amazon elastic file system - aws documentation · installation du package amazon-efs-utils sur...

Amazon Elastic File SystemGuide de l'utilisateur

Amazon Elastic File System Guide de l'utilisateur

Amazon Elastic File System: Guide de l'utilisateurCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of ContentsQu'est-ce qu'Amazon Elastic File System ? ............................................................................................ 1

Vous utilisez Amazon EFS pour la première fois ? ........................................................................... 2Comment ça fonctionne ....................................................................................................................... 3

Présentation ............................................................................................................................... 3Comment Amazon EFS fonctionne avec Amazon EC2 ..................................................................... 4Fonctionnement d'Amazon EFS avec AWS Direct Connect ............................................................... 5Récapitulatif de l'implémentation ................................................................................................... 6Authentification et contrôle d'accès ................................................................................................ 7Cohérence des données dans Amazon EFS ................................................................................... 7

Configuration ...................................................................................................................................... 8Inscrivez-vous à AWS ................................................................................................................. 8Créer un utilisateur IAM ............................................................................................................... 8

Mise en route ................................................................................................................................... 11Hypothèses .............................................................................................................................. 11Rubriques connexes .................................................................................................................. 12Étape 1 : Créer vos ressources EC2 et lancer votre instance EC2 .................................................... 12Étape 2 : Créer votre système de fichiers Amazon EFS .................................................................. 15Étape 3 : Vous connecter à votre instance Amazon EC2 et monter le système de fichiers Amazon EFS ... 16Étape 4 : Synchroniser les fichiers de systèmes de fichiers existants vers Amazon EFS en utilisant EFSFile Sync ................................................................................................................................. 17Étape 5 : Nettoyer les ressources et protéger votre compte AWS ..................................................... 18

Création de ressources pour Amazon EFS ........................................................................................... 20Création de systèmes de fichiers ................................................................................................ 21

Prérequis ......................................................................................................................... 21Autorisations nécessaires ................................................................................................... 21Création d'un système de fichiers ........................................................................................ 22

Création de cibles de montage ................................................................................................... 25Création d'une cible de montage cible à l'aide de la console Amazon EFS ................................. 26Création d'une cible de montage cible à l'aide de l'AWS CLI .................................................... 29

Création de groupes de sécurité ................................................................................................. 29Création de groupes de sécurité à l'aide d'AWS Management Console ...................................... 30Création de groupes de sécurité à l'aide de l'AWS CLI ........................................................... 31

Utilisation des systèmes de fichiers ..................................................................................................... 32Rubriques connexes .................................................................................................................. 32Utilisateurs, groupes et autorisations de niveau NFS ...................................................................... 32

Exemples de cas d'utilisation du système fichier Amazon EFS et d'autorisations .......................... 33Autorisations d'ID utilisateur et de groupe sur les fichiers et les répertoires au sein d'un systèmede fichiers ........................................................................................................................ 34Aucune écrasement racine ................................................................................................. 35Mise en cache des autorisations ......................................................................................... 35Modification de la propriété d'un objet du système de fichiers .................................................. 35

Amazon EFS File Sync .............................................................................................................. 35Conditions requises pour EFS File Sync ............................................................................... 35Architecture EFS File Sync ................................................................................................. 39Comment EFS File Sync transfère-t-il des fichiers ? ............................................................... 40

Utilisation d'amazon-efs-utils ............................................................................................................... 42Présentation ............................................................................................................................. 42Installation du package amazon-efs-utils sur Amazon Linux ............................................................. 43Installation du package amazon-efs-utils sur d'autres distributions Linux ............................................ 43Mise à niveau de stunnel ........................................................................................................... 45Assistant de montage EFS ......................................................................................................... 46

Fonctionnement ................................................................................................................ 46Utilisation de l'assistant de montage EFS ............................................................................. 46Obtention de journaux de support ....................................................................................... 46

iii


Utilisation d'amazon-efs-utils avec AWS Direct Connect .......................................................... 47Rubriques connexes .......................................................................................................... 47

Gestion des systèmes de fichiers ........................................................................................................ 48Gestion de l'accessibilité réseau .................................................................................................. 48

Création ou suppression de cibles de montage dans un VPC ................................................... 50Création de cibles de montage dans un autre VPC ................................................................ 53Mise à jour de la configuration de cible de montage ............................................................... 54

Gestion des balises ................................................................................................................... 55Utilisation de la console ..................................................................................................... 55Utilisation de l'AWS CLI ..................................................................................................... 56

Mesure des tailles de système de fichiers et d'objet. ...................................................................... 56Mesures des objets du système de fichiers Amazon EFS ........................................................ 56Mesures sur un système de fichiers Amazon EFS ................................................................. 57

Gestion d'EFS File Sync ............................................................................................................ 58Suppression d'un agent de synchronisation ........................................................................... 58Suppression d'une tâche de synchronisation ......................................................................... 58Présentation du statut de l'agent de synchronisation ............................................................... 59Présentation du statut de la tâche de synchronisation ............................................................. 59Exécution des tâches sur la console locale de machine virtuelle EFS File Sync ........................... 60Exécution de tâches de maintenance pour la synchronisation des fichiers sur la console localeAmazon EC2 .................................................................................................................... 66

Suppression d'un système de fichiers .......................................................................................... 69Utilisation de la console ..................................................................................................... 69Utilisation de l'interface de ligne de commande ..................................................................... 70Rubriques connexes .......................................................................................................... 70

Gestion de l'accès aux systèmes de fichiers chiffrés ....................................................................... 70Exécution d'actions d'administration sur les clés principales client Amazon EFS .......................... 71Rubriques connexes .......................................................................................................... 72

Montage des systèmes de fichiers ....................................................................................................... 73Dépannage des versions d'AMI et de noyau ................................................................................. 73Installation d'amazon-efs-utils ...................................................................................................... 73Montage avec l'assistant de montage EFS .................................................................................... 73

Montage sur EC2 avec l'assistant de montage EFS ............................................................... 74Montage sur votre client Linux sur site avec l'assistant de montage EFS sur AWS Direct Connect ... 75

Montage automatique ................................................................................................................ 75Mise à jour d'une instance EC2 existante pour un montage automatique .................................... 75Configuration d'un système de fichiers EFS pour un montage automatique au lancement d'uneinstance EC2 ................................................................................................................... 77

Considérations de montage supplémentaires ................................................................................. 78Démontage des systèmes de fichiers ................................................................................... 79

Supervision des systèmes de fichier .................................................................................................... 81Outils de supervision ................................................................................................................. 81

Outils automatiques ........................................................................................................... 81Outils de surveillance manuelle ........................................................................................... 82

Supervision de CloudWatch ........................................................................................................ 82Métriques Amazon CloudWatch pour Amazon EFS ................................................................ 83Octets signalés dans CloudWatch ....................................................................................... 85Dimensions Amazon EFS ................................................................................................... 86Comment utiliser les métriques Amazon EFS ? ..................................................................... 86Surveillance d'EFS File Sync .............................................................................................. 86Accès aux métriques CloudWatch ....................................................................................... 87Création d'alarmes ............................................................................................................ 88Utilisation des mathématiques appliquées aux métriques avec Amazon EFS .............................. 89

Journalisation des appels d'API Amazon EFS avec AWS CloudTrail ................................................. 92Informations relatives à Amazon EFS dans CloudTrail ............................................................ 92Présentation des entrées des fichiers journaux Amazon EFS ................................................... 93Entrées des fichiers journaux Amazon EFS pour les systèmes de fichiers chiffrés au repos ........... 94

iv


Performances ................................................................................................................................... 96Présentation des performances ................................................................................................... 96Cas d'utilisation d'Amazon EFS ................................................................................................... 97

Big Data et analyse .......................................................................................................... 97Workflows de traitement multimédia ..................................................................................... 97Gestion de contenu et services Web .................................................................................... 97Répertoires de base .......................................................................................................... 97Synchronisation d'un système de fichiers vers Amazon EFS .................................................... 97

Modes de performances ............................................................................................................ 97Mode de performances Usage général ................................................................................. 98Mode de performance E/S max .......................................................................................... 98Utilisation du mode de performances approprié ..................................................................... 98

Modes de débit ........................................................................................................................ 98Transmission en rafales ..................................................................................................... 99Débit réservé .................................................................................................................. 101Utilisation du mode de débit approprié ............................................................................... 101

Considérations sur les performances sur site ............................................................................... 102Configuration pour la haute disponibilité .............................................................................. 102

Conseils sur les performances Amazon EFS ............................................................................... 102Rubriques connexes ................................................................................................................ 103

Sécurité ......................................................................................................................................... 104Autorisations AWS Identity and Access Management (IAM) pour les appels d'API .............................. 104Groupes de sécurité pour les instances Amazon EC2 et les cibles de montage ................................. 104

Considérations de sécurité pour le montage d'un système de fichiers Amazon EFS .................... 105Autorisations de lecture, d'écriture et d'exécution pour les fichiers et les répertoires EFS ..................... 106Ports source ........................................................................................................................... 107Chiffrement des données et métadonnées dans EFS .................................................................... 107

Quand utiliser le chiffrement ? ........................................................................................... 107Chiffrement des données en transit .................................................................................... 107Chiffrement de données au repos ...................................................................................... 109Rubriques connexes ........................................................................................................ 111

Restrictions .................................................................................................................................... 112Limites Amazon EFS que vous pouvez augmenter ....................................................................... 112Limites des ressources ............................................................................................................ 113Limites pour les instances EC2 de client .................................................................................... 113Limites pour les systèmes de fichiers Amazon EFS ...................................................................... 114Limites pour EFS File Sync ...................................................................................................... 114Fonctions NFSv4 non prises en charge ...................................................................................... 114Considérations supplémentaires ................................................................................................ 115

Dépannage Amazon EFS ................................................................................................................. 117Dépannage de problèmes généraux ........................................................................................... 117

Blocage d'instance Amazon EC2 ....................................................................................... 117Une application qui écrit de grandes quantités de données se bloque ...................................... 118Les opérations d'ouverture et de fermeture sont sérialisées ................................................... 118Paramètres NFS personnalisés entrainant des délais d'écriture .............................................. 119La création de sauvegardes avec Oracle Recovery Manager est lente ..................................... 119

Résolution des erreurs de traitement de fichiers ........................................................................... 119Échec de la commande avec l'erreur « Quota de disque dépassé » ......................................... 120Échec de la commande avec l'erreur « Erreur d'E/S » ........................................................... 120Échec de la commande avec l'erreur « Le nom de fichier est trop long » .................................. 120Échec de la commande avec l'erreur « Trop de liens » .......................................................... 121Échec de la commande avec l'erreur « Fichier trop volumineux » ............................................ 121Échec de la commande avec l'erreur « Réessayer » ............................................................. 121

Résolution des problèmes d'AMI et de noyau .............................................................................. 121Impossible d'exécuter la commande chown ......................................................................... 122Le système de fichiers continue à effectuer des opérations plusieurs fois en raison d'un bogueclient ............................................................................................................................. 122

v


Client bloqué .................................................................................................................. 122L'affichage de la liste de fichiers d'un répertoire volumineux prend beaucoup de temps. .............. 122

Résolution des problèmes de montage ....................................................................................... 123Le montage du système de fichiers sur l'instance Windows échoue ......................................... 123Le montage automatique échoue et l'instance ne répond pas ................................................. 123Le montage de plusieurs systèmes de fichiers Amazon EFS dans /etc/fstab échoue ................... 124La commande de montage échoue avec le message d'erreur « wrong fs type » ......................... 124La commande de montage échoue avec le message d'erreur « incorrect mount option » ............. 124Le montage du système de fichiers échoue immédiatement après la création du système defichiers ........................................................................................................................... 125Le montage du système de fichiers se bloque, puis échoue avec une erreur de dépassement dedélai d'attente ................................................................................................................. 125Le montage du système de fichiers en utilisant un nom DNS échoue ....................................... 126L'état de cycle de vie de la cible de montage est bloqué ....................................................... 126Le montage ne répond pas ............................................................................................... 126Les opérations sur un système de fichiers nouvellement monté renvoient l'erreur « bad filehandle » ......................................................................................................................... 127Le démontage d'un système de fichiers échoue ................................................................... 127

Résolution des problèmes de chiffrement .................................................................................... 127Le montage avec chiffrement des données en transit échoue ................................................. 128Le montage avec chiffrement des données en transit est interrompu ....................................... 128Impossible de créer le système de fichiers avec chiffrement des données au repos .................... 129Système de fichiers chiffré inutilisable ................................................................................ 129

Dépannage d'EFS File Sync ............................................................................................................. 130Votre système de fichiers source sur site est bloqué sur le statut Montage ....................................... 130Votre système de fichiers source Amazon EC2 est bloqué sur le statut Montage ............................... 130Votre tâche de synchronisation est bloquée sur le statut Démarrage ............................................... 131Votre tâche de synchronisation a échoué avec un message d'erreur de refus d'autorisation ................. 131Combien de temps le statut Préparation d'une tâche de synchronisation dure-t-il ? ............................. 132Combien de temps le statut Vérification d'une tâche de synchronisation dure-t-il ? ............................. 132Activation d'AWS Support pour dépanner votre synchronisation de fichiers EFS ................................ 132Activation d'AWS Support pour dépanner votre EFS File Sync EC2 ................................................. 133

Procédures ..................................................................................................................................... 136Procédure 1 : Création et montage d'un système de fichiers à l'aide de l'AWS CLI ............................. 136

Avant de commencer ....................................................................................................... 137Installation des outils ....................................................................................................... 137Étape 1 : Créer des ressources Amazon EC2 ...................................................................... 138Étape 2 : Créer des ressources Amazon EFS ...................................................................... 142Étape 3 : Monter et tester le système de fichiers .................................................................. 145Étape 4 : Nettoyage ......................................................................................................... 147

Procédure 2 : Définition d'un serveur Web Apache et distribution des fichiers .................................... 149Instance EC2 unique pour la distribution de fichiers .............................................................. 149Plusieurs instances EC2 pour la distribution des fichiers ........................................................ 151

Procédure 3 : Création de sous-répertoires par utilisateur accessibles en écriture .............................. 154Remontage automatique au redémarrage ........................................................................... 155

Procédure 4 : Solutions de sauvegarde pour les systèmes de fichiers Amazon EFS ........................... 156Procédure 5 : Créer et monter un système de fichiers sur site avec AWS Direct Connect ..................... 156

Avant de commencer ....................................................................................................... 157Étape 1 : Créer vos ressources Amazon Elastic File System .................................................. 157Étape 2 : Télécharger et installer amazon-efs-utils ................................................................ 158Étape 3 : Monter le système de fichiers Amazon EFS sur votre client sur site ............................ 159Étape 4 : Nettoyer les ressources et protéger votre compte AWS ............................................ 161

Procédure 6 : Application du chiffrement sur un système de fichiers Amazon EFS au repos ................. 162Application du chiffrement au repos ................................................................................... 162

Procédure 7 : Synchroniser les fichiers d'un système de fichiers sur site en utilisant EFS File Sync ........ 164Avant de commencer ....................................................................................................... 164Étape 1 : Créer un agent de synchronisation ....................................................................... 165

vi


Étape 2 : Créer une tâche de synchronisation ...................................................................... 166Étape 3 : Synchroniser votre système de fichiers source vers Amazon EFS .............................. 168Étape 4 : Accéder à vos fichiers ........................................................................................ 169Étape 5 : Nettoyage ......................................................................................................... 169

Procédure 8 : Synchroniser un système de fichiers à partir d'Amazon EC2 vers Amazon EFS à l'aided'EFS File Sync ...................................................................................................................... 169

Avant de commencer ....................................................................................................... 170Étape 1 : Créer un agent de synchronisation ....................................................................... 170Étape 2 : Créer une tâche de synchronisation ...................................................................... 172Étape 3 : Synchroniser votre système de fichiers source vers Amazon EFS .............................. 174Étape 4 : Accéder à vos fichiers ........................................................................................ 175Étape 4 : Nettoyage ......................................................................................................... 175

Authentification et contrôle d'accès .................................................................................................... 177Authentification ....................................................................................................................... 177Contrôle d'accès ..................................................................................................................... 178Présentation de la gestion de l'accès ......................................................................................... 179

Opérations et ressources Amazon Elastic File System .......................................................... 179Présentation de la propriété des ressources ........................................................................ 179Gestion de l'accès aux ressources ..................................................................................... 180Spécification des éléments d'une stratégie : actions, effets et mandataires ................................ 181Spécification des conditions dans une stratégie ................................................................... 182

Utilisation des stratégies basées sur une identité (stratégies IAM) ................................................... 182Autorisations requises pour utiliser la console Amazon EFS ................................................... 183Stratégies gérées par AWS (prédéfinies) pour Amazon EFS .................................................. 184Exemples de stratégies gérées par le client ........................................................................ 185

Référence des autorisations d'API Amazon EFS .......................................................................... 186API Amazon EFS ............................................................................................................................ 189

Point de terminaison API .......................................................................................................... 189Version de l'API ...................................................................................................................... 190Rubriques connexes ................................................................................................................ 190Utilisation du taux de demandes de l'API Query pour Amazon EFS ................................................. 190

Interrogation ................................................................................................................... 190Nouvelles tentatives ou traitement par lots .......................................................................... 190Calcul de l'intervalle de veille ............................................................................................ 191

Actions .................................................................................................................................. 191CreateFileSystem ............................................................................................................ 192CreateMountTarget .......................................................................................................... 199CreateTags .................................................................................................................... 206DeleteFileSystem ............................................................................................................ 209DeleteMountTarget .......................................................................................................... 211DeleteTags ..................................................................................................................... 214DescribeFileSystems ........................................................................................................ 216DescribeMountTargets ..................................................................................................... 220DescribeMountTargetSecurityGroups .................................................................................. 223DescribeTags ................................................................................................................. 226ModifyMountTargetSecurityGroups ..................................................................................... 229UpdateFileSystem ........................................................................................................... 232

Data Types ............................................................................................................................ 236FileSystemDescription ...................................................................................................... 237FileSystemSize ............................................................................................................... 240MountTargetDescription .................................................................................................... 241Tag ............................................................................................................................... 243

Informations supplémentaires ............................................................................................................ 244Sauvegarde avec AWS Data Pipeline ......................................................................................... 244

Performance des sauvegardes Amazon EFS avec AWS Data Pipeline ..................................... 245Considérations relatives à la sauvegarde Amazon EFS à l'aide d'AWS Data Pipeline .................. 246Hypothèses pour la sauvegarde Amazon EFS avec AWS Data Pipeline ................................... 246

vii


Sauvegarde d'un système de fichiers Amazon EFS avec AWS Data Pipeline ............................ 247Ressources supplémentaires de sauvegarde ....................................................................... 252

Montage des systèmes de fichiers sans l'assistant de montage EFS ............................................... 257NFS Support .................................................................................................................. 257Installation du client NFS .................................................................................................. 258Montage sur Amazon EC2 avec un nom DNS ..................................................................... 259Montage avec une adresse IP .......................................................................................... 260Montage automatique ...................................................................................................... 261

Historique du document ................................................................................................................... 264

viii


Qu'est-ce qu'Amazon Elastic FileSystem ?

Amazon Elastic File System (Amazon EFS) fournit un stockage de fichiers simple, évolutif à utiliseravec Amazon EC2. Avec Amazon EFS, la capacité de stockage est Elastic : elle augmente ou diminueautomatiquement au fur et à mesure que vous ajoutez et supprimez des fichiers, afin que vos applicationsbénéficient du stockage dont elles ont besoin, au moment où elles en ont besoin. Amazon EFS proposeune interface de services Web simple, qui vous permet de créer et de configurer rapidement et facilementdes systèmes de fichiers. Le service gère toute l'infrastructure de stockage de fichiers pour vous, ce quivous libère des tâches compliquées liées au déploiement, à l'application de correctifs et à la gestion desconfigurations de systèmes de fichiers complexes.

Amazon EFS prend en charge le protocole Network File System version 4 (NFSv4.1 et NFSv4.0), afin queles applications et outils que vous utilisez aujourd'hui fonctionnent en toute transparence avec AmazonEFS. Plusieurs instances Amazon EC2 peuvent accéder en même temps au système de fichiers AmazonEFS, offrant une source de données commune pour les charges de travail et applications s'exécutant surplusieurs instances ou serveurs.

Avec Amazon EFS, vous payez uniquement l'espace de stockage utilisé par le système de fichiers. Il n'ya pas de frais minimum ou de frais d'installation. Les coûts liés au débit alloué sont détermines par lesvaleurs de débit que vous spécifiez : Pour plus d'informations, consultez la page Tarification Amazon EFS.

Le service est conçu pour être hautement évolutif, hautement disponible et hautement durable. Lessystèmes de fichiers Amazon EFS stockent des données et des métadonnées dans plusieurs zones dedisponibilité d'une région AWS. Ils peuvent atteindre une capacité de plusieurs pétaoctets, présentent dehauts niveaux de débit et autorisent un accès parallèle massif des instances Amazon EC2 à vos données.

Amazon EFS fournit une sémantique d'accès au système de fichiers, comme un cohérence des donnéessolide et le verrouillage de fichiers. Pour de plus amples informations, veuillez consulter Cohérence desdonnées dans Amazon EFS (p. 7). Amazon EFS vous permet également de contrôler précisémentl'accès à vos systèmes de fichiers grâce à des autorisations POSIX (Portable Operating System Interface).Pour plus d'informations, consultez Sécurité (p. 104).

Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers, le chiffrementen transit et le chiffrement au repos. Vous pouvez activer le chiffrement au repos lors de la création d'unsystème de fichiers Amazon EFS. Si vous le faites, toutes vos données et métadonnées sont chiffrées.Vous pouvez activer le chiffrement des données en transit lors du montage du système de fichiers. Pourplus d'informations, consultez Chiffrement des données et métadonnées dans EFS (p. 107).

Amazon EFS est conçu pour fournir le débit, le nombre d'opérations d'E/S par seconde et la faible latencenécessaires pour de nombreuses charges de travail. Avec Amazon EFS, vous avez le choix entre deuxmodes de performances et deux modes de débit :

• Le mode de performances Usage général par défaut est idéal pour les cas d'utilisation sensiblesà la latence, comme les environnements de service web, les systèmes de gestion de contenu, lesrépertoires de base et la distribution de fichiers générale. Les systèmes de fichiers dans le mode E/Smax peuvent évoluer vers des niveaux plus élevés de débit cumulé et d'opérations par seconde aveccomme inconvénient des latences légèrement plus élevés pour les opérations de fichier. Pour plusd'informations, consultez Modes de performances (p. 97).

• Avec le mode de débit en rafales par défaut, le débit évolue au rythme du système de fichiers. Avecle mode Débit alloué, vous pouvez spécifier le débit de votre système de fichiers indépendammentde la quantité de données stockées. Pour plus d'informations, consultez Performances d'AmazonEFS (p. 96).

1

https://aws.amazon.com/efs/pricing

Amazon Elastic File System Guide de l'utilisateurVous utilisez Amazon EFS pour la première fois ?

Note

L'utilisation d'Amazon EFS avec les instances Amazon EC2 basées sur Microsoft Windows n'estpas prise en charge.

Vous utilisez Amazon EFS pour la première fois ?Si c'est la première fois que vous utilisez Amazon EFS, nous vous recommandons de lire les sectionssuivantes pour :

1. Pour une présentation générale des produits et de la tarification Amazon EFS, consultez Amazon EFS.2. Pour une vue d'ensemble technique d'Amazon EFS, consultez Amazon EFS : fonctionnement (p. 3).3. Essayez les exercices d'introduction :

• Mise en route (p. 11)• Procédures (p. 136)

Si vous souhaitez en savoir plus sur Amazon EFS, les rubriques suivantes traitent du service plus endétail :

• Création de ressources pour Amazon EFS (p. 20)• Gestion des systèmes de fichiers Amazon EFS (p. 48)• API Amazon EFS (p. 189)

2

https://aws.amazon.com/efs/

Amazon Elastic File System Guide de l'utilisateurPrésentation

Amazon EFS : fonctionnementVous trouverez ci-après une description du fonctionnement d'Amazon EFS, des informations concernantson implémentation et des considérations en matière de sécurité.

Rubriques• Présentation (p. 3)• Comment Amazon EFS fonctionne avec Amazon EC2 (p. 4)• Fonctionnement d'Amazon EFS avec AWS Direct Connect (p. 5)• Récapitulatif de l'implémentation (p. 6)• Authentification et contrôle d'accès (p. 7)• Cohérence des données dans Amazon EFS (p. 7)

PrésentationAmazon EFS propose un stockage de fichiers dans le Cloud AWS. Amazon EFS permet de créer unsystème de fichiers, de monter le système de fichiers sur une instance d'Amazon EC2, puis de lire etd'écrire des données vers et à partir de votre système de fichiers. Vous pouvez monter un système defichiers Amazon EFS dans votre VPC, via le protocole Network File System versions 4.0 et 4.1 (NFSv4.1).

Pour obtenir une liste des Amazon Machine Images (AMI) Linux Amazon EC2 qui prennent en charge ceprotocole, consultez NFS Support (p. 257). Nous vous conseillons d'utiliser une génération actuelle duclient Linux NFSv4.1, telles que celles qui sont disponibles dans les AMI Amazon Linux et Ubuntu. Pourcertaines AMI, vous aurez besoin d'installer un client NFS pour monter votre système de fichiers sur votreinstance Amazon EC2. Pour obtenir des instructions, consultez Installation du client NFS (p. 258).

Vous pouvez accéder à votre système de fichiers Amazon EFS simultanément à partir des instancesAmazon EC2 dans votre Amazon VPC, pour que les applications dimensionnées au-delà d'une seuleconnexion puissent accéder à un système de fichiers. Les instances Amazon EC2 s'exécutant dansplusieurs zones de disponibilité au sein de la même région peuvent accéder au système de fichiers, afinque plusieurs utilisateurs puissent accéder à une source de données commune et la partager.

Notez les restrictions suivants :

• Vous pouvez monter un système de fichiers Amazon EFS sur des instances uniquement dans un seulVPC à la fois.

• Le système de fichiers et le VPC doivent tous deux être dans la même région AWS.

Pour une liste des régions AWS dans lesquelles vous pouvez créer un système de fichiers Amazon EFS,consultez le Référence générale d'Amazon Web Services.

Pour accéder à votre système de fichiers Amazon EFS dans un VPC, vous créez une ou plusieurs ciblesde montage dans le VPC. Une cible de montage fournit une adresse IP pour un point de terminaisonNFSv4.1 sur lequel vous pouvez monter un système de fichiers Amazon EFS. Vous montez votre systèmede fichiers à l'aide de son nom DNS qui sera résolu en l'adresse IP de la cible de montage EFS dans lamême zone de disponibilité que votre instance EC2. Vous pouvez créer une cible de montage dans chaquezone de disponibilité d'une région. S'il y a plusieurs sous-réseaux dans une zone de disponibilité de votreVPC, vous pouvez créer une cible de montage dans l'un des sous-réseaux, et toutes les instances EC2 decette zone de disponibilité partagent cette cible de montage.

Les cibles de montage sont elles-mêmes conçues pour être hautement disponibles. Lorsque vousconcevez votre application pour garantir une haute disponibilité et une capacité de basculement vers

3

http://docs.aws.amazon.com/general/latest/gr/rande.html#elasticfilesystem_region

Amazon Elastic File System Guide de l'utilisateurComment Amazon EFS fonctionne avec Amazon EC2

d'autres zones de disponibilité, gardez à l'esprit que les adresses IP et le DNS de vos cibles de montagedans chaque zone de disponibilité sont statiques.

Une fois le système de fichiers monté via la cible de montage, vous l'utilisez comme tout autre systèmede fichiers compatible POSIX. Pour plus d'informations sur les autorisations de niveau NFS et lesconsidérations associées, consultez Utilisateurs, groupes et autorisations de niveau NFS (p. 32).

Vous pouvez monter vos systèmes de fichiers Amazon EFS sur vos serveurs de centre de données sursite lorsque vous êtes connecté à votre Amazon VPC avec AWS Direct Connect. Vous pouvez monter vossystèmes de fichiers EFS sur des serveurs sur site pour migrer des jeux de données vers EFS, activer desscénarios de transmission en rafales dans le cloud, ou sauvegarder vos données sur site pour EFS.

Les systèmes de fichiers Amazon EFS peuvent être montés sur des instances Amazon EC2, ou sur site viaune connexion AWS Direct Connect.

Comment Amazon EFS fonctionne avec AmazonEC2

L'illustration suivante présente un exemple de VPC accédant à un système de fichiers Amazon EFS. Ici, lesinstances EC2 dans le VPC ont des systèmes de fichiers montés.

Dans cette illustration, le VPC comporte trois zones de disponibilité, et une cible de montage est crééedans chacune d'elles. Nous recommandons que l'accès au système de fichiers s'effectue à partir d'unecible de montage dans la même zone de disponibilité. Notez que l'une des zones de disponibilité a deuxsous-réseaux. Toutefois, une cible de montage est créée dans un seul de ces sous-réseaux. La création decette configuration fonctionne comme suit :

1. Créez vos ressources Amazon EC2 et lancez votre instance Amazon EC2. Pour plus d'informations surAmazon EC2, consultez Amazon EC2 - Hébergement de serveur virtuel.

2. Créez votre système de fichiers Amazon EFS.3. Connectez-vous à votre instance Amazon EC2 et montez le système de fichiers Amazon EFS.

Pour obtenir des instructions complètes, consultez Mise en route avec Amazon Elastic FileSystem (p. 11).

4

https://aws.amazon.com//ec2/

Amazon Elastic File System Guide de l'utilisateurFonctionnement d'Amazon EFS avec AWS Direct Connect

Fonctionnement d'Amazon EFS avec AWS DirectConnect

En utilisant un système de fichiers Amazon EFS monté sur un serveur sur site, vous pouvez migrer lesdonnées sur site vers le Cloud AWS hébergé dans un système de fichiers Amazon EFS. Vous pouvezégalement tirer parti de la transmission par rafales, ce qui signifie que vous pouvez déplacer des donnéesà partir de vos serveurs sur site vers Amazon EFS, les analyser sur une flotte d'instances Amazon EC2dans votre Amazon VPC, puis stocker les résultats de façon permanente dans votre système de fichiers ourapatrier les résultats sur votre serveur sur site.

Lorsque vous utilisez Amazon EFS avec AWS Direct Connect, gardez les points suivants à l'esprit :

• Votre serveur sur site doit disposer d'un système d'exploitation Linux. Nous recommandons un noyauLinux version 4.0 ou ultérieure.

• Dans un souci de simplicité, nous recommandons d'installer un système de fichiers Amazon EFS sur unserveur sur site en utilisant une adresse IP de montage cible au lieu d'un nom DNS.

• AWS VPN n'est pas pris en charge pour accéder à un système de fichiers Amazon EFS à partir d'unserveur sur site.

Aucun coût supplémentaire n'est encouru pour l'accès à vos systèmes de fichiers Amazon EFS sursite. Notez que la connexion AWS Direct Connect à votre Amazon VPC vous sera facturée. Pour plusd'informations, consultez Tarification AWS Direct Connect.

L'illustration suivante présente un exemple d'accès à un système de fichiers Amazon EFS à partir deserveurs sur site (les serveurs sur site possèdent des systèmes de fichiers montés).

Vous pouvez utiliser l'une des cibles de montage dans votre VPC aussi longtemps que le sous-réseau de lacible de montage est accessible en utilisant la connexion AWS Direct Connect entre votre serveur sur siteet votre Amazon VPC. Pour accéder à Amazon EFS à partir d'un serveur sur site, vous devez ajouter unerègle à votre groupe de sécurité de cible de montage pour autoriser le trafic entrant vers le port NFS (2049)à partir de votre serveur sur site.

Pour créer une configuration de ce type, procédez comme suit :

1. Établissez une connexion AWS Direct Connect entre votre centre de données sur site et votre AmazonVPC. Pour plus d'informations sur AWS Direct Connect, consultez AWS Direct Connect.

2. Créez votre système de fichiers Amazon EFS.3. Montez le système de fichiers Amazon EFS sur votre serveur sur site.

5

https://aws.amazon.com/directconnect/pricing/

https://aws.amazon.com//directconnect/

Amazon Elastic File System Guide de l'utilisateurRécapitulatif de l'implémentation

Pour obtenir des instructions complètes, consultez Procédure 5 : Créer et monter un système de fichierssur site avec AWS Direct Connect (p. 156).

Récapitulatif de l'implémentationDans Amazon EFS, un système de fichiers est la ressource principale. Chaque système de fichierspossède des propriétés, comme un s ID, un jeton de création, l'heure de création, la taille du systèmefichier en octets, le nombre de cibles de montage créées pour le système de fichiers et l'état du système defichiers. Pour de plus amples informations, veuillez consulter CreateFileSystem (p. 192).

Amazon EFS prend également en charge d'autres ressources pour configurer la ressource principale. Ils'agit de cibles de montage et de balises:

• Cible de montage – Pour accéder à votre système de fichiers, vous devez créer des cibles de montagedans votre VPC. Chaque cible de montage a les propriétés suivantes : ID de la cible de montage, ID dusous-réseau dans lequel elle a été créée, ID du système de fichiers pour lequel elle a été créée, adresseIP à laquelle le système de fichiers peut être monté état de la cible de montage. Vous pouvez utiliserl'adresse IP ou le nom DNS dans votre commande mount. Chaque système de fichiers a un nom DNSutilisant la forme suivante.

file-system-id.efs.aws-region.amazonaws.com

Vous pouvez spécifier ce nom DNS dans votre commande mount pour monter le système de fichiersAmazon EFS. Supposons que vous créiez un sous-répertoire efs-mount-point en dehors de votrerépertoire de base sur votre instance EC2 ou votre serveur sur site. Ensuite, vous pouvez utiliser lacommande mount pour monter le système de fichiers. Par exemple, dans une AMI Amazon Linux, vouspouvez utiliser la commande mount.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-DNS-name:/ ~/efs-mount-point

Pour de plus amples informations, veuillez consulter Création de cibles de montage (p. 25). Toutd'abord, vous devez installer le client NFS sur votre instance EC2. L'exercice Mise en route (p. 11)fournit des instructions détaillées.

• Balises – Pour mieux organiser vos systèmes de fichiers, vous pouvez affecter vos propres métadonnéesà chacun des systèmes de fichiers que vous créez. Chaque balise est une paire clés-valeurs.

Vous pouvez vous représenter les cibles de montage et les balises comme des sous-ressources quin'existent pas tant qu'elles ne sont pas associées à un système de fichiers.

Amazon EFS fournit des opérations d'API qui vous permettent de créer et de gérer ces ressources. Enplus des opérations de création et de suppression pour chaque ressource, Amazon EFS prend égalementen charge une opération de description qui vous permet d'extraire des informations de ressource. Vousdisposez des options suivantes pour créer et gérer ces ressources :

• Utilisez la console Amazon EFS - Pour obtenir un exemple, consultez Mise en route (p. 11).• Utilisez l'interface de ligne de commande d'Amazon EFS – Pour obtenir un exemple, consultez

Procédure 1 : Création d'un système de fichiers Amazon EFS et montage de ce dernier sur une instanceEC2 à l'aide de l'AWS CLI (p. 136).

