本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为创建 Amazon EFS 位置Amazon DataSync
位置是 Amazon EFS 文件系统的终端节点。 Amazon DataSync可以使用该位置作为复制数据的源或目标。
访问 Amazon EFS 文件系统
DataSync 使用网络接口以根用户身份从虚拟私有云 (VPC) 挂载您的 Amazon EFS 文件系统。
创建位置时,您可以 DataSync使用网络文件系统 (NFS) 端口 2049 指定用于连接到 Amazon EFS 文件系统的挂载目标或接入点的子网和安全组。
DataSync 还可以挂载配置为限制访问的 Amazon EFS 文件系统。例如,您可以指定一个Amazon Identity and Access Management (IAM) 角色, DataSync 该角色提供连接到您的文件系统所需的权限级别。有关更多信息,请参阅使用 IM 策略访问您的 Amazon EFS 文件系统:
亚马逊 EFS 位置注意事项
为 Amazon EFS 文件系统创建 DataSync 位置时,请考虑以下几点:
与您一起使用的 VPC DataSync 必须具有默认租期。不支持具有专用租赁的 VPC。有关更多信息,请参阅
-
在突增吞吐量模式下创建 Amazon EFS 文件系统时,您将获得价值 2.1 TB 的突发积分分分配。所有 Amazon EFS 文件系统都可以在突增吞吐量模式下突增至每秒 100 MB 的吞吐量。当有突发积分可用时,Amazon S3 标准类存储空间超过 1 TiB 的文件系统每秒可驱动 100 MiB。
DataSync 消耗文件系统突发积分。这可能会影响应用程序性能。在使用 DataSync 具有活跃工作负载的文件系统时,可以考虑使用 Amazon EFS 弹性吞吐量或预置吞吐量模式。
-
处于通用性能模式的 Amazon EFS 文件系统的限制为每秒 35,000 次文件系统操作。此限制可能会影响复制文件时 DataSync 可以达到的最大吞吐量。
读取数据或元数据的操作会消耗一个文件操作。写入数据或更新元数据的操作会消耗五个文件操作。这意味着文件系统可以支持每秒 35,000 次读取操作、7,000 次写入操作或两者的某种组合。从所有连接的客户端统计文件操作数。
有关更多信息,请参阅 Amazon Elastic F ile System 用户指南中的 Amazon EFS 性能。
创建地点
要创建位置,您需要现有的 Amazon EFS 文件系统。如果您没有,请参阅 Amazon Elastic File System 用户指南中的开始使用 Amazon Elastic File System。
创建 Amazon EFS 位置
通过 https://console.aws.amazon.com/datasync/
打开Amazon DataSync主机。 -
在左侧导航窗格中,选择 Certific at es, Crofiles(创建位置)。
-
对于位置类型,选择 Amazon EFS 文件系统。
您可在稍后将此位置配置为源或目标。
-
对于 F il e system(文件系统),请选择要用作位置的 Amazon EFS 文件系统。
您可在稍后将此位置配置为源或目标。
-
在挂载路径中,输入 Amazon EFS 文件系统的挂载路径。
这指定了 DataSync 读取或写入数据的位置(具体视源位置还是目标位置而定)。
默认情况下, DataSync 使用根目录(如果配置了根目录,则使用接入点)。您也可以使用正斜杠指定子目录(例如,
/path/to/directory)。 -
对于子网,请选择一个子网,在该子网中 DataSync 创建用于管理传输过程中的流量的网络接口。
子网必须位于:
-
与Amazon EFS 文件系统位于同一 VPC 中。
-
至少与一个文件系统挂载目标位于同一个可用区。
注意
您无需指定包含文件系统挂载目标的子网。
-
-
对于安全组,请选择与 Amazon EFS 文件系统的挂载目标关联的安全组。
-
对于传输中加密,请选择在将数据复制 DataSync 到文件系统或从文件系统复制数据时是否要使用传输层安全性协议(TLS)加密。
注意
如果您想在您的位置配置接入点、IAM 角色或两者,则必须启用此设置。
-
(可选)对于 EFS 接入点,选择 DataSync 可用于挂载 Amazon EFS 文件系统的接入点。
-
(可选)对于 IAM 角色,指定 DataSync 允许访问您的文件系统的角色。
有关创建此角色的信息,请参见使用 IM 策略访问您的 Amazon EFS 文件系统
-
(可选)选择添加标签来标记您的文件系统。
标签 是帮助您管理、筛选和搜索位置的键值对。
-
选择创建地点。
使用 IM 策略访问您的 Amazon EFS 文件系统
您可以使用 IAM 策略将 Amazon EFS 文件系统配置为更高的安全级别。在文件系统策略中,您可以指定仍 DataSync 允许与文件系统连接的 IAM 角色。
注意
要使用 IAM 角色,您必须在为文件系统创建 DataSync位置时启用 TLS 进行传输中加密。
有关更多信息,请参阅 A mazon Elastic File System 用户指南中的使用 IAM 控制文件系统数据访问。
为创建 IM 角色 DataSync
以可信实体 DataSync 身份创建角色。
创建 IAM 角色
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在左侧导航窗格的 “访问管理” 下,选择 “角色”,然后选择 “创建角色”。
-
在 “选择可信实体” 页面上,对于 “可信实体类型”,选择 “自定义信任策略”。
-
将下面的 JSON 粘贴到策略编辑器中:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": "datasync.amazonaws.com" }, "Action": "sts:AssumeRole" }] } -
选择 Next(下一步)。在 Add permissions(添加权限)页面上,选择 Next(下一步)。
-
为您的角色命名,然后选择创建角色。
为 Amazon EFS 文件系统创建位置时,请指定此角色。
Amazon EFS 文件系统策略示例
以下示例 IAM 策略包含有助于限制对 Amazon EFS 文件系统的访问的元素(在策略中标识为fs-):1234567890abcdef0
-
Principal:指定一个 DataSync授予连接到文件系统权限的 IAM 角色。 -
Action:授予 DataSync root 访问权限并允许其读取和写入文件系统。 -
aws:SecureTransport:要求 NFS 客户端在连接到文件系统时使用 TLS。 -
elasticfilesystem:AccessPointArn:仅允许通过特定接入点访问文件系统。
{ "Version": "2012-10-17", "Id": "ExampleEFSFileSystemPolicy", "Statement": [{ "Sid": "AccessEFSFileSystem", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole" }, "Action": [ "elasticfilesystem:ClientMount", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientRootAccess" ], "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0", "Condition": { "Bool": { "aws:SecureTransport": "true" }, "StringEquals": { "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890" } } }] }