNS), yang menyelesaikan ke alamat IP target pemasangan EFS di Availability Zone yang sama dengan instans EC2 Anda. Anda dapat membuat satu target mount di setiap Availability Zone di fileWilayah AWS. Jika ada beberapa subnet di Availability Zone di VPC Anda, Anda membuat target mount di salah satu subnet. Kemudian semua instans EC2 di Availability Zone tersebut berbagi target mount tersebut.

catatan

Sistem file Amazon EFS dapat memiliki target mount hanya dalam satu VPC pada satu waktu.

Target mount sendiri dirancang agar sangat tersedia. Saat Anda merancang ketersediaan tinggi dan failover ke Availability Zone lainnya, ingatlah bahwa meskipun alamat IP dan DNS untuk target mount Anda di setiap Availability Zone bersifat statis, mereka adalah komponen redundan yang didukung oleh beberapa sumber daya.

Setelah memasang sistem file dengan menggunakan nama DNS-nya, Anda menggunakannya seperti sistem file yang sesuai dengan POSIX lainnya. Untuk informasi tentang izin tingkat NFS dan pertimbangan terkait, lihat. Bekerja dengan pengguna, grup, dan izin di Tingkat Sistem File Jaringan (NFS)

Anda dapat memasang sistem file Amazon EFS di server pusat data lokal saat tersambung ke VPC Amazon AWS Direct Connect dengan AWS VPN atau Anda dapat memasang sistem file EFS di server lokal untuk memigrasikan kumpulan data ke EFS, mengaktifkan skenario ledakan cloud, atau mencadangkan data lokal ke Amazon EFS.

Bagaimana Amazon EFS bekerja dengan Amazon EC2

Bagian ini menjelaskan bagaimana sistem file Amazon EFS Regional dan One Zone dipasang ke instans EC2 di Amazon VPC.

Sistem file Regional Amazon EFS

Ilustrasi berikut menunjukkan beberapa instans EC2 yang mengakses sistem file Amazon EFS yang dikonfigurasi untuk beberapa Availability Zone dalam file. Wilayah AWS

Dalam ilustrasi ini, virtual private cloud (VPC) memiliki tiga Availability Zone. Karena sistem file Regional, target mount dibuat di setiap Availability Zone. Kami menyarankan Anda mengakses sistem file dari target pemasangan dalam Availability Zone yang sama untuk alasan kinerja dan biaya. Salah satu Availability Zones memiliki dua subnet. Namun, target mount dibuat hanya di salah satu subnet. Untuk informasi selengkapnya, lihat Menggunakan EFS mount helper untuk memasang sistem file EFS Memasang pada instans Amazon EC2 Linux menggunakan EFS mount helper.

Sistem file Amazon EFS One Zone

Ilustrasi berikut menunjukkan beberapa instans EC2 mengakses sistem file One Zone dari Availability Zone yang berbeda dalam satu. Wilayah AWS

Dalam ilustrasi ini, VPC memiliki dua Availability Zone, masing-masing dengan satu subnet. Karena jenis sistem file adalah One Zone, ia hanya dapat memiliki satu target mount. Untuk kinerja dan biaya yang lebih baik, sebaiknya Anda mengakses sistem file dari target pemasangan di Availability Zone yang sama dengan instans EC2 tempat Anda memasangnya.

Dalam contoh ini, instans EC2 di Availability Zone us-west-2c akan membayar biaya akses data EC2 untuk mengakses target mount di Availability Zone yang berbeda. Untuk informasi selengkapnya, lihat Memasang sistem file One Zone.

Cara Amazon EFS bekerja dengan AWS Direct Connect dan AWS Managed VPN

Dengan menggunakan sistem file Amazon EFS yang dipasang di server lokal, Anda dapat memigrasikan data lokal ke AWS Cloud host di sistem file Amazon EFS. Anda juga bisa memanfaatkan meledak. Dengan kata lain, Anda dapat memindahkan data dari server lokal ke Amazon EFS dan menganalisisnya pada armada instans Amazon EC2 di Amazon VPC Anda. Anda kemudian dapat menyimpan hasilnya secara permanen di sistem file Anda atau memindahkan hasilnya kembali ke server lokal Anda.