• Vous pouvez également gérer ces ressources par programmation comme suit :• Utilisez les kits SDK AWS – Les kits SDK AWS encapsulent l'API Amazon EFS sous-jacente, ce qui

permet de simplifier vos tâches de programmation. Les clients SDK peuvent également authentifier vos

6

Amazon Elastic File System Guide de l'utilisateurAuthentification et contrôle d'accès

requêtes à l'aide de clés d'accès que vous fournissez. Pour plus d'informations, consultez Exemplesde code et de bibliothèques.

• Appeler l'API Amazon EFS directement depuis votre application. – Si vous ne pouvez pas utiliserles kits SDK pour une raison quelconque, vous pouvez effectuer les appels d'API Amazon EFSdirectement à partir de votre application. Cependant, vous devez écrire le code nécessaire pourauthentifier vos requêtes si vous utilisez cette option. Pour plus d'informations sur l'API Amazon EFS,consultez API Amazon EFS (p. 189).

Authentification et contrôle d'accèsVous devez disposer d'informations d'identification valides pour effectuer des requête d'API EFS, commela création d'un système de fichiers. En outre, vous devez également disposer d'autorisations pour créerou accéder aux ressources. Par défaut, lorsque vous utilisez les informations d'identification du compteracine de votre compte AWS, vous pouvez créer et accéder aux ressources détenues par ce compte.Cependant, il est déconseillé d'utiliser les informations d'identification du compte racine. En outre, lesutilisateurs et les rôles AWS Identity and Access Management (IAM) que vous créez dans votre comptedoivent disposer d'autorisations pour créer ou accéder aux ressources. Pour plus d'informations sur lesautorisations, consultez Authentification et contrôle d'accès pour Amazon EFS (p. 177).

Cohérence des données dans Amazon EFSAmazon EFS fournit la sémantique de cohérence open-after-close (ouverture-après-fermeture) que lesapplications attendent de NFS.

Dans Amazon EFS, les opérations d'écriture sont stockées durablement au sein des zones de disponibilitédans les cas suivants :

• Une application effectue une opération d'écriture synchrone (par exemple, à l'aide de la commande Linuxopen avec l'indicateur O_DIRECT, ou à l'aide de la commande Linux fsync).

• Une application ferme un fichier.

Amazon EFS offre de meilleures garanties de cohérence que la sémantique d'ouverture-après-fermetureselon le modèle d'accès. Les applications qui ont accès à des données synchrones et effectuent desopérations d'écritures sans ajout bénéficient de la cohérence lecture-après-écriture pour l'accès auxdonnées.

7

https://aws.amazon.com/code

https://aws.amazon.com/code

Amazon Elastic File System Guide de l'utilisateurInscrivez-vous à AWS

ConfigurationAvant d'utiliser Amazon EFS pour la première fois, exécutez les tâches suivantes :

1. Inscrivez-vous à AWS (p. 8)2. Créer un utilisateur IAM (p. 8)

Inscrivez-vous à AWSLorsque vous vous inscrivez à Amazon Web Services (AWS), votre compte AWS est automatiquementinscrit à tous les services d'AWS, y compris Amazon EFS. Seuls les services que vous utilisez vous sontfacturés.

Avec Amazon EFS, vous ne payez que le stockage que vous utilisez. Pour plus d'informations sur lestarifs d'utilisation relatifs à Amazon EFS, consultez la page Tarification d'Amazon Elastic File System.Si vous êtes un nouveau client AWS, vous pouvez démarrer avec Amazon EFS gratuitement. Pour plusd'informations, consultez la page Niveau d'offre gratuite d'AWS.

Si vous possédez déjà un compte AWS, passez à la prochaine étape. Si tel n'est pas le cas, observez laprocédure suivante pour en créer un.

Pour créer un compte AWS

1. Ouvrez https://aws.amazon.com/, puis choisissez Create an AWS Account.

Note

Il est probable que cette opération soit indisponible dans votre navigateur si vous vousêtes déjà connecté à AWS Management Console auparavant. Dans ce cas, choisissez Seconnecter à un autre compte, puis Créer un nouveau compte AWS.

2. Suivez les instructions en ligne.

Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez uncode PIN en utilisant le clavier numérique du téléphone.

Notez votre numéro de compte AWS, car vous en aurez besoin lors de la prochaine tâche.

Créer un utilisateur IAMPour accéder à un service d'AWS, tel qu'Amazon EFS, vous devez fournir vos informations d'identificationafin que le service puisse déterminer si vous êtes autorisé à accéder à ses ressources. AWS déconseillel'utilisation des informations d'identification racine de votre compte AWS pour effectuer des demandes.Il est préférable de créer un utilisateur IAM, puis de lui accorder un accès total. Nous appelons de telsutilisateurs des administrateurs. En lieu et place des informations d'identification racine de votre compte,vous pouvez utiliser les informations d'identification de cet administrateur pour interagir avec AWS eteffectuer des tâches telles que créer des compartiments, ajouter de nouveaux utilisateurs et leur accorderdes autorisations. Pour de plus amples informations, veuillez consulter Informations d'identification ducompte racine et informations d'identification de l'utilisateur IAM dans le manuel AWS General Reference etBonnes pratiques concernant IAM dans le IAM Guide de l'utilisateur.

8

https://aws.amazon.com/efs/pricing/

https://aws.amazon.com/free/

https://aws.amazon.com/

http://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html

http://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

Amazon Elastic File System Guide de l'utilisateurCréer un utilisateur IAM

Si vous êtes inscrit à AWS, mais que vous n'avez pas créé d'utilisateur IAM pour vous-même, vous pouvezle faire avec la console IAM.

Pour créer un utilisateur IAM pour vous-même et l'ajouter au groupe Administrateurs.

1. Utilisez l'adresse e-mail et le mot de passe de votre compte AWS pour vous connecter en tantqu'Utilisateur racine d'un compte AWS à la console IAM à l'adresse https://console.aws.amazon.com/iam/.

Note

Nous vous recommandons vivement de respecter la bonne pratique qui consiste à avoirrecours à l'utilisateur IAM Administrateur ci-dessous et à mettre en sécurité lesinformations d'identification de l'utilisateur racine. Connectez-vous à l'utilisateur racine poureffectuer certaines tâches de gestion des comptes et des services.

2. Dans le volet de navigation, choisissez Utilisateurs, puis Ajouter un utilisateur.3. Pour Nom d'utilisateur, entrez Administrateur.4. Activez la case à cocher en regard de AWS Management Console access, sélectionnez Custom

password, puis tapez le nouveau mot de passe utilisateur dans la zone de texte. Vous pouvezégalement activer la case à cocher Require password reset (Exiger une réinitialisation du mot depasse) pour obliger l'utilisateur à créer un nouveau mot de passe lors de sa prochaine connexion.

5. Choisissez Next: Permissions.6. Sur la page Set permissions , choisissez Add user to group.7. Choisissez Create group.8. Dans la boîte de dialogue Create group (Créer un groupe), tapez Administrateurs dans Group

name (Nom du groupe).9. Pour Filter policies (Stratégies de filtre), cochez la case correspondant à AWS managed - job function

(Fonction professionnelle gérée par AWS).10. Dans la liste des stratégies, activez la case à cocher AdministratorAccess. Choisissez ensuite Create

group.11. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refresh

si nécessaire pour afficher le groupe dans la liste.12. Choisissez Next: Review pour afficher la liste des membres du groupe à ajouter au nouvel utilisateur.

Une fois que vous êtes prêt à continuer, choisissez Create user.

Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder à vosutilisateurs l'accès aux ressources de votre compte AWS. Pour en savoir plus sur l'utilisation des stratégiesafin de limiter les autorisations d'accès des utilisateurs à certaines ressources AWS, consultez Gestion desaccès et Exemples de stratégies.

Pour vous connecter en tant que nouvel utilisateur IAM, déconnectez-vous d'AWS Management Console,puis utilisez l'URL suivante, où votre_id_compte_aws désigne votre numéro de compte AWS sans les traitsd'union (par exemple, si votre numéro de compte AWS est 1234-5678-9012, votre ID de compte AWSest 123456789012) :

https://your_aws_account_id.signin.aws.amazon.com/console/

Saisissez le nom utilisateur et le mot de passe IAM que vous venez de créer. Lorsque vous êtes connecté,la barre de navigation affiche votre_nom_utilisateur@votre_id_compte_aws.

Si vous ne voulez pas que l'URL de votre page de connexion contienne votre ID de compte AWS, vouspouvez créer un alias de compte. Dans le tableau de bord d'IAM, cliquez sur Create Account Alias et entrezun alias, tel que le nom de votre société. Pour vous connecter après avoir créé un alias de compte, utilisezl'URL suivante :

9

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/iam/

http://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/access.html


http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_examples.html

Amazon Elastic File System Guide de l'utilisateurCréer un utilisateur IAM

https://your_account_alias.signin.aws.amazon.com/console/

Pour contrôler le lien de connexion des utilisateurs IAM de votre compte, ouvrez la console IAM et vérifiezle lien sous AWS Account Alias sur le tableau de bord.

10

Amazon Elastic File System Guide de l'utilisateurHypothèses

Mise en route avec Amazon ElasticFile System

Rubriques• Hypothèses (p. 11)• Rubriques connexes (p. 12)• Étape 1 : Créer vos ressources EC2 et lancer votre instance EC2 (p. 12)• Étape 2 : Créer votre système de fichiers Amazon EFS (p. 15)• Étape 3 : Vous connecter à votre instance Amazon EC2 et monter le système de fichiers Amazon

EFS (p. 16)• Étape 4 : Synchroniser les fichiers de systèmes de fichiers existants vers Amazon EFS en utilisant EFS

File Sync (p. 17)• Étape 5 : Nettoyer les ressources et protéger votre compte AWS (p. 18)

Cet exercice de mise en route vous montre comment créer rapidement un système de fichiers AmazonElastic File System (Amazon EFS), comment le monter sur une instance Amazon Elastic Compute Cloud(Amazon EC2) dans votre VPC et tester la configuration de bout en bout.

Quatre étapes sont nécessaires pour créer et utiliser votre premier système de fichiers Amazon EFS :

• Créez vos ressources Amazon EC2 et lancez votre instance.• Créez votre système de fichiers Amazon EFS.• Connectez-vous à votre instance Amazon EC2 et montez le système de fichiers Amazon EFS.• Nettoyez vos ressources et protégez votre compte AWS.

HypothèsesPour cet exercice, nous posons les hypothèses suivantes :

• Vous êtes déjà familiarisé avec à l'utilisation de la console Amazon EC2 pour lancer des instances.• Vos ressources Amazon VPC, Amazon EC2 et Amazon EFS se trouvent toutes dans la même région. Ce

guide utilise la région USA Ouest (Oregon) (us-west-2).• Vous disposez d'un VPC par défaut dans la région que vous utilisez pour cet exercice de mise en route.

Si vous n'avez pas de VPC par défaut, ou si vous voulez monter votre système de fichiers à partir d'unnouveau VPC avec des groupes de sécurité nouveaux ou existants, vous pouvez toujours utiliser cetexercice de mise en route. Pour cela, configurez des Groupes de sécurité pour les instances AmazonEC2 et les cibles de montage (p. 104).

• Vous n'avez pas modifié la règle d"accès entrante par défaut pour le groupe de sécurité par défaut.

Vous pouvez utiliser les informations d'identification racine de votre compte AWS pour vous connecter à laconsole, puis tenter l'exercice de mise en route. Toutefois, AWS Identity and Access Management (IAM)vous recommande de ne pas utiliser les informations d'identification racine de votre compte AWS. Au lieude cela, créez un administrateur dans votre compte et utilisez ces informations d'identification pour gérerles ressources de votre compte. Pour plus d'informations, consultez Configuration (p. 8).

11

Amazon Elastic File System Guide de l'utilisateurRubriques connexes

Rubriques connexesCe guide fournit également une procédure pour effectuer un exercice de mise en route similaire à l'aide decommandes AWS Command Line Interface (AWS CLI) pour effectuer des appels d'API Amazon EFS. Pourplus d'informations, consultez Procédure 1 : Création d'un système de fichiers Amazon EFS et montage dece dernier sur une instance EC2 à l'aide de l'AWS CLI (p. 136).

Étape 1 : Créer vos ressources EC2 et lancer votreinstance EC2

Avant de lancer une instance de Amazon EC2 et de vous y connecter, vous devez créer une paire de clés,sauf si vous avez déjà une. Vous pouvez créer une paire de clés à l'aide de la console Amazon EC2, puislancer votre instance EC2.

Note

L'utilisation d'Amazon EFS avec des instances Amazon EC2 Microsoft Windows n'est pas prise encharge.

Pour créer une paire de clés

• Suivez les étapes de Configuration avec Amazon EC2 dans le Amazon EC2 Guide de l'utilisateur pourles instances Linux pour créer une paire de clés. Si vous avez déjà une paire de clés, vous n'avez pasbesoin d'en créer une nouvelle et vous pouvez utiliser votre paire de clés existante pour cet exercice.

Pour lancer l'instance EC2

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Choisissez Lancer une instance.3. Dans l'Étape 1 : Choisir une Amazon Machine Image (AMI), localisez une AMI Amazon Linux en haut

de la liste et choisissez Sélectionner.4. Dans l'Étape 2 : Choisir un type d'instance, choisissez Suivant : Configurer les détails de l'instance.5. Dans l'Étape 3 : Configurer les détails de l'instance, choisissez Réseau, puis l'entrée pour votre VPC

par défaut. Vous devez obtenir quelque chose de similaire à vpc-xxxxxxx (172.31.0.0/16)(default).

a. Choisissez Sous-réseau, puis choisissez un sous-réseau dans n'importe quelle zone dedisponibilité.

b. Choisissez Next: Add Storage.6. Cliquez sur Suivant : Instance de balise.7. Nommez votre instance et choisissez Suivant : Configurer le groupe de sécurité.8. Dans l'Étape 6 : Configurer le groupe de sécurité, passez en revue le contenu de cette page, vérifiez

que Attribuer un groupe de sécurité est défini sur Créer un nouveau groupe de sécurité et vérifiez quela règle entrante en cours de création a les valeurs par défaut suivantes.

• Type : SSH• Protocole : TCP• Plage de ports : 22• Source : N'importe où 0.0.0.0/0

12

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html

https://console.aws.amazon.com/ec2/

Amazon Elastic File System Guide de l'utilisateurÉtape 1 : Créer vos ressources

EC2 et lancer votre instance EC2

Note

Vous pouvez configurer le système de fichiers EFS pour un monter automatique sur votreinstance EC2. Pour de plus amples informations, veuillez consulter Configuration d'unsystème de fichiers EFS pour un montage automatique au lancement d'une instanceEC2 (p. 77).

9. Choisissez Review and Launch.10. Choisissez Launch.11. Activez la case à cocher pour la paire de clés que vous avez créée, puis choisissez Lancer des

instances.12. Choisissez Afficher les instances.13. Choisissez le nom de l'instance que vous venez de créer dans la liste, puis Actions.

a. Dans le menu qui s'affiche, choisissez Mise en réseau, puis Changer les groupes de sécurité.

13

Amazon Elastic File System Guide de l'utilisateurÉtape 1 : Créer vos ressources

EC2 et lancer votre instance EC2

b. Sélectionnez la case à cocher en regard du groupe de sécurité avec la description groupe desécurité VPC par défaut.

c. Choisissez Assign Security Groups.

Note

Dans cette étape, vous affectez le groupe de sécurité par défaut de votre VPC à l'instanceAmazon EC2. Cela garantit que l'instance est un membre du groupe de sécurité dont la cible

14

Amazon Elastic File System Guide de l'utilisateurÉtape 2 : Créer votre système de fichiers Amazon EFS

de montage du système de fichiers Amazon EFS autorise la connexion à l'Étape 2 : Créervotre système de fichiers Amazon EFS (p. 15).En utilisant le groupe de sécurité par défaut de votre VPC avec ses règles entrantes etsortantes, vous pouvez éventuellement ouvrir cette instance et ce système de fichiers à depossibles menaces à l'intérieure de votre VPC. Assurez-vous de suivre l'Étape 5 : Nettoyer lesressources et protéger votre compte AWS (p. 18) à la fin de cet exercice de mise en routeafin de retirer les ressources exposées dans le groupe de sécurité par défaut de votre VPCpour cet exemple. Pour de plus amples informations, veuillez consulter Groupes de sécuritépour les instances Amazon EC2 et les cibles de montage (p. 104).

14. Choisissez votre instance dans la liste.15. Sous l'onglet Description, assurez-vous d'avoir deux entrées en regard des groupes de sécurité—un

pour le groupe de sécurité VPC par défaut et un pour le groupe de sécurité que vous avez créé lors dulancement de l'instance.

16. Notez les valeurs figurant en regard de ID de VPC et DNS public. Vous aurez besoin de ces valeursultérieurement dans cet exercice.

Étape 2 : Créer votre système de fichiers AmazonEFS

Dans cette étape, vous créez votre système de fichiers Amazon EFS.

Pour créer votre système de fichiers Amazon EFS.

1. Ouvrez la console de gestion Amazon EFS à l'adresse https://console.aws.amazon.com/efs/.2. Choisissez Create File System.3. Choisissez votre VPC par défaut dans la liste VPC. Il porte le même ID de VPC que celui que vous

avez notée à l'Étape 1 : Créer vos ressources EC2 et lancer votre instance EC2 (p. 12).4. Activez les cases à cocher de toutes les zones de disponibilité. Veillez à ce qu'elles comportent toutes

les sous-réseaux par défaut, les adresses IP automatiques et les groupes de sécurité par défautchoisi. Il s'agit de vos cibles de montage. Pour plus d'informations, consultez Création de cibles demontage (p. 25).

15

https://console.aws.amazon.com/efs/

Amazon Elastic File System Guide de l'utilisateurÉtape 3 : Vous connecter à votre instance AmazonEC2 et monter le système de fichiers Amazon EFS

5. Choisissez Next Step.6. Nommez votre système de fichiers, conservez la sélection Usage général et Transmission en rafales

comme modes de performances et de débit par défaut, puis choisissez Étape suivante.7. Choisissez Create File System.8. Choisissez votre système de fichiers dans la liste et notez la valeur ID du système de fichiers. Vous

aurez besoin de cette valeur à l'étape suivante.

Étape 3 : Vous connecter à votre instance AmazonEC2 et monter le système de fichiers Amazon EFS

Vous pouvez vous connecter à votre instance Amazon EC2 à partir d'un ordinateur exécutant Windows ouLinux. Pour vous connecter à votre instance Amazon EC2 et monter le système de fichiers Amazon EFS,vous avez besoin de la valeur de l'ID du système de fichiers de la cible de montage pour votre système defichiers Amazon EFS. Vous avez noté cette valeur à la fin de l'Étape 2 : Créer votre système de fichiersAmazon EFS (p. 15).

Pour vous connecter à votre instance Amazon EC2 et monter le système de fichiers Amazon EFS

1. Connectez-vous à votre instance Amazon EC2. Pour plus d'informations, consultez Connexion à votreinstance Linux à partir de Windows à l'aide de PuTTY ou Connexion à votre instance Linux à l'aide deSSH dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

2. Une fois que vous êtes connecté, installez le package amazon-efs-utils, qui possède l'assistant demontage Amazon EFS.

Exécutez la commande suivante pour installer amazon-efs-utils :

sudo yum install -y amazon-efs-utils

Note

Pour plus d'informations sur le package amazon-efs-utils et pour obtenir les instructionsd'installation pour d'autres distributions Linux, consultez Utilisation des outils amazon-efs-utils (p. 42).

3. Créez un répertoire pour le montage point à l'aide de la commande suivante.

$ sudo mkdir efs

4. Monter le système de fichiers Amazon EFS dans le répertoire que vous avez créé. Utilisez lacommande suivante et remplacez file-system-id par la valeur de votre ID du système de fichiers.

sudo mount -t efs fs-12345678:/ /mnt/efs

Note

Nous vous recommandons d'attendre 90 secondes après la création d'une cible de montagepour monter votre système de fichiers.

5. Remplacez les répertoires par le nouveau répertoire que vous avez créé à l'aide de la commandesuivante.

$ cd efs

16

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html


http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstancesLinux.html


Amazon Elastic File System Guide de l'utilisateurÉtape 4 : Synchroniser les fichiers de systèmes de fichiers

existants vers Amazon EFS en utilisant EFS File Sync

6. Créez un sous-répertoire et modifiez la propriété de ce sous-répertoire pour votre utilisateur del'instance EC2. Ensuite, accédez à ce nouveau répertoire à l'aide des commandes suivantes :

$ sudo mkdir getting-started$ sudo chown ec2-user getting-started$ cd getting-started

7. Créez un fichier texte contenant la commande suivante.

$ touch test-file.txt

8. Affichez le contenu du répertoire à l'aide de la commande suivante.

$ ls -al

Le fichier suivant est alors créé.

-rw-rw-r-- 1 ec2-user ec2-user 0 Aug 15 15:32 test-file.txt

Étape 4 : Synchroniser les fichiers de systèmes defichiers existants vers Amazon EFS en utilisant EFSFile Sync

Maintenant que vous avez créé un système de fichiers Amazon EFS fonctionnel, vous pouvez utiliser EFSFile Sync pour synchroniser des fichiers d'un système de fichiers existant vers Amazon EFS. EFS File Syncpeut synchroniser vos données de fichier, ainsi que les métadonnées du système de fichiers, telles que leshorodatages, la propriété et les autorisations d'accès.

Au cours de cette étape, nous supposons que vous disposez de la configuration suivante :

• Un système de fichiers NFS source à partir duquel vous pouvez effectuer une synchronisation. Cesystème source doit être accessible via NFS version 3 ou 4. Le système de fichiers source peut setrouver sur site ou sur Amazon EC2.

• Un système de fichiers Amazon EFS de destination vers lequel effectuer la synchronisation. Si vousn'avez pas de système de fichiers Amazon EFS, vous pouvez créer en. Pour plus d'informations,consultez Mise en route avec Amazon Elastic File System (p. 11).

• Un accès DNS comme indiqué ci-après :• Pour les agents de synchronisation hébergés sur Amazon EC2, votre agent de synchronisation a

besoin d'un accès à un serveur DNS configuré dans votre Amazon VPC. Ce serveur peut être leserveur DNS Amazon par défaut. Pour plus d'informations, consultez Utilisation de DNS avec votreVPC dans le guide Amazon VPC Guide de l'utilisateur.

• Pour les agents de synchronisation hébergés sur site, votre agent de synchronisation a besoin d'unaccès à un serveur DNS fonctionnel qui peut communiquer avec AWS.

Pour synchroniser des fichiers d'un système de fichiers existant vers Amazon EFS

1. Ouvrez la console de gestion Amazon EFS à l'adresse https://console.aws.amazon.com/efs/.2. Téléchargez et déployez un agent de synchronisation. Pour un déploiement sur site, l'agent de

synchronisation est fourni sous la forme d'une image de machine virtuelle (VM) pour VMware ESXi.

17

http://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html



Amazon Elastic File System Guide de l'utilisateurÉtape 5 : Nettoyer les ressources

et protéger votre compte AWS

Pour un déploiement dans le cloud AWS, vous pouvez créer une instance Amazon EC2 à partir del'Amazon Machine Image (AMI) de la communauté.

3. Créez une tâche de synchronisation et configurez vos systèmes de fichiers source et de destination.4. Démarrez votre tâche de synchronisation pour commencer à synchroniser les fichiers du système de

fichiers source vers le système de fichiers Amazon EFS.5. Surveillez votre tâche de synchronisation sur la console Amazon EFS ou à partir de Amazon

CloudWatch. Pour plus d'informations, consultez Surveillance d'EFS File Sync avec AmazonCloudWatch (p. 86).

Pour plus d'informations sur le processus EFS File Sync, consultez les éléments suivants :

• Pour plus d'informations sur la façon de synchroniser des fichiers d'un système de fichiers sur site versAmazon EFS, consultez Procédure 7 : Synchroniser les fichiers d'un système de fichiers sur site versAmazon EFS en utilisant EFS File Sync (p. 164).

• Pour plus d'informations sur la façon de synchroniser des fichiers d'Amazon EC2 vers Amazon EFS,consultez Procédure 8 : Synchroniser un système de fichiers à partir d'Amazon EC2 vers Amazon EFS àl'aide d'EFS File Sync (p. 169).

Étape 5 : Nettoyer les ressources et protéger votrecompte AWS

Ce guide contient des procédures que vous pouvez utiliser pour explorer davantage Amazon EFS.Avant d'effectuer cette étape de nettoyage, vous pouvez utiliser les ressources que vous avez créées etauxquelles vous vous êtes connecté dans l'exercice de mise en route de ces procédures. Pour de plusamples informations, veuillez consulter Procédures (p. 136). Une fois que vous avez suivi les procédures,ou si vous ne voulez pas aller plus avant, vous devez suivre les étapes suivantes pour nettoyer vosressources et protéger votre compte AWS.

Pour nettoyer les ressources et protéger votre compte AWS

1. Connectez-vous à votre instance Amazon EC2.2. Démontez le système de fichiers Amazon EFS. à l'aide de la commande suivante.

$ sudo umount efs

3. Ouvrez la console Amazon EFS à l'adresse https://console.aws.amazon.com/efs/.4. Choisissez le système de fichiers Amazon EFS. que vous souhaitez supprimer dans la liste des

systèmes de fichiers.5. En regard de Actions, choisissez Delete file system.6. Dans la boîte de dialogue Permanently delete file system, saisissez l'ID de système de fichiers du

système de fichiers Amazon EFS que vous voulez supprimer, puis choisissez Delete File System.7. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.8. Choisissez l'instance Amazon EC2 que vous voulez résilier dans la liste des instances.9. En regard de Actions, choisissez Instance State, puis Terminate.10. Dans Terminate Instances, choisissez Yes, Terminate pour résilier l"instance que vous avez créée

pour cet exercice de mise en route.11. Dans le volet de navigation, choisissez Security Groups.12. Sélectionnez le nom du groupe de sécurité que vous avez créé pour cet exercice de mise en route

à l' Étape 1 : Créer vos ressources EC2 et lancer votre instance EC2 (p. 12) dans le cadre del'assistant de lancement d'instance Amazon EC2.

18





Warning

Ne supprimez pas le groupe de sécurité par défaut pour votre VPC.13. En regard de Actions, choisissez Delete Security Group.14. Dans Delete Security Group, choisissez Yes, Delete afin de supprimer le groupe de sécurité que vous

avez créé pour cet exercice de mise en route.

19


Création de ressources pour AmazonEFS

Amazon EFS fournit un service Elastic de stockage de fichiers partagés qui est compatible POSIX. Lesystème de fichiers que vous créez prend en charge l'accès simultané en lecture et en écriture à partirde plusieurs instances Amazon EC2 et il est accessible à partir de toutes les zones de disponibilité de larégion AWS dans laquelle il a été créé.

Vous pouvez monter un système de fichiers Amazon EFS sur les instances EC2; de votre Amazon VirtualPrivate Cloud (Amazon VPC) à l'aide du protocole Network File System versions 4.0 et 4.1 (NFSv4). Pourplus d'informations, consultez Amazon EFS : fonctionnement (p. 3).

Rubriques• Création d'un Amazon Elastic File System (p. 21)• Création de cibles de montage (p. 25)• Création de groupes de sécurité (p. 29)

A titre d'exemple, supposons qu'une ou plusieurs instances EC2 soient lancées dans votre VPC. A présent,vous voulez créer et utiliser un système de fichiers sur ces instances. Voici les étapes classiques que vousdevez suivre pour utiliser les systèmes de fichiers Amazon EFS dans le VPC :

• Créer un système de fichiers Amazon EFS – lorsque vous créez un système de fichiers, nous vousrecommandons d'envisager d'utiliser la balise Name, car la valeur de balise Name s'affiche dans laconsole et facilite son identification. Vous pouvez également ajouter d'autres balises facultatives ausystème de fichiers.

• Créer des cibles de montage pour le système de fichiers – Pour accéder au système de fichiers de votreVPC et monter le système de fichiers sur votre instance Amazon EC2, vous devez créer des cibles demontage dans les sous-réseaux VPC.

• Créez des groupes de sécurité – Une instance Amazon EC2 et une cible de montage ont toutes deuxbesoin de groupes de sécurité associés. Ces groupes de sécurité font office de pare-feu virtuel contrôlantle trafic entre elles. Vous pouvez utiliser le groupe de sécurité que vous avez associé à la cible demontage pour contrôler le trafic entrant vers votre système de fichiers en ajoutant une règle entrante pourle groupe de sécurité de la cible de montage qui autorise l'accès depuis une instance EC2 spécifique.Ensuite, vous pouvez monter le système de fichiers uniquement sur cette instance EC2.

Si vous utilisez Amazon EFS pour la première fois, nous vous recommandons d'essayer les exercicessuivants qui vous permettront de vous exercer à l'utilisation d'un système de fichiers Amazon EFS :

• Mise en route (p. 11) – L'exercice de mise en route propose une configuration de bout en bout sur uneconsole dans laquelle vous créez un système de fichiers, le montez sur une instance EC2 et testezla configuration. La console effectue beaucoup de tâches à votre place pour vous aider à configurerrapidement une expérience de bout en bout.

• Procédure 1 : Création d'un système de fichiers Amazon EFS et montage de ce dernier sur une instanceEC2 à l'aide de l'AWS CLI (p. 136)– La procédure est similaire à l'exercice de mise en route, maiselle utilise AWS Command Line Interface (AWS CLI) pour effectuer la plupart des tâches. En raison del'étroite correspondance entre les commandes de l'AWS CLI et l'API Amazon EFS, la procédure vousaide à vous familiariser avec les opération API Amazon EFS.

Pour plus d'informations sur la création et l'accès à un système de fichiers, consultez les rubriquessuivantes.

20

Amazon Elastic File System Guide de l'utilisateurCréation de systèmes de fichiers

Rubriques• Création d'un Amazon Elastic File System (p. 21)• Création de cibles de montage (p. 25)• Création de groupes de sécurité (p. 29)

Création d'un Amazon Elastic File SystemVous trouverez ci-après une explication de la façon de créer un système de fichiers Amazon EFS et desbalises facultatives pour le système de fichiers. Cette section explique comment créer ces ressources àl'aide de la console et de l'AWS Command Line Interface (AWS CLI).

Note

Si vous utilisez Amazon EFS pour la première fois, nous vous recommandons d'effectuerl'exercice de mise en route qui fournit des instructions de bout en bout sur la console pour créeret accéder à un système de fichiers dans votre VPC. Pour de plus amples informations, veuillezconsulter Mise en route (p. 11).

Rubriques• Prérequis (p. 21)• Autorisations nécessaires (p. 21)• Création d'un système de fichiers (p. 22)

PrérequisPour créer un système de fichiers, la seule exigence est de créer un jeton afin de garantir l'opérationidempotente. Si vous utilisez la console, elle génère le jeton à votre place. Pour de plus amplesinformations, veuillez consulter CreateFileSystem (p. 192). Une fois le système de fichiers créé, AmazonEFS retourne la description de système de fichier au format JSON. Voici un exemple.

{ "SizeInBytes": { "Value": 6144 }, "CreationToken": "console-d7f56c5f-e433-41ca-8307-9d9c0example", "CreationTime": 1422823614.0, "FileSystemId": "fs-c7a0456e", "PerformanceMode" : "generalPurpose", "NumberOfMountTargets": 0, "LifeCycleState": "available", "OwnerId": "231243201240"}

Si vous utilisez la console, celle-ci affiche ces informations dans l'interface utilisateur.

Une fois le système de fichiers créé, vous pouvez créer des balises facultatives pour ce dernier. Au départ,le système de fichiers n'a pas de nom. Vous pouvez créer une balise Name pour attribuer un nom ausystème de fichiers. Amazon EFS fournit l'opération CreateTags (p. 206) pour la création de balises.Chaque balise est simplement une paire clés-valeurs.

Autorisations nécessairesPour toutes les opérations, comme la création d'un système de fichiers et la création de balises, unutilisateur doit disposer d'autorisations AWS Identity and Access Management pour l'action et la ressourced'API correspondantes.

21

Amazon Elastic File System Guide de l'utilisateurCréation d'un système de fichiers

Vous pouvez effectuer des opérations Amazon EFS en utilisant les informations d'identification racinede votre compte AWS, mais l'utilisation des informations d'identification racine n'est pas recommandée.Si vous créez des utilisateurs IAM dans votre compte, vous pouvez leur accorder des autorisations pourdes actions Amazon EFS avec des stratégies utilisateur. Vous pouvez également utiliser des rôles pouraccorder des autorisations sur des comptes. Pour plus d'informations sur la gestion des autorisationsrelatives aux actions d'API, consultez Authentification et contrôle d'accès pour Amazon EFS (p. 177).

Création d'un système de fichiersVous pouvez créer un système de fichiers à l'aide de la console Amazon EFS ou à l'aide de l'AWSCommand Line Interface. Vous pouvez également créer des systèmes de fichiers par programmation àl'aide de kits SDK AWS.

Création d'un système de fichiers à l'aide de la console AmazonEFSLa console Amazon EFS offre une expérience intégrée. Dans la console, vous pouvez spécifier des sous-réseaux VPC pour créer des cibles de montage et des balises de système de fichier facultatives lors de lacréation d'un système de fichiers.

Pour créer les cibles de montage du système de fichiers dans votre VPC, vous devez spécifier des sous-réseaux VPC. La console pré-remplit la liste des VPC de votre compte qui se trouvent dans la région AWSsélectionnée. Tout d'abord, vous sélectionnez votre VPC, puis la console affiche la liste des zones dedisponibilité dans le VPC. Pour chaque zone de disponibilité, vous pouvez sélectionner un sous-réseaude la liste. Une fois que vous avez sélectionné un sous-réseau, vous pouvez spécifier une adresse IPdisponible dans le sous-réseau ou laisser Amazon EFS choisir une adresse.

Lors de la création d'un système de fichiers, vous sélectionnez également un mode de performances.Il existe deux modes de performances : Usage général et E/S max. Pour la plupart des cas d'utilisation,nous vous recommandons d'utiliser le mode de performances Usage général pour votre systèmede fichiers. Pour plus d'informations sur les différents modes de performances;, consultez Modes deperformances (p. 97).

Outre les modes de performances, vous pouvez également choisir le mode de débit. Vous avez le choixentre deux modes de débit : Débit en rafales et Débit alloué. Le mode Débit en rafales par défaut est simpleà utiliser et convient à la majorité des applications tout en répondant à un large éventail d'exigences deperformances. Le mode Débit alloué est adapté aux applications qui ont besoin d'un rapport entre le débitet la capacité de stockage supérieur à celui fourni par le mode Débit en rafales. Pour plus d'informations,consultez Spécification du débit avec le mode alloué (p. 101).

Note

Des frais supplémentaires sont associés à l'utilisation du mode Débit alloué. Pour en savoir plus,consultez la page https://aws.amazon.com/efs/pricing.

