Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Best practice per l'utilizzo dei volumi Amazon EFS con Amazon ECS
Prendi nota dei seguenti consigli sulle best practice quando usi Amazon EFS con Amazon ECS.
Sicurezza e controlli di accesso per i volumi Amazon EFS
Amazon EFS offre funzionalità di controllo degli accessi che puoi utilizzare per garantire che i dati archiviati in un file system Amazon EFS siano sicuri e accessibili solo dalle applicazioni che ne hanno bisogno. Puoi proteggere i dati abilitando la crittografia a riposo e in transito. Per ulteriori informazioni, consulta Crittografia dati in Amazon EFS nella Amazon Elastic File System User Guide.
Oltre alla crittografia dei dati, puoi anche utilizzare Amazon EFS per limitare l'accesso a un file system. Esistono tre modi per implementare il controllo degli accessi in EFS.
-
Gruppi di sicurezza: con gli obiettivi di montaggio di Amazon EFS, puoi configurare un gruppo di sicurezza utilizzato per consentire e negare il traffico di rete. Puoi configurare il gruppo di sicurezza collegato ad Amazon EFS per consentire il traffico NFS (porta 2049) dal gruppo di sicurezza collegato alle tue istanze Amazon ECS o, quando utilizzi la modalità di
awsvpcrete, il task Amazon ECS. -
IAM: puoi limitare l'accesso a un file system Amazon EFS utilizzando IAM. Una volta configurate, le attività di Amazon ECS richiedono un ruolo IAM per l'accesso al file system per montare un file system EFS. Per ulteriori informazioni, consulta Using IAM per controllare l'accesso ai dati del file system nella Amazon Elastic File System User Guide.
Le policy IAM possono anche applicare condizioni predefinite, come richiedere a un client di utilizzare TLS durante la connessione a un file system Amazon EFS. Per ulteriori informazioni, consulta le chiavi di condizione di Amazon EFS per i client nella Amazon Elastic File System User Guide.
-
Punti di accesso Amazon EFS: i punti di accesso Amazon EFS sono punti di ingresso specifici dell'applicazione in un file system Amazon EFS. Puoi utilizzare i punti di accesso per imporre l'identità di un utente, inclusi i gruppi POSIX dell'utente, per tutte le richieste del file system effettuate tramite il punto di accesso. I punti di accesso possono inoltre applicare una directory root diversa per il file system. In questo modo i client possono accedere solo ai dati nella directory specificata o nelle sue sottodirectory.
Policy IAM
Puoi utilizzare le policy IAM per controllare l'accesso al file system Amazon EFS.
È possibile specificare le seguenti operazioni per i client in un file system utilizzando una policy del file system.
| Azione | Descrizione |
|---|---|
|
|
Fornisce un accesso in sola lettura a un file system. |
|
|
Fornisce le autorizzazioni di scrittura su un file system. |
|
|
Fornisce la possibilità di utilizzare l'utente root quando si accede a un file system. |
È necessario specificare ogni azione in una policy. Le politiche possono essere definite nei seguenti modi:
-
Basato sul client: associa la policy al ruolo dell'attività
Imposta l'opzione di autorizzazione IAM quando crei la definizione dell'attività.
-
Basato sulle risorse: collega la policy al file system Amazon EFS
Se la politica basata sulle risorse non esiste, per impostazione predefinita al momento della creazione del file system l'accesso è concesso a tutti i principali (*).
Quando imposti l'opzione di autorizzazione IAM, uniamo la policy associata al task role e quella basata sulle risorse Amazon EFS. L'opzione di autorizzazione IAM trasmette l'identità dell'attività (il ruolo dell'attività) con la policy ad Amazon EFS. Ciò consente alla policy basata sulle risorse di Amazon EFS di avere un contesto per l'utente o il ruolo IAM specificato nella policy. Se non imposti l'opzione, la policy a livello di risorsa di Amazon EFS identifica l'utente IAM come «anonimo».