Ingatlah pertimbangan berikut saat menggunakan Amazon EFS dengan server lokal:

• Server lokal Anda harus memiliki sistem operasi berbasis Linux. Kami merekomendasikan kernel Linux versi 4.0 atau yang lebih baru.

• Demi kesederhanaan, sebaiknya pasang sistem file Amazon EFS di server lokal menggunakan alamat IP target mount, bukan nama DNS.

Tidak ada biaya tambahan untuk akses lokal ke sistem file Amazon EFS Anda. Anda dikenakan biaya untuk AWS Direct Connect koneksi ke VPC Amazon Anda. Untuk informasi selengkapnya, lihat harga AWS Direct Connect.

Ilustrasi berikut menunjukkan contoh cara mengakses sistem file Amazon EFS dari lokal (server lokal memiliki sistem file yang terpasang).

Anda dapat menggunakan target pemasangan apa pun di VPC jika Anda dapat mencapai subnet target mount tersebut dengan menggunakan AWS Direct Connect koneksi antara server lokal dan VPC. Untuk mengakses Amazon EFS dari server lokal, tambahkan aturan ke grup keamanan target pemasangan Anda untuk mengizinkan lalu lintas masuk ke port NFS (2049) dari server lokal Anda. Untuk informasi lebih lanjut, termasuk prosedur terperinci, lihatPanduan: Membuat dan memasang sistem file lokal dengan dan VPN AWS Direct Connect.

Bagaimana Amazon EFS bekerja dengan AWS Backup

Untuk implementasi pencadangan komprehensif untuk sistem file Anda, Anda dapat menggunakan Amazon EFS dengan fileAWS Backup. AWS Backupadalah layanan pencadangan yang dikelola sepenuhnya yang memudahkan untuk memusatkan dan mengotomatiskan pencadangan data di seluruh AWS layanan di cloud dan lokal. Dengan menggunakanAWS Backup, Anda dapat mengonfigurasi kebijakan pencadangan secara terpusat dan memantau aktivitas pencadangan untuk AWS sumber daya Anda. Amazon EFS selalu memprioritaskan operasi sistem file daripada operasi pencadangan. Untuk mempelajari lebih lanjut tentang mencadangkan sistem file EFS menggunakanAWS Backup, lihatMencadangkan sistem file Amazon EFS Anda.

Ringkasan implementasi

Di Amazon EFS, sistem file adalah sumber daya utama. Setiap sistem file memiliki properti seperti ID, token pembuatan, waktu pembuatan, ukuran sistem file dalam byte, jumlah target mount yang dibuat untuk sistem file, dan status siklus hidup sistem file. Untuk informasi selengkapnya, lihat CreateFileSystem.

Amazon EFS juga mendukung sumber daya lain untuk mengonfigurasi sumber daya utama. Ini termasuk target mount dan titik akses:

• Pasang target - Untuk mengakses sistem file Anda, Anda harus membuat target mount di VPC Anda. Setiap target mount memiliki properti berikut: ID target mount, ID subnet tempat ia dibuat, ID sistem file yang membuatnya, alamat IP tempat sistem file dapat dipasang, grup keamanan VPC, dan status target mount. Anda dapat menggunakan alamat IP atau nama DNS dalam mount perintah Anda.

  Setiap sistem file memiliki nama DNS dari formulir berikut.

  file-system-id.efs.aws-region.amazonaws.com 

  Anda dapat menentukan nama DNS ini dalam mount perintah Anda untuk me-mount sistem file Amazon EFS. Misalkan Anda membuat efs-mount-point subdirektori dari direktori home Anda di instans EC2 atau server lokal. Kemudian, Anda dapat menggunakan perintah mount untuk me-mount sistem file. Misalnya, pada Amazon Linux AMI, Anda dapat menggunakan mount perintah berikut.