Vous pouvez activer le chiffrement au repos lors de la création d'un système de fichiers. Si vous activezle chiffrement au repos pour votre système de fichiers, toutes les données et métadonnées stockéessur celui-ci sont chiffrées. Vous pouvez activer le chiffrement des données en transit ultérieurement, lorsdu montage du système de fichiers. Pour plus d'informations sur le chiffrement Amazon EFS, consultezSécurité (p. 104).

Lorsque vous choisissez Create File System (Créer un système de fichiers), la console envoie une sériede requêtes d'API pour créer le système de fichiers. La console envoie ensuite des demandes d'API pourcréer des balises et des cibles de montage pour le système de fichiers. L'exemple de console suivantillustre le système de fichiers MyFS. Il comporte la balise Name et trois cibles de montage qui sont créées.L'état de cycle de vie de la cible de montage doit être Available pour que vous puissiez l'utiliser pour monterle système de fichiers sur une instance EC2.

22



Pour plus d'informations sur la création d'un système de fichiers Amazon EFS à l'aide de la console,consultez Étape 1 : Créer vos ressources EC2 et lancer votre instance EC2 (p. 12).

Création d'un système de fichiers à l'aide de l'AWS CLILorsque vous utilisez l'AWS CLI, vous créez ces ressources dans l'ordre. Tout d'abord, vous créez unsystème de fichiers. Ensuite, vous pouvez créer des cibles de montage et des balises facultatives pour quele système de fichiers utilise les commandes d'AWS CLI correspondantes.

Les exemples suivants utilisent adminuser comme valeur de paramètre profile. Vous devez utiliserun profil utilisateur approprié pour fournir vos informations d'identification. Pour plus d'informations surl'AWS CLI, consultez Préparation de l'installation de l'interface de ligne de commande AWS dans le AWSCommand Line Interface Guide de l'utilisateur.

• Pour créer un système de fichiers, utilisez la commande d'interface de ligne de commande Amazon EFScreate-file-system (l'opération correspondante est CreateFileSystem (p. 192)), comme illustré ci-après.

$ aws efs create-file-system \--creation-token creation-token \--performance-mode generalPurpose \--throughput-mode bursting \--region aws-region \--profile adminuser

Par exemple, la commande create-file-system suivante crée un système de fichiers dans la régionAWS us-west-2. La commande indique MyFirstFS comme jeton de création. Pour une liste desrégions AWS dans lesquelles vous pouvez créer un système de fichiers Amazon EFS, consultez leRéférence générale d'Amazon Web Services.

$ aws efs create-file-system \--creation-token MyFirstFS \--performance-mode generalPurpose \--throughput-mode bursting \--region us-west-2 \--profile adminuser

23

http://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html



Une fois le système de fichiers créé, Amazon EFS renvoie la description du système de fichiers auformat JSON, comme illustré dans l'exemple suivant.

{ "SizeInBytes": { "Value": 6144 }, "CreationToken": "MyFirstFS", "CreationTime": 1422823614.0, "FileSystemId": "fs-c7a0456e", "PerformanceMode": "generalPurpose", "ThroughputMode": "bursting", "NumberOfMountTargets": 0, "LifeCycleState": "available", "OwnerId": "231243201240"}

Amazon EFS fournit également la commande d'interface de ligne de commande describe-file-systems (l'opération correspondante est DescribeFileSystems (p. 216)) que vous pouvez utiliser pourextraire la liste des systèmes de fichiers de votre compte, comme illustré ci-après :

$ aws efs describe-file-systems \--region aws-region \--profile adminuser

Amazon EFS retourne une liste des systèmes de fichiers de votre compte AWS créé dans la régionspécifiée.

• Pour créer des balises, utilisez la commande d'interface de ligne de commande Amazon EFS create-tags (l'opération API correspondante est CreateTags (p. 206)). L'exemple de commande suivantajoute la balise Name pour le système de fichiers.

aws efs create-tags \--file-system-id File-System-ID \--tags Key=Name,Value=SomeExampleNameValue \--region aws-region \--profile adminuser

Vous pouvez extraire une liste des balises créées pour un système de fichiers à l'aide de lacommande d'interface de ligne de commande describe-tags (l'opération correspondante estDescribeTags (p. 226)), comme illustré ci-après.

aws efs describe-tags \--file-system-id File-System-ID \--region aws-region \--profile adminuser

Amazon EFS retourne ces descriptions au format JSON. Voici un exemple de balises retournées parl'opération DescribeTags. Il présente un système de fichiers comportant uniquement la balise Name.

{ "Tags": [ { "Key": "Name", "Value": "MyFS" } ]

24

Amazon Elastic File System Guide de l'utilisateurCréation de cibles de montage

}

Création de cibles de montageUne fois le système de fichiers créé, vous pouvez créer des cibles de montage, puis monter le système defichiers sur des instances EC2 de votre VPC, comme illustré ci-après.

Pour plus d'informations sur la création d'un système de fichiers, consultez Création d'un Amazon ElasticFile System (p. 21).

Le groupe de sécurité de la cible de montage fait office de pare-feu virtuel contrôlant le trafic. Par exemple,il détermine les instances Amazon EC2 qui peuvent accéder au système de fichiers. Cette section décrit leséléments suivants :

• Groupes de sécurité de cible de montage et activation du trafic.• Comment monter le système de fichiers sur votre instance Amazon EC2.• Considérations relatives aux autorisations de niveau NFS.

Au départ, seul l'utilisateur racine sur l'instance Amazon EC2 dispose d'autorisations de lecture-écriture-exécution sur le système de fichiers. Cette rubrique décrit les autorisation de niveau NFS et fournit desexemples qui expliquent comment accorder des autorisations dans des scénarios courants. Pour de plusamples informations, veuillez consulter Utilisateurs, groupes et autorisations de niveau NFS (p. 32).

Vous pouvez créer des cibles de montage pour un système de fichiers à l'aide de la console, à partir del'using AWS Command Line Interface, ou par programmation à l'aide de kits SDK AWS. Si vous utilisezla console, vous pouvez créer des cibles de montage lorsque vous créez un système de fichiers pour lapremière fois ou une fois le système de fichiers créé.

25

Amazon Elastic File System Guide de l'utilisateurCréation d'une cible de montage cible

à l'aide de la console Amazon EFS

Création d'une cible de montage cible à l'aide de laconsole Amazon EFSSuivez les étapes de la procédure ci-après pour créer une cible de montage à l'aide de la console. Amesure que vous suivez les étapes de la console, vous pouvez également créer une ou plusieurs cibles demontage. Vous pouvez créer une cible de montage pour chaque zone de disponibilité dans votre VPC.

Pour créer un système de fichiers Amazon EFS (console)

1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon EFS à l'adresse https://console.aws.amazon.com/efs/.

2. Choisissez Create File System.

Note

La console affiche la page précédente uniquement si vous n'avez pas déjà de systèmes defichiers Amazon EFS. Si vous avez créé des systèmes de fichiers, la console affiche une listede vos systèmes de fichiers. Sur la page de la liste, sélectionnez Create File System.

3. Sur la page Étape 1 : Configurez l'accès au système de fichiers, sélectionnez le VPC et la zone dedisponibilité du VPC dans laquelle vous souhaitez que la console crée une ou plusieurs cibles demontage pour le système de fichiers que vous créez. Il doit s'agir du même Amazon VPC que celuidans lequel vous avez créé votre instance Amazon EC2 dans la section précédente.

a. Sélectionnez un Amazon VPC dans la liste VPC.

Warning

Si le Amazon VPC que vous voulez ne figure pas dans la liste, vérifiez la région dans lanavigation globale sur la console Amazon EFS.

b. Dans la section Create Mount Targets, sélectionnez toutes les zones de disponibilité répertoriées.

Nous vous recommandons de créer des cibles de montage dans toutes les zones de disponibilité.Vous pouvez ensuite monter votre système de fichiers sur les instances Amazon EC2 créées dansl'un des sous-réseaux Amazon VPC.

26





Note

Vous pouvez accéder à un système de fichiers sur une instance Amazon EC2 dans unezone de disponibilité en utilisant une cible de montage créée dans une autre zone dedisponibilité, mais des coûts sont associés à l'accès entre zones de disponibilité.

Pour chaque zone de disponibilité, procédez comme suit :

• Sélectionnez dans la liste un sous-réseau dans lequel vous voulez créer la cible de montage.

Vous pouvez créer une cible de montage dans chaque zone de disponibilité. Si vous avezplusieurs sous-réseaux dans une zone de disponibilité où vous avez lancé votre instanceAmazon EC2, il n'est pas nécessaire de créer une cible de montage dans le même sous-réseau, il peut s'agir de n'importe quel sous-réseau de la zone de disponibilité.

• Conservez le champ IP Adress défini sur Automatic. Amazon EFS sélectionne l'une desadresses IP disponibles pour la cible de montage.

• Spécifiez le groupe de sécurité que vous avez créé spécifiquement pour la cible de montage oule groupe de sécurité par défaut du VPC par défaut. Les deux groupes de sécurité comportentla règle entrante nécessaire qui autorise l'accès entrant depuis le groupe de sécurité d'instanceEC2.

Cliquez dans le champ Security Group et la console va affiche les groupes de sécuritédisponibles. Ici, vous pouvez sélectionner un groupe de sécurité spécifique et supprimer legroupe de sécurité Default, ou conserver le groupe par défaut indiqué, selon la façon dont vousavez configuré votre instance Amazon EC2.

4. Sur la page Étape 2 : Configurer les paramètres optionnels, spécifiez une valeur pour la balise Name(Nom) (MyExampleFileSystem) et choisissez votre mode de performance.

La console pré-remplit la balise Name car Amazon EFS utilise sa valeur en tant que nom d'affichagedu système de fichiers.

27



5. Dans la page Step 3: Review and Create, choisissez Create File System.

6. La console affiche le système de fichiers nouvellement créé dans la page File Systems. Vérifiez quetoutes les cibles de montage affichent le champ Life Cycle State défini sur Available. Un certain temps

28

Amazon Elastic File System Guide de l'utilisateurCréation d'une cible de montage cible à l'aide de l'AWS CLI

peut s'écouler avant que les cibles de montage ne deviennent disponibles (vous pouvez développer/réduire le système de fichiers sur la console EFS pour forcer son actualisation).

7. Sous Accès au système de fichiers, vous pouvez voir le nom DNS du système de fichiers. Notez cenom DNS. Dans la section suivante, vous utiliserez ce nom DNS pour monter le système de fichierssur l'instance Amazon EC2 via la cible de montage. L'instance Amazon EC2 sur laquelle vous montezle système de fichiers peut résoudre le nom DNS du système de fichiers par l'adresse IP de la cible demontage.

Vous êtes maintenant prêt pour monter le système de fichiers Amazon EFS sur une instance Amazon EC2.

Création d'une cible de montage cible à l'aide del'AWS CLIPour créer une cible de montage à l'aide de l'AWS CLI, utilisez la commande d'interface de ligne decommande create-mount-target (l'opération correspondante est CreateMountTarget (p. 199)),comme illustré ci-après.

$ aws efs create-mount-target \--file-system-id file-system-id \--subnet-id subnet-id \--security-group ID-of-the-security-group-created-for-mount-target \--region aws-region \--profile adminuser

Une fois la cible de montage créée, Amazon EFS renvoie la description de la cible de montage au formatJSON, comme illustré dans l'exemple suivant.

{ "MountTargetId": "fsmt-f9a14450", "NetworkInterfaceId": "eni-3851ec4e", "FileSystemId": "fs-b6a0451f", "LifeCycleState": "available", "SubnetId": "subnet-b3983dc4", "OwnerId": "23124example", "IpAddress": "10.0.1.24"}

Vous pouvez également extraire une liste des cibles de montage créées pour un système de fichiersà l'aide de la commande d'interface de ligne de commande describe-mount-targets (l'opérationcorrespondante est DescribeMountTargets (p. 220)), comme illustré ci-après.

$ aws efs describe-mount-targets \--file-system-id file-system-id \--region aws-region \--profile adminuser

Pour obtenir un exemple, consultez Procédure 1 : Création d'un système de fichiers Amazon EFS etmontage de ce dernier sur une instance EC2 à l'aide de l'AWS CLI (p. 136).

Création de groupes de sécuritéNote

La section suivante est spécifique à Amazon EC2 et explique comment créer des groupes desécurité pour que vous puissiez utiliser Secure Shell (SSH) pour vous connecter à toutes les

29

Amazon Elastic File System Guide de l'utilisateurCréation de groupes de sécurité à

l'aide d'AWS Management Console

instances qui ont monté des systèmes de fichiers Amazon EFS. Si vous n'utilisez pas SSH pourvous connecter à vos instances Amazon EC2, vous pouvez ignorer cette section.

Des groupes de sécurité sont associés à une instance Amazon EC2 et à une cible de montage. Cesgroupes de sécurité font office de pare-feu virtuel contrôlant le trafic entre elles. Si vous n'indiquez pasde groupe de sécurité lors de la création d'une cible de montage, Amazon EFS lui associe le groupe desécurité par défaut du VPC.

Quoi qu'il en soit, pour autoriser le trafic entre une instance EC2 et une cible de montage (et donc lesystème de fichiers), vous devez configurer les règles suivantes dans ces groupes de sécurité :

• Les groupes de sécurité que vous associez à une cible de montage doivent autoriser l'accès entrant pourle protocole TCP sur le port NFS à partir de toutes les instances EC2 sur lesquelles vous voulez monterle système de fichiers.

• Chaque instance EC2 qui monte le système de fichiers doit avoir un groupe de sécurité qui autorisel'accès sortant à la cible de montage sur le port NFS.

Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité Amazon EC2 dans lemanuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Création de groupes de sécurité à l'aide d'AWSManagement ConsoleVous pouvez utiliser AWS Management Console pour créer des groupes de sécurité dans votre VPC. Pourconnecter votre système de fichiers Amazon EFS à votre instance Amazon EC2, vous devrez créer deuxgroupes de sécurité : un pour votre instance Amazon EC2 et un autre pour votre cible de montage AmazonEFS.

1. Créez deux groupes de sécurité dans votre VPC. Pour plus d'informations, consultez Création d'ungroupe de sécurité dans le Amazon VPC Guide de l'utilisateur.

2. Sur la console VPC, vérifiez les règles par défaut pour ces groupes de sécurité. Les deux groupes desécurité doivent avoir uniquement une règle sortante qui autorise le trafic en sortie.

3. Vous devez autoriser un accès supplémentaire aux groupes de sécurité comme suit :

a. Ajoutez une règle au groupe de sécurité EC2 pour autoriser l'accès entrant, comme illustré ci-après. Vous pouvez éventuellement limiter l'adresse Source.

Pour plus d'informations, consultez Ajout et suppression de règles dans le Amazon VPC Guide del'utilisateur.

b. Ajoutez une règle au groupe de sécurité de la cible de montage pour autoriser l'accès entrant àpartir du groupe de sécurité EC2, comme illustré ci-après (le groupe de sécurité EC2 est identifiéen tant que source) :

30

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html

http://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups


http://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules

Amazon Elastic File System Guide de l'utilisateurCréation de groupes de sécurité à l'aide de l'AWS CLI

Note

Vous n'avez pas besoin d'ajouter une règle sortante, car la règle sortante par défaut autorisetout le trafic en sortie (sinon, vous devrez ajouter une règle sortante pour ouvrir la connexionTCP sur le port NFS, en identifiant le groupe de sécurité de la cible de montage en tant quedestination).

4. Vérifiez que les deux groupes de sécurité autorisent maintenant l'accès entrant et l'accès sortant,comme décrit dans cette section.

Création de groupes de sécurité à l'aide de l'AWS CLIPour obtenir un exemple qui montre comment créer des groupes de sécurité à l'aide de l'AWS CLI,consultez Étape 1 : Créer des ressources Amazon EC2 (p. 138).

31


Utilisation des systèmes de fichiersAmazon Elastic File System présente une interface de système de fichiers standard qui prend en charge latotalité de la sémantique d'accès aux systèmes de fichiers. NFSv4.1 vous permet de monter votre systèmede fichiers Amazon EFS sur n'importe quelle instance Amazon Elastic Compute Cloud (Amazon EC2)basée sur Linux. Une fois le système de fichiers monté, vous pouvez utiliser les fichiers et répertoirescomme vous le feriez avec un système de fichiers local. Pour plus d'informations sur le montage, consultezMontage des systèmes de fichiers (p. 73).

Vous pouvez également utiliser EFS File Sync pour copier des fichiers de n'importe quel systèmede fichiers vers Amazon EFS. Pour plus d'informations sur le montage, consultez Amazon EFS FileSync (p. 35).

Une fois que vous avez créé un système de fichiers et que vous le montez sur votre instance EC2, vousdevez connaître un certain nombre d'informations pour pouvoir l'utiliser efficacement :

• Utilisateurs, groupes et gestion des autorisations de niveau NFS associées – Lorsque vous créezle système de fichiers pour la première fois, il y a un seul répertoire racine sous /. Par défaut,seul l'utilisateur racine (UID 0) dispose d'autorisations de lecture-écriture-exécution. Pour qued'autres utilisateurs puissent modifier le système de fichiers, l'utilisateur racine doit leur accorderexplicitement l'accès. Pour plus d'informations, consultez Utilisateurs, groupes et autorisations de niveauNFS (p. 32).

Rubriques connexesAmazon EFS : fonctionnement (p. 3)

Mise en route (p. 11)

Procédures (p. 136)

Utilisateurs, groupes et autorisations de niveau NFSRubriques

• Exemples de cas d'utilisation du système fichier Amazon EFS et d'autorisations (p. 33)• Autorisations d'ID utilisateur et de groupe sur les fichiers et les répertoires au sein d'un système de

fichiers (p. 34)• Aucune écrasement racine (p. 35)• Mise en cache des autorisations (p. 35)• Modification de la propriété d'un objet du système de fichiers (p. 35)

Après la création d'un système de fichiers, par défaut, seul l'utilisateur racine (UID 0) disposed'autorisations de lecture-écriture-exécution. Pour que d'autres utilisateurs puissent modifier le système defichiers, l'utilisateur racine doit leur accorder explicitement l'accès.

Les objets du système de fichiers Amazon EFS ont un mode de style Unix qui leur est associé. Cettevaleur définit les autorisations pour l'exécution d'actions sur cet objet, et les utilisateurs familiers avecles systèmes de type Unix peuvent facilement comprendre le comportement d'Amazon EFS avec cesautorisations.

En outre, sur les systèmes de type Unix, les utilisateurs et les groupes sont mappées à des identificateursnumériques, lesquels sont utilisés par Amazon EFS pour représenter la propriété de fichier. Les objets

32

Amazon Elastic File System Guide de l'utilisateurExemples de cas d'utilisation du système

fichier Amazon EFS et d'autorisations

du système de fichiers (autrement dit, fichiers, répertoires, etc.) sur Amazon EFS appartiennent à un seulpropriétaire et à un seul groupe. Amazon EFS utilise ces ID numériques pour vérifier les autorisationslorsqu'un utilisateur essaie d'accéder à un objet de système de fichiers.

Cette section fournit des exemples d'autorisations et traite des considérations relatives aux autorisations deNFS spécifiques à Amazon EFS.

Exemples de cas d'utilisation du système fichierAmazon EFS et d'autorisationsUne fois que vous avez créé un système de fichiers Amazon EFS et des cibles de montage pour lesystème de fichiers dans votre VPC, vous pouvez monter le système de fichiers éloigné en local sur votreinstance Amazon EC2. La commande mount permet de monter un répertoire sur le système de fichiers.Toutefois, lorsque vous créez le système de fichiers pour la première fois, un seul répertoire racine setrouve à l'emplacement /.

La commande mount suivante permet de monter le répertoire racine d'un système de fichiers AmazonEFS, identifié par le nom DNS de système de fichiers, dans le répertoire local /efs-mount-point.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

Notez que l'utilisateur racine et le groupe racine sont propriétaires du répertoire monté.

Le mode d'autorisations initial autorise :

• des autorisations read-write-execute sur le propriétaire racine• des autorisations read-execute sur le groupe racine• des autorisations read-execute sur les autres

Notez que seul l'utilisateur racine peut modifier ce répertoire. L'utilisateur racine peut aussi accorder desautorisations à d'autres utilisateurs pour l'écriture dans ce répertoire. Exemples :

• Créer des sous-répertoires par utilisateur accessibles en écriture. Pour obtenir des instructionsdétaillées, consultez Procédure 3 : Création de sous-répertoires par utilisateur accessibles en écriture etconfiguration d'un remontage au redémarrage automatique (p. 154).

• Autoriser des utilisateurs à écrire à la racine de système de fichiers Amazon EFS. Un utilisateur avec desprivilèges racine peut accorder à d'autres utilisateurs l'accès au système de fichiers.• Pour transférer la propriété du système de fichiers Amazon EFS à un utilisateur et un groupe non

racine, utilisez la commande suivante :

$ sudo chown user:group /EFSroot

• Pour remplacer les autorisations du système de fichiers par des autorisations moins restrictives,utilisez la commande suivante :

$ sudo chmod 777 /EFSroot

33

Amazon Elastic File System Guide de l'utilisateurAutorisations d'ID utilisateur et de groupe sur les fichiers

et les répertoires au sein d'un système de fichiers

Cette commande accorde des privilèges en lecture-écriture-exécution à tous les utilisateurs sur toutesles instances EC2 dont le système de fichiers est monté.

Autorisations d'ID utilisateur et de groupe sur lesfichiers et les répertoires au sein d'un système defichiersLes fichiers et répertoires d'un système de fichiers Amazon EFS prennent en charge les autorisationslecture/écriture/exécution de type Unix sur la base de l'ID utilisateur et de l'ID de groupe déclarés par leclient NFSv4.1 de montage. Lorsqu'un utilisateur essaie d'accéder à des fichiers et à des répertoires,Amazon EFS vérifie leur ID d'utilisateur et ID de groupe pour vérifier que l'utilisateur est autorisé à accéderà ces objets. Amazon EFS utilise également ces ID en tant que propriétaire et propriétaire du groupepour les nouveaux fichiers et répertoires créés par l'utilisateur. Amazon EFS n'examine pas les nomsd'utilisateur ou de groupe, il n'utilise que les identificateurs numériques.

Note

Lorsque vous créez un utilisateur sur une instance EC2, vous pouvez lui affecter un UID et unGID numériques. Les ID d'utilisateur numériques sont définis dans le fichier /etc/passwd surles systèmes Linux. Les ID de groupe numériques se trouvent dans le fichier /etc/group. Cesfichiers définissent les mappings entre les noms et les ID. En dehors de l'instance EC2, AmazonEFS n'effectue aucune authentification de ces ID, y compris de l'ID racine 0.

Si un utilisateur accède à un système de fichiers Amazon EFS à partir de deux instances EC2 différentes,selon que l'UID de l'utilisateur est le même ou différent sur ces instances, vous constatez un comportementdifférent comme suit :

• Si les ID d'utilisateur sont identiques sur les deux instances EC2, Amazon EFS estime qu'il s'agit dumême utilisateur, quelle que soit l'instance EC2 qu'il utilise. L'expérience utilisateur lors de l'accès ausystème de fichiers est la même depuis les deux instances EC2.

• Si les ID d'utilisateur sont différents sur les deux instances EC2, Amazon EFS estime qu'ils s'agitd'utilisateurs différents, et l'expérience utilisateur ne sera pas la même lors de l'accès au système defichiers Amazon EFS depuis les deux instances EC2 différentes.

• Si deux utilisateurs différents sur différentes instances EC2 partagent un ID, Amazon EFS estime qu'ils'agit du même utilisateur.

Vous pouvez envisager de gérer les mappings d'ID utilisateur sur les instances EC2 de manière cohérente.Les utilisateurs peuvent vérifier leur ID numérique à l'aide de la commande id, comme illustré ci-après :

$ id

uid=502(joe) gid=502(joe) groups=502(joe)

Désactivation de l'outil de mappage d'IDLes utilitaires NFS du système d'exploitation incluent un démon appelé outil de mappage d'ID qui gère lemapping entre les noms d'utilisateur et les ID. Dans Amazon Linux, ce démon est appelé rpc.idmapdet sur Ubuntu il est appelé idmapd. Il convertit les ID utilisateur et ID de groupe en noms et inversement.Toutefois, Amazon EFS gère uniquement les ID numériques. Nous vous recommandons de désactiverce processus, sur vos instances EC2 (sur Amazon Linux, l'outil de mappage est généralement désactivé,auquel cas ne l'activez pas), comme illustré ci-après :

$ service rpcidmapd status

34

Amazon Elastic File System Guide de l'utilisateurAucune écrasement racine

$ sudo service rpcidmapd stop

Aucune écrasement racineLorsque l'écrasement racine est activé, l'utilisateur racine est converti en utilisateur disposantd'autorisations limitées sur le serveur NFS.

Amazon EFS se comporte comme un serveur NFS Linux avec no_root_squash. Si un ID d'utilisateur oude groupe est 0, Amazon EFS traite cet utilisateur en tant qu'utilisateur root, et il omet les vérificationsd'autorisations (en autorisant l'accès à tous les objets de système de fichiers et leur modification).

Mise en cache des autorisationsAmazon EFS met en cache les autorisations de fichiers pour une courte durée. Par conséquent, il peut yavoir une courte période pendant laquelle un utilisateur qui avait accès à un objet système et dont l'accès aété révoqué récemment peut toujours accéder à cet objet.

Modification de la propriété d'un objet du système defichiersAmazon EFS applique l'attribut POSIX chown_restricted. Cela signifie que seul l'utilisateur racinepeut modifier le propriétaire d'un objet du système de fichiers. Bien que l'utilisateur racine ou propriétairepuisse modifier le groupe propriétaire d'un objet du système de fichiers, à moins que l'utilisateur soit detype racine, le groupe ne peut être remplacé que par un groupe dont est membre l'utilisateur propriétaire.

Amazon EFS File SyncAmazon EFS File Sync copie les fichiers d'un système de fichiers sur site ou sur cloud existant dans unsystème de fichiers Amazon EFS. EFS File Sync copie les fichiers de manière efficace et sécurisée viaInternet ou une connexion AWS Direct Connect. Il copie les données de fichier, ainsi que les métadonnéesdu système de fichiers, telles que les horodatages, la propriété et les autorisations d'accès. Pour plusd'informations sur l'utilisation d'AWS Direct Connect, consultez Procédure 5 : Créer et monter un systèmede fichiers sur site avec AWS Direct Connect (p. 156).

Note

Vous n'avez pas besoin de configurer AWS Direct Connect pour utiliser EFS File Sync.

Rubriques• Conditions requises pour EFS File Sync (p. 35)• Architecture EFS File Sync (p. 39)• Comment EFS File Sync transfère-t-il des fichiers ? (p. 40)

Conditions requises pour EFS File SyncSauf indication contraire, les éléments suivants sont requis pour créer Amazon EFS File Sync.

Configuration requiseLors du déploiement d'Amazon EFS File Sync sur site, vous devez veiller à ce que le matériel sous-jacentsur lequel vous déployez la machine virtuelle de synchronisation de fichiers soit en mesure de dédier auminimum les ressources suivantes :

35

Amazon Elastic File System Guide de l'utilisateurConditions requises pour EFS File Sync

• Quatre processeurs virtuels attribués à l'ordinateur virtuel.• 32 Go de mémoire RAM attribués à la VM• 80 Go d'espace disque pour l'installation de l'image de l'ordinateur virtuel et les données système

Lors du déploiement d'Amazon EFS File Sync sur Amazon EC2, la taille d'instance doit être au moinsxlarge pour que Amazon EFS File Sync puisse fonctionner. Nous vous recommandons d'utiliser l'un destypes d'instance Memory optimized r4.xlarge (Mémoire optimisée r4.xlarge).

Hyperviseurs pris en charge et exigences pour l'hôteVous pouvez choisir d'exécuter EFS File Sync sur site en tant que machine virtuelle (VM) ou dans AWS entant qu'instance Amazon Elastic Compute Cloud (Amazon EC2).

EFS File Sync prend en charge les versions d'hyperviseur et les hôtes suivants :

• VMware ESXi Hypervisor (versions 4.1, 5,0, 5.1, 5.5, 6.0 ou 6.5) – Une version gratuite de VMware estdisponible sur le site Web de VMware. Vous avez également besoin d'un client VMware vSphere pourvous connecter à l'hôte.

• Instance EC2 – EFS File Sync fournit une Amazon Machine Image (AMI) qui contient l'image de machinevirtuelle d'EFS File Sync. Nous vous recommandons d'utiliser les types d'instance Memory optimizedr4.xlarge (Mémoire optimisée r4.xlarge).

Protocoles NFS pris en chargeEFS File Sync prend en charge NFS v3.x, NFS v4.0 et NFS v4.1.

Autorisation de l'accès à EFS File Sync via les pare-feu et lesrouteursEFS File Sync a besoin d'accéder aux points de terminaison suivants afin de communiquer avec AWS. Sivous utilisez un pare-feu ou un routeur pour filtrer ou limiter le trafic réseau, vous devez les configurer afinde permettre les communications sortantes vers AWS pour ces points de terminaison de service.

Les points de terminaison suivants sont nécessaires pour EFS File Sync :

cp-sync.$region.amazonaws.com activation-sync.$region.amazonaws.comec2-*.amazonaws.comrepo.$region.amazonaws.comrepo.default.amazonaws.compackages.$region.amazonaws.com0.amazon.pool.ntp.org1.amazon.pool.ntp.org2.amazon.pool.ntp.org3.amazon.pool.ntp.org54.201.223.107169.254.169.123

Pour plus d'informations sur les régions AWS prises en charge, consultez Amazon Elastic File System dansle document Références générales AWS.

Le point de terminaison Amazon CloudFront est requis avant l'activation pour que l'agent desynchronisation obtienne la liste des régions AWS disponibles.

https://d4kdq0yaxexbo.cloudfront.net/

36

http://www.vmware.com/products/vsphere-hypervisor/overview.html

http://docs.aws.amazon.com/general/latest/gr/rande.html#elasticfilesystem-region


Exigences en matière de réseau et de portsEFS File Sync a besoin des ports suivants pour fonctionner correctement :

De Pour Protocole Port Utilisation

Machinevirtuelle EFSFile Sync

TCP 443 (HTTPS) Pour lescommunicationsde la machinevirtuelle EFSFile Sync versle point determinaison duservice AWS.Pour plusd'informationssur les pointsde terminaisonde service,consultez Autorisationde l'accèsà EFS FileSync via lespare-feu et lesrouteurs (p. 36).

Votrenavigateur web


TCP 80 (HTTP) Par lessystèmeslocaux pourobtenir la cléd'activationde l'agent desynchronisation.Le port 80est utiliséuniquementlors del'activation del'agent EFSFile Sync.

Une machinevirtuelle EFSFile Sync nenécessite pasde port 80 pourêtre accessiblepubliquement.Le niveaurequis del'accès auport 80dépend de laconfigurationde votreréseau. Si

37


De Pour Protocole Port Utilisationvous activezvotre agent desynchronisationà partir dela consolede gestionAmazon EFS,l'hôte à partirduquel vousvous connectezà la consoledoit avoir accèsau port 80.


Serveur DNS(Domain NameService)

TCP/UDP 53 (DNS) Pour toutecommunicationentre lamachinevirtuelle EFSFile Sync et leserveur DNS.


TCP 22 (canal desupport)

Permet àAWS Supportd'accéder àvotre agentEFS File Syncpour vous aiderà résoudreles problèmesliés à EFSFile Sync. Ceport n'a pasbesoin d'êtreouvert pour unfonctionnementnormal, mais ildoit l'être pourrésoudre lesproblèmes.


Serveur NTP UDP 123 (NTP) Par lessystèmeslocaux poursynchroniserl'heure dela machinevirtuelle et cellede l'hôte.

38

Amazon Elastic File System Guide de l'utilisateurArchitecture EFS File Sync

De Pour Protocole Port Utilisation


Serveur NFS TCP/UDP 2049 (NFS) Par la machinevirtuelle EFSFile Sync pourmonter unsystème defichiers NFSsource.

Prend encharge NFSv3.x, NFS v4.0et NFS v4.1.

Vous trouverez ci-après une illustration des ports requis et des ports nécessaires pour EFS File Sync.

Architecture EFS File SyncEFS File Sync offre les avantages suivants :

• Transfert de données en parallèle efficace et à hautes performances qui tolère les réseaux peu fiables età latence élevée.

• Chiffrement des données transférées de votre environnement informatique vers AWS.• Débit de transfert de données jusqu'à cinq fois plus élevé qu'avec les outils de copie Linux standard.• Synchronisations complètes et incrémentielles pour les transferts répétitifs.

Le schéma suivant montre une vue globale de l'architecture EFS File Sync.

39

Amazon Elastic File System Guide de l'utilisateurComment EFS File Sync transfère-t-il des fichiers ?

Pour synchroniser des fichiers d'un système de fichiers existant vers Amazon EFS

1. Ouvrez la console de gestion Amazon EFS à l'adresse https://console.aws.amazon.com/efs/.2. Téléchargez et déployez un agent de synchronisation. Pour un déploiement sur site, l'agent de

synchronisation est fourni sous la forme d'une image de machine virtuelle (VM) pour VMware ESXi.Pour un déploiement dans le cloud AWS, vous pouvez créer une instance Amazon EC2 à partir del'Amazon Machine Image (AMI) de la communauté.

3. Créez une tâche de synchronisation et configurez vos systèmes de fichiers source et de destination.4. Démarrez votre tâche de synchronisation pour commencer à synchroniser les fichiers du système de

fichiers source vers le système de fichiers Amazon EFS.5. Surveillez votre tâche de synchronisation sur la console Amazon EFS ou à partir de Amazon

CloudWatch. Pour plus d'informations, consultez Surveillance d'EFS File Sync avec AmazonCloudWatch (p. 86).

Pour plus d'informations sur le processus EFS File Sync, consultez les éléments suivants :

• Pour plus d'informations sur la façon de synchroniser des fichiers d'un système de fichiers sur site versAmazon EFS, consultez Procédure 7 : Synchroniser les fichiers d'un système de fichiers sur site versAmazon EFS en utilisant EFS File Sync (p. 164).

• Pour plus d'informations sur la façon de synchroniser des fichiers d'Amazon EC2 vers Amazon EFS,consultez Procédure 8 : Synchroniser un système de fichiers à partir d'Amazon EC2 vers Amazon EFS àl'aide d'EFS File Sync (p. 169).

Comment EFS File Sync transfère-t-il des fichiers ?Lorsqu'une tâche de synchronisation démarre, elle passe par trois statuts différents : Préparation,Synchronisation et Vérification. Au cours du statut Préparation, EFS File Sync examine les systèmesde fichiers source et de destination pour identifier les fichiers à synchroniser. Il y parvient en scannantde façon récursive le contenu des systèmes de fichiers source et de destination à la recherche desdifférences. Les fichiers qu'il examine incluent les fichiers qui ont été modifiés, supprimés, ajoutés et lesfichiers dont les métadonnées ont été modifiées.

