아마존 EFS 사용한 AWS DataSync 전송 구성 - AWS DataSync
Amazon EFS 파일 시스템 액세스Amazon EFS 로케이션 관련 고려 사항아마존 EFS 전송 위치 생성IAM 정책을 사용해 Amazon EFS 파일 시스템에 액세스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존 EFS 사용한 AWS DataSync 전송 구성

Amazon EFS 파일 시스템에서 데이터를 전송하거나 Amazon EFS 파일 시스템에서 데이터를 전송하려면 AWS DataSync 전송 위치를 만들어야 합니다. DataSync이 위치를 데이터 전송을 위한 소스 또는 대상으로 사용할 수 있습니다.

Amazon EFS 파일 시스템 액세스

DataSync네트워크 인터페이스를 사용하여 Amazon EFS 파일 시스템을 가상 사설 클라우드 (VPC) 의 루트 사용자로 마운트합니다.

위치를 생성할 때 NFS (네트워크 파일 시스템) 포트 2049를 DataSync 사용하여 Amazon EFS 파일 시스템의 탑재 대상 또는 액세스 포인트 중 하나에 연결하는 데 사용할 서브넷 및 보안 그룹을 지정합니다.

DataSync제한된 액세스를 위해 구성된 Amazon EFS 파일 시스템을 마운트할 수도 있습니다. 예를 들어 파일 시스템에 연결하는 데 필요한 수준의 권한을 부여하는 AWS Identity and Access Management DataSync (IAM) 역할을 지정할 수 있습니다. 자세한 정보는 IAM 정책을 사용해 Amazon EFS 파일 시스템에 액세스을 참조하세요.

Amazon EFS 로케이션 관련 고려 사항

Amazon EFS 파일 시스템의 DataSync 위치를 생성할 때 다음 사항을 고려하십시오.

  • 함께 사용하는 VPC에는 기본 DataSync 테넌시가 있어야 합니다. 전용 테넌시가 있는 VPC는 지원되지 않습니다. 자세한 내용은 VPC 작업을 참조하십시오.

  • 버스팅 처리량 모드에서 Amazon EFS 파일 시스템을 생성하면 2.1TB 상당의 버스트 크레딧이 할당됩니다. 모든 Amazon EFS 파일 시스템은 버스팅 처리량 모드를 사용하여 초당 최대 100MB의 처리량을 버스트할 수 있습니다. Amazon S3 스탠다드급 스토리지가 1TiB 이상인 파일 시스템은 버스트 크레딧을 사용할 수 있는 경우 TB당 초당 100MiB를 구동할 수 있습니다.

    DataSync는 파일 시스템 버스트 크레딧을 사용합니다. 이 경우 애플리케이션의 성능에 영향을 줄 수 있습니다. 활성 워크로드가 DataSync 있는 파일 시스템에서 사용하는 경우 Amazon EFS 엘라스틱 처리량 또는 프로비저닝된 처리량 모드를 사용하는 것이 좋습니다.

  • 범용 성능 모드에 있는 Amazon EFS 파일 시스템의 작업 한도는 초당 35,000개입니다. 이 한도는 최대 처리량에 영향을 줄 수 있으며, 파일 복사 시 DataSync는 아카이브할 수 있습니다.

    데이터 또는 메타데이터를 읽는 작업은 하나의 파일 작업을 소비합니다. 데이터를 쓰거나 메타데이터를 업데이트하는 작업에는 5개의 파일 작업이 필요합니다. 즉, 파일 시스템은 초당 35,000개의 읽기 작업, 7,000개의 쓰기 작업 또는 이 둘의 조합을 지원할 수 있습니다. 파일 작업은 모든 연결 클라이언트에서 계산됩니다.

    자세한 내용은 Amazon Elastic File System User Guide의 Amazon EFS 성능을 참조하십시오.

아마존 EFS 전송 위치 생성

위치를 생성하려면 기존 Amazon EFS 파일 시스템이 필요합니다. 아직 없는 경우 Amazon 엘라스틱 파일 시스템 사용 설명서에서 Amazon 엘라스틱 Amazon Elastic File System 시작하기를 참조하십시오.

Amazon EFS 위치를 생성하려면

  1. https://console.aws.amazon.com/datasync/ 에서 AWS DataSync 콘솔을 여세요.

  2. 왼쪽 탐색 창에서 데이터 전송을 확장한 다음 위치위치 생성을 선택합니다.

  3. 위치 유형에서 Amazon EFS 파일 시스템을 선택합니다.

    나중에 이 위치를 소스 또는 대상 주소로서 구성합니다.

  4. 파일 시스템에서 위치로 사용할 Amazon EFS 파일 시스템을 선택합니다.

    나중에 이 위치를 소스 또는 대상 주소로서 구성합니다.

  5. 탑재 경로에 Amazon EFS 파일 시스템에 대한 탑재 경로를 입력합니다.

    데이터를 DataSync 읽거나 쓰는 위치를 지정합니다 (소스 위치인지 대상 위치인지에 따라 다름).

