Configurazione dell'accesso al file system per le funzioni Lambda

È possibile configurare una funzione per montare un file system Amazon Elastic File System (Amazon EFS) in una directory locale. Con Amazon EFS, il codice della funzione può accedere e modificare le risorse condivise in modo sicuro e ad alta concorrenza.

Sections

• Autorizzazioni del ruolo di esecuzione e dell'utente
• Configurazione di un file system e di un punto di accesso
• Connessione a un file system (console)
• Utilizzo di un file system Amazon EFS in un altro Account AWS per una funzione Lambda

Autorizzazioni del ruolo di esecuzione e dell'utente

Se il file system non dispone di una policy configurata dall'utente AWS Identity and Access Management (IAM), EFS utilizza una policy predefinita che concede l'accesso completo a qualsiasi client in grado di connettersi al file system utilizzando una destinazione di montaggio del file system. Se il file system dispone di una Policy IAM configurata dall'utente, il ruolo di esecuzione della funzione deve disporre delle autorizzazioni elasticfilesystem corrette.

Autorizzazioni del ruolo di esecuzione

• file system elastico: ClientMount

• elasticfilesystem: (non richiesto per connessioni di sola lettura) ClientWrite

Queste autorizzazioni sono incluse nella politica gestita. AmazonElasticFileSystemClientReadWriteAccess Inoltre, il ruolo di esecuzione deve avere le autorizzazioni necessarie per connettersi al VPC del file system.

Quando si configura un file system, Lambda utilizza le autorizzazioni dell'utente per verificare le destinazioni di montaggio. Per configurare una funzione affinché possa connettersi a un file system, l'utente deve disporre delle seguenti autorizzazioni:

Autorizzazioni degli utenti

• elasticfilesystem: obiettivi DescribeMount

Configurazione di un file system e di un punto di accesso

Creare un file system in Amazon EFS con una destinazione di montaggio in ogni zona di disponibilità a cui la funzione si connette. Per prestazioni e resilienza, utilizzare almeno due zone di disponibilità. Ad esempio, in una configurazione semplice è possibile avere un VPC con due sottoreti private in zone di disponibilità separate. La funzione si connette a entrambe le sottoreti e in ciascuna di esse è disponibile una destinazione di montaggio. Assicurarsi che il traffico NFS (porta 2049) sia consentito dai gruppi di sicurezza utilizzati dalla funzione e dalle destinazioni di montaggio.

Nota

Quando si crea un file system, si sceglie una modalità di prestazioni che non può essere modificata in un secondo momento. La modalità Uso generale ha una latenza inferiore e la modalità I/O max supporta throughput e IOPS massimi più elevati. Per assistenza nella scelta, consulta Prestazioni di Amazon EFS nella Amazon Elastic File System User Guide.

Un punto di accesso collega ogni istanza della funzione alla destinazione di montaggio corretta per la zona di disponibilità a cui si connette. Per ottenere prestazioni ottimali, creare un punto di accesso con un percorso non root e limitare il numero di file creati in ogni directory. Nell'esempio seguente viene creata una directory denominata my-function nel file system e viene impostato l'ID proprietario su 1001 con autorizzazioni di directory standard (755).

Esempio Configurazione del punto di accesso

• Nome – files

• ID utente: 1001

• ID gruppo: 1001

• Percorso – /my-function

• Autorizzazioni: 755

• ID utente proprietario – 1001

• ID utente gruppo – 1001

Quando una funzione utilizza il punto di accesso, riceve l'ID utente 1001 e ha accesso completo alla directory.

Per ulteriori informazioni, consulta i seguenti argomenti nella Amazon Elastic File System User Guide.

• Creazione di risorse per Amazon EFS

• Utilizzo di utenti, gruppi e autorizzazioni

Connessione a un file system (console)

Una funzione si connette a un file system tramite la rete locale in un VPC. Le sottoreti a cui si connette la funzione possono essere le stesse sottoreti che contengono punti di montaggio per il file system o sottoreti nella stessa zona di disponibilità che possono instradare il traffico NFS (porta 2049) al file system.

Nota

Se la funzione non è già connessa a un VPC, consulta Offrire alle funzioni Lambda l'accesso alle risorse in un Amazon VPC.

Configurazione dell'accesso al file system

1. Aprire la pagina Funzioni della console Lambda.

2. Scegliere una funzione.

3. Scegliere Configuration (Configurazione) e quindi scegliere File systems (File system).

4. In File system, scegliere Aggiungi file system.

5. Configurare le proprietà seguenti:

   • File system EFS: il punto di accesso per un file system nello stesso VPC.

   • Percorso di montaggio locale: la posizione in cui il file system è montato sulla funzione Lambda, a partire da /mnt/.

Prezzi

Amazon EFS prevede addebiti per lo storage e il throughput, con tariffe che variano in base alla classe di storage. Per informazioni dettagliate, consulta Prezzi di Amazon EFS.

Lambda prevede addebiti per il trasferimento dei dati tra VPC. Questo vale solo se il VPC della funzione è collegato in peering a un altro VPC con un file system. Le tariffe sono le stesse del trasferimento di dati Amazon EC2 tra VPC nella stessa regione. Per informazioni dettagliate, consulta Prezzi di Lambda.

Per ulteriori informazioni sull'integrazione di Lambda con Amazon EFS, consulta Utilizzo di Amazon EFS con Lambda.