Une fois l'analyse terminée et les différences calculées, EFS File Sync passe au statut Synchronisation. Àce stade, EFS File Sync commence à transférer les fichiers du système de fichiers source vers le systèmede fichiers Amazon EFS de destination. Seuls les fichiers qui ont été ajoutés, modifiés ou supprimés sonttransférés. Ce transfert incrémentiel ne dépend pas de la tâche de synchronisation que vous utilisez maisdu contenu de votre système de fichiers source et de destination. Dans la boîte de dialogue Configure syncsettings (Configurer les paramètres de synchronisation), vous pouvez choisir les métadonnées du systèmede fichiers source que vous souhaitez conserver. Vous pouvez également configurer les paramètres destâches de synchronisation afin de conserver ou supprimer des fichiers dans la destination, même s'ils ne setrouvent pas dans le système de fichiers source.

40


Amazon Elastic File System Guide de l'utilisateurComment EFS File Sync transfère-t-il des fichiers ?

Une fois la synchronisation terminée, EFS File Sync vérifie la cohérence entre les systèmes de fichierssource et de destination. Il s'agit du statut Vérification. Par défaut, EFS File Sync utilise une vérification decohérence complète de votre source et de votre destination lors du transfert des fichiers. Au cours de laphase de vérification d'une tâche de synchronisation, EFS File Sync réanalyse le contenu de la source etde la destination à la recherche de différences. Si aucune différence n'est trouvée, la tâche réussit. Sinon,la tâche est marquée d'une défaillance de vérification. Pour plus d'informations sur les statuts d'EFS FileSync, consultez Présentation du statut de la tâche de synchronisation (p. 59).

Bonnes pratiques pour le transfert de données à partir d'unensemble de stockage sur siteVous pouvez souhaiter transférer des données d'un ensemble de stockage d'entreprise sur site versAmazon EFS. Dans ce cas, les fichiers du système de fichiers source peuvent être modifiés par une autreapplication pendant que les fichiers sont transférés à partir de Network File System (NFS) vers AmazonEFS.

Pour garantir qu'EFS File Sync effectue avec succès un transfert avec une vérification de cohérencetotale, nous recommandons que l'emplacement source pointe vers un instantané en lecture seule. Cetteconfiguration permet de s'assurer que les fichiers de l'emplacement source ne peuvent pas être modifiéspendant qu'ils sont transférés et que la vérification fonctionne.

Pour plus d'informations sur la façon de prendre un instantané (snapshot) dans un ensemble de stockaged'entreprise, consultez l'une des sections suivantes :

• EMC VNX : How to create a VNX snapshot and attach it to a server• EMC VMAX : EMC TimeFinder Product Description Guide• NetApp : Snapshot management• HPE 3PAR : Snapshots and copy data management• HDS : Hitachi Copy-on-Write Snapshot User Guide

Rubriques connexes

Étape 2 : Créer une tâche de synchronisation (p. 166)

Présentation du statut de la tâche de synchronisation (p. 59)

41

https://community.emc.com/docs/DOC-24251

https://www.emc.com/collateral/software/timefinder.pdf

https://library.netapp.com/ecmdocs/ECMP1635994/html/GUID-DF14D62D-99D1-4B2B-8065-884C9E914259.html

https://h20195.www2.hpe.com/v2/GetPDF.aspx/4AA6-4486ENW.pdf

https://support.hds.com/download/epcra/rd701311.pdf

Amazon Elastic File System Guide de l'utilisateurPrésentation

Utilisation des outils amazon-efs-utilsVous trouverez ci-dessous une description d'amazon-efs-utils, un ensemble d'outils Amazon EFS en opensource.

Rubriques• Présentation (p. 42)• Installation du package amazon-efs-utils sur Amazon Linux (p. 43)• Installation du package amazon-efs-utils sur d'autres distributions Linux (p. 43)• Mise à niveau de stunnel (p. 45)• Assistant de montage EFS (p. 46)

PrésentationLe package amazon-efs-utils est une collection open-source d'outils Amazon EFS. Il n'y a pas de fraissupplémentaires pour l'utilisation d'amazon-efs-utils et vous pouvez télécharger ces outils à partirde GitHub ici : https://github.com/aws/efs-utils. Le package amazon-efs-utils est disponible dans lesréférentiels de packages Amazon Linux et vous pouvez générer et installer le package sur d'autresdistributions Linux.

Le package amazon-efs-utils est fourni avec un assistant de montage et des outils qui facilitent lechiffrement des données en transit pour Amazon EFS. Un assistant de montage est un programme quevous utilisez lorsque vous montez un type spécifique de système de fichiers. Nous vous recommandonsd'utiliser l'assistant de montage inclus dans amazon-efs-utils pour monter vos systèmes de fichiers AmazonEFS.

amazon-efs-utils possède les dépendances suivantes qui sont installées lorsque vous installez le packageamazon-efs-utils :

• Client NFS (package nfs-utils)• Relais réseau (package stunnel, version 4.56 ou suivante)• Python (version 2.7 ou suivante)• OpenSSL 1.0.2 ou version plus récente

Note

Par défaut, lorsque vous utilisez l'assistant de montage Amazon EFS avec le protocole TLS(Transport Layer Security), l'assistant de montage impose l'utilisation du protocole de vérificationen ligne de certificat (OCSP) et la vérification du nom d'hôte du certificat. L'assistant de montageAmazon EFS utilise le programme stunnel pour sa fonctionnalité TLS. Certaines versions deLinux n'incluent pas une version de stunnel prenant en charge ces fonctionnalités TLS par défaut.Lorsque vous utilisez l'une de ces versions de Linux, le montage d'un système de fichiers AmazonEFS à l'aide de TLS échoue.Une fois que vous avez installé le package amazon-efs-utils, pour mettre à niveau la version destunnel de votre système, consultez Mise à niveau de stunnel (p. 45).Pour tout problème lié au chiffrement, consultez Résolution des problèmes dechiffrement (p. 127).

42

https://github.com/aws/efs-utils

Amazon Elastic File System Guide de l'utilisateurInstallation du package amazon-efs-utils sur Amazon Linux

Les distributions Linux suivantes prennent en charge amazon-efs-utils :

• Amazon Linux 2• Amazon Linux• Red Hat Enterprise Linux (et dérivés telles que CentOS) version 7 et versions ultérieures• Ubuntu 16.04 LTS et les versions plus récentes

Les sections suivantes vous permettent de découvrir comment installer amazon-efs-utils sur vos instancesLinux.

Installation du package amazon-efs-utils surAmazon Linux

Le package amazon-efs-utils est disponible en vue de son installation dans Amazon Linux et dans les AMI(Amazon Machine Images) pour Amazon Linux 2.

Note

Si vous utilisez AWS Direct Connect, vous pouvez trouver les instructions d'installation dansProcédure 5 : Créer et monter un système de fichiers sur site avec AWS Direct Connect (p. 156).

Pour installer le package amazon-efs-utils

1. Assurez-vous d'avoir créé une instance EC2 Amazon Linux ou Amazon Linux 2. Pour plusd'informations, consultez Étape 1 : Lancer une instance dans le Amazon EC2 Guide de l'utilisateurpour les instances Linux.

2. Accédez au terminal pour votre instance via SSH (Secure Shell) et connectez-vous avec le nomd'utilisateur approprié. Pour plus d'informations sur cette opération, consultez Connexion à votreinstance Linux à l'aide de SSH dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

3. Exécutez la commande suivante pour installer amazon-efs-utils :

sudo yum install -y amazon-efs-utils

Installation du package amazon-efs-utils surd'autres distributions Linux

Si vous ne souhaitez pas obtenir le package amazon-efs-utils depuis Amazon Linux ou les AMI AmazonLinux 2, il est également disponible sur GitHub.

Pour cloner amazon-efs-utils à partir de GitHub

1. Assurez-vous d'avoir créé une instance Amazon EC2 ayant le type d'AMI pris en charge. Pour plusd'informations, consultez Étape 1 : Lancer une instance dans le Amazon EC2 Guide de l'utilisateurpour les instances Linux.

2. Accédez au terminal pour votre instance via SSH (Secure Shell) et connectez-vous avec le nomd'utilisateur approprié. Pour plus d'informations, consultez Connexion à votre instance Linux à l'aide deSSH dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

43

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance



http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-launch-instance



Amazon Elastic File System Guide de l'utilisateurInstallation du package amazon-efs-utils sur d'autres distributions Linux

3. Si vous ne l'avez pas déjà fait, installez git à l'aide de la commande suivante :

sudo yum -y install git

4. Depuis le terminal, clonez l'outil amazon-efs-utils depuis GitHub vers un répertoire de votre choix, avecla commande suivante.

git clone https://github.com/aws/efs-utils

Étant donné que vous avez besoin de la commande bash make, vous pouvez l'installer à l'aide de lacommande suivante si votre système d'exploitation ne la possède pas déjà :

sudo yum -y install make

Une fois que vous avez cloné le package, vous pouvez générer et installer amazon-efs-utils en utilisantl'une des méthodes suivantes, selon le type de package pris en charge par votre distribution Linux :

• RPM - Ce type de package est pris en charge par Amazon Linux, Red Hat Linux, CentOS et d'autressystèmes similaires.

• DEB - Ce type de package est pris en charge par Ubuntu, Debian et d'autres systèmes similaires.

Pour générer et installer amazon-efs-utils sous la forme d'un package RPM

1. Ouvrez un terminal sur votre client et accédez au répertoire qui contient le package amazon-efs-utilscloné obtenu à partir de GitHub (par exemple « /home/centos/efs-utils »).

2. Si vous ne l'avez pas déjà fait, installez le package rpm-builder à l'aide de la commande suivante :

sudo yum -y install rpm-build

3. Créez le package avec la commande suivante :

sudo make rpm

4. Installez le package amazon-efs-utils à l'aide de la commande suivante :

sudo yum -y install ./build/amazon-efs-utils*rpm

Pour générer et installer amazon-efs-utils sous la forme d'un package DEB

1. Ouvrez un terminal sur votre client et accédez au répertoire qui contient le package amazon-efs-utilscloné obtenu à partir de GitHub.

2. Installez le package binutils, une dépendance permettant de créer des packages DEB.

sudo apt-get -y install binutils


./build-deb.sh

4. Installez le package à l'aide de la commande suivante :

44

Amazon Elastic File System Guide de l'utilisateurMise à niveau de stunnel

sudo apt-get -y install ./build/amazon-efs-utils*deb

Mise à niveau de stunnelL'utilisation du chiffrement des données en transit avec l'assistant de montage Amazon EFS nécessiteOpenSSL version 1.0.2 ou ultérieure et une version de stunnel prenant en charge à la fois OSCP et lavérification des noms d'hôte de certificat. L'assistant de montage Amazon EFS utilise le programme stunnelpour sa fonctionnalité TLS. Notez que certaines versions de Linux n'incluent pas une version de stunnelprenant en charge ces fonctionnalités TLS par défaut. Lorsque vous utilisez l'une de ces versions de Linux,le montage d'un système de fichiers Amazon EFS à l'aide de TLS échoue.

Après avoir installé l'assistant de montage Amazon EFS, vous pouvez mettre à niveau la version de stunnelde votre système en suivant les instructions ci-après :

Pour mettre à niveau stunnel

1. Ouvrez un terminal sur votre client Linux et exécutez les commandes suivantes dans l'ordre :2. sudo yum install -y gcc openssl-devel tcp_wrappers-devel

3. sudo curl -o stunnel-5.46.tar.gz https://www.stunnel.org/downloads/stunnel-5.45.tar.gz

4. sudo tar xvfz stunnel-5.46.tar.gz

5. cd stunnel-5.46/

6. sudo ./configure

7. sudo make

8. Le package amazon-efs-utils actuel est installé dans bin/stunnel. Pour que la nouvelle versionpuisse être installée, supprimez ce répertoire à l'aide de la commande suivante :

sudo rm /bin/stunnel

9. sudo make install

10. Note

Le shell CentOS par défaut est csh, qui possède une syntaxe différente du shell bash. Lecode suivant invoque tout d'abord bash, puis s'exécute.

bash

if [[ -f /bin/stunnel ]]; thensudo mv /bin/stunnel /rootfi

11. sudo ln -s /usr/local/bin/stunnel /bin/stunnel

Une fois que vous avez installé une version de stunnel avec les fonctionnalités requises, vous pouvezmonter votre système de fichiers à l'aide de TLS en utilisant les paramètres recommandés.

Si vous ne pouvez pas installer les dépendances requises, vous pouvez désactiver OCSP et la vérificationdes noms d'hôte de certificat à l'intérieur de la configuration d'assistant de montage Amazon EFS. Nousvous déconseillons de désactiver ces fonctionnalités dans les environnements de production. Pourdésactiver OCSP et la vérification des noms d'hôte de certificat, procédez comme suit :

45

Amazon Elastic File System Guide de l'utilisateurAssistant de montage EFS

1. Dans l'éditeur de texte de votre choix, ouvrez le fichier /etc/amazon/efs/efs-utils.conf.2. Définissez la valeur de stunnel_check_cert_hostname sur false.3. Définissez la valeur de stunnel_check_cert_validity sur false.4. Enregistrez les modifications du fichier, puis fermez-le.

Pour plus d'informations sur l'utilisation du chiffrement des données en transit, consultez Montage dessystèmes de fichiers (p. 73).

Assistant de montage EFSL'assistant de montage Amazon EFS simplifie le montage de vos systèmes de fichiers. Il inclut les optionsde montage Amazon EFS recommandées par défaut. En outre, l'assistant de montage intègre un systèmede journalisation à des fins de dépannage. Si vous rencontrez un problème avec votre système de fichiersAmazon EFS, vous pouvez partager ces journaux avec AWS Support.

FonctionnementL'assistant de montage définit un nouveau type de système de fichiers réseau, appelé efs, qui estentièrement compatible avec la commande standard mount dans Linux. L'assistant de montage prendégalement en charge le montage automatique d'un système de fichiers Amazon EFS au moment dudémarrage d'instance en utilisant des entrées dans le fichier de configuration /etc/fstab.

Warning

Utilisez l'option _netdev, utilisée pour identifier les systèmes de fichiers réseau lors du montageautomatique de votre système de fichiers. Si l'option _netdev est manquante, votre instanceEC2 peut cesser de répondre. Cela s'explique par le fait que les systèmes de fichiers réseaudoivent être initialisés après le démarrage de la mise en réseau de l'instance de calcul. Pour plusd'informations, consultez Le montage automatique échoue et l'instance ne répond pas (p. 123).

Lorsque le chiffrement des données en transit est déclaré en tant qu'option de montage pour votre systèmede fichiers Amazon EFS, l'assistant de montage initialise un processus stunnel client et un processussuperviseur appelé amazon-efs-mount-watchdog. Stunnel est un relais réseau multifonctionnel quiest en open source. Le processus stunnel client écoute le trafic entrant sur un port local et l'assistant demontage redirige le trafic client NFS vers ce port. L'assistant de montage utilise la version 1.2 de TLS pourcommuniquer avec votre système de fichiers.

L'utilisation de TLS nécessite des certificats, et ces certificats sont signés par une autorité de certificationAmazon de confiance. Pour plus d'informations sur le fonctionnement du chiffrement, consultez Chiffrementdes données et métadonnées dans EFS (p. 107).

Utilisation de l'assistant de montage EFSL'assistant de montage vous aide à monter vos systèmes de fichiers EFS sur vos instances EC2 Linux.Pour plus d'informations, consultez Montage des systèmes de fichiers (p. 73).

Obtention de journaux de supportL'assistant de montage intègre un système de journalisation pour votre système de fichiers Amazon EFS.Vous pouvez partager ces journaux avec AWS Support à des fins de dépannage.

Vous trouverez ces journaux stockés dans /var/log/amazon/efs pour les systèmes sur lesquels unassistant de montage est installé. Ces journaux sont destinés à l'assistant de montage, au processusstunnel lui-même et au processus amazon-efs-mount-watchdog qui surveille le processus stunnel.

46

Amazon Elastic File System Guide de l'utilisateurUtilisation d'amazon-efs-utils avec AWS Direct Connect

Note

Le processus de surveillance garantit que chaque processus stunnel de montage est en coursd'exécution et arrête le stunnel lorsque le système de fichiers Amazon EFS est démonté. Si, pourune raison quelconque, un processus stunnel est interrompu de manière inattendue, le processusde surveillance le redémarre.

Vous pouvez modifier la configuration de vos journaux dans /etc/amazon/efs/amazon-efs-utils.conf. Toutefois, cette opération nécessite le démontage, puis le remontage du système de fichiersà l'aide de l'assistant de montage pour que les modifications prennent effet. La capacité de journalisationdestinée à l'assistant de montage et aux journaux de surveillance est limitée à 20 Mio. Les journauxdestinés au processus stunnel sont désactivés par défaut.

Important

Vous pouvez activer la journalisation pour les journaux du processus stunnel. Cependant, sachezque cette activation risque d'utiliser une quantité d'espace non négligeable sur votre système defichiers.

Utilisation d'amazon-efs-utils avec AWS DirectConnectVous pouvez monter vos systèmes de fichiers Amazon EFS sur vos serveurs de centre de données sursite lorsque vous êtes connecté à votre VPC Amazon avec AWS Direct Connect. L'utilisation d'amazon-efs-utils facilite également le montage avec l'assistant de montage et vous permet d'activer le chiffrementdes données en transit. Pour savoir comment utiliser amazon-efs-utils avec AWS Direct Connect pourmonter des systèmes de fichiers Amazon EFS sur les clients Linux sur site, consultez Procédure 5 : Créeret monter un système de fichiers sur site avec AWS Direct Connect (p. 156).

Rubriques connexesPour plus d'informations sur l'assistant de montage Amazon EFS, consultez les rubriques connexes :

• Chiffrement des données et métadonnées dans EFS (p. 107)• Montage des systèmes de fichiers (p. 73)

47

Amazon Elastic File System Guide de l'utilisateurGestion de l'accessibilité réseau

Gestion des systèmes de fichiersAmazon EFS

Les tâches de gestion de systèmes de fichiers incluent la création et la suppression de systèmes defichiers, la gestion des balises et la gestion de l'accessibilité réseau d'un système de fichiers existant. Lagestion de l'accessibilité réseau concerne la création et la gestion des cibles de montage.

Vous pouvez exécuter ces tâches de gestion de système de fichiers à l'aide de la console Amazon EFS,de l'AWS Command Line Interface (AWS CLI), ou par programmation, comme indiqué dans les sectionssuivantes.

Rubriques• Gestion de l'accessibilité réseau du système de fichiers (p. 48)• Gestion des balises de système de fichiers (p. 55)• Tâches de relevé – Comment Amazon EFS indique les tailles de système de fichiers et

d'objet (p. 56)• Gestion d'Amazon EFS File Sync (p. 58)• Suppression d'un système de fichiers Amazon EFS (p. 69)• Gestion de l'accès aux systèmes de fichiers chiffrés (p. 70)

Si vous utilisez Amazon EFS pour la première fois, nous vous recommandons d'essayer les exercicessuivants qui vous permettront de vous exercer à l'utilisation d'un système de fichiers Amazon EFS :

• Mise en route (p. 11) – Cet exercice propose une configuration de bout en bout sur une console danslaquelle vous créez un système de fichiers, le montez sur une instance EC2 et testez la configuration.La console effectue beaucoup de tâches à votre place pour vous aider à configurer rapidement uneexpérience de bout en bout.

• Procédure 1 : Création d'un système de fichiers Amazon EFS et montage de ce dernier sur une instanceEC2 à l'aide de l'AWS CLI (p. 136)– Cette procédure est similaire à l'exercice de mise en route, maiselle utilise l'AWS CLI pour effectuer la plupart des tâches. En raison de l'étroite correspondance entreles commandes CLI et l'API Amazon EFS, la procédure vous aide à vous familiariser avec l'API AmazonEFS.

Gestion de l'accessibilité réseau du système defichiers

Vous montez votre système de fichiers sur une instance EC2 dans votre VPC à l'aide d'une cible demontage que vous créez pour le système de fichiers. La gestion de l'accessibilité réseau du système defichiers fait référence à la gestion des cibles de montage.

L'illustration suivante montre comment les instances EC2 d'un VPC accèdent à un système de fichiersAmazon EFS à l'aide d'une cible de montage.

48

Amazon Elastic File System Guide de l'utilisateurGestion de l'accessibilité réseau

L'illustration représente trois instances EC2 lancées dans différents sous-réseaux VPC qui accèdent à unsystème de fichiers Amazon EFS. L'illustration montre également une cible de montage dans chacune deszones de disponibilité (quel que soit le nombre de sous-réseaux dans chaque zone de disponibilité).

Vous pouvez créer un seul montage cible par zone de disponibilité. Si une zone de disponibilité comporteplusieurs sous-réseaux, comme indiqué dans l'une des zones de l'illustration, vous créez une cible demontage dans un seul des sous-réseaux. Tant que vous avez une cible de montage dans une zone dedisponibilité, les instances EC2 lancées dans l'un de ses sous-réseaux peuvent partager la même cible demontage.

La gestion des cibles de montage fait référence aux activités suivantes :

• Création et suppression de cibles de montage dans un VPC – Au minimum, vous devez créer une ciblede montage dans chaque zone de disponibilité à partir de laquelle vous souhaitez accéder au systèmede fichiers.

Note

Nous vous recommandons de créer des cibles de montage dans toutes les zones dedisponibilité afin de pouvoir facilement monter le système de fichiers sur des instances EC2 quevous pouvez lancer dans l'une des zones de disponibilité.

Si vous supprimez une cible de montage, l'opération défait de force les montages du système de fichiersvia la cible de montage en cours de suppression, ce qui peut perturber les instances ou les applicationsutilisant ces montages. Pour éviter toute perturbation des applications, arrêtez-les et démontez lesystème de fichiers avant de supprimer la cible de montage.

Vous pouvez utiliser un système de fichiers uniquement dans un VPC à la fois. Autrement dit, vouspouvez créer des cibles de montage pour le système de fichiers dans un seul VPC à la fois. Si voussouhaitez accéder au système de fichiers depuis un autre VPC, vous devez supprimer les cibles demontage du VPC actuel puis créer de nouvelles cibles de montage dans un autre VPC.

49

Amazon Elastic File System Guide de l'utilisateurCréation ou suppression de cibles de montage dans un VPC

• Mise à jour de la configuration de la cible de montage cible – Lorsque vous créez une cible de montage,vous associez des groupes de sécurité à la cible de montage. Un groupe de sécurité fonctionne commeun pare-feu virtuel contrôlant le trafic vers et depuis la cible de montage. Vous pouvez ajouter des règlesentrantes pour contrôle l'accès à la cible de montage et par conséquent au système de fichiers. Aprèsavoir créé une cible de montage, vous pouvez si vous le souhaitez modifier les groupes de sécurité quilui sont affectés.

Chaque cible de montage a également une adresse IP. Lorsque vous créez une cible de montage, vouspouvez choisir une adresse IP du sous-réseau dans lequel vous placez la cible de montage. Si vousomettez une valeur, Amazon EFS sélectionne une adresse IP inutilisée de ce sous-réseau.

Aucune opération Amazon EFS ne modifie l'adresse IP après la création d'une cible de montage ; vousne pouvez donc pas modifier l'adresse IP par programmation ou à l'aide de l'AWS CLI. La console vouspermet cependant de modifier l'adresse IP. En arrière-plan, la console supprime la cible de montage et lacrée de nouveau.

Warning

Si vous modifiez l'adresse IP d'une cible de montage, vous défaites les montages de systèmede fichiers existants et vous devez remonter le système de fichiers.

Aucune des modifications de configuration apportées à l'accessibilité réseau du système de fichiers n'ad'incidence sur le système de fichiers lui-même. Votre système de fichiers et vos données demeurent.

Les sections suivantes fournissent des informations sur la gestion de l'accessibilité réseau de votresystème de fichiers.

Rubriques• Création ou suppression de cibles de montage dans un VPC (p. 50)• Création de cibles de montage dans un autre VPC (p. 53)• Mise à jour de la configuration de cible de montage (p. 54)

Création ou suppression de cibles de montage dansun VPCPour accéder à un système de fichiers Amazon EFS dans un VPC, vous devez avoir des cibles demontage. Pour un système de fichiers Amazon EFS, les affirmations suivantes s'appliquent :

• Vous pouvez créer une cible de montage dans chaque zone de disponibilité.• Si le VPC comporte plusieurs sous-réseaux dans une zone de disponibilité, vous pouvez créer une cible

de montage dans une seul de ces sous-réseaux. Toutes les instances EC2 de la zone de disponibilitépeuvent partager la cible de montage unique.

Note

Nous vous recommandons de créer une cible de montage dans chacune des zones dedisponibilité. Le montage d'un système de fichiers sur une instance EC2 dans une zone dedisponibilité via une cible de montage créée dans une autre zone de disponibilité représenteun certain coût. Pour plus d'informations, consultez Amazon EFS. En outre, en utilisantsystématiquement un système local de montage cible dans la zone de disponibilité de l'instance,vous éliminez un scénario d'échec partiel. Si la zone de la cible de montage est défaillante, vousne pouvez pas accéder à votre système de fichiers par le biais de cette cible de montage.

Pour plus d'informations sur ce fonctionnement, consultez CreateMountTarget (p. 199).

50

https://aws.amazon.com/efs/


Vous pouvez supprimer des cibles de montage. Une suppression de cible de montage défait de forceles montages de système de fichiers effectués via cette cible de montage, ce qui peut perturber lesinstances ou les applications utilisant ces montages. Pour de plus amples informations, veuillez consulterDeleteMountTarget (p. 211).

Utilisation de la consoleUtilisez la procédure suivante pour créer de nouvelles cibles de montage, supprimer ou mettre à jour descibles de montage existantes à l'aide de la AWS Management Console.

1. Sur la console Amazon EFS, sélectionnez le système de fichiers, choisissez Actions, puis Manage FileSystem Access.

La console affiche la page Manage File System Access avec une liste des cibles de montage desystème de fichiers que vous avez créées dans le VPC sélectionné. La console affiche une liste deszones de disponibilité et des informations sur les système cible de montage, s'il y a une cible demontage dans cette zone de disponibilité.

La console indique que le système de fichiers comporte une cible de montage dans la zone dedisponibilité eu-west-2c, comme illustré ci-après :

2. Pour créer de nouvelles cibles de montage

a. Cliquez sur le côté gauche sur la ligne de Zone de disponibilité spécifique.b. Si la zone de disponibilité comporte plusieurs sous-réseaux, sélectionnez un sous-réseau dans la

liste Subnet.c. Amazon EFS sélectionne automatiquement une adresse IP disponible, ou vous pouvez fournir une

autre adresse IP de manière explicite.d. Choisissez un Groupe de sécurité dans la liste.

Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité Amazon EC2dans le manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

3. Pour supprimer une cible de montage, choisissez X en regard de la zone de disponibilité à partir delaquelle vous souhaitez supprimer une cible de montage.

51



Utilisation de l'AWS CLIPour créer une cible de montage, utilisez la commande d' AWS CLI create-mount-target (l'opérationcorrespondante est CreateMountTarget (p. 199)), comme illustré ci-après :

$ aws efs create-mount-target \--file-system-id file-system-ID (for which to create the mount target) \--subnet-id vpc-subnet-ID (in which to create mount target) \--security-group security-group IDs (to associate with the mount target) \--region aws-region (for example, us-west-2) \--profile adminuser

La région AWS (paramètre region) doit être la région VPC.

Vous pouvez obtenir une liste des cibles de montage créées pour un système de fichiers àl'aide de la commande d'AWS CLI describe-mount-target (l'opération correspondante estDescribeMountTargets (p. 220)), comme illustré ci-après :

$ aws efs describe-mount-targets \--file-system-id file-system-ID \--region aws-region-where-file-system-exists \--profile adminuser

Voici un exemple de réponse :

{ "MountTargets": [ { "MountTargetId": "fsmt-52a643fb", "NetworkInterfaceId": "eni-f11e8395", "FileSystemId": "fs-6fa144c6", "LifeCycleState": "available", "SubnetId": "subnet-15d45170", "OwnerId": "23124example", "IpAddress": "10.0.2.99" }, { "MountTargetId": "fsmt-55a643fc", "NetworkInterfaceId": "eni-14a6ae4d", "FileSystemId": "fs-6fa144c6", "LifeCycleState": "available", "SubnetId": "subnet-0b05fc52", "OwnerId": "23124example", "IpAddress": "10.0.19.174" } ]}

Pour supprimer une cible de montage existante, utilisez la commande d' AWS CLI delete-mount-target (l'opération correspondante est DeleteMountTarget (p. 211)), comme illustré ci-après :

$ aws efs delete-mount-target \--mount-target-id mount-target-ID-to-delete \--region aws-region-where-mount-target-exists \--profile adminuser

52

Amazon Elastic File System Guide de l'utilisateurCréation de cibles de montage dans un autre VPC

Création de cibles de montage dans un autre VPCVous pouvez utiliser un système de fichiers Amazon EFS dans un VPC à la fois. Autrement dit, vouscréez des cibles de montage dans un VPC pour votre système de fichiers, puis vous utilisez ces cibles demontage pour permettre l'accès au système de fichiers depuis les instances EC2 de ce VPC. Pour accéderau système de fichiers à partir des instances EC2 d'un autre VPC, vous devez d'abord supprimer les ciblesde montage du VPC actuel puis créer de nouvelles cibles de montage dans un autre VPC.

Utilisation des appairages de VPC dans Amazon EFSUne connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permetd'acheminer le trafic entre ces derniers à l'aide d'adresses IPv4 (Internet Protocol version 4) ou IPv6(Internet Protocol version 6) privées. Pour plus d'informations sur l'appairage de VPC, consultez Qu'est-ceque l'appairage de VPC ? dans le Amazon VPC Peering Guide.

Pour Amazon EFS, vous pouvez utiliser l'appairage de VPC au sein d'une même région AWS lors del'utilisation des instances C5 ou M5. Cependant, d'autres mécanismes de connectivité privée de VPCcomme une connexion VPN, un appairage VPC inter-région et un appairage VPC intra-région à l'aided'autres types d'instances ne sont pas pris en charge.

Utilisation de la console1. Sur la console Amazon EFS, sélectionnez le système de fichiers, choisissez Actions, puis Manage File

System Access.

La console affiche la page Manage File System Access avec une liste des cibles de montage que vousavez créées pour le système de fichiers dans un VPC. L'illustration suivante présente un système defichiers comportant trois cibles de montage, un dans chaque zone de disponibilité.

2. Pour modifier le VPC, sélectionnez un autre VPC dans la liste VPC.

La console efface toutes les informations de cible de montage et affiche uniquement la zone dedisponibilité.

3. Créez des cibles de montage dans une ou plusieurs zone de disponibilité comme suit :

53

http://docs.aws.amazon.com/vpc/latest/peering/Welcome.html

http://docs.aws.amazon.com/vpc/latest/peering/Welcome.html

Amazon Elastic File System Guide de l'utilisateurMise à jour de la configuration de cible de montage

a. Si la zone de disponibilité comporte plusieurs sous-réseaux, sélectionnez un sous-réseau dans laliste Subnet.

b. Amazon EFS sélectionne automatiquement une adresse IP disponible, ou vous pouvez fournir uneautre adresse IP de manière explicite.

c. Choisissez les groupes de sécurité que vous souhaitez associer.

Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité Amazon EC2dans le manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

4. Choisissez Save.

La console supprime d'abord les cibles de montage du VPC précédent, puis crée de nouvelles ciblesde montage dans le nouveau VPC que vous avez sélectionné.

Utilisation de l'interface de ligne de commandePour utiliser un système de fichiers dans un autre VPC, vous devez d'abord supprimer toutes les cibles demontage que vous avez précédemment créées dans un VPC puis créer de nouvelles cibles de montagedans un autre VPC. Pour des exemples de commandes d'AWS CLI, consultez Création ou suppression decibles de montage dans un VPC.

Mise à jour de la configuration de cible de montageAprès avoir créé une cible de montage pour votre système de fichiers, vous pouvez si vous le souhaitezmettre à jour les groupes de sécurité qui sont actifs. Vous ne pouvez pas modifier l'adresse IP d'une ciblede montage existante. Pour modifier l'adresse IP, vous devez supprimer la cible de montage et en créerune nouvelle avec la nouvelle adresse. La suppression d'une cible de montage défait les montages desystème de fichiers existants.

Modification du groupe de sécuritéLes groupes de sécurité définissent les accès entrants et sortants. Lorsque vous modifiez les groupes desécurité associés à une cible de montage, assurez-vous d'autoriser les accès entrants/sortants nécessairesde sorte que votre instance EC2 puisse communiquer avec le système de fichiers.

Pour plus d'informations sur les groupes de sécurité, consultez Groupes de sécurité Amazon EC2 dans lemanuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Utilisation de la console

1. Sur la console Amazon EFS, sélectionnez le système de fichiers, choisissez Actions, puis Manage FileSystem Access.

La console affiche la page Manage File System Access avec une liste des zones de disponibilité etdes informations sur les système cible de montage, s'il y a une cible de montage dans cette zone dedisponibilité.

54


http://docs.aws.amazon.com/efs/latest/ug/manage-fs-access-create-delete-mount-targets.html#manage-fs-create-delete-mt-cli

http://docs.aws.amazon.com/efs/latest/ug/manage-fs-access-create-delete-mount-targets.html#manage-fs-create-delete-mt-cli


Amazon Elastic File System Guide de l'utilisateurGestion des balises

2. Dans la colonne Security Group, vous pouvez ajouter ou supprimer des groupes de sécurité.Choisissez X pour supprimer un groupe de sécurité existant. Choisissez la zone Security Group afin desélectionner d'autres groupes de sécurité disponibles.

Si vous supprimez tous les groupes de sécurité, Amazon EFS affecte le groupe de sécurité par défautde VPC.

Utilisation de l'interface de ligne de commande

Pour modifier les groupes de sécurité actifs pour une cible de montage, utilisez la commanded'AWS CLI modify-mount-target-security-group (l'opération correspondante estModifyMountTargetSecurityGroups (p. 229)) pour remplacer les groupes de sécurité existants, commeillustré ci-après :

$ aws efs modify-mount-target-security-groups \--mount-target-id mount-target-ID-whose-configuration-to-update \--security-groups security-group-ids-separated-by-space \--region aws-region-where-mount-target-exists \--profile adminuser

Gestion des balises de système de fichiersVous pouvez créer de nouvelles balises, mettre à jour les valeurs des balises existantes ou supprimer desbalises associées à un système de fichiers.

Utilisation de la consoleLa console affiche la liste des balises existantes associées à un système de fichiers. Vous pouvez ajouterde nouvelles balises, modifier les valeurs de balises existantes ou supprimer des balises existantes.

1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.

55


Amazon Elastic File System Guide de l'utilisateurUtilisation de l'AWS CLI

2. Choisissez le système de fichiers.3. Choisissez Action, puis Manage Tags.4. Sur la page Manage Tags, ajoutez ou supprimez des balises. Pour chaque nouvelle balise, indiquez

une clé et sa valeur.5. Choisissez Save.

Utilisation de l'AWS CLIVous pouvez utiliser la commande d'interface de ligne de commande create-tags pour ajouterde nouvelles balises, delete-tags pour supprimer des balises existantes, ou utiliser la commandedescribe-tags pour extraire des balises associées à un système de fichiers. Chaque commandede l'interface de ligne de commande corresponds aux opérations Amazon EFS CreateTags (p. 206),DeleteTags (p. 214) et DescribeTags (p. 226).