  $ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-DNS-name:/ ~/efs-mount-point 

  Untuk informasi selengkapnya, lihat Membuat dan mengelola target mount dan grup keamanan. Pertama, Anda perlu menginstal klien NFS pada instans EC2 Anda. MemulaiLatihan ini memberikan step-by-step instruksi.

• Access Points — Titik akses menerapkan jalur pengguna, grup, dan sistem file sistem operasi ke permintaan sistem file apa pun yang dibuat menggunakan titik akses. Pengguna dan grup sistem operasi titik akses mengesampingkan informasi identitas apa pun yang disediakan oleh klien NFS. Jalur sistem file diekspos ke klien sebagai direktori root titik akses. Ini memastikan bahwa setiap aplikasi selalu menggunakan identitas sistem operasi yang benar dan direktori yang benar saat mengakses kumpulan data berbasis file bersama. Aplikasi yang menggunakan titik akses hanya bisa mengakses data di direktori sendiri dan di bawah ini. Untuk informasi selengkapnya, lihat Bekerja dengan titik akses Amazon EFS.

Target dan tag mount adalah subresource yang terkait dengan sistem file. Anda hanya dapat membuatnya dalam konteks sistem file yang ada.

Amazon EFS menyediakan operasi API bagi Anda untuk membuat dan mengelola sumber daya ini. Selain operasi buat dan hapus untuk setiap sumber daya, Amazon EFS mendukung operasi deskripsi yang memungkinkan Anda mengambil informasi sumber daya. Anda memiliki opsi berikut untuk membuat dan mengelola sumber daya ini:

• Gunakan konsol Amazon EFS — Sebagai contoh, lihatMemulai.

• Gunakan antarmuka baris perintah Amazon EFS (CLI) — Sebagai contoh, lihat. Panduan: Buat sistem file Amazon EFS dan pasanginstans Amazon EC2 menggunakanAWS CLI

• Anda juga dapat mengelola sumber daya ini secara terprogram sebagai berikut:

  • Gunakan SDK — AWS AWS SDK menyederhanakan tugas pemrograman Anda dengan membungkus Amazon EFS API yang mendasarinya. Klien SDK juga mengautentikasi permintaan Anda dengan menggunakan kunci akses yang Anda berikan. Untuk informasi selengkapnya, lihat Contoh Kode dan Pustaka.

  • Panggil Amazon EFS API langsung dari aplikasi Anda — Jika Anda tidak dapat menggunakan SDK karena alasan tertentu, Anda dapat melakukan panggilan Amazon EFS API langsung dari aplikasi Anda. Namun, Anda perlu menulis kode yang diperlukan untuk mengautentikasi permintaan Anda jika Anda menggunakan opsi ini. Untuk informasi selengkapnya tentang Amazon EFS API, lihatAPI Amazon EFS.

Kontrol autentikasi dan akses

Anda harus memiliki kredensyal yang valid untuk membuat permintaan Amazon EFS API, seperti membuat sistem file. Selain itu, Anda juga harus memiliki izin untuk membuat atau mengakses sumber daya.

Pengguna dan peran yang Anda buat AWS Identity and Access Management (IAM) harus diberikan izin untuk membuat atau mengakses sumber daya. Untuk informasi selengkapnya tentang izin, lihat Manajemen identitas dan akses untuk Amazon Elastic File System.

Otorisasi IAM untuk klien NFS adalah opsi keamanan tambahan untuk Amazon EFS yang menggunakan IAM untuk menyederhanakan manajemen akses untuk klien Network File System (NFS) dalam skala besar. Dengan otorisasi IAM untuk klien NFS, Anda dapat menggunakan IAM untuk mengelola akses ke sistem file EFS dengan cara yang dapat diskalakan secara inheren. Otorisasi IAM untuk klien NFS juga dioptimalkan untuk lingkungan cloud. Untuk informasi selengkapnya tentang penggunaan otorisasi IAM untuk klien NFS, lihat. Menggunakan IAM untuk mengontrol akses data sistem file

Konsistensi data di Amazon EFS

Amazon EFS menyediakan semantik close-to-open konsistensi yang diharapkan aplikasi dari NFS.

