Mengkonfigurasi AWS DataSync transfer dengan Amazon EFS - AWS DataSync
Menyediakan DataSync akses ke sistem EFS file AmazonPertimbangan jaringan dengan transfer Amazon EFSPertimbangan kinerja dengan transfer Amazon EFSMembuat lokasi EFS transfer Amazon AndaMenggunakan IAM kebijakan untuk mengakses sistem EFS file Amazon Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi AWS DataSync transfer dengan Amazon EFS

Untuk mentransfer data ke atau dari sistem EFS file Amazon Anda, Anda harus membuat lokasi AWS DataSync transfer. DataSync dapat menggunakan lokasi ini sebagai sumber atau tujuan untuk mentransfer data.

Menyediakan DataSync akses ke sistem EFS file Amazon

DataSync memasang sistem EFS file Amazon Anda sebagai pengguna root dari cloud pribadi virtual Anda (VPC) menggunakan antarmuka jaringan.

Saat membuat lokasi, Anda menentukan subnet dan grup keamanan yang DataSync digunakan untuk menyambung ke salah satu target pemasangan atau titik akses sistem EFS file Amazon Anda menggunakan port Network File System (NFS) 2049.

catatan

Jika DataSync mengakses sistem file tujuan melalui titik akses yang memberlakukan identitas pengguna, POSIX pengguna dan grup IDs untuk data sumber Anda tidak akan dipertahankan jika Anda mengonfigurasi DataSync tugas untuk menyalin kepemilikan. Sebaliknya, file dan folder yang ditransfer diatur ke pengguna dan grup jalur aksesIDs. Ketika ini terjadi, verifikasi tugas gagal karena DataSync mendeteksi ketidakcocokan antara metadata di lokasi sumber dan tujuan.

DataSync juga dapat memasang sistem EFS file Amazon yang dikonfigurasi untuk akses terbatas. Misalnya, Anda dapat menentukan peran AWS Identity and Access Management (IAM) yang memberikan DataSync tingkat izin yang diperlukan untuk terhubung ke sistem file Anda. Untuk informasi selengkapnya, lihat Menggunakan IAM kebijakan untuk mengakses sistem EFS file Amazon Anda.

Pertimbangan jaringan dengan transfer Amazon EFS

VPCsyang Anda gunakan dengan DataSync harus memiliki sewa default. VPCsdengan penyewaan khusus tidak didukung.

Pertimbangan kinerja dengan transfer Amazon EFS

Mode throughput sistem EFS file Amazon Anda dapat memengaruhi durasi transfer dan kinerja sistem file selama transfer. Pertimbangkan hal berikut:

  • Untuk hasil terbaik, kami sarankan menggunakan mode throughput elastis. Jika Anda tidak menggunakan mode throughput Elastis, transfer Anda mungkin memakan waktu lebih lama.

  • Jika Anda menggunakan mode throughput Bursting, kinerja aplikasi sistem file Anda mungkin terpengaruh karena DataSync menggunakan kredit burst sistem file.

  • Cara Anda mengonfigurasi DataSync untuk memverifikasi data yang ditransfer dapat memengaruhi kinerja sistem file dan biaya akses data.

Untuk informasi selengkapnya, lihat EFSPerforma Amazon di Panduan Pengguna Amazon Elastic File System dan halaman EFSHarga Amazon.

Membuat lokasi EFS transfer Amazon Anda

Untuk membuat lokasi transfer, Anda memerlukan sistem EFS file Amazon yang ada. Jika Anda tidak memilikinya, lihat Memulai Amazon Elastic File System di Panduan Pengguna Amazon Elastic File System.

  1. Buka AWS DataSync konsol di https://console.aws.amazon.com/datasync/.

  2. Di panel navigasi kiri, perluas Transfer data, lalu pilih Lokasi dan Buat lokasi.

  3. Untuk jenis Lokasi, pilih sistem EFS file Amazon.

    Anda mengonfigurasi lokasi ini sebagai sumber atau tujuan nanti.

  4. Untuk sistem File, pilih sistem EFS file Amazon yang ingin Anda gunakan sebagai lokasi.

    Anda mengonfigurasi lokasi ini sebagai sumber atau tujuan nanti.

  5. Untuk jalur Mount, masukkan jalur pemasangan untuk sistem EFS file Amazon Anda.

    Ini menentukan di mana DataSync membaca atau menulis data (tergantung pada apakah ini adalah lokasi sumber atau tujuan).