Pour un exemple de procédure d'utilisation des commandes de l'AWS CLI pour ajouter et répertorier desbalises, consultez Étape 2.1 : Créer un système de fichiers Amazon EFS (p. 142).

La commande delete-tags ci-après permet de supprimer les clés de balise test1 et test2 de la listede balises du système de fichiers spécifié.

$ aws efs \delete-tags \--file-system-id fs-c5a1446c \--tag-keys "test1" "test2" \--region us-west-2 \--profile adminuser

Tâches de relevé – Comment Amazon EFS indiqueles tailles de système de fichiers et d'objet

Cette section explique comment Amazon EFS indique les tailles de système de fichiers et les tailles d'objetau sein d'un système de fichiers.

Mesures des objets du système de fichiers AmazonEFSLes objets visibles par les clients dans un système Amazon EFS peuvent être des fichiers, des répertoires,des liens symboliques et des fichiers spéciaux (FIFO et sockets). Chacun de ces objets est mesuré pour2 Kio (kibioctets) de métadonnées (pour son inode) et un ou plusieurs incréments de 4 Kio de données. Laliste suivante explique la taille des données mesurées pour différents types d'objets du système de fichiers.

• Fichiers réguliers – La taille des données mesurées d'un fichier régulier est la taille logique du fichierarrondie à l'incrémentation suivante de 4 Kio ; elle peut être inférieure pour les fichiers partiellementalloués.

Un fichier partiellement alloué est un fichier dans lequel les données ne sont pas écrites à tous lesemplacements du fichier avant d'atteindre sa taille logique. Pour un fichier partiellement alloué, si lestockage réellement utilisé est inférieur à la taille logique arrondie aux 4 Kio d'incrémentation suivants,Amazon EFS indique le stockage réel utilisé en tant que taille des données mesurées.

56

Amazon Elastic File System Guide de l'utilisateurMesures sur un système de fichiers Amazon EFS

• Répertoires - La taille de données mesurée d'un répertoire est le stockage réel utilisé pour les entréesde répertoire et la structure de données qui les détient, arrondie aux 4 Kio d'incrémentation suivants. Lataille des données mesurée n'inclut pas le stockage réellement utilisé par le fichier de données.

• Liens symboliques et fichiers spéciaux – La taille de données mesurées pour ces objets est toujours de4 kio.

Lorsque Amazon EFS indique l'espace utilisé pour un objet, via l'attribut space_used de NFSv4.1, ilinclut la taille des données mesurées de l'objet actuel, et non la taille de ses métadonnées. Deux utilitairespermettent de mesurer l'utilisation des disque d'un fichier : duet stat. Voici un exemple de l'utilisation del'utilitaire du, sur un fichier vide, avec l'option -k pour retourner le résultat en kilo-octets :

$ du -k file4 file

Voici un exemple de l'utilisation de l'utilitaire stat sur un fichier vide pour un retour de l'utilisation desdisques du fichier :

$ /usr/bin/stat --format="%b*%B" file | bc4096

Pour mesurer la taille d'un répertoire, utilisez l'utilitaire stat, recherchez la valeur Blocks, puis multipliez-la par la taille de bloc. Voici un exemple de l'utilisation de l'utilitaire stat sur un répertoire vide :

$ /usr/bin/stat --format="%b*%B" . | bc 4096

Mesures sur un système de fichiers Amazon EFSLa taille mesurée de l'intégralité d'un système de fichiers Amazon EFS est la somme des tailles (y comprisdes métadonnées) de tous ses objets actuels. La taille de chaque objet est calculée à partir d'un échantillonreprésentatif qui représente la taille de l'objet au cours de l'heure mesurée, par exemple, entre 8 et 9 h dumatin.

Par exemple, un fichier vide contribue avec 6 kio (2 kio de métadonnées + 4 kio de données) à la taillemesurée de son système de fichiers. Lors de sa création, un système de fichiers comporte un répertoireracine vide unique et par conséquent a une taille mesurée de 6 kio.

Les tailles mesurées d'un système de fichiers particulier définissent l'utilisation pour laquelle le comptepropriétaire est facturé pour ce système de fichiers pour cette heure.

Note

La taille mesurée calculée ne représente pas un instantané cohérent du système de fichiers àun moment donné au cours de cette heure. Au lieu de cela, elle représente les tailles des objetsqui existaient dans le système de fichiers à différents moments au sein de chaque heure, ouéventuellement de l'heure la précédant. Ces tailles sont additionnées afin de déterminer la taillemesurée du système de fichiers pour l'heure. La taille mesurée d'un système de fichiers peut doncêtre cohérence avec les tailles mesurées des objets stockés lorsqu'il n'y a aucune écriture sur lesystème de fichiers.

Cette taille mesurée pour un système de fichiers Amazon EFS peut être affichée de plusieurs manières :

• API DescribeFileSystems – Utilisés dans les kits de développement logiciel, HTTP et l'interface de lignede commande AWS.

57

Amazon Elastic File System Guide de l'utilisateurGestion d'EFS File Sync

• Table de systèmes de fichiers – Pour chaque système de fichiers répertorié sur la AWS ManagementConsole.

• Commande DF – Sous Linux, la commande df peut être exécutée à l'invite du terminal d'une instanceEC2. Utilisez la commande df et non la commande du. N'utilisez pas la commande du sur la racinedu système de fichiers à des fin de mesure de stockage. Les résultats ne fournissent pas des donnéescomplètes.

Note

La taille mesurée est également utilisée pour déterminer votre référence de débit d'E-S etles débits de transmission en rafale. Pour de plus amples informations, veuillez consulterDimensionnement du débit avec le mode en rafales (p. 99).

Gestion d'Amazon EFS File SyncDans cette section, vous trouverez des informations sur la façon de gérer vos ressources Amazon EFS FileSync.

Rubriques• Suppression d'un agent de synchronisation (p. 58)• Suppression d'une tâche de synchronisation (p. 58)• Présentation du statut de l'agent de synchronisation (p. 59)• Présentation du statut de la tâche de synchronisation (p. 59)• Exécution des tâches sur la console locale de machine virtuelle EFS File Sync (p. 60)• Exécution de tâches sur la console locale Amazon EC2 EFS File Sync (p. 66)

Suppression d'un agent de synchronisationSi vous n'avez plus besoin d'un agent de synchronisation, vous pouvez le supprimer de la console degestion Amazon EFS.

Pour supprimer un agent de synchronisation

1. Choisissez File syncs (Synchronisations de fichiers), choisissez Agents, puis choisissez l'agent desynchronisation que vous souhaitez supprimer.

2. Pour Actions, choisissez Delete.3. Dans la boîte de dialogue Confirm deletion of sync agent (Confirmer la suppression de l'agent de

synchronisation), choisissez Check box confirm deletion (Activer la suppression de la confirmation),puis choisissez OK.

Suppression d'une tâche de synchronisationSi vous n'avez plus besoin d'une tâche de synchronisation, vous pouvez la supprimer de la console degestion Amazon EFS.

Pour supprimer une tâche de synchronisation

1. Choisissez File syncs (Synchronisations de fichiers), choisissez Tasks (Tâches), puis choisissez latâche de synchronisation que vous souhaitez supprimer.

58

Amazon Elastic File System Guide de l'utilisateurPrésentation du statut de l'agent de synchronisation

2. Pour Actions, choisissez Delete.3. Dans la boîte de dialogue Confirm deletion of sync agent (Confirmer la suppression de la tâche de

synchronisation), choisissez Check box confirm deletion (Activer la suppression de la confirmation),puis choisissez OK.

Présentation du statut de l'agent de synchronisationLe tableau suivant décrit chaque état de l'agent de synchronisation et indique si vous devez prendre desmesures en fonction de cet état. Lorsqu'un agent de synchronisation est en cours d'utilisation, il a l'étatRunning la totalité du temps ou presque.

Statut de l'agent de synchronisation Signification

En cours d'exécution L'agent de synchronisation estcorrectement configuré et est disponiblepour l'utilisation. L'état Running estl'état d'exécution normal d'un agent desynchronisation.

Hors connexion L'instance VM ou EC de l'agent desynchronisation est désactivée oul'agent est dans un état non sain. Unefois que le problème qui a provoquél'état non sain est résolu, l'agentretourne à l'état Running.

Présentation du statut de la tâche de synchronisationLe tableau suivant décrit chaque état de la tâche de synchronisation et indique si vous devez prendre desmesures en fonction de cet état.

Statut de la tâche de synchronisation Signification

Disponible La tâche de synchronisation estcorrectement configurée et estdisponible pour être démarrée.

Terminé Le processus de création de tâche estterminé.

Création EFS File Sync crée la tâche desynchronisation.

Démarrage en cours Le processus de création de tâche adémarré.

Preparing La tâche de synchronisation examine lessystèmes de fichiers source et cible pouridentifier les fichiers à synchroniser.

Synchronisation EFS File Sync synchronise le fichierdepuis le système de fichiers sourcevers le système de fichiers Amazon EFScible.

59

Amazon Elastic File System Guide de l'utilisateurExécution des tâches sur la console

locale de machine virtuelle EFS File Sync

Statut de la tâche de synchronisation Signification

Vérification en cours EFS File Sync vérifie la cohérence entreles systèmes de fichiers source et cible.

Exécution des tâches sur la console locale de machinevirtuelle EFS File SyncPour une EFS File Sync déployée sur site, vous pouvez exécuter les tâches de maintenance suivantes àl'aide de la console locale de l'hôte d'ordinateur virtuel.

Rubriques• Connexion à la console locale à l'aide des informations d'identification par défaut (p. 60)• Configuration de votre réseau EFS File Sync (p. 61)• Affichage du statut des ressources système de votre EFS File Sync (p. 64)• Synchronisation de l'heure de l'ordinateur virtuel de votre EFS File Sync (p. 65)• Exécution des commandes EFS File Sync sur la console locale (p. 65)

Connexion à la console locale à l'aide des informationsd'identification par défautLorsque l'ordinateur virtuel est prêt pour que vous puissiez vous connecter, l'écran de connexion s'affiche.

Pour se connecter à la console locale de la EFS File Sync

• Si c'est la première fois que vous vous connectez à la console locale, connectez-vous à l'ordinateurvirtuel avec le nom d'utilisateur : admin et le mot de passe : password. Sinon, utilisez vos informationsd'identification pour vous connecter.

Une fois que vous vous êtes connecté, vous voyez le menu principal Configuration de la Amazon EFS FileSync, comme illustré dans la capture d'écran suivante.

Note

Nous vous recommandons de changer le mot de passe par défaut. Pour cela, exécutez lacommande passwd depuis l'invite de commande EFS File Sync (point 5 du menu principal). Pour

60



plus d'informations sur l'exécution de la commande, consultez Exécution des commandes EFSFile Sync sur la console locale (p. 65).

Pour Voir

Configurer votre réseau Configuration de votre réseau EFS FileSync (p. 61).

Consulter le contrôle d'une ressource système Affichage du statut des ressources système de votreEFS File Sync (p. 64).

Gérer l'heure de l'ordinateur virtuel Synchronisation de l'heure de l'ordinateur virtuel devotre EFS File Sync (p. 65).

Exécuter les commandes de la console locale Exécution des commandes EFS File Sync sur laconsole locale (p. 65).

Pour arrêter EFS File Sync, tapez 0.

Pour quitter la session de configuration, tapez x pour quitter le menu.

Configuration de votre réseau EFS File SyncLa configuration du réseau par défaut pour EFS File Sync est le protocole DHCP (Dynamic HostConfiguration Protocol). Avec le protocole DHCP, votre EFS File Sync reçoit automatiquement uneadresse IP. Dans certains cas, vous devrez peut-être affecter manuellement l'IP de votre EFS File Synccomme adresse IP statique, tel que décrit ci-après.

Pour configurer votre EFS File Sync de façon à utiliser les adresses IP statiques

1. Connectez-vous à la console locale d'EFS File Sync.2. Dans le menu principal Configuration d'Amazon EFS File Sync, tapez l'option 1 pour commencer à

configurer une adresse IP statique.

3. Choisissez l'une des options suivantes dans le menu Configuration d'Amazon EFS File Sync :

61



Pour Procédez comme suit

Décrire la carte réseau Entrez l'option 1.

Une liste des noms de carte s'affiche et vous êtesinvité à entrer un nom de carte réseau, par exempleeth0. Si la carte que vous spécifiez est en coursd'utilisation, les informations suivantes sur la cartesont affichées :

• Adresse MAC• Adresse IP• Masque réseau• Adresse IP EFS File Sync• État activé DHCP

Vous utilisez le même nom de carte lorsque vousconfigurez une adresse IP statique (option 3) quelorsque vous définissez la carte de routage pardéfaut de votre EFS File Sync (option 5).

Configurer DHCP Entrez l'option 2.

Vous êtes invité à configurer l'interface réseau pourutiliser le protocole DHCP.

62




Configurez une adresse IP statique pour votreEFS File Sync

Entrez l'option 3.

Vous êtes invité à entrer les informations suivantespour configurer une adresse IP statique :

• Nom de la carte réseau• Adresse IP• Masque réseau• Adresse EFS File Sync par défaut• Adresse DNS principale• Adresse DNS secondaire

Important

Si votre EFS File Sync a déjà été activée,vous devez l'arrêter et la redémarrer àpartir de la console EFS File Sync pourque les paramètres prennent effet.

Si votre EFS File Sync utilise plusieurs interfacesréseau, vous devez définir toutes les interfacesactivées pour utiliser DHCP ou les adresses IPstatiques.

Par exemple, supposons que votre ordinateurvirtuel EFS File Sync utilise deux interfacesconfigurées comme DHCP. Si vous définissez plustard une interface à une adresse IP statique, l'autreinterface est désactivée. Pour activer l'interfacedans ce cas, vous devez la définir sur une adresseIP statique.

Si les deux interfaces ont été définies au départ defaçon à utiliser des adresses IP statiques et quevous définissez ensuite EFS File Sync de façonà utiliser le protocole DHCP, les deux interfacesutiliseront DHCP.

Réinitialiser toute la configuration réseau devotre EFS File Sync sur DHCP

Entrez l'option 4.

Toutes les interfaces réseau sont programméespour utiliser le protocole DHCP.

Important

Si votre EFS File Sync a déjà été activée,vous devez l'arrêter et redémarrer votreEFS File Sync depuis la console EFS FileSync pour que les paramètres prennenteffet.

63




Définir la carte de routage par défaut de votreEFS File Sync

Entrez l'option 5.

Les cartes disponibles pour votre EFS File Syncsont affichées et vous êtes invité à sélectionnerl'une des cartes — par exemple eth0.

Afficher la configuration DNS de votre EFSFile Sync

Entrez l'option 6.

Les adresses IP des serveurs de noms DNSprincipaux et secondaires s'affichent.

Consultation des tables de routage Entrez l'option 7.

La route par défaut de votre EFS File Syncs'affiche.

Affichage du statut des ressources système de votre EFS FileSyncLors du démarrage de la passerelle, cette dernière vérifie ses cœurs de processeur virtuels, la taille duvolume racine et la RAM, afin de déterminer si ces ressources système permettront à EFS File Sync defonctionner correctement. Vous pouvez afficher les résultats de ce contrôle sur la console locale de votreEFS File Sync.

Pour afficher le statut d'un contrôle de ressource du système

1. Connectez-vous à la console locale d'EFS File Sync.2. Dans le menu principal Configuration d'EFS File Sync , tapez 2 pour afficher les résultats de la

vérification des ressources du système.

La console affiche un message [OK], [Avertissement] ou [ECHEC] pour chaque ressource, commedécrit dans le tableau suivant.

Message Description

[OK] La ressource a réussi le contrôle des ressourcessystème.

64



Message Description

[AVERTISSEMENT] La ressource ne respecte pas les exigencesrecommandées, mais votre EFS File Synccontinuera à fonctionner. EFS File Sync affiche unmessage qui décrit les résultats de la vérificationde la ressource.

[ECHEC] La ressource ne répond pas à la configurationminimum requise. Il est possible que votre EFSFile Sync ne fonctionne pas correctement. EFSFile Sync affiche un message qui décrit lesrésultats de la vérification de la ressource.

La console affiche également le nombre d'erreurs et d'avertissements en regard de l'option de menude contrôle de la ressource.

La capture d'écran suivante affiche un message [ECHEC] et le message d'erreur associé.

Synchronisation de l'heure de l'ordinateur virtuel de votre EFSFile SyncUne fois que votre EFS File Sync a été déployée et qu'elle est en cours d'exécution, l'heure de l'ordinateurvirtuel de votre EFS File Sync peut dériver dans certains scénarios. Par exemple, s'il y a une panne deréseau prolongée et que votre hôte d'hyperviseur et la EFS File Sync ne reçoivent pas de mises à jour del'heure, l'heure de l'ordinateur virtuel de la EFS File Sync peut être différente de l'heure réelle. Lorsqu'il y aune dérive de l'heure, un écart se produit entre l'heure indiquée pour une opération telle que la réalisationd'un instantané et l'heure à laquelle cette opération s'est réellement produite.

Pour une EFS File Sync déployée sur VMware ESXi, la définition de l'heure de l'hôte de l'hyperviseur et lasynchronisation de l'heure de l'ordinateur virtuel sur l'hôte suffisent pour éviter la dérive de l'heure.

Exécution des commandes EFS File Sync sur la console localeLa console EFS File Sync permet de fournir un environnement sécurisé pour la configuration et lediagnostic de problèmes avec EFS File Sync. En utilisant les commandes de la console, vous pouvezexécuter des tâches de maintenance telles que l'enregistrement des tables de routage ou la connexion àAWS Support.

Pour exécuter une commande de configuration ou de diagnostic

1. Connectez-vous à la console locale d'EFS File Sync.2. Dans le menu principal Configuration d'EFS File Sync, tapez l'option 4 pour Invite de commande.

65

Amazon Elastic File System Guide de l'utilisateurExécution de tâches de maintenance pour la synchronisation

des fichiers sur la console locale Amazon EC2

3. Dans la console EFS File Sync, tapez h, puis appuyez sur la touche Retour.

La console affiche le menu Commandes disponibles avec les commandes disponibles, puis une invitede commande, comme illustré dans la capture d'écran suivante.

Note

La commande man est désactivée dans la console locale de la EFS File Sync.

Exécution de tâches sur la console locale AmazonEC2 EFS File SyncCertaines tâches de maintenance nécessitent une connexion à la console locale lors de l'exécutiond'une EFS File Sync déployée sur une instance Amazon EC2. Dans cette section, vous trouverez desinformations sur la connexion à la console locale et l'exécution des tâches de maintenance.

Rubriques• Connexion à la console locale Amazon EC2 EFS File Sync (p. 66)• Affichage du statut des ressources système d'EFS File Sync (p. 67)• Exécution des commandes EFS File Sync sur la console locale (p. 68)

Connexion à la console locale Amazon EC2 EFS File SyncVous pouvez vous connecter à une instance Amazon EC2 à l'aide d'un client SSH (Secure Shell). Pourplus d'informations, consultez Connection à l'instance dans le Guide de l'utilisateur Amazon EC2. Pour cetype de connexion, vous aurez besoin de la paire de clés SSH que vous avez spécifiée lorsque vous avezlancé l'instance. Pour plus d'informations sur les paires de clés Amazon EC2, consultez Paires de clésAmazon EC2 dans le Guide de l'utilisateur Amazon EC2.

66

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide//AccessingInstances.html

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide//ec2-key-pairs.html

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide//ec2-key-pairs.html



Pour se connecter à la console locale EFS File Sync

1. Connectez-vous à votre console locale. Si vous vous connectez à votre instance EC2 à partir d'unordinateur Windows, connectez-vous avec le nom d'utilisateur admin et le mot de passe password.Sinon, utilisez vos informations d'identification pour vous connecter

2. Une fois que vous vous êtes connecté, vous voyez le menu principal Configuration d'Amazon EFS FileSync, comme illustré dans la capture d'écran suivante.

Pour Voir

Consulter le contrôle d'une ressource système Affichage du statut des ressources système d'EFSFile Sync (p. 67).

Exécuter les commandes de la console EFSFile Sync

Exécution des commandes EFS File Sync sur laconsole locale (p. 68)

Pour arrêter l'EFS File Sync, tapez 0.

Pour quitter la session de configuration, tapez x pour quitter le menu.

Affichage du statut des ressources système d'EFS File SyncLors du démarrage d'EFS File Sync, cette dernière vérifie ses cœurs de processeur virtuels, la taille duvolume racine et la RAM afin de déterminer si ces ressources système permettront à EFS File Sync defonctionner correctement. Vous pouvez afficher les résultats de ce contrôle sur la console locale de votreEFS File Sync.

Pour afficher le statut d'un contrôle de ressource du système

1. Connectez-vous à la console locale d'EFS File Sync. Pour obtenir des instructions, consultezConnexion à la console locale Amazon EC2 EFS File Sync (p. 66).

2. Dans le menu principal Configuration d'Amazon EFS File Sync , tapez 1 pour afficher les résultats dela vérification des ressources du système.

67



La console affiche un message [OK], [Avertissement] ou [ECHEC] pour chaque ressource, commedécrit dans le tableau suivant.

Message Description

[OK] La ressource a réussi le contrôle des ressourcessystème.

[AVERTISSEMENT] La ressource ne respecte pas les exigencesrecommandées, mais votre EFS File Synccontinuera à fonctionner. EFS File Sync affiche unmessage qui décrit les résultats de la vérificationde la ressource.

[ECHEC] La ressource ne répond pas à la configurationminimum requise. Il est possible que votre EFSFile Sync ne fonctionne pas correctement. EFSFile Sync affiche un message qui décrit lesrésultats de la vérification de la ressource.

La console affiche également le nombre d'erreurs et d'avertissements en regard de l'option de menude contrôle de la ressource.

La capture d'écran suivante affiche un message [ECHEC] et le message d'erreur associé.

Exécution des commandes EFS File Sync sur la console localeLa console locale d'EFS File Sync permet de fournir un environnement sécurisé pour la configurationet le diagnostic des problèmes avec EFS File Sync. En utilisant les commandes de la console locale,vous pouvez exécuter des tâches de maintenance telles que l'enregistrement des tables de routage ou laconnexion à AWS Support.

Pour exécuter une commande de configuration ou de diagnostic

1. Connectez-vous à la console locale d'EFS File Sync. Pour obtenir des instructions, consultezConnexion à la console locale Amazon EC2 EFS File Sync (p. 66).

2. Dans le menu principal Configuration d'Amazon EFS File Sync tapez 2 pour Console EFS File Sync.

68

Amazon Elastic File System Guide de l'utilisateurSuppression d'un système de fichiers

3. Dans la console EFS File Sync, tapez h, puis appuyez sur la touche Retour.

La console affiche le menu Commandes disponibles menu avec les commandes disponibles. Après lemenu, une invite Console EFS File Sync s'affiche, comme illustré dans la capture d'écran suivante.

Note

La commande man est désactivée dans la console locale de la EFS File Sync.

Suppression d'un système de fichiers Amazon EFSLa suppression d'un système de fichiers est une action destructrice que vous ne pouvez pas annuler. Vousperdez le système de fichiers ainsi que les données qu'il contient. Les données que vous supprimez d'unsystème de fichiers sont détruites et vous ne pouvez pas les restaurer.

Important

Vous devez toujours démonter un système de fichiers avant de le supprimer.

Utilisation de la console1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.2. Sélectionnez le système de fichiers que vous voulez supprimer.3. Choisissez Action, puis Delete File System.4. Dans la zone de confirmation Permanently Delete File System, saisissez l'ID du système de fichiers,

puis choisissez Delete File System.

69


Amazon Elastic File System Guide de l'utilisateurUtilisation de l'interface de ligne de commande

La console simplifie la suppression de fichier pour vous. Tout d'abord, elle supprime les cibles demontage associées, puis elle supprime le système de fichiers.

Utilisation de l'interface de ligne de commandeAvant d'utiliser la commande d'AWS CLI permettant de supprimer un système de fichiers, vous devezsupprimer l'ensemble des cibles de montage créées pour le système de fichiers.

Pour des exemple de commandes d'AWS CLI, consultez Étape 4 : Nettoyage (p. 147).

Rubriques connexesGestion des systèmes de fichiers Amazon EFS (p. 48)

Gestion de l'accès aux systèmes de fichiers chiffrésVous pouvez créer des systèmes de fichiers chiffrés en utilisant Amazon EFS. Amazon EFS prenden charge deux formes de chiffrement pour les systèmes de fichiers, le chiffrement en transit et lechiffrement au repos. Les opérations de gestion de clés que vous devez effectuer concernent uniquementle chiffrement au repos. Amazon EFS gère automatiquement les clés pour le chiffrement en transit.

Si vous créez un système de fichiers qui utilise le chiffrement au repos, les données et métadonnées sontchiffrées au repos. Amazon EFS utilise AWS Key Management Service (AWS KMS) pour la gestion desclés. Lorsque vous créez un système de fichiers utilisant le chiffrement au repos, vous spécifiez une cléprincipale client (CMK). La clé CMK peut être aws/elasticfilesystem (clé CMK gérée par AWS pourAmazon EFS) ou il peut s'agir d'une clé CMK que vous gérez.

Les données de fichier (contenu de vos fichiers) sont chiffrées au repos avec la clé CMK que vousavez spécifiée lors de la création de votre système de fichiers. Les métadonnées (noms de fichier et derépertoire, contenu du répertoire) sont chiffrées par une clé gérée par Amazon EFS.

La clé CMK gérée par AWS pour votre système de fichiers est utilisée en tant que clé principale pour lesmétadonnées dans votre système de fichiers (par exemple, noms de fichier et de répertoire, et contenu dedu répertoire). Vous êtes le propriétaire de la clé CMK utilisée pour chiffrer les données de fichier (contenude vos fichiers) au repos.

Vous gérez les personnes ayant accès à vos clés CMK et au contenu de vos systèmes de fichierschiffrés. Cet accès est contrôlé par les stratégies AWS Identity and Access Management (IAM) et parAWS KMS. Les stratégies IAM contrôlent l'accès d'un utilisateur aux actions d'API Amazon EFS. Lesstratégies de clé AWS KMS contrôlent l'accès d'un utilisateur à la clé CMK que vous avez spécifiéelors de la création du système de fichiers. Les versions 2.8.22 et ultérieures de Redis ont recours àun processus d'enregistrement sans la fonction fork qui requiert moins de mémoire disponible que leprocessus précédent.

• Utilisateurs IAM dans le IAM Guide de l'utilisateur• Utilisation des stratégies de clé dans AWS KMS dans le manuel AWS Key Management Service

Developer Guide• Utilisation d'octrois dans le manuel AWS Key Management Service Developer Guide.

En tant qu'administrateur de clé, vous pouvez importer les clés externes et vous pouvez modifier les clésen les activant, en les désactivant ou en les supprimant. L'état de la clé CMK que vous avez spécifiée (lorsde la création du système de fichiers avec chiffrement au repos) affecte l'accès à son contenu. La clé CMK

70

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

http://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html

http://docs.aws.amazon.com/kms/latest/developerguide/grants.html

Amazon Elastic File System Guide de l'utilisateurExécution d'actions d'administration surles clés principales client Amazon EFS

doit être à l'état enabled pour que les utilisateurs aient accès au contenu d'un système de fichiers chiffréau repos.

Exécution d'actions d'administration sur les clésprincipales client Amazon EFSVous trouverez ci-après comment activer, désactiver ou supprimer les clés CMK associées à votre systèmede fichiers Amazon EFS. Vous pourrez également en savoir plus sur le comportement à attendre de votresystème de fichiers lorsque vous effectuez ces actions.

Désactivation, suppression ou révocation de l'accès à la clé CMKpour un système de fichiersVous pouvez désactiver ou supprimer votre clé CMK personnalisée ou révoquer l'accès d'Amazon EFSà vos clés CMK. La désactivation et la révocation de l'accès d'Amazon EFS à vos clés sont des actionsréversibles. Par contre, faites preuve de prudence lors de la suppression de clés CMK. La suppressiond'une clé CMK est une action irréversible.

Si vous désactivez ou supprimez la clé CMK utilisée pour votre système de fichiers monté, les conditionssuivantes sont remplies :

• Cette clé CMK ne peut pas être utilisée en tant que clé principale pour les nouveaux systèmes de fichierschiffrés au repos.

• Les systèmes de fichiers chiffrés au repos existants qui utilisent cette clé CMK cessent de fonctionneraprès une période donnée.

Si vous révoquez l'accès d'Amazon EFS à un octroi pour un système de fichiers monté existant, lecomportement est le même que si vous aviez désactivé ou supprimé la clé CMK associée. En d'autrestermes, le système de fichiers chiffré au repos continue de fonctionner, mais cesse de fonctionner aprèsune période donnée.

Pour empêcher l'accès à un système de fichiers chiffré au repos monté qui possède une clé CMK quevous avez désactivée, supprimée ou dont vous avez révoqué l'accès à partir d'Amazon EFS, démontez lesystème de fichiers et supprimez vos cibles de montage Amazon EFS.

Vous ne pouvez pas supprimer immédiatement une clé AWS KMS, mais vous pouvez planifier sasuppression. Une clé CMK ne peut être supprimée au plus tôt que sept jours après la programmation desa suppression. Lorsque la suppression d'une clé est programmée, elle se comporte comme si elle étaitdésactivée. Vous pouvez également annuler une suppression de clé planifiée. Pour plus d'informations surla suppression d'une clé principale dans AWS KMS, consultez Suppression des clés principales client dansle manuel AWS Key Management Service Developer Guide.

La procédure suivante explique comment désactiver une clé CMK.

Pour désactiver une clé CMK

1. Ouvrez la section Clés de chiffrement de la console IAM à l'adresse https://console.aws.amazon.com/iam/home#encryptionKeys.

2. Pour Région, sélectionnez la région AWS appropriée. N'utilisez pas le sélecteur de région AWS de labarre de navigation (en haut à droite).

3. Cochez la case en regard de l'alias de chaque clé CMK que vous souhaitez désactiver.Note

Vous ne pouvez pas désactiver des clés CMK gérées par AWS qui sont signalées par l'icôneAWS orange.

71

http://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html

https://console.aws.amazon.com/iam/home#encryptionKeys



4. Pour désactiver une clé CMK, choisissez Actions de clé, Désactiver.

La procédure suivante explique comment activer une clé CMK.

Pour activer une clé CMK

1. Ouvrez la section Clés de chiffrement de la console IAM à l'adresse https://console.aws.amazon.com/iam/home#encryptionKeys.

2. Pour Région, sélectionnez la région AWS appropriée. N'utilisez pas le sélecteur de région AWS de labarre de navigation (en haut à droite).

3. Cochez la case en regard de l'alias de chaque clé CMK que vous souhaitez activer.

Note

Vous ne pouvez pas activer des clés CMK gérées par AWS qui sont signalées par l'icôneAWS orange.

4. Pour activer une clé CMK, choisissez Actions de clé, Activer.

Rubriques connexes• Pour plus d'informations sur les métadonnées et données chiffrées au repos dans Amazon EFS,

consultez Chiffrement des données et métadonnées dans EFS (p. 107).• Pour obtenir des exemples de stratégies de clé, consultez Stratégies de clé Amazon EFS pour AWS

KMS (p. 110).• Pour obtenir une liste des entrées de journal AWS CloudTrail associées à un système de fichiers

chiffré, consultez Entrées des fichiers journaux Amazon EFS pour les systèmes de fichiers chiffrés aurepos (p. 94).

• Pour plus d'informations sur la façon de définir les comptes et services ayant accès à vos clés CMK,consultez Détermination de l'accès à une clé principale client AWS KMS dans le manuel AWS KeyManagement Service Developer Guide.

72



http://docs.aws.amazon.com/kms/latest/developerguide/determining-access.html

Amazon Elastic File System Guide de l'utilisateurDépannage des versions d'AMI et de noyau

Montage des systèmes de fichiersDans la section suivante, vous pouvez apprendre à monter votre système de fichiers Amazon EFS surune instance Linux à l'aide de l'assistant de montage Amazon EFS. En outre, vous découvrirez commentutiliser le fichier fstab pour remonter automatiquement votre système de fichiers après un redémarrage dusystème.

Avant que l'assistant de montage d'Amazon EFS n'ait été disponible, nous avons recommandé de montervos systèmes de fichiers Amazon EFS à l'aide du client NFS Linux standard. Pour plus d'informations surces modifications, consultez Montage des systèmes de fichiers sans l'assistant de montage EFS (p. 257).

Note

Avant de monter un système de fichiers, vous devez créer, configurer et lancer vos ressourcesAWS associées. Pour obtenir des instructions complètes, consultez Mise en route avec AmazonElastic File System (p. 11).

Rubriques• Dépannage des versions d'AMI et de noyau (p. 73)• Installation du package amazon-efs-utils (p. 73)• Montage avec l'assistant de montage EFS (p. 73)• Montage automatique de votre système de fichiers EFS Amazon (p. 75)• Considérations de montage supplémentaires (p. 78)

Dépannage des versions d'AMI et de noyauPour dépanner des problèmes liés à certaines versions d'AMI ou de noyau lors de l'utilisationd'Amazon EFS à partir d'une instance Amazon EC2, consultez Résolution des problèmes d'AMI et denoyau (p. 121).

Installation du package amazon-efs-utilsNous vous recommandons d'utiliser l'assistant de montage inclus dans le package amazon-efs-utils pourmonter vos systèmes de fichiers Amazon EFS sur votre instance Amazon EC2. Le package amazon-efs-utils est une collection open-source d'outils Amazon EFS. Pour plus d'informations, consultez Installation dupackage amazon-efs-utils sur Amazon Linux (p. 43).

Montage avec l'assistant de montage EFSVous pouvez monter un système de fichiers Amazon EFS sur un certain nombre de clients à l'aide del'assistant de montage Amazon EFS. Dans les sections suivantes, vous pouvez trouver le processusd'assistant de montage pour les différents types de clients.

Rubriques• Montage sur Amazon EC2 avec l'assistant de montage EFS (p. 74)

73

Amazon Elastic File System Guide de l'utilisateurMontage sur EC2 avec l'assistant de montage EFS

• Montage sur votre client Linux sur site avec l'assistant de montage EFS sur AWS DirectConnect (p. 75)

Montage sur Amazon EC2 avec l'assistant de montageEFSVous pouvez utiliser un système de fichiers Amazon EFS sur une instance Amazon EC2 à l'aide del'assistant de montage Amazon EFS. Pour plus d'informations sur l'assistant de montage, consultezAssistant de montage EFS (p. 46). Pour utiliser l'assistant de montage, vous avez besoin des élémentssuivants :

• Un ID du système de fichiers Amazon EFS - Lorsque vous créez un système de fichiers Amazon EFS,vous pouvez obtenir l'ID du système de fichiers à partir de la console ou par programmation via l'APIAmazon EFS. Cet ID est au format : fs-12345678.

• Cible de montage Amazon EFS – Vous créez les cibles de montage dans votre VPC. Si vous créezvotre système de fichiers dans la console, vous créez vos cibles de montage en même temps. Pourplus d'informations, consultez Création d'une cible de montage cible à l'aide de la console AmazonEFS (p. 26).