    기본적으로 루트 디렉터리 (또는 액세스 포인트를 구성하는 경우 액세스 포인트) 를 DataSync 사용합니다. 슬래시 (예:) 를 사용하여 하위 디렉터리를 지정할 수도 있습니다. /path/to/directory

  6. Subnet의 경우 전송 중 트래픽 관리를 위한 네트워크 인터페이스를 DataSync 생성하는 서브넷을 선택합니다.

    서브넷은 다음 위치에 있어야 합니다.

    • Amazon EFS 파일 시스템이 동일한 VPC 내에 있습니다.

    • 하나 이상의 파일 시스템 탑재 대상과 동일한 가용 영역

    참고

    파일 시스템 탑재 대상을 포함하는 서브넷을 지정할 필요가 없습니다.

  7. 보안 그룹의 경우 Amazon EFS 파일 시스템의 탑재 대상과 연결된 보안 그룹을 선택합니다.

    참고

    지정한 보안 그룹은 NFS 포트 2049에서 인바운드 트래픽을 허용해야 합니다. 자세한 내용은 Amazon Elastic File System 사용 설명서의 Amazon EC2 인스턴스 및 탑재 대상에 VPC 보안 그룹 사용을 참조하세요.

  8. 전송 중 암호화의 경우 데이터를 파일 시스템으로 또는 파일 시스템에서 DataSync 복사할 때 전송 계층 보안 (TLS) 암호화를 사용할지 여부를 선택합니다.

    참고

    위치를 사용하여 액세스 포인트, IAM 역할 또는 둘 다를 구성하려면 이 설정을 활성화해야 합니다.

  9. (선택 사항) EFS 액세스 포인트의 경우 Amazon EFS 파일 시스템을 마운트하는 데 사용할 DataSync 수 있는 액세스 포인트를 선택합니다.

  10. (선택 사항) IAM 역할의 경우 파일 시스템에 액세스할 수 DataSync 있는 역할을 지정합니다.

    이 역할 생성에 대한 자세한 내용은 을 참조하십시오. IAM 정책을 사용해 Amazon EFS 파일 시스템에 액세스

  11. (선택 사항) 태그 추가를 선택하여 파일 시스템에 태그를 지정합니다.

    태그는 위치를 관리, 필터링 및 검색하는 데 도움이 되는 키-값 페어입니다.

  12. 위치 생성을 선택합니다.

IAM 정책을 사용해 Amazon EFS 파일 시스템에 액세스

IAM 정책을 사용하여 Amazon EFS 파일 시스템을 더 높은 수준의 보안으로 구성할 수 있습니다. 파일 시스템 정책에서 여전히 파일 시스템에 DataSync 연결할 수 있는 IAM 역할을 지정할 수 있습니다.

참고

IAM 역할을 사용하려면 파일 시스템의 DataSync 위치를 생성할 때 전송 중 암호화에 TLS를 활성화해야 합니다.

자세한 내용은 Amazon Elastic File System 사용 설명서의 IAM을 사용한 파일 시스템 데이터 액세스 제어를 참조하세요.

에 대한 IAM 역할 생성 DataSync

신뢰할 수 있는 DataSync 개체로 사용하여 역할을 생성합니다.

IAM 역할 생성

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 왼쪽 탐색 창의 액세스 관리에서 역할을 선택한 다음 역할 만들기를 선택합니다.

  3. 신뢰할 수 있는 엔터티 선택 페이지에서 신뢰할 수 있는 엔터티 유형에 대해 사용자 지정 신뢰 정책을 선택합니다.

  4. 다음 JSON을 정책 편집기에 붙여 넣습니다.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "datasync.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}

  5. 다음을 선택합니다. 권한 추가(Add permissions) 페이지에서 다음(Next)을 선택합니다.

  6. 역할에 이름을 지정하고 역할 생성을 선택합니다.

Amazon EFS 파일 시스템의 위치를 생성할 때 이 역할을 지정합니다.

Amazon EFS 파일 시스템 정책 예제

다음 샘플 IAM 정책에는 Amazon EFS 파일 시스템 (정책에서 로 식별fs-1234567890abcdef0) 에 대한 액세스를 제한하는 데 도움이 되는 요소가 포함되어 있습니다.

  • Principal: 파일 시스템에 연결할 DataSync 권한을 부여하는 IAM 역할을 지정합니다.

  • Action: DataSync 루트 액세스 권한을 부여하고 파일 시스템에서 읽고 쓸 수 있도록 합니다.

  • aws:SecureTransport: 파일 시스템에 연결할 때 NFS 클라이언트가 TLS를 사용해야 합니다.

  • elasticfilesystem:AccessPointArn: 특정 액세스 포인트를 통해서만 파일 시스템에 액세스할 수 있습니다.

{
    "Version": "2012-10-17",
    "Id": "ExampleEFSFileSystemPolicy",
    "Statement": [{
        "Sid": "AccessEFSFileSystem",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole"
        },
        "Action": [
            "elasticfilesystem:ClientMount",
            "elasticfilesystem:ClientWrite",
            "elasticfilesystem:ClientRootAccess"
        ],
        "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0",
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "true"
            },
            "StringEquals": {
                "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890"
            }
        }
    }]
}