Prendi in considerazione l'implementazione di tutti e tre i controlli di accesso su un file system Amazon EFS per la massima sicurezza. Ad esempio, puoi configurare il gruppo di sicurezza collegato a un punto di montaggio Amazon EFS per consentire solo il traffico NFS in ingresso da un gruppo di sicurezza associato all'istanza del contenitore o all'attività Amazon ECS. Inoltre, puoi configurare Amazon EFS per richiedere un ruolo IAM per accedere al file system, anche se la connessione proviene da un gruppo di sicurezza consentito. Infine, puoi utilizzare gli access point Amazon EFS per applicare le autorizzazioni utente POSIX e specificare le directory root per le applicazioni.
Il seguente frammento di definizione delle attività mostra come montare un file system Amazon EFS utilizzando un punto di accesso.
"volumes": [ { "efsVolumeConfiguration": { "fileSystemId": "fs-1234", "authorizationConfig": { "accessPointId": "fsap-1234", "iam": "ENABLED" }, "transitEncryption": "ENABLED", "rootDirectory": "" }, "name": "my-filesystem" } ]
Prestazioni dei volumi Amazon EFS
Amazon EFS offre due modalità di prestazioni: General Purpose e Max I/O. General Purpose è adatto per applicazioni sensibili alla latenza come i sistemi di gestione dei contenuti e i CI/CD tools. In contrast, Max I/O file system sono adatti per carichi di lavoro come analisi dei dati, elaborazione multimediale e apprendimento automatico. Questi carichi di lavoro devono eseguire operazioni parallele da centinaia o addirittura migliaia di container e richiedono il throughput aggregato e gli IOPS più elevati possibili. Per ulteriori informazioni, consulta le modalità di prestazione di Amazon EFS nella Amazon Elastic File System User Guide.
Alcuni carichi di lavoro sensibili alla latenza richiedono sia i livelli di I/O più elevati forniti dalla modalità di prestazioni Max I/O sia la latenza più bassa fornita dalla modalità prestazionale General Purpose. Per questo tipo di carico di lavoro, consigliamo di creare più file system in modalità prestazionale per uso generico. In questo modo, è possibile distribuire il carico di lavoro delle applicazioni su tutti questi file system, purché il carico di lavoro e le applicazioni siano in grado di supportarlo.
Velocità effettiva dei volumi Amazon EFS
Tutti i file system Amazon EFS hanno un throughput misurato associato determinato dalla quantità di throughput assegnato per i file system che utilizzano Provisioned Throughput o dalla quantità di dati archiviati nella classe di storage EFS Standard o One Zone per i file system che utilizzano Bursting Throughput. Per ulteriori informazioni, consulta Understanding metered throughput nella Amazon Elastic File System User Guide.
La modalità di throughput predefinita per i file system Amazon EFS è la modalità bursting. Con la modalità bursting, la velocità effettiva disponibile per un file system aumenta o diminuisce man mano che il file system cresce. Poiché i carichi di lavoro basati su file in genere registrano picchi, richiedendo livelli di throughput elevati per periodi di tempo e livelli di throughput inferiori per il resto del tempo, Amazon EFS è progettato per consentire livelli di throughput elevati per periodi di tempo. Inoltre, poiché molti carichi di lavoro richiedono un elevato livello di lettura, le operazioni di lettura vengono misurate con un rapporto di 1:3 rispetto ad altre operazioni NFS (come la scrittura).
Tutti i file system Amazon EFS offrono prestazioni di base costanti di 50 MB/s for each TB of Amazon EFS Standard or Amazon EFS One Zone storage. All file systems (regardless of size) can burst to 100 MB/s. File systems with more than 1TB of EFS Standard or EFS One Zone storage can burst to 100 MB/s for each TB. Because read operations are metered at a 1:3 ratio, you can drive up to 300 MiBs/s per ogni TIB di throughput di lettura. Man mano che aggiungi dati al file system, il throughput massimo disponibile per il file system si ridimensiona in modo lineare e automatico con lo storage nella classe di storage Amazon EFS Standard. Se hai bisogno di un throughput superiore a quello che puoi ottenere con la quantità di dati archiviati, puoi configurare Provisioned Throughput sulla quantità specifica richiesta dal tuo carico di lavoro.