• Une instance Amazon EC2 exécutant une distribution de Linux prise en charge – Les distributions Linuxprises en charge pour monter votre système de fichiers à l'aide de l'assistant de montage sont AmazonLinux 2, Amazon Linux 2017.09 et version ultérieure, Red Hat Enterprise Linux (et dérivés tels queCentOS) version 7 et versions ultérieures, et Ubuntu 16.04 LTS et versions ultérieures.

• L'assistant de montage Amazon EFS installé – L'assistant de montage est un outil dans amazon-efs-utils.Pour plus d'informations sur l'installation d'amazon-efs-utils, consultez Installation du package amazon-efs-utils sur Amazon Linux (p. 43).

Pour monter votre système de fichiers Amazon EFS avec l'assistant de montage

1. Accédez au terminal pour votre instance via SSH (Secure Shell) et connectez-vous avec le nomd'utilisateur approprié. Pour plus d'informations, consultez Connexion à votre instance Linux à l'aide deSSH dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

2. Exécutez la commande suivante pour monter votre système de fichiers.

sudo mount -t efs fs-12345678:/ /mnt/efs

Sinon, si vous souhaitez utiliser le chiffrement des données en transit, vous pouvez monter votresystème de fichiers avec la commande suivante.

sudo mount -t efs -o tls fs-12345678:/ /mnt/efs

Vous avez aussi l'option de monter automatiquement en ajoutant une entrée à votre fichier /etc/fstab.Lorsque vous montez automatiquement en utilisant /etc/fstab, vous devez ajouter l'option de montage_netdev. Pour plus d'informations, consultez Mise à jour d'une instance EC2 existante pour un montageautomatique (p. 75).

Note

Le montage avec l'assistant de montage utilise automatiquement les options de montagesuivantes qui sont optimisées pour Amazon EFS :

• nfsvers=4.1

• rsize=1048576

74



Amazon Elastic File System Guide de l'utilisateurMontage sur votre client Linux sur site avec

l'assistant de montage EFS sur AWS Direct Connect

• wsize=1048576

• hard

• timeo=600

• retrans=2

Pour utiliser la commande mount, les conditions suivantes doivent être vraies :

• L'instance EC2 de connexion doit être à l'intérieur d'un VPC et configurée pour utiliser le serveur DNSfourni par Amazon. Pour plus d'informations sur le serveur DNS Amazon, consultez DHCP Options Sets(Jeux d'options DHCP) dans le Amazon VPC Guide de l'utilisateur.

• Le nom VPC de l'instance EC2 en cours de connexion doit avoir un nom d'hôte DNS activé. Pour plusd'informations, consultez Affichage des noms d'hôte DNS pour votre instance EC2 dans le Amazon VPCGuide de l'utilisateur.

Note

Nous vous recommandons d'attendre 90 secondes après la création d'une cible de montagepour monter votre système de fichiers. Cette attente permet que les enregistrements DNS soientpropagés dans l'ensemble de la région AWS où réside le système de fichiers.

Montage sur votre client Linux sur site avec l'assistantde montage EFS sur AWS Direct ConnectVous pouvez monter vos systèmes de fichiers Amazon EFS sur vos serveurs de centre de données sur sitelorsque vous êtes connecté à votre VPC Amazon avec AWS Direct Connect. Le montage de vos systèmesde fichiers Amazon EFS avec amazon-efs-utils facilite également le montage avec l'assistant de montageet vous permet d'activer le chiffrement des données en transit.

Pour savoir comment utiliser amazon-efs-utils avec AWS Direct Connect pour monter des systèmes defichiers Amazon EFS sur les clients Linux sur site, consultez Procédure 5 : Créer et monter un système defichiers sur site avec AWS Direct Connect (p. 156).

Montage automatique de votre système de fichiersEFS Amazon

Vous pouvez utiliser le fichier fstab pour monter automatiquement votre système de fichiers Amazon EFSà l'aide de l'assistant de montage chaque fois que l'instance Amazon EC2 est montée au redémarrage.Pour plus d'informations sur l'assistant de montage, consultez Assistant de montage EFS (p. 46). Il existedeux façons de configurer un montage automatique. Vous pouvez mettre à jour le fichier /etc/fstabdans votre instance EC2 après vous être connecté à l'instance pour la première fois, ou vous pouvezconfigurer le montage automatique de votre système de fichiers EFS lorsque vous créez votre instanceEC2.

Mise à jour d'une instance EC2 existante pour unmontage automatiquePour remonter automatiquement le répertoire de votre système de fichiers Amazon EFS au redémarragede l'instance Amazon EC2, vous pouvez utiliser le fichier fstab. Le fichier fstab contient des informations

75

http://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html


http://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-viewing

Amazon Elastic File System Guide de l'utilisateurMise à jour d'une instance EC2

existante pour un montage automatique

sur les systèmes de fichiers et la commande mount -a, qui s'exécute lors du démarrage de l'instance,monte les systèmes de fichiers répertoriés dans le fichier fstab.

Note

Avant de pouvoir mettre à jour le fichier /etc/fstab de votre instance EC2, assurez-vous quevous avez déjà créé votre système de fichiers Amazon EFS. Pour plus d'informations, consultezÉtape 2 : Créer votre système de fichiers Amazon EFS (p. 15) dans l'exercice de mise en routed'Amazon EFS.

Pour mettre à jour le fichier /etc/fstab dans votre instance EC2

1. Connectez-vous à votre instance EC2, puis ouvrez le fichier /etc/fstab dans un éditeur.2. Ajoutez la ligne suivante dans le fichier /etc/fstab.

fs-12345678:/ /mnt/efs efs defaults,_netdev 0 0

Si vous montez sans amazon-efs-utils, consultez Montage automatique (p. 261).

Warning

Utilisez l'option _netdev, utilisée pour identifier les systèmes de fichiers réseau lors dumontage automatique de votre système de fichiers. Si l'option _netdev est manquante, votreinstance EC2 peut cesser de répondre. Cela s'explique par le fait que les systèmes de fichiersréseau doivent être initialisés après le démarrage de la mise en réseau de l'instance de calcul.Pour plus d'informations, consultez Le montage automatique échoue et l'instance ne répondpas (p. 123).

3. Enregistrez les modifications dans le fichier.

Votre instance EC2 est maintenant configurée pour le montage du système de fichiers EFS à chaqueredémarrage.

Note

Si votre instance Amazon EC2 doit démarrer quel que soit l'état de votre système de fichiersAmazon EFS monté, vous souhaiterez ajouter l'option nofail à votre système de fichiers dans lefichier etc/fstab.

La ligne de code que vous avez ajoutée dans le fichier/etc/fstab effectue les opérations suivantes.

Champ Description

fs-12345678:/ ID de votre système de fichiers Amazon EFS. Vous pouvez obtenir cet ID àpartir de la console ou par programmation à partir de l'interface de ligne decommande ou d'un kit SDK AWS.

/mnt/efs Point de montage du système de fichiers EFS sur votre instance EC2.

efs Type de système de fichiers. Lorsque vous utilisez l'assistant de montage,ce type est toujours efs.

mount options Options de montage pour le système de fichiers. Il s'agit d'une liste séparéepar des virgules des options suivantes :

• defaults - Cette valeur indique au système d'exploitation d'utiliserles options de montage par défaut, que vous pouvez répertorier unefois que le système de fichiers a été monté en consultant la sortie de lacommande mount.

76

Amazon Elastic File System Guide de l'utilisateurConfiguration d'un système de fichiers EFS pour un

montage automatique au lancement d'une instance EC2

Champ Description• _netdev – La valeur indique au système d'exploitation que le système

de fichiers réside sur un périphérique qui nécessite l'accès au réseau.Cette option empêche l'instance de monter le système de fichiers jusqu'àce que le réseau a été activé sur le client.

• Vous pouvez remplacer defaults ici par tls pour activer le chiffrementdes données en transit.

0 Une valeur différente de zéro indique que le système de fichiers doit êtresauvegardé par dump. Pour EFS, cette valeur doit être 0.

0 Ordre dans lequel fsck vérifie les systèmes de fichiers au démarrage. Pourles systèmes de fichiers EFS, cette valeur doit être 0 pour indiquer quefsck ne doit pas s'exécuter au démarrage.

Configuration d'un système de fichiers EFS pour unmontage automatique au lancement d'une instanceEC2Vous pouvez configurer une instance Amazon EC2 pour monter votre système de fichiers Amazon EFSautomatiquement lorsqu'il est initialement lancé avec un script qui fonctionne avec cloud-init. Vousajoutez le script au cours de l'assistant Lancer une instance de la console de gestion EC2. Pour obtenir unexemple de lancement d'une instance EC2 à partir de la console, consultez Mise en route (p. 11).

Le script installe le client NFS et écrit une entrée dans le fichier /etc/fstab qui va identifier le nom DNSde la cible de montage ainsi que le sous-répertoire de votre instance EC2 sur laquelle monter le systèmede fichiers EFS. Le script garantit que le fichier est monté lorsque l'instance EC2 est lancée et aprèschaque redémarrage du système.

Pour plus d'informations sur la version personnalisée de cloud-init utilisée par Amazon Linux, consultezcloud-init dans le manuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Pour configurer votre instance EC2 pour monter un système de fichiers EFS automatiquement aulancement

1. Ouvrez la console Amazon EC2 dans votre navigateur Web et démarrez l'assistant Lancer uneinstance.

2. Lorsque vous atteignez la section Step 3: Configure Instance Details, configurez les détails de votreinstance, développez la section Advanced, puis effectuez les opérations suivantes :

• Collez le script suivant dans User data. Vous devez mettre à jour le script en fournissant lesvaleurs appropriées pour fs-12345678 et /mnt/efs :

#cloud-configrepo_update: truerepo_upgrade: all

packages:- amazon-efs-utils

runcmd:- file_system_id_01=fs-12345678- efs_directory=/mnt/efs

- mkdir -p ${efs_directory}

77

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonLinuxAMIBasics.html#CloudInit

Amazon Elastic File System Guide de l'utilisateurConsidérations de montage supplémentaires

- echo "${file_system_id_01}:/ ${efs_directory} efs tls,_netdev" >> /etc/fstab- mount -a -t efs defaults

Warning

Utilisez l'option _netdev, utilisée pour identifier les systèmes de fichiers réseau lors dumontage automatique de votre système de fichiers. Si l'option _netdev est manquante,votre instance EC2 peut cesser de répondre. Cela s'explique par le fait que les systèmesde fichiers réseau doivent être initialisés après le démarrage de la mise en réseau del'instance de calcul. Pour plus d'informations, consultez Le montage automatique échoueet l'instance ne répond pas (p. 123).

Si vous spécifiez un chemin personnalisé pour votre point de montage, comme dans l'exemple,vous pouvez utiliser mkdir -p, car l'option -p crée des répertoires parents intermédiaires sinécessaire. La ligne - chown de l'exemple précédent modifie la propriété du répertoire aupoint de montage à partir de l'utilisateur racine pour le compte utilisateur du système Linux pourAmazon Linux, ec2-user. Vous pouvez spécifier n'importe quel utilisateur avec cette commande,ou quitter le script afin de conserver la propriété de ce répertoire à l'utilisateur racine.

Pour plus d'informations sur les scripts de données utilisateur, consultez Ajouter des donnéesutilisateur dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

3. Terminez l'assistant Lancer une instance.

Note

Pour vérifier que votre instance EC2 fonctionne correctement, vous pouvez intégrer cesétapes à l'exercice de mise en route. Pour de plus amples informations, veuillez consulterMise en route (p. 11).

Votre instance EC2 est maintenant configurée pour monter le système de fichiers EFS lors du lancement.

Considérations de montage supplémentairesLors du montage de votre système de fichiers Amazon EFS sur une instance Amazon EC2, tenez comptedes considérations supplémentaires suivantes :

• Nous vous recommandons d'utiliser les valeurs d'option de montage Linux par défaut suivantes :

rsize=1048576wsize=1048576hardtimeo=600retrans=2noresvport

• Si vous devez modifier les paramètres de taille d'E/S (rsize et wsize), nous vous recommandonsd'utiliser la taille la plus large possible (jusqu'à 1048576) afin d'éviter une dégradation des performances.

• Si vous devez modifier le paramètre de délai (timeo), nous vous recommandons d'utiliser une valeurd'au moins 150, ce qui équivaut à 15 secondes. Le paramètre timeo est en décisecondes ; parconséquent, 15 secondes équivaut à 150 décisecondes.

• Nous vous recommandons d'utiliser l'option de montage physique. Toutefois, si vous utilisez un montagelogiciel, vous devez définir le paramètre timeo sur au moins 150 décisecondes.

• Avec l'option noresvport, le client NFS utilise un nouveau port source TCP (Transmission ControlProtocol) lorsqu'une connexion réseau est rétablie. Cette utilisation permet de garantir une disponibilitéininterrompue après un événement de récupération du réseau.

78

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html#instancedata-add-user-data


Amazon Elastic File System Guide de l'utilisateurDémontage des systèmes de fichiers

• Evitez de définir d'autres options de montage différentes des valeurs par défaut. Par exemple, lamodification des tailles tampon de lecture ou d'écriture, ou la désactivation de la mise en cache d'attributpeut entraîner une réduction des performances.

• Amazon EFS ignore les ports source. Si vous modifiez les ports source Amazon EFS, cela n'a aucuneffet.

• Amazon EFS ne prend pas en charge aucune des variantes sécurité Kerberos. Par exemple, leséléments suivants entraîne un échec du montage :

$ mount -t nfs4 -o krb5p <DNS_NAME>:/ /efs/

• Nous vous recommandons de monter votre système de fichiers à l'aide de son nom DNS qui sera résoluen l'adresse IP de la cible de montage Amazon EFS dans la même zone de disponibilité que votreinstance Amazon EC2. Si vous utilisez une cible de montage dans une autre zone de disponibilité quevotre instance Amazon EC2, vous devrez vous acquitter des frais de transfert de données Amazon EC2standard pour les données envoyées entre des zones de disponibilité, et vous pouvez constater deslatences accrues pour les opérations de système de fichiers.

• Pour plus d'options de montage et des descriptions détaillées des valeurs par défaut, consultez lespages man fstab et man nfs.

Démontage des systèmes de fichiersAvant de supprimer un système de fichiers, il est conseillé de le démonter à partir de chacune desinstances Amazon EC2 auxquelles il est connecté. Vous pouvez démonter un système de fichiers sur votreinstance Amazon EC2 en exécutant la commande umount sur l'instance elle-même. Vous ne pouvez pasdémonter un système de fichiers Amazon EFS à partir de l'AWS CLI, d'AWS Management Console oude l'un des kits SDK AWS. Pour démonter un système de fichiers Amazon EFS connecté à une instanceAmazon EC2 exécutant Linux, utilisez la commande umount comme suit :

umount /mnt/efs

Il est conseillé de ne pas indiquer d'autres options umount. Evitez de définir d'autres options umountdifférentes des valeurs par défaut.

Vous pouvez vérifier que votre système de fichiers Amazon EFS est démonté en exécutant la commandedf pour afficher les statistiques d'utilisation de disque pour les systèmes de fichiers actuellement montéssur votre instance Amazon EC2 basée sur Linux. Si le système de fichiers Amazon EFS que voussouhaitez démonter n'est pas répertorié dans la sortie de la commande df, cela signifie que le système defichiers est démonté.

Example Exemple : Identifier le statut de montage d'un système de fichiers Amazon EFS et ledémonter

$ df -TFilesystem Type 1K-blocks Used Available Use% Mounted on /dev/sda1 ext4 8123812 1138920 6884644 15% / availability-zone.file-system-id.efs.aws-region.amazonaws.com :/ nfs4 9007199254740992 0 9007199254740992 0% /mnt/efs

$ umount /mnt/efs

$ df -T

Filesystem Type 1K-blocks Used Available Use% Mounted on

79

Amazon Elastic File System Guide de l'utilisateurDémontage des systèmes de fichiers

/dev/sda1 ext4 8123812 1138920 6884644 15% /

80

Amazon Elastic File System Guide de l'utilisateurOutils de supervision

Supervision de Amazon EFSLa supervision constitue une part importante de la gestion de la fiabilité, de la disponibilité et desperformances de vos instances Amazon EFS et de vos solutions AWS. Vous devez recueillir les donnéesde supervision de toutes les parties de votre solution AWS de telle sorte que vous puissiez déboguerplus facilement une éventuelle défaillance à plusieurs points. Avant de commencer la supervision deAmazon EFS, vous devez cependant créer un plan de supervision qui contient les réponses aux questionssuivantes :

• Quels sont les objectifs de la supervision ?• Quelles sont les ressources à surveiller ?• À quelle fréquence les ressources doivent-elles être surveillées ?• Quels outils de supervision utiliser ?• Qui exécute les tâches de supervision ?• Qui doit être informé en cas de problème ?

L'étape suivante consiste à établir une référence de performances normale de Amazon EFS dans votreenvironnement, en mesurant la performance à divers moments et dans diverses conditions de charge.Lorsque vous surveillez Amazon EFS, vous devez envisager de stocker les données de supervisionhistoriques. Ces données stockées constituent une référence pour comparer avec des données deperformances actuelles, identifier les modèles de performance normaux et les anomalies de performance,et concevoir des méthodes pour résoudre les problèmes.

Par exemple, avec Amazon EFS, vous pouvez surveiller le débit du réseau, les E/S pour les opérationsde lecture, d'écriture, et/ou les opérations de métadonnées, les connexions client et le solde de crédit destransmissions en rafale pour vos systèmes de fichiers. Lorsque les performances sorte de votre cadrede référence, vous devez peut-être modifier la taille de votre système de fichiers ou le nombre de clientsconnectés afin d'optimiser le système de fichiers pour votre charge de travail.

Pour établir une référence, vous devez, au moins, superviser les éléments suivants :

• Le débit réseau de votre système de fichiers.• Le nombre de connexions client à un système de fichiers.• Le nombre d'octets pour chaque opération de système de fichiers, y compris les opérations de lecture

des données, d'écriture des données et les opérations de métadonnées.

Outils de supervisionAWS fournit différents outils que vous pouvez utiliser pour surveiller Amazon EFS. Vous pouvez configurercertains outils pour qu'ils effectuent la supervision automatiquement, tandis que d'autres nécessitent uneintervention manuelle. Nous vous recommandons d'automatiser le plus possible les tâches de supervision.

Outils de supervision automatiqueVous pouvez utiliser les outils de surveillance automatique suivants pour surveiller Amazon EFS et êtreinformé en cas de problème :

• Alarmes Amazon CloudWatch – surveillez une seule métrique sur une durée définie et exécutez uneou plusieurs actions en fonction de la valeur de la métrique par rapport à un seuil donné sur un certainnombre de durées. L'action est une notification envoyée à une rubrique Amazon Simple Notification

81

Amazon Elastic File System Guide de l'utilisateurOutils de surveillance manuelle

Service (Amazon SNS) ou une stratégie Amazon EC2 Auto Scaling. Les alarmes CloudWatch n'appellentpas d'actions simplement parce qu'elles sont dans un état particulier : l'état doit avoir changé et étémaintenu pendant un certain nombre de périodes. Pour plus d'informations, consultez Supervision avecAmazon CloudWatch (p. 82).

• Amazon CloudWatch Logs – supervisez vos fichiers journaux, stockez-les et accédez-y à partir deAWS CloudTrail ou d'autres sources. Pour plus d'informations, consultez la section Gestion des fichiersjournaux dans le manuel &guide-cw-dev;.

• Amazon CloudWatch Events – mettez en correspondance les événements et transmettez-les à un ouplusieurs flux ou fonctions cibles pour apporter des modifications, capturer des informations d’état etprendre des mesures correctives. Pour plus d'informations, consultez la page Qu'est-ce qu'AmazonCloudWatch Events dans le Guide de l'utilisateur Amazon CloudWatch.

• Gestion des journaux AWS CloudTrail – partagez des fichiers journaux entre les comptes, surveillez lesfichiers journaux CloudTrail en temps réel en les envoyant à CloudWatch Logs, écrivez des applicationsde traitement des journaux en Java et assurez-vous que vos fichiers journaux n'ont pas changé aprèsleur livraison par CloudTrail. Pour plus d'informations, consultez la section Utilisation des fichiersjournaux CloudTrail dans le manuel AWS CloudTrail User Guide.

Outils de surveillance manuelleLa surveillance d'Amazon EFS implique également de surveiller manuellement les éléments que lesalarmes Amazon CloudWatch ne couvrent pas. Les tableaux de bord des consoles Amazon EFS,CloudWatch et AWS fournissent un aperçu de l'état de votre environnement AWS. Nous recommandons deconsulter également les fichiers journaux sur file system.

• À partir de la console Amazon EFS, vous pouvez trouver les éléments suivants pour vos systèmes defichiers :• La taille mesurée actuelle• Le nombre de cibles de montage• L'état de cycle de vie

• La page d'accueil CloudWatch présente :• Alarmes et statuts en cours• Graphiques des alarmes et des ressources• Statut d'intégrité du service

De plus, vous pouvez utiliser CloudWatch pour effectuer les tâches suivantes :• Créez des tableaux de bord personnalisés pour surveiller les services que vous utilisez• Représenter graphiquement les données de métriques pour résoudre les problèmes et découvrir les

tendances• Rechercher et parcourir toutes les métriques des ressources AWS• Créer et modifier des alarmes pour être informé des problèmes

Supervision avec Amazon CloudWatchVous pouvez surveiller les systèmes de fichiers avec Amazon CloudWatch qui recueille et traite lesdonnées brutes d'Amazon EFS en métriques lisibles et disponibles presque en temps réel. Ces statistiquessont enregistrées pour une durée de 15 mois et, par conséquent, vous pouvez accéder aux informationshistoriques et acquérir un meilleur point de vue de la façon dont votre service ou application web s'exécute.Par défaut, les données des métriques Amazon EFS sont automatiquement envoyées à CloudWatch toutesles 1 minutes. Pour plus d'informations sur CloudWatch, consultez Que sont Amazon CloudWatch, lesévénements Amazon CloudWatch et les journaux Amazon CloudWatch ? dans le Guide de l'utilisateurAmazon CloudWatch.

82

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchLogs.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchLogs.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchEvents.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatchEvents.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/CloudWatch_Dashboards.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring//WhatIsCloudWatch.html


Amazon Elastic File System Guide de l'utilisateurMétriques Amazon CloudWatch pour Amazon EFS

Métriques Amazon CloudWatch pour Amazon EFSL'espace de noms AWS/EFS inclut les métriques suivantes.

Métrique Description

BurstCreditBalance Nombre de crédits de transmission en rafales dont un système de fichiersdispose.

Les crédits de transmission en rafales permettent à un système de fichiersd'atteindre des niveaux de débit supérieurs au niveau de départ d'un systèmede fichiers sur des périodes données. Pour plus d'informations, consultezDimensionnement du débit dans dans Amazon EFS.

La statistique Minimum correspond au plus petit solde de crédit detransmission en rafales par minute au cours de la période. La statistiqueMaximum correspond au plus grand solde de crédit de transmission en rafalespar minute au cours de la période. La statistique Average correspond ausolde moyen de crédit de transmission en rafales au cours de la période.

Unités : octets

Statistiques valides : Minimum, Maximum, Average

ClientConnections Le nombre de connexions client à un système de fichiers. Lorsque vousutilisez un client standard, il y a une connexion par instance Amazon EC2montée.

Note

Pour calculer la moyenne des ClientConnections sur despériodes supérieures à 1 minute, divisez la statistique Sum par lenombre de minutes constituant la période.

Unités : Nombre de connexions client

Statistiques valides : Sum

DataReadIOBytes Nombre d'octets pour chaque opération de lecture dans le système defichiers.

La statistique Sum correspond au nombre total d'octets associés auxopérations de lecture. La statistique Minimum correspond à la plus petitetaille d'opération de lecture au cours de la période. La statistique Maximumcorrespond à la plus grande taille d'opération de lecture au cours dela période. La statistique Average correspond à la taille moyenne desopérations de lecture au cours de la période. La statistique SampleCountfournit un nombre d'opérations de lecture.

Unités:

• Octets pour Minimum, Maximum, Average et Sum.• Nombre de SampleCount.

Statistiques valides : Minimum, Maximum, Average, Sum, SampleCount

DataWriteIOBytes Nombre d'octets pour chaque opération d’écriture dans le fichier.

83

http://docs.aws.amazon.com/efs/latest/ug/performance.html#bursting

Amazon Elastic File System Guide de l'utilisateurMétriques Amazon CloudWatch pour Amazon EFS

Métrique DescriptionLa statistique Sum correspond au nombre total d'octets associés auxopérations d'écriture. La statistique Minimum correspond à la plus petitetaille d'opération d'écriture au cours de la période. La statistique Maximumcorrespond à la plus grande taille d'opération d'écriture au cours de lapériode. La statistique Average correspond à la taille moyenne desopérations d'écriture au cours de la période. La statistique SampleCountfournit un nombre d'opérations d'écriture.

Unités:

• Les octets représentent les unités des statistiques Minimum, Maximum,Average et Sum.

• Nombre de SampleCount.


MetadataIOBytes Nombre d'octets pour chaque opération de métadonnées.

La statistique Sum correspond au nombre total d'octets associés auxopérations de métadonnées. La statistique Minimum correspond à la pluspetite taille d'opération de métadonnées au cours de la période. La statistiqueMaximum correspond à la plus grande taille d'opération de métadonnées aucours de la période. La statistique Average correspond à la taille moyennedes opérations de métadonnées au cours de la période. La statistiqueSampleCount fournit un nombre d'opérations de métadonnées.

Unités:

• Les octets représentent les unités des statistiques Minimum, Maximum,Average et Sum.

• Nombre de SampleCount.


PercentIOLimit Indique comment la fermeture d'un système de fichiers consiste à atteindrela limite d'E/S du mode de performances à usage général. Si cette métriqueest le plus souvent à 100 %, vous pouvez déplacer votre application vers unsystème de fichiers en utilisant le mode de performances d'E/S Max.

Note

Cette métrique est uniquement disponible pour les systèmes defichiers à l'aide du mode de performances à usage général.

Unités:

• Pourcentage

84

Amazon Elastic File System Guide de l'utilisateurOctets signalés dans CloudWatch


PermittedThroughput Débit maximal de système de fichier autorisé. Pour les systèmes de fichiersen mode de débit alloué, cette valeur est identique au débit alloué. Pourles systèmes de fichiers en mode de débit en rafales, cette valeur est unefonction de la taille du système de fichiers et de BurstCreditBalance.Pour en savoir plus, consultez la page Performances d'Amazon EFS.

La statistique Minimum correspond au plus petit débit autorisé par minuteau cours de la période. La statistique Maximum correspond au plus granddébit autorisé par minute au cours de la période. La statistique Averagecorrespond au débit moyen autorisé au cours de la période.

Unités : octets par seconde

Statistiques valides : Minimum, Maximum, Average

TotalIOBytes Le nombre d'octets pour chaque opération de système de fichiers, y comprisles opérations de lecture des données, d'écriture des données et lesopérations de métadonnées.

La statistique Sum correspond au nombre total d'octets associés à toutes lesopérations du système de fichiers. La statistique Minimum correspond à laplus petite taille d'opération au cours de la période. La statistique Maximumcorrespond à la plus grande taille d'opération au cours de la période. Lastatistique Average correspond à la taille moyenne d'une opération au coursde la période. La statistique SampleCount fournit le nombre de toutes lesopérations.

Note

Pour calculer la moyenne des opérations par seconde au coursd'une période, divisez la statistique SampleCount par le nombrede secondes constituant la période. Pour calculer le débit moyen(octets par seconde) pour une période, divisez la statistique Sum parle nombre de secondes constituant la période.

Unités:

• Octets pour les statistiques Minimum, Maximum, Average et Sum.• Nombre de SampleCount.


Octets signalés dans CloudWatchComme avec Amazon S3 et Amazon EBS, les métriques CloudWatch Amazon EFS sont signalées en tantqu'octets bruts. Les octets ne sont pas arrondis à la décimale ou à un multiple binaire de l'unité. Tenezcompte de cela lors du calcul du débit en rafales en utilisant les données que vous obtenez à partir desmétriques. Pour plus d'informations sur la transmission en rafales, consultez Dimensionnement du débitavec le mode en rafales (p. 99).

85

http://docs.aws.amazon.com/efs/latest/ug/performance.html

Amazon Elastic File System Guide de l'utilisateurDimensions Amazon EFS

Dimensions Amazon EFSLes métriques Amazon EFS utilisent l'espace de noms EFS et fournit des métriques relatives à une seuledimension, FileSystemId. L'ID d'un système de fichiers est disponible dans la console de gestionAmazon EFS, et prend la forme de fs-XXXXXXXX.

Comment utiliser les métriques Amazon EFS ?Les métriques présentées par Amazon EFS fournissent des informations qui permettent divers typesd'analyses. La liste ci-dessous présente certaines utilisations courantes des métriques. Voici quelquessuggestions pour vous aider à démarrer, qui ne forment pas une liste exhaustive.

Comment... ? Métriques pertinentes

Comment puis-jedéterminer mon débit ?

Vous pouvez surveiller la statistique Sum quotidienne de la métriqueTotalIOBytes pour voir votre débit.

Comment puis-je suivrele nombre d'instancesAmazon EC2 quisont connectées à unsystème de fichiers ?

Vous pouvez surveiller la statistique Sum de la métriqueClientConnections. Pour calculer la moyenne des ClientConnectionssur des périodes supérieures à 1 minute, divisez la somme par le nombre deminutes constituant la période.

Comment puis-je voirmon solde de créditsde transmission parrafales ?

Vous pouvez voir votre solde en surveillant la métriqueBurstCreditBalance de votre système de fichiers. Pour plusd'informations sur la transmission par rafales et les crédits associés,consultez Dimensionnement du débit avec le mode en rafales (p. 99).

Surveillance d'EFS File Sync avec AmazonCloudWatchVous pouvez surveiller EFS File Sync avec Amazon CloudWatch, qui recueille et traite les donnéesbrutes d'Amazon EFS en métriques lisibles et disponibles presque en temps réel. Ces statistiquessont enregistrées pour une durée de 15 jours. Vous pouvez, par conséquent, accéder auxinformations historiques et mieux comprendre la façon dont EFS File Sync fonctionne. Par défaut,les données des métriques EFS File Sync sont automatiquement envoyées à CloudWatch toutes les5 minutes. Pour plus d'informations sur CloudWatch, consultez Que sont Amazon CloudWatch, lesévénements Amazon CloudWatch et les journaux Amazon CloudWatch ? dans le Guide de l'utilisateurAmazon CloudWatch.

L'espace de noms AWS/FileSync inclut les métriques suivantes :


FilesTransferred Nombre de fichiers transférés d'un système de fichiers source vers lesystème de fichiers Amazon EFS. Un fichier est considéré comme transférési tous les aspects de la synchronisation requise incrémentent cette métrique.Dans ce cas, cette métrique est incrémentée. Toutefois, si seules lesmétadonnées sont modifiées, aucune donnée réelle n'est transférée.

Unité : nombre

86



Amazon Elastic File System Guide de l'utilisateurAccès aux métriques CloudWatch


PhysicalBytesTransferredNombre total d'octets transférés sur le réseau lorsque l'agent desynchronisation lit les données du système de fichiers source en direction dusystème de fichiers Amazon EFS.

Unité : octets

LogicalBytesTransferredTaille totale des fichiers ou répertoires transférés vers le système de fichiersAmazon EFS. Les métadonnées ne sont pas incluses dans cette métrique.

Unités : octets

Dimensions Amazon EFS File SyncLes métriques EFS File Sync utilisent l'espace de noms AWS/FileSync et fournissent des métriques pourles dimensions suivantes :

• HostId : l'ID unique de votre serveur hôte.• HostName : le nom ou le domaine de votre serveur hôte.• SyncSetId : l'ID de la synchronisation définie. Il se présente sous la forme set-12345678912345678

Accès aux métriques CloudWatchIl existe de nombreuses façons de voir les métriques Amazon EFS pour CloudWatch. Vous pouvez lesafficher via la console CloudWatch, ou vous pouvez y accéder à l'aide de l'interface CLI de CloudWatch oul'API de CloudWatch. Les procédures suivantes vous montrent comment accéder aux métriques à l'aide deces différentes outils.

Pour afficher les métriques grâce à la console CloudWatch

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, choisissez Metrics.3. Sélectionnez l'espace de noms EFS.4. (Facultatif) Pour afficher une métrique, tapez son nom dans le champ de recherche.5. (Facultatif) Pour filtrer par dimension, sélectionnez FileSystemId.

Pour accéder aux métriques à partir de l'AWS CLI

• Utilisez la commande list-metrics avec l'espace de noms --namespace "AWS/EFS". Pour plusd'informations, consultez le AWS CLI Command Reference.

Pour accéder aux métriques à partir de l'API CloudWatch

• Appelez GetMetricStatistics. Pour plus d'informations, consultez le document AmazonCloudWatch API Reference.

87

https://console.aws.amazon.com/cloudwatch

http://docs.aws.amazon.com/cli/latest/reference/cloudwatch/list-metrics.html

http://docs.aws.amazon.com/cli/latest/reference/

http://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_GetMetricStatistics.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/


Amazon Elastic File System Guide de l'utilisateurCréation d'alarmes

Création d'alarmes CloudWatchpour surveiller AmazonEFSVous pouvez créer une alarme CloudWatch qui envoie un message Amazon SNS lorsque l'alarme changed'état. Une alarme surveille une seule métrique pendant une durée que vous définissez et exécute une ouplusieurs actions en fonction de la valeur de la métrique par rapport à un seuil donné pendant un certainnombre de périodes. L'action est une notification envoyée à une rubrique Amazon SNS ou une stratégieAuto Scaling.

Les alarmes appellent les actions pour les changements d'état soutenus uniquement. Les alarmesCloudWatch n'appellent pas d'actions simplement parce qu'elles sont dans un état particulier ; l'état doitavoir changé et été conservé pendant un certain nombre de périodes.

Les alarmes CloudWatch pour Amazon EFS sont en particulier utilisées pour appliquer le chiffrement aurepos à votre système de fichiers. Vous pouvez activer le chiffrement au repos pour un système de fichiersAmazon EFS lors de sa création. Pour appliquer les stratégies de chiffrement des données au repos pourles systèmes de fichiers Amazon EFS, vous pouvez utiliser Amazon CloudWatch et AWS CloudTrail pourdétecter la création d'un système de fichiers et vérifier que le chiffrement au repos est activé. Pour plusd'informations, consultez Procédure 6 : Application du chiffrement sur un système de fichiers Amazon EFSau repos (p. 162).

Note

Actuellement, vous ne pouvez pas appliquer le chiffrement en transit.

Les procédures suivantes expliquent comment créer des alarmes pour Amazon EFS.

Pour définir des alarmes à l'aide de la console CloudWatch

1. Connectez-vous à la AWS Management Console et ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.

2. Sélectionnez Create Alarm. L'assistant Create Alarm démarre.3. Choisissez Métriques EFS et faites défiler les métriques Amazon EFS afin de localiser la métrique

sur laquelle vous voulez placer une alarme. Pour afficher seulement les métriques Amazon EFS danscette boîte de dialogue, recherchez l'ID de votre système de fichiers. Sélectionnez la métrique surlaquelle créer une alarme, puis sélectionnez Suivant.

