從另一個 VPC 安裝 EFS 檔案系統 - Amazon Elastic File System
先決條件從不同的 掛載 EFS 檔案系統 AWS 區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

從另一個 VPC 安裝 EFS 檔案系統

使用 VPC 對等互連或傳輸閘道來連接 VPC 時,即使 VPC 屬於不同帳戶,Amazon EC2 執行個體仍可在另一個 VPC 存取 EFS 檔案系統。

先決條件

使用下列程序之前,請先執行以下步驟:

  • 要在掛載 EFS 檔案系統的運算執行個體上安裝 Amazon EFS 用戶端,這是公用程式 amazon-efs-utils 集的一部分。您可以使用包含在中 amazon-efs-utils 的 EFS 掛載協助程式來掛載檔案系統。如需安裝 amazon-efs-utils 的指示,請參閱安裝 Amazon EFS 用戶端

  • 針對您附加到執行個體的 IAM 角色,允許 IAM 政策中的 ec2:DescribeAvailabilityZones 動作。建議您將 AWS 受管政策連接至 AmazonElasticFileSystemsUtils IAM 實體,以提供實體所需的許可。

  • 從另一個掛載時 AWS 帳戶,請更新檔案系統資源政策,以允許其他主體 ARN elasticfilesystem:DescribeMountTarget的動作 AWS 帳戶。例如:

    {
    "Id": "access-point-example03",
    "Statement": [
        {
            "Sid": "access-point-statement-example03",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::555555555555:root"},
            "Action": "elasticfilesystem:DescribeMountTargets",
            "Resource": "arn:aws:elasticfilesystem:us-east-2:111122223333:file-system/fs-12345678"
        }
    ]
}

    如需關於 EFS 檔案系統資源政策的詳細資訊,請參閱 Amazon EFS 中的資源型政策

  • 安裝 botocore。當將檔案系統掛載到另一個 VPC 上而檔案系統 DNS 名稱無法解析時,EFS 用戶端會使用 botocore 來擷取掛載目標 IP 地址。如需詳細資訊,請參閱 amazon-efs-utils README 檔案中安裝 botocore

  • 設定 VPC 對等互連或 VPC 傳輸閘道。

    您必須使用 VPC 對等連接或 VPC 傳輸閘道來連接用戶端的 VPC 和 EFS 檔案系統的 VPC。使用 VPC 對等互連或傳輸閘道來連接 VPC 時,即使 VPC 屬於不同帳戶,Amazon EC2 執行個體仍可在另一個 VPC 存取 EFS 檔案系統。

    傳輸閘道是網路傳輸中樞,您可以用於互相連接 VPC 和現場部署網路。如需使用 VPC 傳輸閘道的詳細資訊,請參閱《Amazon VPC 傳輸閘道指南》中的開始使用傳輸閘道

    VPC 對等連接是在兩個 VPC 之間的網路連線。這種連線類型可讓您使用私有網際網路通訊協定第 4 版 (IPv4) 或網際網路通訊協定第 6 版 (IPv6) 地址,在兩者間路由流量。您可以使用 VPC 對等互連來連接相同 AWS 區域 或之間的 VPCs AWS 區域。如需 VPC 互連的詳細資訊,請參閱《Amazon VPC 互連指南》中的什麼是 VPC 互連?

為確保檔案系統具備高可用性,建議您一律使用與 NFS 用戶端所在同一可用區域的 EFS 掛載目標 IP 地址。如果要掛載另一個帳戶中的 EFS 檔案系統,請確保 NFS 用戶端和 EFS 掛載目標位於相同的可用區域 ID。此要求適用的原因是,AZ 名稱在各個帳戶間可能會有不同。

使用 IAM 或存取點掛載另一個 VPC 中的 EFS 檔案系統

  1. 連線至 EC2 執行個體。如需詳細資訊,請參閱《Amazon EC2 使用者指南》中的連線至 EC2 執行個體Amazon EC2

  2. 您可以使用下列命令來建立掛載檔案系統的目錄。

    $ sudo mkdir /mnt/efs

  3. 若要透過 IAM 授權掛載檔案系統,請使用下列命令:

    $ sudo mount -t efs -o tls,iam file-system-dns-name /mnt/efs/

    如需搭配使用 IAM 授權與 EFS 的詳細資訊,請參閱使用 IAM 控制檔案系統資料存取

    若要透過 EFS 存取點掛載檔案系統,請使用下列命令:

    $ sudo mount -t efs -o tls,accesspoint=access-point-id file-system-dns-name /mnt/efs/

    如需 EFS 存取點的詳細資訊,請參閱使用 Amazon EFS 存取點

從不同的 掛載 EFS 檔案系統 AWS 區域

如果您要從與檔案系統 AWS 區域 不同的另一個 VPC 掛載 EFS 檔案系統,則需要編輯efs-utils.conf檔案。在 /dist/efs-utils.conf 中找出下列各行:

#region = us-east-1

取消註解行,並取代檔案系統所在區域的 ID 值 (如果檔案系統不在 us-east-1 中)。