La velocità effettiva del file system è condivisa tra tutte le EC2 istanze Amazon connesse a un file system. Ad esempio, un file system da 1 TB che può arrivare a 100. MB/s of throughput can drive 100 MB/s from a single Amazon EC2 instance can each drive 10 MB/s Per ulteriori informazioni, consulta le prestazioni di Amazon EFS nella Amazon Elastic File System User Guide.
Ottimizzazione dei costi per i volumi Amazon EFS
Amazon EFS semplifica la scalabilità dello storage per te. I file system Amazon EFS crescono automaticamente man mano che aggiungi più dati. Soprattutto con la modalità Amazon EFS Bursting Throughput, la velocità effettiva su Amazon EFS si ridimensiona all'aumentare delle dimensioni del file system nella classe di storage standard. Per migliorare la velocità effettiva senza pagare costi aggiuntivi per la velocità effettiva assegnata su un file system EFS, puoi condividere un file system Amazon EFS con più applicazioni. Utilizzando i punti di accesso Amazon EFS, puoi implementare l'isolamento dello storage in file system Amazon EFS condivisi. In questo modo, anche se le applicazioni condividono ancora lo stesso file system, non possono accedere ai dati a meno che tu non li autorizzi.
Man mano che i dati crescono, Amazon EFS ti aiuta a spostare automaticamente i file a cui si accede raramente in una classe di storage inferiore. La classe di storage Amazon EFS Standard-Infrequent Access (IA) riduce i costi di storage per i file a cui non si accede ogni giorno. Lo fa senza sacrificare l'elevata disponibilità, l'elevata durabilità, l'elasticità e l'accesso al file system POSIX forniti da Amazon EFS. Per ulteriori informazioni, consulta le classi di storage EFS nella Amazon Elastic File System User Guide.
Prendi in considerazione l'utilizzo delle policy del ciclo di vita di Amazon EFS per risparmiare automaticamente denaro spostando i file a cui si accede raramente nello storage Amazon EFS IA. Per ulteriori informazioni, consulta Gestione del ciclo di vita EFS nella Guida per l'utente di Amazon Elastic File System.
Quando crei un file system Amazon EFS, puoi scegliere se Amazon EFS replica i dati su più zone di disponibilità (Standard) o archiviarli in modo ridondante all'interno di un'unica zona di disponibilità. La classe di storage Amazon EFS One Zone può ridurre i costi di storage di un margine significativo rispetto alle classi di storage Amazon EFS Standard. Prendi in considerazione l'utilizzo della classe di storage Amazon EFS One Zone per carichi di lavoro che non richiedono resilienza Multi-AZ. Puoi ridurre ulteriormente il costo dello storage Amazon EFS One Zone spostando i file a cui si accede raramente su Amazon EFS One Zone-Infrequent Access. Per ulteriori informazioni, consulta la sezione Amazon EFS Infrequent Access
Protezione dei dati dei volumi Amazon EFS
Amazon EFS archivia i dati in modo ridondante su più zone di disponibilità per file system che utilizzano classi di storage Standard. Se selezioni le classi di storage Amazon EFS One Zone, i tuoi dati vengono archiviati in modo ridondante all'interno di un'unica zona di disponibilità. Inoltre, Amazon EFS è progettato per fornire il 99,99999% (11 9) di durabilità in un determinato anno.
Come per qualsiasi ambiente, è consigliabile disporre di un backup e creare protezioni contro l'eliminazione accidentale. Per i dati di Amazon EFS, tale best practice include un backup funzionante e regolarmente testato utilizzando AWS Backup. I file system che utilizzano le classi di storage Amazon EFS One Zone sono configurati per eseguire automaticamente il backup dei file per impostazione predefinita al momento della creazione del file system, a meno che non si scelga di disabilitare questa funzionalità. Per ulteriori informazioni, consulta Backup up file system EFS nella Amazon Elastic File System User Guide.