4. Indiquez les valeurs Nom, Description, Lorsque pour la métrique.5. Si vous voulez que CloudWatch vous envoie un e-mail lorsque l'état d'alarme est atteint, choisissez

L'état est ALARME dans le champ Chaque fois que cette alarme :. Dans le champ Send notificationto:, choisissez une rubrique SNS existante. Si vous sélectionnez Create topic, vous pouvez définir lenom d'une nouvelle liste d'abonnement par e-mail et les adresses e-mail pour cette liste. La liste estenregistrée et s'affiche dans le champ des alarmes futures.

Note

Si vous utilisez Create topic pour créer une rubrique Amazon SNS, les adresses e-maildoivent être vérifiées avant de pouvoir recevoir des notifications. Les e-mails sont envoyésuniquement lorsque l'alarme passe à un état défini. Si ce changement d'état de l'alarme seproduit avant la vérification des adresses e-mail, elles ne reçoivent pas de notification.

6. A ce stade, la zone Alarm Preview vous offre la possibilité d'obtenir un aperçu de l'alarme que vousêtre sur le point de créer. Sélectionnez Create Alarm.

Pour définir une alarme à l'aide de l'AWS CLI

• Appelez put-metric-alarm. Pour plus d'informations, consultez le AWS CLI Command Reference.

88

https://console.aws.amazon.com/cloudwatch/


http://docs.aws.amazon.com/cli/latest/reference/put-metric-alarm.html

http://docs.aws.amazon.com/cli/latest/reference/

Amazon Elastic File System Guide de l'utilisateurUtilisation des mathématiques appliquées

aux métriques avec Amazon EFS

Pour définir une alarme à l'aide de l'API CloudWatch

• Appelez PutMetricAlarm. Pour plus d'informations, consultez le document Amazon CloudWatch APIReference

Utilisation des mathématiques appliquées auxmétriques avec Amazon EFSLes mathématiques appliquées aux métriques vous permettent d'interroger plusieurs métriquesCloudWatch et d'utiliser des expressions mathématiques pour créer des séries chronologiques basées surces métriques. Vous pouvez visualiser les séries chronologiques obtenues dans la console CloudWatchet les ajouter à des tableaux de bord. Par exemple, vous pouvez utiliser les métriques Amazon EFS afinde prendre le nombre d'opérations DataRead divisé par 60. Vous obtenez le nombre moyen de lecturespar seconde sur votre système de fichiers pour une durée d'une minute. Pour plus d'informations surles mathématiques appliquées aux métriques, consultez Utilisation des mathématiques appliquées auxmétriques dans le Guide de l'utilisateur Amazon CloudWatch.

Vous trouverez ci-dessous des expressions mathématiques appliquées aux métriques utiles pour AmazonEFS.

Rubriques• Mathématiques appliquées aux métriques : débit en Mio/seconde (p. 89)• Mathématiques appliquées aux métriques : débit en pourcentage (p. 90)• Mathématiques appliquées aux métriques : IOPS (p. 90)• Mathématiques appliquées aux métriques : pourcentage d'IOPS (p. 91)• Mathématiques appliquées aux métriques : taille d'E/S moyenne en Kio (p. 91)• Utilisation des mathématiques appliquées aux métrique via un modèle AWS CloudFormation pour

Amazon EFS (p. 92)

Mathématiques appliquées aux métriques : débit en Mio/secondePour calculer le débit moyen (en Mio/seconde) pour une période, vous devez d'abord choisir une statistiquede somme (DataReadIOBytes, DataWriteIOBytes, MetadataIOBytes ou TotalIOBytes). Ensuite,convertissez la valeur en Mio et divisez-la par le nombre de secondes de la période.

Supposons par exemple que votre logique est la suivante : (somme de TotalIOBytes ÷ 1 048 576 (àconvertir en Mio)) ÷ secondes dans la période

Vos informations de métrique CloudWatch sont alors les suivantes :

ID Métriques utilisables Statistique Période

m1 • DataReadIOBytes

• DataWriteIOBytes

• MetadataIOBytes

• TotalIOBytes

sum 1 minute

Votre ID de mathématiques appliquées aux métriques et votre expression sont les suivantes :

89

http://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricAlarm.html



http://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-metric-math.html



ID Expression

e1 (m1/1048576)/PERIOD(m1)

Mathématiques appliquées aux métriques : débit en pourcentagePour calculer le débit en pourcentage des différents types d'E/S (DataReadIOBytesDataWriteIOBytesou MetadataIOBytes) pour une période, vous devez d'abord multiplier la statistique de sommerespective par 100. Ensuite, divisez le résultat par la statistique de somme de TotalIOBytes pour lamême période.

Supposons par exemple que votre logique est la suivante : (somme de DataReadIOBytes x 100 (àconvertir en pourcentage)) ÷ somme de TotalIOBytes



m1 • TotalIOBytes sum 1 minute



• MetadataIOBytes

sum 1 minute


ID Expression

e1 (m2*100)/m1

Mathématiques appliquées aux métriques : IOPSPour calculer le nombre moyen d'opérations par seconde (IOPS) pour une période, divisez la statistiqued'échantillonnage (DataReadIOBytes, DataWriteIOBytes, MetadataIOBytes ou TotalIOBytes)par le nombre de secondes dans la période.

Supposons par exemple que votre logique est la suivante : échantillonnage de DataWriteIOBytes ÷secondes dans la période





• MetadataIOBytes

• TotalIOBytes

échantillonnage 1 minute


90



ID Expression

e1 m1/PERIOD(m1)

Mathématiques appliquées aux métriques : pourcentage d'IOPSPour calculer le pourcentage d'IOPS par seconde des différents types d'E/S(DataReadIOBytesDataWriteIOBytes ou MetadataIOBytes) pour une période, vous devez d'abordmultiplier la statistique d'échantillonnage respective par 100. Ensuite, divisez le résultat par la statistiqued'échantillonnage de TotalIOBytes pour la même période.

Supposons par exemple que votre logique est la suivante : (échantillonnage de MetadataIOBytes x 100(à convertir en pourcentage)) ÷ échantillonnage de TotalIOBytes



m1 • TotalIOBytes échantillonnage 1 minute



• MetadataIOBytes



ID Expression

e1 (m2*100)/m1

Mathématiques appliquées aux métriques : taille d'E/S moyenneen KioPour calculer la taille d'E/S moyenne (en Kio) pour une période, divisez la statistique de somme respectivede la métrique DataReadIOBytes, DataWriteIOBytes ou MetadataIOBytes par la même statistiqued'échantillonnages de cette métrique.

Supposons par exemple que votre logique est la suivante : (somme de DataReadIOBytes ÷ 1024 (àconvertir en Kio)) ÷ échantillonnage de DataReadIOBytes





• MetadataIOBytes

sum 1 minute



• MetadataIOBytes


91

Amazon Elastic File System Guide de l'utilisateurJournalisation des appels d'API

Amazon EFS avec AWS CloudTrail


ID Expression

e1 (m1/1024)/m2

Utilisation des mathématiques appliquées aux métrique via unmodèle AWS CloudFormation pour Amazon EFSVous pouvez également créer des expressions mathématiques appliquées aux métriques par le biaisdes modèles AWS CloudFormation. Ce type de modèle est disponible à des fins de téléchargement et depersonnalisation dans les Didacticiels Amazon EFS sur GitHub. Pour plus d'informations sur l'utilisationdes modèles AWS CloudFormation, consultez Utilisation des modèles AWS CloudFormation dans le AWSCloudFormation Guide de l'utilisateur.

Journalisation des appels d'API Amazon EFS avecAWS CloudTrail

Amazon EFS est intégré à AWS CloudTrail, un service qui enregistre les actions effectuées par unutilisateur, un rôle ou un service AWS dans Amazon EFS. CloudTrail capture tous les appels d'API pourAmazon EFS en tant qu'événements, y compris les appels émis par la console Amazon EFS et à partir desappels de code transmis aux API Amazon EFS.

Si vous créez un journal de suivi, vous pouvez diffuser en continu les événements CloudTrail sur uncompartiment Amazon S3, y compris les événements pour Amazon EFS. Si vous ne configurez pasde journal de suivi, vous pouvez toujours afficher les événements les plus récents dans la consoleCloudTrail dans Event history (Historique des événements). Les informations collectées par CloudTrailvous permettent de déterminer quelle demande a été envoyée à Amazon EFS, l'adresse IP source à partirde laquelle la demande a été effectuée, qui a effectué la demande, quand, ainsi que d'autres informations.

Pour plus d'informations sur CloudTrail, consultez le AWS CloudTrail User Guide.

Informations relatives à Amazon EFS dans CloudTrailCloudTrail est activé sur votre compte AWS lorsque vous créez le compte. Quand une activité se produitdans Amazon EFS, cette activité est enregistrée dans un événement CloudTrail avec d'autres événementsde services AWS dans Event history (Historique des événements). Vous pouvez afficher, rechercher ettélécharger les événements récents dans votre compte AWS. Pour plus d'informations, consultez Affichagedes événements avec l'historique des événements CloudTrail.

Pour un enregistrement continu des événements dans votre compte AWS, y compris les événementspour Amazon EFS, créez un journal de suivi. Un journal de suivi permet à CloudTrail de livrer des fichiersjournaux dans un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans laconsole, il s'applique à toutes les régions AWS. Le journal de suivi consigne les événements de toutesles régions dans la partition AWS et livre les fichiers journaux dans le compartiment Amazon S3 de votrechoix. En outre, vous pouvez configurer d'autres services AWS pour analyser plus en profondeur lesdonnées d'événement collectées dans les journaux CloudTrail et agir sur celles-ci. Pour de plus amplesinformations, veuillez consulter les rubriques suivantes du AWS CloudTrail User Guide :

• Présentation de la création d'un journal de suivi• Intégrations et services pris en charge par CloudTrail

92

https://github.com/aws-samples/amazon-efs-tutorial

http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/template-guide.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

Amazon Elastic File System Guide de l'utilisateurPrésentation des entrées des fichiers journaux Amazon EFS

• Configuration des Notifications de Amazon SNS pour CloudTrail• Recevoir les fichiers journaux de CloudTrail de plusieurs régions et Recevoir les fichiers journaux de

CloudTrail de plusieurs comptes.

Touts les appels d'API (p. 189) Amazon EFS sont journalisés par CloudTrail. A titre d'exemple, les appelsaux opérations CreateFileSystem, CreateMountTarget et CreateTags génèrent des entrées dansles fichiers journaux CloudTrail.

Chaque événement ou entrée du journal contient des informations sur la personne qui a généré lademande. Les informations relatives à l'identité permettent de déterminer les éléments suivants :

• Si la demande a été effectuée avec des informations d'identification utilisateur racine ou AWS Identityand Access Management (IAM).

• Si la demande a été effectuée avec des informations d'identification de sécurité temporaires pour un rôleou un utilisateur fédéré.

• Si la demande a été effectuée par un autre service AWS.

Pour en savoir plus, consultez Elément userIdentity CloudTrail dans le manuel AWS CloudTrail User Guide.

Présentation des entrées des fichiers journauxAmazon EFSUn journal de suivi est une configuration qui permet la remise d'événements sous forme de fichiersjournaux dans un compartiment Amazon S3 que vous spécifiez. Les fichiers journaux CloudTrailcontiennent une ou plusieurs entrées de journal. Un événement représente une demande individuelleémise à partir d'une source quelconque et comprend des informations sur l'action demandée, la date etl'heure de l'action, les paramètres de la demande, etc. Les fichiers journaux CloudTrail ne constituent pasune série ordonnée retraçant les appels d'API publics. Ils ne suivent aucun ordre précis.

L'exemple suivant montre une entrée de journal CloudTrail qui illustre l'opération CreateTags quand unebalise d'un système de fichiers est créée depuis la console.

{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "CreateTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tags": [{ "key": "TagName",

93

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

Amazon Elastic File System Guide de l'utilisateurEntrées des fichiers journaux Amazon EFS

pour les systèmes de fichiers chiffrés au repos

"value": "AnotherNewTag" } ] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333"}

L'exemple suivant montre une entrée de journal CloudTrail qui illustre l'action DeleteTags quand unebalise pour un système de fichiers est supprimée depuis la console.

{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "DeleteTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tagKeys": [] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333"}

Entrées des fichiers journaux Amazon EFS pour lessystèmes de fichiers chiffrés au reposAmazon EFS vous offre la possibilité d'utiliser le chiffrement au repos, le chiffrement en transit ou lesdeux, pour vos systèmes de fichiers. Pour plus d'informations, consultez Chiffrement des données etmétadonnées dans EFS (p. 107).

Si vous utilisez un système de fichiers chiffré au repos, les appels effectués par Amazon EFS en votre noms'affichent dans vos journaux AWS CloudTrail comme provenant d'un compte appartenant à AWS. Si vousvoyez l'un des ID de compte suivants dans vos journaux CloudTrail, en fonction de la région AWS danslaquelle votre système de fichiers est créé, cet ID est détenu par le service Amazon EFS.

94

Amazon Elastic File System Guide de l'utilisateurEntrées des fichiers journaux Amazon EFS

pour les systèmes de fichiers chiffrés au repos

Région AWS ID de compte

USA Est (Ohio) 771736226457

USA Est (Virginie du Nord) 055650462987

USA Ouest (Californie duNord)

208867197265

USA Ouest (Oregon) 736298361104

Asie-Pacifique (Séoul) 518632624599

Asie-Pacifique (Tokyo) 620757817088

UE (Francfort) 992038834663

UE (Irlande) 805538244694

Asie-Pacifique (Sydney) 288718191711

Contexte de chiffrement Amazon EFS pour le chiffrement aureposAmazon EFS envoie un contexte de chiffrement lors de l'élaboration de demandes d'API AWS KMS pourgénérer des clés de données et déchiffrer des données Amazon EFS. L'ID du système de fichiers estle contexte de chiffrement de tous les systèmes de fichiers qui sont chiffrées au repos. Dans le champrequestParameters d'une entrée de journal CloudTrail, le contexte de chiffrement ressemble à ce quisuit :

"EncryptionContextEquals": {}"aws:elasticfilesystem:filesystem:id" : "fs-4EXAMPLE"

95

http://docs.aws.amazon.com/kms/latest/developerguide/encryption-context.html

Amazon Elastic File System Guide de l'utilisateurPrésentation des performances

Performances d'Amazon EFSCe chapitre fournit une présentation des performances d'Amazon EFS, décrit les modes de performance etde débit disponibles et fournit des conseils utiles en termes de performances.

Présentation des performancesLes systèmes de fichiers Amazon EFS sont répartis entre un nombre illimité de serveurs de stockage, cequi permet aux systèmes de fichiers d'opérer une mise à l'échelle Elastic de l'ordre de plusieurs pétaoctetset offre un accès parallèle massif depuis des instances Amazon EC2 vers vos données. La conceptiondistribuée d'Amazon EFS évite les goulets d'étranglement et les contraintes inhérentes aux serveurs defichiers traditionnels.

Grâce à la conception distribuée du stockage de données, les applications multithreads et les applicationsaccédant simultanément à des données depuis plusieurs instances Amazon EC2 peuvent atteindre desniveaux cumulés de débit et d'E/S par seconde très élevés. Les charges de travail de Big Data et d'analyse,les workflows de traitement multimédia, la gestion de contenu et les services Web sont quelques exemplesde ces applications.

De plus, les données Amazon EFS sont distribuées sur plusieurs zones de disponibilité, ce qui offre unhaut niveau de durabilité et de disponibilité. Les tableaux suivants comparent les performances de hautniveau et les caractéristiques de stockage pour les de fichiers d'Amazon et les services de stockage dansle cloud services de stockage de fichier et de bloc d'Amazon.

Comparaison des performances : Amazon EFS et Amazon EBS

Amazon EFS IOPS provisionnées Amazon EBS

Latence par opération Latence faible, cohérente. Latence plus faible et cohérente.

Echelle de débit 10+ Go par seconde. Jusqu'à 2 Go par seconde.

Comparaison des caractéristiques de stockage : Amazon EFS et Amazon EBS

Amazon EFS IOPS provisionnées Amazon EBS

Disponibilité etdurabilité

Les données sont stockées de manièreredondante dans plusieurs zones dedisponibilité.

Les données sont stockées de manièreredondante dans une seule zone dedisponibilité.

Accès Des milliers d'instances Amazon EC2,de plusieurs zones de disponibilité,peuvent se connecter simultanément àun système de fichiers.

Une instance Amazon EC2 uniquedans une seule zone de disponibilitépeut se connecter à un système defichiers.

Cas d'utilisation Big Data et analyse, workflows detraitement multimédia, gestion decontenu, services Web et répertoiresde base.

Volumes de démarrage, bases dedonnées transactionnelles et NoSQL,entreposage de données et ETL.

La nature distribuée d'Amazon EFS permet de hauts niveaux de disponibilité, de durabilité et d'évolutivité.Cette architecture distribuée entraîne de faibles coûts en matière de latence pour chaque opération réalisée

96

Amazon Elastic File System Guide de l'utilisateurCas d'utilisation d'Amazon EFS

sur les fichiers. En raison de cette faible latence par opération, le débit global augmente généralement avecla taille d'E/S moyenne, les frais généraux étant amortis sur un plus grand volume de données. AmazonEFS prend en charge les charges de travail hautement parallélisées (par exemple, à l'aide d'opérationssimultanées à partir de plusieurs threads et plusieurs instances Amazon EC2), ce qui permet de hautsniveaux de débit cumulé et d'opérations par seconde.

Cas d'utilisation d'Amazon EFSAmazon EFS est conçu pour répondre aux besoins des performances des cas d'utilisation suivants.

Big Data et analyseAmazon EFS fournit l'échelle et les performances requises pour les applications de Big Data nécessitantun haut débit vers les nœuds de calcul, combinées à une cohérence read-after-write (lecture directe aprèsécriture) et à une faible latence des opérations réalisées sur les fichiers.

Workflows de traitement multimédiaLes workflows multimédias comme le montage vidéo, la production en studio, le traitement de diffusion etla conception, et le rendu sonores dépendent souvent du stockage partagé pour la manipulation de fichiersvolumineux. Un modèle de cohérence (consistency) des données solide, associé à un accès aux fichierspartagé et à haut débit, peut réduire le temps nécessaire à l'exécution de ces tâches et regrouper plusieursdépôts de fichiers locaux dans un seul et même lieu pour tous les utilisateurs.

Gestion de contenu et services WebAmazon EFS fournit système de fichiers durable et à haut débit pour les systèmes de gestion de contenuqui stockent et délivrent des informations pour une série d'applications, comme des sites Web, despublications en ligne et des archives.

Répertoires de baseAmazon EFS peut fournir une solution de stockage aux organisations dans lesquelles de nombreuxutilisateurs doivent accéder à et partager des ensembles de données communs. Un administrateur peututiliser Amazon EFS pour créer un système de fichiers accessible aux personnes d'une organisation, etaccorder des autorisations aux utilisateurs et aux groupes au niveau du fichier ou du répertoire.

Synchronisation d'un système de fichiers vers AmazonEFSAmazon EFS File Sync permet une synchronisation des données en parallèle efficace et à hautesperformances qui tolère les réseaux peu fiables et à latence élevée. Cette synchronisation des donnéesvous permet de synchroniser facilement et efficacement des fichiers d'un système de fichiers existant versAmazon EFS. Pour plus d'informations, consultez Amazon EFS File Sync (p. 35).

Modes de performancesPour prendre en charge une grande variété de charges de travail de stockage dans le cloud, Amazon EFSoffre deux modes de performance. Vous sélectionnez le mode de performances d'un système de fichierslorsque vous le créez.

97

Amazon Elastic File System Guide de l'utilisateurMode de performances Usage général

Les deux modes de deux performances n'ont aucun coût supplémentaire ; ainsi, votre système de fichiersAmazon EFS est facturé et mesuré de la même façon, quel que soit votre mode de performances. Pourplus d'informations sur les limites du système de fichiers, consultez Limites pour les systèmes de fichiersAmazon EFS (p. 114).

Note

Le mode de performances d'un système de fichiers Amazon EFS ne peut pas être modifié une foisque le système de fichiers a été créé.

Mode de performances Usage généralNous recommandons le mode de performances Usage général pour la majeure partie de vos systèmesde fichiers Amazon EFS. Le mode Usage général est idéal pour les cas d'utilisation sensibles à la latence,comme les environnements de service Web, les systèmes de gestion de contenu, les répertoires de baseet la distribution de fichiers générale. Si vous ne choisissez pas un mode de performances lorsque vouscréez votre système de fichiers, Amazon EFS sélectionne le mode Usage général par défaut à votre place.

Mode de performance E/S maxLes systèmes de fichiers dans le mode E/S max peuvent évoluer vers des niveaux plus élevés de débitcumulé et d'opérations par seconde avec comme inconvénient des latences légèrement plus élevés pourles opérations de fichier. Les charges de travail et les charges de travail hautement parallélisées, telles quel'analyse du Big Data, le traitement multimédia et l'analyse du génome peuvent bénéficier de ce mode.

Utilisation du mode de performances appropriéNous vous recommandons de procéder comme suit pour déterminer le mode de performance à utiliser :

1. Créez un nouveau système de fichiers (p. 15) en utilisant le mode de performance Usage général pardéfaut.

2. Exécutez votre application (ou un cas d'utilisation similaire à votre application) pendant une certaintemps afin de tester ses performances.

3. Surveillez la métrique PercentIOLimit (p. 83) Amazon CloudWatch pour Amazon EFS au cours du testde performance. Pour plus d'informations sur l'accès à cette métrique et à d'autres, consultez MétriquesAmazon CloudWatch (p. 81).

Si le pourcentage PercentIOLimit retourné approchait de 100 % ou était égal à 100 % pendant unedurée importante du temps de test, votre application doit utiliser le mode de performances E/S max. Sinon,elle doit utiliser le mode de performance Usage général par défaut.

Modes de débitVous avez le choix entre deux modes de débit pour votre système de fichiers : Débit en rafales et Débitalloué. Avec le mode Débit en rafales, le débit sur Amazon EFS évolue au rythme du système de fichiers.Avec le mode Débit alloué, vous pouvez allouer instantanément le débit de votre système de fichiers (enMio/s) indépendamment de la quantité de données stockées.

Note

En mode Débit alloué, vous pouvez réduire le débit de votre système de fichiers si la dernière foisque vous l'avez réduit remonte à plus de 24 heures. De plus, vous pouvez passer du mode Débit

98

Amazon Elastic File System Guide de l'utilisateurTransmission en rafales

alloué au mode Débit en rafales par défaut si la dernière fois que vous avez changé de moderemonte à plus de 24 heures.

Dimensionnement du débit avec le mode en rafalesAvec le mode Débit en rafales, le débit sur Amazon EFS évolue au rythme du système de fichiers.Les charges de travail basées sur des fichiers étant généralement irrégulières, elles nécessitent desdébits élevés pendant de courtes périodes et de faibles débits le reste du temps. Pour faire face à cesfluctuations, Amazon EFS a été conçu afin d'offrir des débits élevés pendant certaines périodes.

Tous les systèmes de fichiers, quelle que soit leur taille, peuvent fournir jusqu'à 100 Mio/s de débit enrafales. Ceux dont la taille est supérieure à 1 Tio offrent une capacité de transmission en rafales pouvantatteindre 100 Mio/s par Tio de données stockées sur le système de fichiers. Par exemple, un systèmede fichiers de 10 Tio peut atteindre 1 000 Mio/s de débit (10 TiB x 100 MiB/s/TiB). La durée detransmission en rafales d'un système de fichiers est déterminée par sa taille. Le modèle de transmission enrafales est conçu pour que les charges de travail classiques du système de fichiers puissent offrir un débiten rafales pendant pratiquement aussi longtemps que nécessaire.

Amazon EFS utilise un système de crédit pour déterminer le moment où les systèmes de fichiers peuventtransmettre en rafales. Chaque système de fichiers gagne des crédits au fil du temps à un taux deréférence qui est déterminé par la taille du système de fichiers et il utilise des crédits chaque fois qu'il lit ouécrit des données. Le taux de référence est 50 Mio/s par Tio de stockage (ce qui équivaut à 50 Kio/s parGio de stockage).

Les crédits de transmission en rafales cumulés permettent au système de fichiers d'émettre un débitsupérieur à son taux de référence. Un système de fichiers peut transmettre en rafales en permanenceà son taux de référence, et chaque fois qu'il est inactif ou qu'il émet un débit inférieur à son taux deréférence, le système de fichiers accumule des crédits de transmission en rafales.

Par exemple, un système de fichiers 100 Gio peut transmettre en rafales (à 100 Mio/s) pendant 5 % dutemps s'il est inactif pendant les 95 % de temps restants. Sur une période de 24 heures, le système defichiers gagne 432 000 Mio de crédit, lequel peut être utilisé pour des transmissions en rafales à 100 Mio/spendant 72 minutes.

Les systèmes de fichiers d'une taille supérieure à 1 Tio peuvent toujours transmettre en rafales jusqu'à50 % du temps s'ils sont inactifs pendant les 50 % de temps restants.

Le tableau suivant fournit des exemples de comportement de transmission en rafales.

Taille de système de fichiers Débit de lecture/écriture regroupé

Un système de fichiers de100 Gio peut...

• Transmettre en rafales jusqu'à 100 Mio/s pendant 72 minutes parjour, ou

• Emettre un débit jusqu'à 5 Mio/s en continu

Un système de fichiers de 1 Tiopeut...

• Transmettre en rafales jusqu'à 100 Mio/s pendant 12 heures parjour, ou

• Emettre un débit de 50 Mo/s en continu

Un système de fichiers de 10 Tiopeut...

• Transmettre en rafales jusqu'à 1 Gio/s pendant 12 heures par jour,ou

• Emettre un débit de 500 Mio/s en continu

En règle générale, un système defichiers de taille supérieure peut...

• Transmettre en rafales jusqu'à 100 Mio/s par Tio de stockagependant 12 heures par jour, ou

• Emettre un débit de 50 Mio/s par Tio de stockage en continu

99

Amazon Elastic File System Guide de l'utilisateurTransmission en rafales

Note

La taille de système de fichiers minimum utilisée lors du calcul du taux de référence est de 1 Gio,de sorte que tous les systèmes de fichiers ont un taux de référence d'au moins 50 Kio/s.La taille de système de fichiers utilisée pour déterminer le taux de référence et le tauxde transmission en rafales est identique à la taille mesurée obtenue via l'opérationDescribeFileSystems.Les systèmes de fichiers peuvent obtenir des crédits jusqu'à un solde maximum de 2,1 Tio pourles systèmes de fichiers d'une taille inférieure à celle 1 Tio, ou 2,1 Tio par Tio stocké pour lessystèmes de fichiers d'une taille supérieure à 1 Tio. Selon cette approche, les systèmes de fichierspeuvent cumuler suffisamment de crédits pour transmettre en rafales pendant 12 heures encontinu.

Le tableau suivant fournit des exemples plus détaillés de comportement de transmission en rafales pourdes systèmes de fichiers de différentes tailles.

Taille du fichiersystème (Gio)

Débit regroupé deréférence (Mio/s)

Débit regroupé detransmission enrafales (Mio/s)

Durée maximumde performancesen rafale (Min/Jour)

% de tempspendant lequelle système peuttransmettre enrafales (par jour)

10 0.5 100 7.2 0.5%

256 12,5 100 180 12,5%

512 25.0 100 360 25,0 %

1 024 50.0 100 720 50,0 %

1 536 75.0 150 720 50,0 %

2048 100.0 200 720 50,0 %

3072 150.0 300 720 50,0 %

4096 200.0 400 720 50,0 %

Note

Comme mentionné précédemment, les nouveaux systèmes de fichiers ont un solde de créditsde transmission par rafales initial de 2,1 To. Avec ce solde initial, vous pouvez transmettre parrafales à 100 Mo/s pendant 6,12 heures sans dépenser les crédits que vous gagnez à partir devotre stockage. Cette formule de départ se calcule de la manière suivante : 2.1 x 1024 x(1024/100/3600). Le résultat revient ainsi à 6,116 heures arrondies à 6,12.

Gestion des crédits de transmission en rafalesLorsqu'un système de fichiers a un solde positif de transmission en rafales, il peut émettre. Vouspouvez voir le solde de transmission en rafales d'un système de fichiers en affichant la métriqueBurstCreditBalance Amazon CloudWatch pour Amazon EFS. Pour plus d'informations sur l'accès àcette métrique et à d'autres, consultez Supervision de Amazon EFS (p. 81).

La capacité de transmission en rafales (à la fois en termes de durée et de taux de transmission en rafales)d'un système de fichiers est directement liée à sa taille. Les systèmes de fichiers de plus grande taillepeut transmettre à des taux plus élevés pendant de plus longues périodes. Votre application doit parfoiseffectuer davantage de transmissions en rafales (il se peut donc que votre système de fichiers épuise

100

Amazon Elastic File System Guide de l'utilisateurDébit réservé

ses crédits de transmission en rafales). Dans ce cas, vous devez augmenter la taille de votre système defichiers ou passer en mode Débit alloué.

Utilisez vos modèles de débit historiques pour calculer la taille de système de fichiers dont vous avezbesoin pour maintenir le niveau d'activité souhaité. La procédure suivante montre comment procéder :

Pour calculer la taille de système de fichiers dont vous avez besoin pour maintenir le niveaud'activité souhaité

1. Identifiez vos besoins en termes de débit en examinant l'utilisation de votre historique. Depuis laconsole Amazon CloudWatch, consultez la sum statistique relative à la TotalIOBytes métrique deregroupement journalière, au cours des 14 derniers jours. Identifiez le jour avec la valeur la plus élevéepour TotalIOBytes.

2. Divisez ce nombre par 24 heures, 60 minutes, 60 secondes et 1 024 octets afin d'obtenir la moyennede Kio/s requise par votre application au cours de cette journée.

3. Calculez la taille de système de fichiers (en Gio) nécessaire pour maintenir ce débit moyen en divisantle débit moyen (en Kio/s) par le débit de référence (50 Kio/s/Gio) fourni par EFS.

Spécification du débit avec le mode allouéLe mode Débit alloué est adapté aux applications dont le rapport entre le débit et le stockage est élevé(Mio/s par Tio) ou qui nécessitent un débit supérieur à celui fourni par le mode Débit en rafales. Imaginons,par exemple, que vous utilisiez Amazon EFS pour les outils de développement, les serveurs web ou lesapplications de gestion de contenu, dont la quantité de données est relativement faible par rapport au débitrequis. Votre système de fichiers peut désormais bénéficier du débit supérieur dont votre application abesoin sans avoir à élargir le système de fichiers.

Des frais supplémentaires sont associés au mode Débit alloué. Avec le mode Débit alloué, vous payezséparément l'espace de stockage utilisé et le débit alloué. Pour en savoir plus, consultez la page https://aws.amazon.com/efs/pricing.

Les limites de débit restent les mêmes, indépendamment du mode que vous choisissez. Pour plusd'informations sur ces limites, consultez Limites Amazon EFS que vous pouvez augmenter (p. 112).

Si votre système de fichiers utilise le mode Débit alloué, vous pouvez augmenter son débit alloué aussisouvent que vous le souhaitez. En mode Débit alloué, vous pouvez réduire le débit de votre système defichiers si la dernière fois que vous l'avez réduit remonte à plus de 24 heures. De plus, vous pouvez passerdu mode Débit alloué au mode Débit en rafales par défaut si la dernière fois que vous avez changé demode remonte à plus de 24 heures.

Si la taille mesurée de votre système de fichiers indique un taux de référence supérieur à la quantitéde débit que vous avez alloué, le système de fichiers suit le modèle de débit en rafales par défautd'Amazon EFS. En mode Débit en rafales, vous ne payez pas de frais tant que votre système de fichiersconsomme moins que le niveau de service auquel vous avez droit. Pour plus d'informations, consultezDimensionnement du débit avec le mode en rafales (p. 99).

Utilisation du mode de débit appropriéPar défaut, nous vous recommandons d'exécuter votre application en mode Débit en rafales. Si vousrencontrez des problèmes de performances, vérifiez la métrique CloudWatch BurstCreditBalance. Si lavaleur de la métrique BurstCreditBalance est nulle ou si elle diminue régulièrement, le débit alloué estconseillé pour votre application.

Note

Comme mentionné précédemment, les nouveaux systèmes de fichiers ont un solde de créditsde transmission par rafales initial de 2,1 To. Avec ce solde initial, vous pouvez transmettre par

101

https://console.aws.amazon.com/cloudwatch



Amazon Elastic File System Guide de l'utilisateurConsidérations sur les performances sur site

rafales à 100 Mo/s pendant 6,12 heures sans dépenser les crédits que vous gagnez à partir devotre stockage. Cette formule de départ se calcule de la manière suivante : 2.1 x 1024 x(1024/100/3600). Le résultat revient ainsi à 6,116 heures arrondies à 6,12.

Considérations sur les performances sur siteLe mode Débit en rafales pour les systèmes de fichiers Amazon EFS demeure le même, que vous yaccédiez à partir de vos serveurs sur site ou de vos instances Amazon EC2. Toutefois, lorsque vousaccédez aux données du fichier Amazon EFS à partir de vos serveurs sur site, le débit maximal estégalement limité par la bande passante de la connexion AWS Direct Connect.

En raison du délai de propagation lié au transfert des données sur de longues distances, la latence duréseau d'une connexion AWS Direct Connect entre votre centre de données sur site et votre Amazon VPCpeut représenter des dizaines de millisecondes. Si les opérations de fichiers sont sérialisées, la latence dela connexion AWS Direct Connect a un impact direct sur votre débit de lecture et d'écriture. Pour l'essentiel,le volume de données que vous pouvez lire ou écrire pendant une période donnée est limité par le tempsnécessaire à chaque opération de lecture et d'écriture. Afin d'optimiser votre débit, vous pouvez exécuterles opérations de fichiers en parallèle afin que plusieurs lectures et écritures soient traitées simultanémentpar Amazon EFS. Des outils standards comme GNU parallel permettent d'exécuter la copie des donnéesdu fichier en parallèle.

Configuration pour la haute disponibilitéPour garantir une disponibilité continue entre votre centre de données sur site et votre Amazon VPC,nous vous recommandons de configurer deux connexions AWS Direct Connect. Pour plus d'informations,consultez Étape 4 : Configurer des connexions redondantes avec AWS Direct Connect dans le AWS DirectConnect Guide de l'utilisateur.

Pour garantir une disponibilité continue entre votre application et Amazon EFS, nous recommandons quevotre application soit conçue pour une reprise après d'éventuelles interruptions de connexion. En général,il existe deux scénarios pour les applications sur site connectées à un système de fichiers Amazon EFS :hautement disponible et non hautement disponible.

Le premier scénario suppose que votre application est hautement disponible et qu'elle utilise plusieursserveurs sur site dans son cluster haute disponibilité. Dans ce cas, vérifiez que chaque serveur sur sitedans le cluster haute disponibilité se connecte à une cible de montage dans une autre zone de disponibilitédu Amazon VPC. Si votre serveur sur site ne peut pas accéder à la cible de montage, car la zone dedisponibilité dans laquelle elle se trouve n'est pas disponible, votre application doit basculer vers un serveurpourvu d'une cible de montage disponible.