Di Amazon EFS, operasi tulis untuk sistem file Regional disimpan dengan tahan lama di seluruh Availability Zone dalam situasi berikut:

• Aplikasi melakukan operasi tulis sinkron (misalnya, menggunakan perintah open Linux dengan O_DIRECT bendera, atau perintah fsync Linux).

• Aplikasi menutup file.

Bergantung pada pola aksesnya, Amazon EFS dapat memberikan jaminan konsistensi yang lebih kuat daripada close-to-open semantik. Aplikasi yang melakukan akses data sinkron dan melakukan penulisan non-appending memiliki read-after-write konsistensi untuk akses data.

Penguncian file

Aplikasi klien NFS dapat menggunakan penguncian file NFS versi 4 (termasuk penguncian rentang byte) untuk operasi baca dan tulis pada file Amazon EFS.

Ingat hal berikut tentang bagaimana Amazon EFS mengunci file:

• Amazon EFS hanya mendukung penguncian penasihat dan operasi baca/tulis yang tidak memeriksa kunci yang bertentangan sebelum dijalankan. Misalnya, untuk menghindari masalah sinkronisasi file dengan operasi atom, aplikasi Anda harus mengetahui semantik NFS (seperti konsistensi). close-to-open

• Setiap file tertentu dapat memiliki hingga 512 kunci di semua instance yang terhubung dan pengguna mengakses file tersebut.

Kelas penyimpanan EFS

Amazon EFS menyediakan kelas penyimpanan yang berbeda untuk kebutuhan penyimpanan data yang berbeda. Standar adalah kelas penyimpanan pertama di mana data ditulis dan merupakan kelas penyimpanan untuk data yang sering diakses. Untuk file yang jarang diakses, Amazon EFS menawarkan kelas penyimpanan EFS Infrequent Access (IA) dan EFS Archive. Kelas penyimpanan IA dioptimalkan biaya untuk data yang diakses beberapa kali setiap kuartal dan kelas penyimpanan Arsip dioptimalkan biaya untuk data yang diakses hanya beberapa kali setiap tahun atau kurang. Untuk informasi selengkapnya tentang kelas penyimpanan Amazon EFS, lihatKelas penyimpanan EFS.

manajemen siklus hidup

Untuk mengelola sistem file Anda sehingga disimpan secara efektif sepanjang siklus hidupnya, gunakan manajemen siklus hidup. manajemen siklus hidup secara otomatis mentransisikan data antar kelas penyimpanan sesuai dengan konfigurasi siklus hidup yang ditentukan untuk sistem file. Konfigurasi siklus hidup adalah sekumpulan kebijakan siklus hidup yang menentukan kapan harus mentransisikan data sistem file ke kelas penyimpanan lain.

Untuk informasi selengkapnya, lihat Mengelola penyimpanan sistem file.

Replikasi EFS

Anda dapat membuat replika sistem file Amazon EFS sesuai keinginan Anda menggunakan replikasi. replikasi secara otomatis dan transparan mereplikasi data dan metadata pada sistem file EFS Anda ke sistem file EFS tujuan baru yang dibuat sesuai pilihan Anda. Wilayah AWS Wilayah AWS

Dengan replikasi, EFS secara otomatis menjaga sistem file sumber dan tujuan tetap disinkronkan. Replikasi berkelanjutan dan dirancang untuk memberikan tujuan titik pemulihan (RPO) dan tujuan waktu pemulihan (RTO) menit. Fitur-fitur ini membantu Anda dalam memenuhi kepatuhan dan tujuan kelangsungan bisnis Anda. Lihat informasi yang lebih lengkap di Mereplikasi sistem file.