建立 Amazon EFS 位置 - AWS DataSync

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 Amazon EFS 位置

同時AWS DataSync 地點是 Amazon EFS 檔案系統的端點。

存取 Amazon EFS 檔案系統

DataSync 將您的 Amazon EFS 檔案系統掛載為根使用者,從您的虛擬私有雲端 (VPC) 安裝您的 Amazon EFS 檔案系統,使用網路界面

建立位置時,請指定子網路和安全群組 DataSync用於連線至您其中一個 Amazon EFS 檔案系統的掛接目標,或存取點使用網路檔案系統 (NFS) 連接埠 2049。

DataSync 也可以掛載針對受限存取設定的 Amazon EFS 檔案系統。例如,您可以指定AWS Identity and Access Management(IAM) 提供的角色 DataSync 必要的許可等級才能連接至檔案系統。如需詳細資訊,請參閱 使用 IAM 政策存取您的 Amazon EFS 檔案系統

使用亞馬遜 EFS 位置的考量

創建一個時,請考慮以下幾點 DataSync Amazon EFS 檔案系統的位置:

  • DataSync 不支援透過專用租用將檔案傳輸至 VPC 中的 Amazon EFS 檔案系統磁碟區。如需詳細資訊,請參閱「」建立具有專用執行個體租用的 VPC中的Amazon EC2 Linux 執行個體使用者指南

  • 在爆量輸送量模式中建立 Amazon EFS 檔案系統時,您會得到價值 2.1 TB 爆量額度的配置。透過爆量輸送量模式,所有 Amazon EFS 檔案系統最高可爆增至每秒 100 MB 輸送量。具有超過 1 TiB Amazon S3 標準類別儲存的檔案系統可在突發積分可用時,每秒可驅動 100 MiB。

    DataSync 會耗用檔案系統爆量額度。這可能影響您的應用程式效能。當您使用 DataSync 如為具有作用中工作負載的檔案系統,請考慮使用 EFS 佈建的輸送量。

  • 處於一般用途效能模式的 Amazon EFS 檔案系統限制為每秒 35,000 個檔案系統操作。此限制可影響最大輸送量 DataSync 可以在複製檔案時實現。

    讀取資料或中繼資料的操作則會使用一次檔案操作。寫入資料或更新中繼資料的操作會使用五次檔案操作。這表示檔案系統可支援每秒 35,000 次讀取操作、7,000 次寫入操作或兩種操作的某種組合。所有連線用戶端的檔案操作都會列入計算。

    如需詳細資訊,請參閱「」Amazon EFS 效能中的Amazon Elastic File System 使用者指南

建立位置

若要建立位置,您需要現有的 Amazon EFS 檔案系統。如果您沒有帳戶,請參閱Amazon Elastic File System 入門中的Amazon Elastic File System 使用者指南

建立 Amazon EFS 位置

  1. 開啟AWS DataSync主控台https://console.aws.amazon.com/datasync/

  2. 在左側導覽窗格中,選擇Locations(下一步),然後選擇建立位置

  3. 適用於位置類型,選擇Amazon EFS 檔案系統

    您稍後會將此位置設定為來源或目的地。

  4. 適用於檔案系統中選擇您要使用做為位置的 Amazon EFS 檔案系統。

    您稍後會將此位置設定為來源或目的地。

  5. 適用於掛載路徑中輸入 Amazon EFS 檔案系統的掛載路徑。

    這指定在哪裡 DataSync 讀取或寫入資料 (取決於這是來源位置還是目標位置)。

    根據預設, DataSync 使用根目錄 (如果您設定了存取點,則使用存取點)。您也可以使用正斜線指定子目錄 (例如,/path/to/directory

  6. 適用於子網路選擇一個子網路 DataSync 會建立網路介面,以便在傳輸期間管理流量。

    子網路必須位於:

    • 在與 Amazon EFS 檔案系統相同的 VPC 中。

    • 在相同的可用區域中,至少有一個檔案系統掛載目標。

    注意

    您不需要指定包含檔案系統掛載目標的子網路。

  7. 適用於安全群組」中,選擇與 Amazon EFS 檔案系統掛載目標相關聯的安全群組。

    注意

    您指定的安全性群組必須允許 NFS 連接埠 2049 上的輸入流量。如需詳細資訊,請參閱「」針對 Amazon EC2 執行個體和掛載目標使用 VPC 安全群組中的Amazon Elastic File System 使用者指南

  8. 適用於傳輸中加密,選擇您是否想要 DataSync 在您的檔案系統之間複製資料時,會使用 Transport Layer Security (TLS) 加密。

    注意

    如果要在您的位置上設定存取點、IAM 角色或兩者,則必須啟用此設定。

  9. (選擇性) 對於EFS 存取點,選擇一個接入點 DataSync 可用來掛接您的 Amazon EFS 檔案系統。

  10. (選擇性) 對於IAM 角色」中,指定允許的角色 DataSync 存取檔案系統。

    如需有關建立此角色的詳細資訊,請參閱。使用 IAM 政策存取您的 Amazon EFS 檔案系統

  11. (選用) 選取新增標籤來標籤您的檔案系統。

    標籤是協助您管理、篩選及搜尋位置的索引鍵/值組。

  12. 選擇建立位置

使用 IAM 政策存取您的 Amazon EFS 檔案系統

您可以使用 IAM 政策來設定具有更高層級的安全性的 Amazon EFS 檔案系統。在您的檔案系統政策,您可以指定仍允許的 IAM 角色 DataSync 與檔案系統連線。

注意

若要使用 IAM 角色,您必須在建立傳輸中加密啟用 TLS DataSync位置為您檔案系統的位置。

為建立 IAM 角色 DataSync

建立角色 DataSync 做為 Trusted entity (信任實體)。

建立 IAM 角色

  1. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  2. 在左側導覽窗格中,存取管理,選擇角色(下一步),然後選擇建立角色

  3. 在「」選取信任實體(憑證已建立!)信任實體類型,選擇自訂信任政策

  4. 將下列 JSON 貼入政策編輯器中:

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole" }] }
  5. 選擇 Next (下一步)。在「」新增許可頁面,搜尋並選取AmazonElasticFileSystemClientFullAccess政策。

    重要

    AmazonElasticFileSystemClientFullAccess是一個AWS受管政策。其中包括elasticfilesystem:ClientRootAccess動作,其中 DataSync 需要以根使用者身分掛接您的 Amazon EFS 檔案系統。

  6. 選擇 Next (下一步)。為您的角色提供名稱,然後選擇建立角色

為 Amazon EFS 檔案系統建立位置時指定此角色。

Amazon EFS 檔案系統政策範例

下列 IAM 政策範例包含有助於限制 Amazon EFS 檔案系統存取的元素 (在政策中識別為fs-1234567890abcdef0):

  • Principal:指定提供的 IAM 角色 DataSync連線至檔案系統的權限。

  • Action:給予 DataSync root 訪問,並允許它讀取和寫入到檔案系統。

  • aws:SecureTransport:要求 NFS 用戶端在連線至檔案系統時使用 TLS。

  • elasticfilesystem:AccessPointArn:僅允許透過特定存取點存取檔案系統。

{ "Version": "2012-10-17", "Id": "ExampleEFSFileSystemPolicy", "Statement": [{ "Sid": "AccessEFSFileSystem", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0", "Condition": { "Bool": { c: "true" }, "StringEquals": { "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890" } } }] }