本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用亚马逊 EFS 配置AWS DataSync传输
要向您的 Amazon EFS 文件系统传输数据或从中传输数据,您必须创建AWS DataSync传输位置。DataSync可以将此位置用作传输数据的源或目的地。
访问 Amazon EFS 文件系统
DataSync使用网络接口以根用户身份从虚拟私有云 (VPC) 装载您的 Amazon EFS 文件系统。
创建位置时,您可以DataSync使用网络文件系统 (NFS) 端口 2049 指定用于连接您的 Amazon EFS 文件系统的装载目标或接入点的子网和安全组。
DataSync还可以装载配置为受限访问的 Amazon EFS 文件系统。例如,您可以指定一个 AWS Identity and Access Management (IAM) 角色,DataSync为连接到您的文件系统提供必要的权限级别。有关更多信息,请参阅使用 IAM 策略访问 Amazon EFS 文件系统:
亚马逊 EFS 地点的注意事项
创建 Amazon EFS 文件系统的DataSync位置时,请考虑以下几点:
与您一起使用的 VPC DataSync 必须具有默认租期。不支持具有专用租户的 VPC。有关更多信息,请参阅使用 VPC。
-
在突增吞吐量模式下创建 Amazon EFS 文件系统时,您将获得价值 2.1 TB 的突增积分配。在突增吞吐量模式下,所有 Amazon EFS 文件系统的吞吐量均可突增至每秒 100 MB。当有突发积分可用时,Amazon S3 标准类存储容量超过 1 TiB 的文件系统每 TB 每秒可以驱动 100 MiB。
DataSync 消耗文件系统突增积分。这可能会影响应用程序性能。在使用DataSync具有活动工作负载的文件系统时,请考虑使用 Amazon EFS 弹性吞吐量或预置吞吐量模式。
-
处于通用性能模式的 Amazon EFS 文件系统的限制为每秒 35,000 次文件系统操作。该限制可能会影响 DataSync 在复制文件时达到的最大吞吐量。
读取数据或元数据的操作消耗一个文件操作。写入数据或更新元数据的操作消耗五个文件操作。这意味着文件系统可以支持每秒 35,000 次读取操作、7,000 次写入操作或两者的某种组合。从所有连接的客户端统计文件操作数。
有关更多信息,请参阅 Amazon EFS ile System Userystem Guid e 中的
创建您的亚马逊 EFS 传输地点
要创建位置,您需要现有的 Amazon EFS 文件系统。如果您没有,请参阅 Amazon Elastic File System Useryst em Guide Amazon Elastic File System id e System
创建Amazon EFS 位置
通过 https://console.aws.amazon.com/datasync/
打开AWS DataSync主机。 -
在左侧导航窗格中,展开 “数据传输”,然后选择 “位置” 和 “创建位置”。
-
对于位置类型,选择亚马逊 EFS 文件系统。
您可在稍后将此位置配置为源或目标。
-
对于 F il e system(文件系统),请选择要用作位置的 Amazon EFS 文件系统。
您可在稍后将此位置配置为源或目标。
-
对于 “挂载路径”,输入 Amazon EFS 文件系统的挂载路径。
这可指定DataSync读取或写入数据的位置(具体视源位置还是目标位置而定)。
默认情况下,DataSync使用根目录(如果您配置了根目录,则使用接入点)。您也可以使用正斜杠指定子目录(例如,
/path/to/directory)。 -
对于子网,请选择一个子网,该子网在其中DataSync创建网络接口用于管理传输过程中的流量。
子网必须位于:
-
与Amazon EFS 文件系统位于同一 VPC 中。
-
至少与一个文件系统挂载目标位于同一个可用区。
注意
您无需指定包含文件系统挂载目标的子网。
-
-
对于安全组,请选择与 Amazon EFS 文件系统的挂载目标关联的安全组。
-
对于传输中加密,请选择将数据复制DataSync到文件系统或从文件系统复制数据时,您是否要使用传输层安全性协议(TLS)加密。
注意
如果您想使用您的位置配置接入点、IAM 角色或两者,则必须启用此设置。
-
(可选)对于 EFS 接入点,请选择DataSync可用于装载 Amazon EFS 文件系统的接入点。
-
(可选)对于 IAM 角色,请指定DataSync允许访问您的文件系统的角色。
有关创建此角色的信息,请参见 使用 IAM 策略访问 Amazon EFS 文件系统
-
(可选)选择添加标签来标记您的文件系统。
标签 是帮助您管理、筛选和搜索位置的键值对。
-
选择创建地点。
使用 IAM 策略访问 Amazon EFS 文件系统
您可以使用 IAM 策略为您的 Amazon EFS 文件系统配置更高的安全级别。在您的文件系统策略中,您可以指定仍DataSync允许与文件系统连接的 IAM 角色。
注意
要使用 IAM 角色,在为文件系统创建DataSync位置时必须启用 TLS 进行传输中加密。
有关更多信息,请参阅 A mazon Elastic File System Guide 中的使用 IM 控制文件系统数据访问。
为创建 IAM 角色 DataSync
创建以可信实体DataSync为角色的角色。
创建 IAM 角色
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在左侧导航窗格的 “访问管理” 下,选择 “角色”,然后选择 “创建角色”。
-
在选择可信实体页面上,对于 “可信实体类型”,选择 “自定义信任策略”。
-
将下面的 JSON 粘贴到策略编辑器中:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole" }] } -
选择 Next(下一步)。在 Add permissions(添加权限)页面上,选择 Next(下一步)。
-
为您的角色命名,然后选择创建角色。
在创建 Amazon EFS 文件系统的位置时,请指定该角色。
Amazon EFS 文件系统策略示例
以下 IAM 策略示例包含有助于限制对 Amazon EFS 文件系统的访问的元素(在策略中标识为fs-):1234567890abcdef0
-
Principal:指定一个DataSync授予连接到文件系统的权限的 IAM 角色。 -
Action:提供 DataSync root 访问权限并允许其读取和写入文件系统。 -
aws:SecureTransport:要求 NFS 客户端在连接到文件系统时使用 TLS。 -
elasticfilesystem:AccessPointArn:仅允许通过特定的接入点访问文件系统。
{ "Version": "2012-10-17", "Id": "ExampleEFSFileSystemPolicy", "Statement": [{ "Sid": "AccessEFSFileSystem", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0", "Condition": { "Bool": { "aws:SecureTransport": "true" }, "StringEquals": { "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890" } } }] }
