本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配使用 Amazon EFS磁碟區的最佳實務 ECS
當您EFS搭配 Amazon 使用 Amazon 時,請注意下列最佳實務建議ECS。
Amazon EFS磁碟區的安全性和存取控制
Amazon EFS提供存取控制功能,您可以用來確保存放在 Amazon EFS 檔案系統中的資料安全無虞,而且只能從需要它的應用程式存取。您可以透過啟用靜態和傳輸中加密來保護資料。如需詳細資訊,請參閱 Amazon Amazon Elastic File System 中的資料加密EFS。
除了資料加密之外,您也可以使用 Amazon EFS 限制對檔案系統的存取。有三種方法可在 中實作存取控制EFS。
-
安全群組:使用 Amazon EFS掛載目標,您可以設定用於允許和拒絕網路流量的安全群組。您可以設定連接至 Amazon 的安全群組EFS,以允許來自連接至 Amazon ECS執行個體的安全群組的NFS流量 (連接埠 2049),或使用
awsvpc
網路模式時,Amazon ECS任務。 -
IAM—您可以使用 限制對 Amazon EFS 檔案系統的存取IAM。設定後,Amazon ECS任務需要 IAM角色,檔案系統才能存取以掛載EFS檔案系統。如需詳細資訊,請參閱Amazon Elastic File System 使用者指南中的使用 IAM來控制檔案系統資料存取。 Amazon Elastic File System
IAM 政策也可以強制執行預先定義的條件,例如要求用戶端在連線至 Amazon EFS 檔案系統TLS時使用。如需詳細資訊,請參閱 Amazon Elastic File System 使用者指南 中的用戶端的 Amazon EFS條件金鑰。 Amazon Elastic File System
-
Amazon EFS存取點:Amazon EFS存取點是 Amazon EFS 檔案系統的應用程式特定進入點。您可以使用存取點,針對透過存取點提出的所有檔案系統請求強制執行使用者身分POSIX,包括使用者群組。存取點也可以針對檔案系統強制使用不同的根目錄。這是為了讓用戶端只能存取指定目錄中的資料或其子目錄中的資料。
IAM 政策
您可以使用IAM政策來控制對 Amazon EFS 檔案系統的存取。
您可以使用檔案系統政策,為存取檔案系統的用戶端指定下列動作。
動作 | 描述 |
---|---|
|
提供檔案系統的唯讀存取權。 |
|
在檔案系統上提供具有寫入權限。 |
|
存取檔案系統時,提供使用根使用者的功能。 |
您需要在 ploicy 中指定每個動作。 政策可以透過下列方式定義:
-
用戶端型 - 將政策連接至任務角色
當您建立任務定義時,請設定IAM授權選項。
-
資源型 - 將政策連接至 Amazon EFS 檔案系統
如果資源型政策不存在,預設情況下,檔案系統建立存取權會授予所有主體 (*)。
當您設定IAM授權選項時,我們會合併與任務角色相關聯的政策,以及以 Amazon EFS 資源為基礎的政策。IAM 授權選項會將任務身分 (任務角色) 與政策傳遞給 Amazon EFS。這可讓 Amazon EFS 資源型政策具有政策中指定的IAM使用者或角色的內容。如果您未設定 選項,Amazon EFS 資源層級政策會將IAM使用者識別為「匿名」。
請考慮在 Amazon EFS 檔案系統上實作所有三個存取控制,以獲得最佳安全性。例如,您可以設定連接到 Amazon EFS掛載點的安全群組,以僅允許來自與容器執行個體或 Amazon ECS任務相關聯的安全群組的輸入NFS流量。此外,您可以設定 Amazon EFS 以要求IAM角色存取檔案系統,即使連線來自允許的安全群組。最後,您可以使用 Amazon EFS存取點強制執行POSIX使用者許可,並指定應用程式的根目錄。
下列任務定義程式碼片段說明如何使用存取點掛載 Amazon EFS 檔案系統。
"volumes": [ { "efsVolumeConfiguration": { "fileSystemId": "
fs-1234
", "authorizationConfig": { "accessPointId": "fsap-1234
", "iam": "ENABLED" }, "transitEncryption": "ENABLED", "rootDirectory": "" }, "name": "my-filesystem
" } ]
Amazon EFS磁碟區效能
Amazon EFS提供兩種效能模式:一般用途和最大 I/O。 一般用途適用於延遲敏感型應用程式,例如內容管理系統和 CI/CD 工具。相反地,Max I/O 檔案系統適用於資料分析、媒體處理和機器學習等工作負載。這些工作負載需要從數百個或甚至數千個容器執行平行操作,並需要盡可能最高的彙總輸送量和 IOPS。如需詳細資訊,請參閱 Amazon Elastic File System 使用者指南 中的 Amazon EFS效能模式。 Amazon Elastic File System
有些延遲敏感工作負載需要由最大 I/O 效能模式提供的較高 I/O 層級,以及一般用途效能模式提供的較低延遲。對於這類工作負載,我們建議建立多個一般用途效能模式的檔案系統。如此一來,只要工作負載和應用程式可以支援,您就可以將應用程式工作負載分散至所有這些檔案系統。
