使用 amazon-efs-utils 工具 - Amazon Elastic File System
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

使用 amazon-efs-utils 工具

您可以在下文中找到 amazon-efs-utils 说明,这是一个开源 Amazon EFS 工具集。

升级 stunnel

要将传输中数据加密与 Amazon EFS 挂载帮助程序一起使用,需要使用 OpenSSL 1.0.2 或更高版本以及支持 OCSP 和证书主机名检查的 stunnel 版本。Amazon EFS 挂载帮助程序使用 stunnel 程序提供 TLS 功能。请注意,某些版本的 Linux 不包含默认支持这些 TLS 功能的 stunnel 版本。在使用这些 Linux 版本之一时,使用 TLS 挂载 Amazon EFS 文件系统将失败。

在安装 Amazon EFS 挂载帮助程序后,您可以按照以下说明升级您的系统的 stunnel 版本。

升级 stunnel

  1. 在 Web 浏览器中,转到 stunnel 下载页面 https://stunnel.org/downloads.html

  2. 找到以 tar.gz 格式提供的最新 stunnel 版本。记下该文件的名称,因为您在接下来的步骤中将需要用到。

  3. 在 Linux 客户端上打开一个终端,然后按提供的顺序运行以下命令。

  4. $ sudo yum install -y gcc openssl-devel tcp_wrappers-devel
  5. latest-stunnel-version 替换为之前在步骤 2 中记下的文件名称。

    $ sudo curl -o latest-stunnel-version.tar.gz https://stunnel.org/downloads/latest-stunnel-version.tar.gz
  6. $ sudo tar xvfz latest-stunnel-version.tar.gz
  7. $ cd latest-stunnel-version/
  8. $ sudo ./configure
  9. $ sudo make
  10. 当前 amazon-efs-utils 软件包安装在 bin/stunnel 中。请使用以下命令删除该目录,以便可以安装新版本。

    $ sudo rm /bin/stunnel
  11. $ sudo make install
  12. 注意

    默认 CentOS shell 为 csh,它使用与 bash shell 不同的语法。以下代码先调用 bash,然后运行。

    bash
    if [[ -f /bin/stunnel ]]; then sudo mv /bin/stunnel /root fi
  13. $ sudo ln -s /usr/local/bin/stunnel /bin/stunnel

在安装某个具有所需功能的 stunnel 版本后,您可以使用 TLS 和建议的设置挂载文件系统。

禁用证书主机名检查

如果无法安装所需的依赖项,您可以选择在 Amazon EFS 挂载帮助程序配置中禁用证书主机名检查。我们建议您不要在生产环境中禁用此功能。要禁用证书主机名检查,请执行以下操作:

  1. 使用所选的文本编辑器打开 /etc/amazon/efs/efs-utils.conf 文件。

  2. stunnel_check_cert_hostname 值设置为 false。

  3. 保存对该文件的更改,然后关闭该文件。

有关使用传输中的数据加密的更多信息,请参阅安装EFS文件系统

启用在线证书状态协议

为了在无法从 VPC 访问 CA 时最大程度地提高文件系统可用性,当您选择加密传输中的数据时,默认情况下不会启用在线证书状态协议 (OCSP)。Amazon EFS 使用 Amazon 证书颁发机构 (CA) 颁发和签署其 TLS 证书,并且 CA 指示客户端使用 OCSP 检查撤销的证书。必须可以通过 Internet 从 Virtual Private Cloud 访问 OCSP 终端节点,以检查证书的状态。在该服务中,EFS 持续监视证书状态,并颁发新证书以替换它检测到的任何已撤销证书。

为了提供最高安全性,您可以启用 OCSP,以便 Linux 客户端可以检查撤销的证书。OCSP 可防止恶意使用已撤销的证书,这种情况不太可能发生在您的 VPC 中。如果撤销 EFS TLS 证书,Amazon 将发布安全公告,并发布拒绝已撤销的证书的新版 EFS 挂载帮助程序。

在 Linux 客户端上启用 OCSP,以便将来都可以与 EFS 建立 TLS 连接

  1. 打开 Linux 客户端上的一个终端。

  2. 使用所选的文本编辑器打开 /etc/amazon/efs/efs-utils.conf 文件。

  3. stunnel_check_cert_validity 值设置为 true。

  4. 保存对该文件的更改,然后关闭该文件。

mount 命令中启用 OCSP

  • 使用以下挂载命令在挂载文件系统时启用 OCSP。

    $ sudo mount -t efs -o tls,ocsp fs-12345678:/ /mnt/efs