排除加密故障
您可以在下文中找到有关解决 Amazon EFS 加密问题的信息。
具有传输中的数据加密的挂载失败
默认情况下,当您使用带有传输层安全性 (TLS) 的 Amazon EFS 挂载帮助程序时,它会强制执行主机名检查。某些系统不支持此功能,例如使用 Red Hat Enterprise Linux 或 CentOS 时。在这些情况下,挂载使用 TLS 的 EFS 文件系统会失败。
措施
我们建议您升级客户端上的 stunnel 版本以支持主机名检查。有关更多信息,请参阅 升级 stunnel。
具有传输中的数据加密的挂载中断
在极少数情况下,客户端事件可能会导致到您的 Amazon EFS 文件系统的加密连接挂起或中断。
措施
如果到使用传输中的数据加密的 Amazon EFS 文件系统的连接中断,请执行以下步骤:
-
确保正在客户端上运行 stunnel 服务。
-
确认正在客户端上运行监控程序应用程序
amazon-efs-mount-watchdog。您可以使用以下命令确定是否正在运行该应用程序:ps aux | grep [a]mazon-efs-mount-watchdog -
检查您的支持日志。有关更多信息,请参阅 获取支持日志。
-
(可选)您可以启用 stunnel 日志以及检查这些日志中的信息。您可以在
/etc/amazon/efs/efs-utils.conf中更改日志配置以启用 stunnel 日志。但是,这样做需要卸载文件系统,然后使用挂载帮助程序重新挂载以使更改生效。重要 启用 stunnel 日志可能会用完您的文件系统上的宝贵空间量。
如果仍然中断,请与 AWS Support 联系。
无法创建静态加密的文件系统
您已尝试创建新的静态加密的文件系统。不过,您会收到一条错误消息,指出 AWS KMS 不可用。
措施
在极少数情况下,AWS KMS 可能在您的 AWS 区域中暂时不可用,从而出现该错误。如果发生这种情况,请等到 AWS KMS 恢复完全可用,然后重试以创建文件系统。
无法使用的加密文件系统
加密的文件系统持续返回 NFS 服务器错误。如果由于以下原因之一 EFS 无法从 AWS KMS 中检索主密钥,则可能会出现这些错误:
-
禁用了密钥。
-
删除了密钥。
-
撤销了 Amazon EFS 使用密钥的权限。
-
AWS KMS 暂时不可用。
措施
首先,确认已启用 AWS KMS 密钥。为此,您可以在控制台中查看这些密钥。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的查看密钥。
如果未启用密钥,请将其启用。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的启用和禁用密钥。
如果密钥处于待删除状态,该状态将禁用密钥。您可以取消删除,然后重新启用密钥。有关更多信息,请参阅 AWS Key Management Service Developer Guide 中的计划和取消密钥删除。
如果已启用密钥并且仍遇到问题,或者在重新启用密钥时遇到问题,请与 AWS Support 联系。