    Secara default, DataSync gunakan direktori root (atau titik akses jika Anda mengkonfigurasinya). Anda juga dapat menentukan subdirektori menggunakan garis miring maju (misalnya,). /path/to/directory

  6. Untuk Subnet pilih subnet tempat DataSync membuat antarmuka jaringan untuk mengelola lalu lintas selama transfer Anda.

    Subnet harus ditemukan:

    • Sama VPC seperti sistem EFS file Amazon.

    • Di Availability Zone yang sama dengan setidaknya satu target pemasangan sistem file.

    catatan

    Anda tidak perlu menentukan subnet yang menyertakan target pemasangan sistem file.

  7. Untuk grup Keamanan, pilih grup keamanan yang terkait dengan target pemasangan sistem EFS file Amazon.

    catatan

    Grup keamanan yang Anda tentukan harus mengizinkan lalu lintas masuk pada NFS port 2049. Untuk informasi selengkapnya, lihat Menggunakan grup VPC keamanan untuk EC2 instans Amazon dan memasang target di Panduan Pengguna Amazon Elastic File System.

  8. Untuk enkripsi In-transit, pilih apakah Anda DataSync ingin menggunakan enkripsi Transport Layer Security (TLS) saat menyalin data ke atau dari sistem file Anda.

    catatan

    Anda harus mengaktifkan pengaturan ini jika Anda ingin mengonfigurasi titik akses, IAM peran, atau keduanya dengan lokasi Anda.

  9. (Opsional) Untuk titik EFS akses, pilih titik akses yang DataSync dapat digunakan untuk memasang sistem EFS file Amazon Anda.

  10. (Opsional) Untuk IAMperan, tentukan peran yang memungkinkan DataSync untuk mengakses sistem file Anda.

    Untuk informasi tentang membuat peran ini, lihat Menggunakan IAM kebijakan untuk mengakses sistem EFS file Amazon Anda

  11. (Opsional) Pilih Tambahkan tag untuk menandai sistem file Anda.

    Tanda adalah pasangan nilai kunci yang membantu mengelola, memfilter, dan mencari lokasi Anda.

  12. Pilih Buat lokasi.

  1. Identifikasi subnet yang memiliki setidaknya satu target pemasangan untuk sistem file tersebut. Anda dapat melihat semua target mount dan subnet yang terkait dengan sistem EFS file dengan menggunakan describe-mount-targets perintah.

    aws efs describe-mount-targets \
    --region aws-region  \
    --file-system-id file-system-id
    catatan

    Wilayah AWS Yang Anda tentukan adalah tempat bucket atau sistem EFS file S3 target Anda berada.

    Perintah ini mengembalikan informasi tentang target serupa dengan informasi yang ditampilkan berikut.

    {
    "MountTargets": [
        {
            "OwnerId": "111222333444",
            "MountTargetId": "fsmt-22334a10",
            "FileSystemId": "fs-123456ab",
            "SubnetId": "subnet-f12a0e34",
            "LifeCycleState": "available",
            "IpAddress": "11.222.0.123",
            "NetworkInterfaceId": "eni-1234a044"
        }
    ]
}

  2. Tentukan grup EC2 keamanan Amazon yang dapat mengakses target pemasangan. Anda dapat menjalankan perintah berikut untuk mengetahui grup keamanan target pemasangan.

    aws efs describe-mount-target-security-groups \
    --region aws-region \
    --mount-target-id mount-target-id

    Grup keamanan yang Anda berikan harus dapat berkomunikasi dengan grup keamanan pada target pemasangan di subnet yang ditentukan.

    Hubungan antara grup keamanan M pada target pemasangan dan grup keamanan S, yang Anda sediakan DataSync untuk digunakan pada tahap ini, adalah sebagai berikut:

    • Grup keamanan M, yang Anda kaitkan dengan target pemasangan, harus mengizinkan akses masuk untuk TCP protokol pada NFS port (2049) dari grup keamanan S.

      Anda dapat mengaktifkan koneksi masuk baik dengan alamat IP (CIDRrentang) atau grup keamanannya.

    • Grup keamanan S, yang Anda berikan DataSync untuk mengakses AmazonEFS, harus memiliki aturan yang memungkinkan koneksi keluar ke NFS port. Aturan tersebut mengaktifkan koneksi keluar pada salah satu target pemasangan sistem file.