Amazon EFS磁碟區輸送量
所有 Amazon EFS 檔案系統都有相關聯的計量輸送量,其決定依據是使用佈建輸送量的檔案系統的佈建輸送量量,或使用爆量輸送量 的檔案系統,儲存在EFS標準或單區域儲存類別中的資料量。如需詳細資訊,請參閱Amazon Elastic File System 使用者指南中的了解計量輸送量。
Amazon EFS 檔案系統的預設輸送量模式為爆量模式。透過爆量模式,檔案系統可用的輸送量會隨著檔案系統成長而擴展。由於檔案型工作負載通常會飆升,因此需要一段時間的高輸送量和剩餘的時間更低的輸送量,EFSAmazon 的設計旨在爆量,以允許一段時間的高輸送量。此外,由於許多工作負載為讀取密集型,因此讀取操作會比其他NFS操作以 1:3 的比例計量 (例如寫入)。
所有 Amazon EFS 檔案系統都會為每個 TB 的 Amazon EFS Standard 或 Amazon EFS One Zone 儲存提供 50 MB/s 的一致基準效能。所有檔案系統 (無論大小) 都可能爆量到 100 MB/s。具有超過 1TB EFS標準或EFS單區域儲存的檔案系統,每個 TB 可能會爆量到 100 MB/s。由於讀取操作是以 1:3 的比率計量,因此每個 TiB 的讀取輸送量最多可驅動 300 MiBs/s。當您將資料新增至檔案系統時,檔案系統可用的最大輸送量會隨著 Amazon EFS Standard 儲存類別中的儲存量線性自動擴展。如果您需要的輸送量超過儲存的資料量,您可以將佈建輸送量設定為工作負載所需的特定量。
檔案系統輸送量會在連接至檔案系統的所有 Amazon EC2執行個體之間共用。例如,可以爆量至 100 MB/s 輸送量的 1TB 檔案系統可以從單一 Amazon EC2執行個體驅動 100 MB/s,每個磁碟機都可以驅動 10 MB/s。如需詳細資訊,請參閱 Amazon Elastic File System 使用者指南 中的 Amazon EFS效能。 Amazon Elastic File System
最佳化 Amazon EFS磁碟區的成本
Amazon EFS 可為您簡化擴展儲存。當您新增更多資料時,Amazon EFS 檔案系統會自動成長。特別是使用 Amazon EFS Bursting 輸送量模式時,Amazon 的輸送量會隨著標準儲存類別中檔案系統的大小增加而EFS擴展。若要提高輸送量,而不必為EFS檔案系統上的佈建輸送量支付額外費用,您可以與多個應用程式共用 Amazon EFS 檔案系統。您可以使用 Amazon EFS存取點,在共用的 Amazon EFS 檔案系統中實作儲存隔離。如此一來,即使應用程式仍共用相同的檔案系統,除非您授權,否則無法存取資料。
隨著資料成長,Amazon EFS可協助您自動將不常存取的檔案移至較低的儲存類別。Amazon EFS Standard-Infrequent Access (IA) 儲存類別可減少未每天存取之檔案的儲存成本。這樣做不會犧牲 Amazon EFS提供的高可用性、高耐用性、彈性和POSIX檔案系統存取。如需詳細資訊,請參閱 Amazon Elastic File System 使用者指南 中的 Amazon EFS儲存類別。 Amazon Elastic File System
考慮使用 Amazon EFS生命週期政策,透過將不常存取的檔案移至 Amazon IA EFS 儲存體來自動節省成本。如需詳細資訊,請參閱 Amazon Elastic File System 使用者指南 中的 Amazon EFS生命週期管理。 Amazon Elastic File System
建立 Amazon EFS 檔案系統時,您可以選擇 Amazon 是跨多個可用區域 (標準) EFS複寫資料,還是將資料以備援方式存放在單一可用區域。與 Amazon EFS Standard 儲存類別相比,Amazon EFS One Zone 儲存類別可以大幅降低儲存成本。對於不需要多可用區域彈性的工作負載,請考慮使用 Amazon EFS One Zone 儲存類別。您可以將不常存取的檔案移至 Amazon EFS One Zone-Infrequent Access,進一步降低 Amazon EFS One Zone 儲存的成本。如需詳細資訊,請參閱 Amazon EFS Infrequent Access
Amazon EFS磁碟區資料保護
Amazon 會使用標準EFS儲存類別,跨檔案系統的多個可用區域以備援方式存放您的資料。如果您選擇 Amazon EFS One Zone 儲存類別,您的資料會備援地存放在單一可用區域中。此外,Amazon EFS旨在提供特定年份內 99.999999999% (11 9) 的耐久性。
與任何環境一樣,備份和建置防止意外刪除的保護措施是最佳實務。對於 Amazon EFS資料,該最佳實務包括使用 的正常運作、定期測試的備份 AWS Backup。使用 Amazon EFS One Zone 儲存類別的檔案系統會設定為在建立檔案系統時依預設自動備份檔案,除非您選擇停用此功能。如需詳細資訊,請參閱 Amazon Amazon Elastic File System 資料保護EFS。