      Anda dapat mengaktifkan koneksi keluar baik dengan alamat IP (CIDRrentang) atau grup keamanan.

      Untuk informasi tentang grup keamanan dan target pemasangan, lihat Grup keamanan untuk EC2 instans Amazon dan memasang target di Panduan Pengguna Sistem File Elastis Amazon.

  3. Buat lokasi. Untuk membuat EFS lokasi, Anda memerlukan EC2 subnet Amazon, grup EC2 keamanan Amazon, dan sistem file. ARNs Karena DataSync API penerima sepenuhnya memenuhi syaratARNs, Anda dapat membangun ini. ARNs Untuk informasi tentang cara membuat ARNs layanan yang berbeda, lihat Amazon Resource Names (ARNs) di Referensi Umum AWS.

    Gunakan perintah berikut untuk membuat EFS lokasi.

    aws datasync create-location-efs \
    --subdirectory /path/to/your/subdirectory \
    --efs-filesystem-arn 'arn:aws:elasticfilesystem:region:account-id:file-system/filesystem-id' \
    --ec2-config SecurityGroupArns='arn:aws:ec2:region:account-id:security-group/security-group-id',SubnetArn='arn:aws:ec2:region:account-id:subnet/subnet-id'
catatan

Wilayah AWS Yang Anda tentukan adalah tempat bucket atau sistem EFS file S3 target Anda berada.

Perintah mengembalikan lokasi yang ARN mirip dengan yang ditunjukkan berikut.

{ 
    "LocationArn": "arn:aws:datasync:us-west-2:111222333444:location/loc-07db7abfc326c50fb" 
}

Menggunakan IAM kebijakan untuk mengakses sistem EFS file Amazon Anda

Anda dapat mengonfigurasi sistem EFS file Amazon Anda dengan tingkat keamanan yang lebih tinggi dengan menggunakan IAM kebijakan. Dalam kebijakan sistem file Anda, Anda dapat menentukan IAM peran yang masih memungkinkan DataSync untuk terhubung dengan sistem file.

catatan

Untuk menggunakan IAM peran, Anda harus mengaktifkan TLS enkripsi dalam transit saat membuat DataSync lokasi untuk sistem file Anda.

Untuk informasi selengkapnya, lihat Menggunakan IAM untuk mengontrol akses data sistem file di Panduan Pengguna Amazon Elastic File System.

Menciptakan IAM peran untuk DataSync

Buat peran dengan DataSync sebagai entitas tepercaya.

Untuk membuat IAM peran

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi kiri, di bawah Manajemen akses, pilih Peran, lalu pilih Buat peran.

  3. Pada halaman Pilih entitas tepercaya, untuk jenis entitas tepercaya, pilih Kebijakan kepercayaan khusus.

  4. Tempelkan yang berikut ini JSON ke editor kebijakan:

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": "datasync.amazonaws.com"
        },
        "Action": "sts:AssumeRole"
    }]
}

  5. Pilih Berikutnya. Pada halaman Tambahkan izin, pilih Berikutnya.

  6. Beri nama peran Anda dan pilih Buat peran.

Tentukan peran ini saat membuat lokasi untuk sistem EFS file Amazon Anda.

Contoh kebijakan sistem EFS file Amazon

IAMKebijakan contoh berikut mencakup elemen yang membantu membatasi akses ke sistem EFS file Amazon (diidentifikasi dalam kebijakan sebagaifs-1234567890abcdef0):

  • Principal: Menentukan IAM peran yang memberikan DataSync izin untuk terhubung ke sistem file.

  • Action: Memberikan akses DataSync root dan memungkinkannya membaca dari dan menulis ke sistem file.

  • aws:SecureTransport: Membutuhkan NFS klien untuk menggunakan TLS saat menghubungkan ke sistem file.

  • elasticfilesystem:AccessPointArn: Memungkinkan akses ke sistem file hanya melalui titik akses tertentu.

{
    "Version": "2012-10-17",
    "Id": "ExampleEFSFileSystemPolicy",
    "Statement": [{
        "Sid": "AccessEFSFileSystem",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole"
        },
        "Action": [
            "elasticfilesystem:ClientMount",
            "elasticfilesystem:ClientWrite",
            "elasticfilesystem:ClientRootAccess"
        ],
        "Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0",
        "Condition": {
            "Bool": {
                "aws:SecureTransport": "true"
            },
            "StringEquals": {
                "elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890"
            }
        }
    }]
}