Le deuxième scénario suppose que votre application n'est pas hautement disponible et que votre serveursur site ne peut pas accéder à la cible de montage, car la zone de disponibilité dans laquelle elle se trouveest indisponible. Dans ce cas, votre application doit redémarrer et se connecter à une cible de montagedans une autre zone de disponibilité.

Conseils sur les performances Amazon EFSLors de l'utilisation d'Amazon EFS, gardez à l'esprit les conseils de performance suivants :

• Taille moyenne d'E/S – La nature distribuée d'Amazon EFS permet de hauts niveaux de disponibilité, dedurabilité et de scalabilité. Cette architecture distribuée entraîne de faibles coûts en matière de latencepour chaque opération réalisée sur les fichiers. En raison de cette faible latence par opération, le débitglobal augmente généralement avec la taille d'E/S moyenne, les frais généraux étant amortis sur un plusgrand volume de données.

102

https://www.gnu.org/software/parallel/

http://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html#RedundantConnections


• Connexions simultanées – Les systèmes de fichiers Amazon EFS peuvent être montés sur des milliersd'instances Amazon EC2 simultanément. Si vous pouvez paralléliser votre application sur plusieursinstances, vous pouvez obtenir des niveaux de débit plus élevés sur votre système de fichiers dans lesinstances regroupées.

• Modèle de requête – En permettant des écritures asynchrones sur votre système de fichiers, lesopérations en attente d'écriture sont mises en tampon sur l'instance Amazon EC2 en attendant d'êtreconsignées dans Amazon EFS de façon asynchrone. Les écritures asynchrones ont généralementdes latences moindres. Lors de l'exécution d'écritures asynchrones, le noyau utilise de la mémoiresupplémentaire pour la mise en cache. Un système de fichiers qui a activé des écritures synchrones, ouqui ouvre les fichiers à l'aide d'une option qui ignore le cache (par exemple, O_DIRECT), émettra desrequêtes synchrones vers Amazon EFS. Chaque opération fera un aller retour entre le client et AmazonEFS.

Note

Le modèle de requête que vous avez choisi fera des compromis en termes de cohérence (sivous utilisez plusieurs instances Amazon EC2) et de vitesse.

• Paramètres de montage du client NFS – Vérifiez que vous utilisez les options de montagerecommandées, tel que décrit dans Montage des systèmes de fichiers (p. 73) et dans Considérations demontage supplémentaires (p. 78). Amazon EFS prend en charge Network File System versions 4.0 et4.1 (NFSv4.1) et les protocoles NFSv4.0 lors du montage de vos systèmes de fichiers sur les instancesAmazon EC2. NFSv4.1 offre de meilleures performances.

Note

Vous pouvez si vous le souhaitez augmenter de 1 Mo la taille des tampons de lecture et écriturepour votre client NFS lorsque vous montez votre système de fichiers.

• Instances Amazon EC2 – Les applications qui exécutent un grand nombre d'opérations de lectureet d'écriture ont généralement besoin de plus de mémoire ou de capacité de calcul que les autresapplications. Lors du lancement de vos instances Amazon EC2, choisissez des types d'instancedisposant du nombre de ressources dont votre application a besoin. Les caractéristiques deperformances des systèmes de fichiers Amazon EFS ne dépendent pas de l'utilisation des instancesoptimisées pour EBS.

• Chiffrement – Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers, lechiffrement en transit et le chiffrement au repos. Cette option est destinée au chiffrement au repos. Le faitde choisir d'activer l'un ou l'autre ou les deux types de chiffrement pour votre système de fichiers a desconséquences minimes sur la latence d'E/S et sur le débit.

Pour plus d'informations sur les limites d'Amazon EFS concernant le débit totale du système de fichiers, ledébit par instance les opérations par seconde en mode de performance Usage général, consultez LimitesAmazon EFS (p. 112).

Rubriques connexes• Considérations sur les performances sur site (p. 102)• Conseils sur les performances Amazon EFS (p. 102)• Tâches de relevé – Comment Amazon EFS indique les tailles de système de fichiers et d'objet (p. 56)• Dépannage Amazon EFS (p. 117)

103

Amazon Elastic File System Guide de l'utilisateurAutorisations AWS Identity and Access

Management (IAM) pour les appels d'API

SécuritéVous trouverez ci-dessous une description des normes de sécurité relatives à l'utilisation d'Amazon EFS.Quatre niveaux de contrôle d'accès sont à prendre en compte pour les systèmes de fichiers Amazon EFS,avec différents mécanismes utilisés pour chacun d'eux.

Rubriques• Autorisations AWS Identity and Access Management (IAM) pour les appels d'API (p. 104)• Groupes de sécurité pour les instances Amazon EC2 et les cibles de montage (p. 104)• Autorisations de lecture, d'écriture et d'exécution pour les fichiers et les répertoires EFS (p. 106)• Ports source à utiliser avec EFS (p. 107)• Chiffrement des données et métadonnées dans EFS (p. 107)

Autorisations AWS Identity and AccessManagement (IAM) pour les appels d'API

Vous créez, gérez et supprimez les systèmes de fichiers grâce à des appels de l'API Amazon EFS. Sil'appelant utilise les informations d'identification d'un utilisateur ou d'un rôle endossé AWS Identity andAccess Management (IAM), chaque appel d'API exige que l'appelant dispose des autorisations pourl'action appelée dans sa stratégie IAM. Certaines actions d'API prennent en charge des autorisationsde stratégie spécifiques au système de fichiers qui est l'objet de l'appel (c'est-à-dire, les autorisationsde niveau ressource). Appels d'API effectués avec les informations d'identification racine d'un comptedisposant d'autorisations pour toutes les actions d'API sur les systèmes de fichiers appartenant au compte.

Prenons un exemple d'autorisation IAM : l'utilisatrice IAM nommée Alice a des autorisations lui permettantde récupérer les descriptions de tous les systèmes de fichiers dans son compte AWS parent. Toutefois,elle peut n'être autorisée à gérer les groupes de sécurité que pour un seul d'entre eux, l'ID de système defichiers fs-12345678.

Pour plus d'informations sur les autorisations IAM avec l'API Amazon EFS, consultez Authentification etcontrôle d'accès pour Amazon EFS (p. 177).

Groupes de sécurité pour les instances AmazonEC2 et les cibles de montage

Lorsque vous utilisez Amazon EFS, vous spécifiez des groupes de sécurité Amazon EC2 pour vosinstances EC2 et des groupes de sécurité pour les cibles de montage EFS associées au système defichiers. Les groupes de sécurité font office de pare-feu, et les règles que vous ajoutez définissent le fluxde trafic. Dans l'exercice de mise en route, vous avez créé un groupe de sécurité lors du lancement del'instance EC2. Vous en avez ensuite associé un autre avec la cible de montage EFS (c'est-à-dire, legroupe de sécurité par défaut pour votre VPC par défaut). Cette approche fonctionne pour l'exercice demise en route. Toutefois, pour un système de production, vous devez configurer des groupes de sécuritéavec des autorisations minimales pour une utilisation avec EFS.

Vous pouvez autoriser l'accès entrant et sortant à votre système de fichiers EFS. Pour ce faire, vous devezajouter des règles qui autorisent votre instance EC2 à se connecter à votre système de fichiers AmazonEFS via la cible de montage en utilisant le port Network File System (NFS). Pour créer et mettre à jour vosgroupes de sécurité, procédez comme indiqué ci-après.

104

Amazon Elastic File System Guide de l'utilisateurConsidérations de sécurité pour le montage

d'un système de fichiers Amazon EFS

Pour créer des groupes de sécurité pour les instances EC2 et les cibles de montage

1. Créez deux groupes de sécurité dans votre VPC.

Pour plus d'informations, consultez la procédure « Pour créer un groupe de sécurité » dans Créationd'un groupe de sécurité dans le Amazon VPC Guide de l'utilisateur.

2. Ouvrez la console de gestion Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/ etvérifiez les règles par défaut pour ces groupes de sécurité. Les deux groupes de sécurité doivent avoiruniquement une règle sortante qui autorise le trafic en sortie.

Pour mettre à jour l'accès nécessaire pour vos groupes de sécurité

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Ajoutez une règle pour votre groupe de sécurité EC2 afin d'autoriser l'accès entrant avec SSH (Secure

Shell) depuis n'importe quel hôte. Vous pouvez éventuellement limiter l'adresse Source.

Vous n'avez pas besoin d'ajouter une règle sortante, car la règle sortante par défaut autorisetout le trafic en sortie. Si ce n'est pas le cas, vous devez ajouter une règle sortante pour ouvrir laconnexion TCP sur le port NFS, en identifiant le groupe de sécurité de la cible de montage en tant quedestination.

Pour plus d'informations, consultez Ajout et suppression de règles dans le Amazon VPC Guide del'utilisateur.

3. Ajoutez une règle pour le groupe de sécurité de la cible de montage afin d'autoriser l'accès entrantdepuis le groupe de sécurité EC2 comme illustré ci-après. Le groupe de sécurité EC2 est identifié entant que source.

4. Vérifiez que les deux groupes de sécurité autorisent maintenant l'accès entrant et sortant.

Pour plus d'informations sur les groupes de sécurité, consultez //Security Groups for EC2-VPC dans lemanuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

Considérations de sécurité pour le montage d'unsystème de fichiers Amazon EFSUn client NFSv4.1 ne peut monter un système de fichiers que s'il peut établir une connexion réseau vers leport NFS de l'une des cibles de montage du système de fichiers. De même, un client NFSv4.1 ne peut faire

105



https://console.aws.amazon.com/vpc/

https://console.aws.amazon.com/vpc/

http://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#vpc-security-groups

Amazon Elastic File System Guide de l'utilisateurAutorisations de lecture, d'écriture et d'exécution

pour les fichiers et les répertoires EFS

valoir un ID de groupe et un ID d'utilisateur lors de l'accès à un système de fichiers que s'il peut établir cetteconnexion réseau.

La capacité d'établir une telle connexion réseau est régie par une combinaison des éléments suivants :

• Isolement réseau fourni par le VPC des cibles de montage – Les cibles de montage du système defichiers ne peuvent pas être associées à des adresses IP publiques. Seules les instances Amazon EC2des serveurs Amazon VPC ou sur site connectés au Amazon VPC via AWS Direct Connect peuventmonter les systèmes de fichiers Amazon EFS.

Vous ne pouvez pas actuellement utiliser d'autres mécanismes de connexion aux adresses IP privéesd'un VPC depuis l'extérieur du VPC pour monter des systèmes de fichiers Amazon EFS. Par exemple,vous ne pouvez pas utiliser des connexions VPN ou des appairages de VPC. Ne vous appuyez pas surces autres méthodes pour le contrôle d'accès des systèmes de fichiers.

• ACL réseau des sous-réseaux VPC du client et des cibles de montage pour l'accès depuis l'extérieur dessous-réseaux d'une cible de montage – Pour monter le système de fichiers, le client doit pouvoir établirune connexion TCP sur le port NFS d'une cible de montage et recevoir le trafic en retour.

• Règles des groupes de sécurité VPC du client et des cibles de montage pour tous les accès – Pourqu'une instance EC2 puisse monter un système de fichiers, les règles de groupe de sécurité suivantesdoivent être en vigueur :• Le système de fichiers doit avoir une cible de montage dont l'interface réseau comporte un groupe

de sécurité avec une règle permettant les connexions entrantes sur le port NFS à partir de l'instance.Vous pouvez activer les connexions entrantes par adresse IP (plage d'adresses CIDR) ou par groupede sécurité. La source des règles du groupe de sécurité du port NFS entrant sur les interfaces réseaude cible de montage est un élément clé pour le contrôle d'accès des systèmes de fichiers. Les règlesentrantes autres que celle du port NFS, et les règles sortantes, ne sont pas utilisées par les interfacesréseau pour les cibles de montage du système de fichier.

• L'instance de montage doit avoir une interface réseau comportant une règle de groupe de sécuritépermettant les connexions sortantes vers le port NFS sur l'une des cibles de montage du système defichiers. Vous pouvez activer les connexions sortantes par adresse IP (plage d'adresses CIDR) ou pargroupe de sécurité.

Pour plus d'informations, consultez Création de cibles de montage (p. 25).

Autorisations de lecture, d'écriture et d'exécutionpour les fichiers et les répertoires EFS

Les fichiers et répertoires d'un système de fichiers EFS prennent en charge les autorisations de lecture,d'écriture et d'exécution de type Unix sur la base de l'ID utilisateur et de l'ID de groupe déclarés par leclient NFSv4.1 de montage. Pour de plus amples informations, veuillez consulter Utilisateurs, groupes etautorisations de niveau NFS (p. 32).

Note

Cette couche de contrôle d'accès varie selon l'approbation du client NFSv4.1 dans sa déclarationde l'ID utilisateur et de l'ID de groupe.. Il n'y a pas d'authentification de l'identité du client NFSv4.1lors de l'établissement d'une connexion de montage. Ainsi, n'importe quel client NFSv4.1 qui peutétablir une connexion réseau au port NFS d'une adresse IP de cible de montage du système defichiers peut lire et écrire sur le système de fichiers en tant qu'utilisateur racine.

A titre d'exemple d'autorisations de lecture, d'écriture et d'exécution pour les fichiers et les répertoires, Alicepeut avoir des autorisations lui permettant de lire et d'écrire dans tout fichier de son répertoire personnelsur un système de fichiers, /alice. Toutefois, dans cet exemple, Alice n'est pas autorisée à lire ou à écrire

106

Amazon Elastic File System Guide de l'utilisateurPorts source

dans les fichiers du répertoire personnel de Mark sur le même système de fichiers, /mark. Alice et Marksont tous deux autorisés à lire, mais pas à écrire, sur les fichier du répertoire partagé /share.

Ports source à utiliser avec EFSAfin de prendre en charge une large gamme de clients NFS, Amazon EFS autorise les connexions à partirde n'importe quel port source. Si vous avez besoin que seuls des utilisateurs privilégiés puissent accéder àAmazon EFS, nous vous recommandons d'utiliser la règle de pare-feu client suivante.

iptables -I OUTPUT 1 -m owner --uid-owner 1-4294967294 -m tcp -p tcp --dport 2049 -j DROP

Cette commande insère une nouvelle règle au début de la chaîne OUTPUT (-I OUTPUT 1). Cetterègle empêche tout processus non privilégié et ne dépendant pas du noyau (-m owner --uid-owner1-4294967294) d'ouvrir une connexion au port NFS (-m tcp -p tcp –dport 2049).

Chiffrement des données et métadonnées dansEFS

Amazon EFS prend en charge deux formes de chiffrement pour les systèmes de fichiers, le chiffrement desdonnées en transit et le chiffrement des données au repos. Vous pouvez activer le chiffrement des donnéesau repos lors de la création du système de fichiers Amazon EFS. Vous pouvez activer le chiffrement desdonnées en transit lors du montage du système de fichiers.

Quand utiliser le chiffrement ?Si votre organisation est soumise à des politiques d'entreprise ou des réglementations nécessitant lechiffrement des données et des métadonnées au repos, nous vous recommandons de créer un système defichiers chiffré en montant votre système de fichiers à l'aide du chiffrement des données en transit.

Chiffrement des données en transitVous pouvez chiffrer les données en transit à l'aide d'un système de fichiers Amazon EFS, sans avoirbesoin de modifier vos applications.

Chiffrement des données en transit avec TLSL'activation du chiffrement des données en transit pour votre système de fichiers Amazon EFS s'effectueen activant le protocole TLS (Transport Layer Security) lors du montage de votre système de fichiers àl'aide de l'assistant de montage Amazon EFS. Pour plus d'informations, consultez Montage avec l'assistantde montage EFS (p. 73).

Lorsque le chiffrement des données en transit est déclaré en tant qu'option de montage pour votre systèmede fichiers Amazon EFS, l'assistant de montage initialise un processus stunnel client. Stunnel est un relaisréseau multifonctionnel en open source. Le processus stunnel client écoute le trafic entrant sur un port localet l'assistant de montage redirige le trafic client NFS vers ce port. L'assistant de montage utilise la version1.2 de TLS (Transport Layer Security) pour communiquer avec votre système de fichiers.

107

Amazon Elastic File System Guide de l'utilisateurChiffrement des données en transit

Montage de votre système de fichiers Amazon EFS avec l'assistant de montage en ayantpréalablement activé le chiffrement des données en transit

1. Accédez au terminal pour votre instance via SSH (Secure Shell) et connectez-vous avec le nomd'utilisateur approprié. Pour plus d'informations sur cette opération, consultez Connexion à votreinstance Linux à l'aide de SSH dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

2. Exécutez la commande suivante pour monter votre système de fichiers.

sudo mount -t efs -o tls fs-12345678:/ /mnt/efs

Comment fonctionne le chiffrement des données en transit ?Le chiffrement des données en transit est activé en se connectant à Amazon EFS à l'aide du protocoleTLS. Nous vous recommandons d'utiliser l'assistant de montage, car il s'agit de l'option la plus simple.

Vous pouvez tout de même activer le chiffrement des données en transit sans utiliser l'assistant demontage. Les étapes générales à suivre sont les suivantes :

Pour activer le chiffrement des données en transit sans l'aide de l'assistant de montage

1. Téléchargez et installez stunnel, et notez le port sur lequel l'application est à l'écoute.2. Exécutez stunnel pour vous connecter à votre système de fichiers Amazon EFS sur le port 2049 à

l'aide du protocole TLS.3. En utilisant le client NFS, montez localhost:port, où port est le port que vous avez noté au cours

de la première étape.

Étant donné que le chiffrement des données en transit est configuré en mode par connexion, chaquemontage configuré possède un processus stunnel dédié s'exécutant sur l'instance. Par défaut, le processusstunnel utilisé par l'assistant de montage est à l'écoute sur les ports locaux 20049 et 20449, et il seconnecte à Amazon EFS sur le port 2049.

Note

Par défaut, lorsque vous utilisez l'assistant de montage Amazon EFS avec le protocole TLS, ilimpose l'utilisation du protocole de vérification en ligne de certificat (OCSP) et la vérification dunom d'hôte du certificat. L'assistant de montage Amazon EFS utilise le programme stunnel poursa fonctionnalité TLS. Notez que certaines versions de Linux n'incluent pas une version de stunnelprenant en charge ces fonctionnalités TLS par défaut. Lorsque vous utilisez l'une de ces versionsde Linux, le montage d'un système de fichiers Amazon EFS à l'aide de TLS échoue.Une fois que vous avez installé le package amazon-efs-utils, pour mettre à niveau la version destunnel de votre système, consultez Mise à niveau de stunnel (p. 45).Pour tout problème lié au chiffrement, consultez Résolution des problèmes dechiffrement (p. 127).

Lorsque vous utilisez le chiffrement des données en transit, la configuration du client NFS est modifiée.Lorsque vous examinez vos systèmes de fichiers montés, vous en voyez un monté sur 127.0.0.1, oulocalhost, comme dans l'exemple suivant :

$ mount | column -t127.0.0.1:/ on /home/ec2-user/efs type nfs4 (rw,relatime,vers=4.1,rsize=1048576,wsize=1048576,namlen=255,hard,proto=tcp,port=20127,timeo=600,retrans=2,sec=sys,clientaddr=127.0.0.1,local_lock=none,addr=127.0.0.1)

Lorsque vous effectuez le montage avec TLS et avec l'assistant de montage Amazon EFS, vousreconfigurez en fait votre client NFS pour le monter sur un port local. L'assistant de montage démarre un

108



Amazon Elastic File System Guide de l'utilisateurChiffrement de données au repos

processus stunnel client qui est à l'écoute de ce port local et stunnel ouvre une connexion chiffrée avecEFS à l'aide du protocole TLS. L'assistant de montage EFS est responsable de la configuration et de lagestion de cette connexion chiffrée et de la configuration associée.

Pour connaître l'ID du système de fichiers Amazon EFS correspondant au point de montage local, vouspouvez utiliser la commande suivante. N'oubliez pas de remplacer efs-mount-point par le chemind'accès local dans lequel vous avez monté votre système de fichiers.

grep -E "Successfully mounted.*efs-mount-point" /var/log/amazon/efs/mount.log | tail -1

Lorsque vous utilisez l'assistant de montage pour le chiffrement des données en transit, il crée égalementun processus appelé amazon-efs-mount-watchdog. Ce processus garantit que chaque processusstunnel de montage est en cours d'exécution et arrête le stunnel lorsque le système de fichiers AmazonEFS est démonté. Si, pour une raison quelconque, un processus stunnel est interrompu de manièreinattendue, le processus de surveillance le redémarre.

Chiffrement de données au reposComme pour les systèmes de fichiers non chiffrés, vous pouvez créer des systèmes de fichiers chiffrés vial'AWS Management Console, l'AWS CLI ou par programmation via l'API Amazon EFS ou l'un des kits SDKAWS. Votre organisation peut exiger le chiffrement de toutes les données qui répondent à une classificationspécifique ou qui sont associées à une application, une charge de travail ou un environnement spécifique.

Vous pouvez appliquer les stratégies de chiffrement de données pour les systèmes de fichiers AmazonEFS en utilisant Amazon CloudWatch et AWS CloudTrail pour détecter la création d'un système de fichierset vérifier que le chiffrement est activé. Pour plus d'informations, consultez Procédure 6 : Application duchiffrement sur un système de fichiers Amazon EFS au repos (p. 162).

Note

L'infrastructure de gestion des clés AWS utilise les algorithmes de chiffrement agréés pour lanorme FIPS (Federal Information Processing Standards) 140-2. Cette infrastructure est conformeaux recommandations NIST (National Institute of Standards and Technology) 800-57.

Chiffrement d'un système de fichiers au repos à l'aide de laconsoleVous pouvez choisir d'activer le chiffrement au repos pour un système de fichiers lors de sa création. Laprocédure suivante décrit comment activer le chiffrement pour un nouveau système de fichiers lorsquevous le créez à partir de la console.

Pour chiffrer un nouveau système de fichiers sur la console

1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.2. Choisissez Créer un système de fichiers pour ouvrir l'assistant de création de système de fichiers.3. Pour Étape 1 : Configurer l'accès au système de fichiers, choisissez le VPC, créez vos cibles de

montage, puis choisissez Étape suivante.4. Pour Étape 2 : Configurez les paramètres facultatifs, ajoutez des balises, choisissez votre mode de

performance, cochez la case permettant de chiffrer votre système de fichiers, puis choisissez Étapesuivante.

5. Pour Étape 3 : Vérifier et créer, passez en revue vos paramètres, puis choisissez Créer un système defichiers.

Vous avez maintenant un nouveau système de fichiers chiffré au repos.

109


Amazon Elastic File System Guide de l'utilisateurChiffrement de données au repos

Comment fonctionne le chiffrement au repos ?Dans un système de fichiers chiffré au repos, les données et métadonnées sont automatiquement chiffréesavant d'être écrites dans le système de fichiers. De même, au fur et à mesure que les données et lesmétadonnées sont lues, elles sont automatiquement déchiffrées avant d'être présentées à l'application. Cesprocessus sont gérés de façon transparente par Amazon EFS. Vous n'avez donc pas besoin de modifiervos applications.

Amazon EFS utilise un algorithme de chiffrement AES-256 standard pour chiffrer les données etmétadonnées EFS au repos. Pour de plus amples informations, consultez Principes de base du chiffrementdans le AWS Key Management Service Developer Guide.

Comment Amazon EFS utilise AWS KMS

Amazon EFS s'intègre à AWS Key Management Service (AWS KMS) pour la gestion des clés. AmazonEFS utilise des clés principales client (clés CMK) pour chiffrer votre système de fichiers de la façonsuivante :

• Chiffrement des métadonnées au repos - Une clé gérée par EFS est utilisée pour chiffrer et déchiffrer lesmétadonnées du système de fichiers (à savoir, les noms de fichiers et de répertoires, et le contenu del'annuaire).

• Chiffrement de données de fichier au repos - Vous choisissez la clé CMK utilisée pour chiffrer etdéchiffrer les données de fichier (c'est-à-dire, le contenu de vos fichiers). Vous pouvez activer, désactiverou révoquer les octrois sur cette clé CMK. Cette clé CMK peut avoir l'un des deux types suivants :• Clé CMK gérée par AWS - Il s'agit de la clé CMK par défaut, dont l'utilisation est gratuite.• Clé CMK gérée par le client - Il s'agit de la clé principale la plus souple à utiliser, car vous pouvez

configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plusd'informations sur la création de clés CMK, consultez Création de clés dans le manuel AWS KeyManagement Service Developer Guide.

Si vous utilisez une clé CMK gérée par le client en tant que clé principale pour le chiffrement et ledéchiffrement des données de fichier, vous pouvez activer la rotation des clés. Lorsque vous activezla rotation des clés, AWS KMS effectue automatiquement une rotation de votre clé une fois par an.De plus, avec une clé CMK gérée par le client, vous pouvez à tout instant choisir le moment auqueldésactiver, réactiver, supprimer ou révoquer l'accès à votre clé CMK. Pour plus d'informations,consultez Désactivation, suppression ou révocation de l'accès à la clé CMK pour un système defichiers (p. 71).

Le chiffrement et le déchiffrement des données au repos sont gérés de façon transparente. Cependant, lesID des comptes AWS spécifiques à Amazon EFS apparaissent dans vos journaux AWS CloudTrail liés auxactions AWS KMS. Pour plus d'informations, consultez Entrées des fichiers journaux Amazon EFS pour lessystèmes de fichiers chiffrés au repos (p. 94).

Stratégies de clé Amazon EFS pour AWS KMS

Les stratégies de clé constituent le principal moyen de contrôler l'accès aux clés CMK. Pour plusd'informations sur les stratégies de clé, consultez Utilisation des stratégies de clé dans AWS KMS dans lemanuel AWS Key Management Service Developer Guide. La liste suivante décrit toutes les autorisationsliées à AWS KMS prises en charge par Amazon EFS pour les systèmes de fichiers chiffrés au repos :

• kms:Encrypt - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans lastratégie de clé par défaut.

• kms:Decrypt - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a étéprécédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.

110

http://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html

http://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

http://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html


• kms:ReEncrypt - (Facultatif) Chiffre les données côté serveur avec une nouvelle clé principale client(CMK), sans exposer le texte brut des données côté client. Les données sont d'abord déchiffrées, puischiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.

• kms:GenerateDataKeyWithoutPlaintext - (Obligatoire) Renvoie une clé de chiffrement des donnéeschiffrées sous une clé CMK. Cette autorisation est incluse dans la stratégie de clé par défaut souskms:GenerateDataKey*.

• kms:CreateGrant - (Obligatoire) Ajoute un octroi à une clé pour spécifier qui peut utiliser la clé et dansquelles conditions. Les octrois sont des mécanismes d'autorisation alternatifs aux stratégies de clé. Pourplus d'informations sur les octrois, consultez Utilisation d'octrois dans le manuel AWS Key ManagementService Developer Guide. Cette autorisation est incluse dans la stratégie de clé par défaut.

• kms:DescribeKey - (Obligatoire) Fournit des informations détaillées sur la clé principale client spécifiée.Cette autorisation est incluse dans la stratégie de clé par défaut.

• kms:ListAliases - (Facultatif) Répertorie tous les alias de clé dans le compte. Lorsque vous utilisez laconsole pour créer un système de fichiers chiffré, cette autorisation renseigne la liste Select KMS masterkey (Sélectionner une clé principale KMS). Nous vous recommandons d'utiliser cette autorisation pouroffrir un confort d'utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.

Rubriques connexesPour plus d'informations sur le chiffrement avec Amazon EFS, consultez les rubriques connexes :

• Création de ressources pour Amazon EFS (p. 20)• Gestion de l'accès aux systèmes de fichiers chiffrés (p. 70)• Conseils sur les performances Amazon EFS (p. 102)• Autorisations d'API Amazon EFS : référence des actions, ressources et conditions (p. 186)• Entrées des fichiers journaux Amazon EFS pour les systèmes de fichiers chiffrés au repos (p. 94)• Résolution des problèmes de chiffrement (p. 127)

111

http://docs.aws.amazon.com/kms/latest/developerguide/grants.html

Amazon Elastic File System Guide de l'utilisateurLimites Amazon EFS que vous pouvez augmenter

Limites Amazon EFSVous trouverez ci-dessous les informations sur les limitations lors de l'utilisation d'Amazon EFS.

Rubriques• Limites Amazon EFS que vous pouvez augmenter (p. 112)• Limites des ressources (p. 113)• Limites pour les instances EC2 de client (p. 113)• Limites pour les systèmes de fichiers Amazon EFS (p. 114)• Limites pour EFS File Sync (p. 114)• Fonctions NFSv4 non prises en charge (p. 114)• Considérations supplémentaires (p. 115)

Limites Amazon EFS que vous pouvez augmenterVoici les limites d'Amazon EFS qui peuvent être repoussées en contactant AWS Support. Ces limitesde débit sont définies par le mode que vous avez choisi pour votre système de fichiers : Débit en rafalesou Débit alloué. Pour plus d'informations sur ces différents modes, consultez Performances d'AmazonEFS (p. 96).

Les limites du mode de débit en rafales sont les suivantes.

Ressource Limite par défaut

Débit total pour tous les clients connectés Région USA Est (Ohio) – 3 Go/s

Région USA Est (Virginie du N.) – 3 Go/s

Région USA Ouest (Californie du Nord) – 1 Go/s

Région USA Ouest (Oregon) – 3 Go/s

Asie-Pacifique (Séoul) – 1 Go/s

Asie-Pacifique (Tokyo) – 1 Go/s

Région UE (Francfort) – 1 Go/s

Région UE (Irlande) – 3 Go/s

Région Asie-Pacifique (Sydney) – 3 Go/s

Les limites du mode de débit alloué sont les suivantes.

Ressource Limite par défaut

Débit total pour tous les clients Toutes les régions : 1 Go/s

112

Amazon Elastic File System Guide de l'utilisateurLimites des ressources

Vous pouvez procéder comme suit pour demander une augmentation de ces limites. Ces augmentations nesont pas accordées immédiatement, plusieurs jours peuvent être nécessaires pour que votre augmentationsoit effective.

Pour demander une augmentation de limite

1. Ouvrez la page AWS Support Center, connectez-vous, si nécessaire, puis choisissez Create Case.2. Sous Regarding, choisissez Service Limit Increase.3. Sous Limit Type, choisissez le type de limite à augmenter, remplissez les champs nécessaires du

formulaire et choisissez votre mode de contact préféré.

Limites des ressourcesVoici les limites sur les ressources Amazon EFS pour chaque compte client dans une région AWS.

Ressource Limite

Nombre de systèmes de fichiers Région USA Est (Ohio) – 125

Région USA Est (Virginie du N.) – 70

Région USA Ouest (Californie duNord) – 125

Région USA Ouest (Oregon) – 125

Asie-Pacifique (Séoul) 125

Asie-Pacifique (Tokyo) 125

Région UE (Francfort) – 125

Région UE (Irlande) – 125

Région Asie-Pacifique (Sydney) – 125

Nombre de cibles de montage pour chaque système defichiers d'une zone de disponibilité

1

Nombre de groupes de sécurité pour chaque cible demontage

5

Nombre de balises pour chaque système de fichiers 50

Nombre de VPC pour chaque système de fichiers 1

Limites pour les instances EC2 de clientLes limites suivantes s'appliquent aux instances EC2 de client, avec un client Linux NFSv4.1:

• Le débit maximal que vous pouvez utiliser pour chaque instance Amazon EC2 est de 250 Mo/s.• Jusqu'à 128 comptes utilisateur actifs par instance peuvent avoir des fichiers ouverts en même temps.

Chaque compte utilisateur représente un utilisateur local connecté à l'instance.• Jusqu'à 32 768 fichiers ouverts en même temps sur l'instance.

113

https://console.aws.amazon.com/support/home#/

Amazon Elastic File System Guide de l'utilisateurLimites pour les systèmes de fichiers Amazon EFS

• Chaque montage unique sur l'instance peut acquérir un maximum de 8 192 verrous sur un maximumde 256 paires de fichier/processus uniques. Par exemple, un processus unique peut acquérir un ouplusieurs verrous sur 256 fichiers distincts, ou 8 processus peuvent chacun acquérir un ou plusieursverrous sur 32 fichiers.

• L'utilisation d'Amazon EFS avec des instances Amazon EC2 Microsoft Windows n'est pas prise encharge.

Limites pour les systèmes de fichiers Amazon EFSLes limites suivantes sont spécifiques au système de fichiers Amazon EFS :

• Longueur de nom maximale : 255 octets.• Longueur maximale du lien symbolique (symlink) : 4 080 octets.• Nombre maximal de liens physiques dans un fichier : 177.• Taille maximum d'un seul fichier : 47.9 673 613 135 872 octets (52 Tio).• Profondeur maximale de répertoire : 1 000 niveaux.• Un fichier particulier peut avoir jusqu'à 87 verrous sur tous les utilisateurs du système de fichiers. Vous

pouvez monter un système de fichiers sur une ou plusieurs instances Amazon EC2, mais la limitemaximale de 87 verrous pour un fichier s'applique.

• En mode Usage général, il y a une limite de 7 000 opérations de système de fichiers par seconde. Cettelimite sur les opérations est calculée pour tous les clients connectés à un système de fichiers unique.

Limites pour EFS File SyncVoici les limites sur les ressources EFS File Sync pour chaque compte client d'une région AWS.

Ressource Limite

Nombre maximal de tâches de synchronisation 10

Nombre maximal de fichiers pour chaque tâche desynchronisation

35,000,000

Taux maximal d'intégration de fichiers pour chaque tâche desynchronisation

500 fichiers par seconde

Débit maximal de données pour chaque tâche desynchronisation

1 Gb/s

Fonctions NFSv4 non prises en chargeMême si Amazon Elastic File System ne prend pas en charge NFSv2 ou NFSv3, Amazon EFS prend encharge NFSv4.1 et NFSv4.0, sauf pour les fonctions suivantes :

• pNFS• Délégation client ou rappels de tout type

• L'opération OPEN retourne toujours OPEN_DELEGATE_NONE comme type de délégation.• L'opération OPEN retourne NFSERR_NOTSUPP pour CLAIM_DELEGATE_CUR et les types de demandeCLAIM_DELEGATE_PREV.

114

Amazon Elastic File System Guide de l'utilisateurConsidérations supplémentaires

• Verrouillage obligatoire

Tous les verrous dans Amazon EFS sont consultatifs, ce qui signifie que les opérations READ et WRITEne recherchent pas les verrous en conflit avant l'exécution de l'opération.

• Refus du partage

NFS prend en charge le concept d'un refus de partage, principalement utilisé par les clients Windowspour permettre aux utilisateurs de refuser à d'autres l'accès à un fichier particulier qui est ouvert. AmazonEFS ne prend pas en charge cela et renvoie l'erreur NFS NFS4ERR_NOTSUPP pour toute commandeOPEN spécifiant une valeur de refus de partage autre que OPEN4_SHARE_DENY_NONE. Les clients NFSLinux n'utilisent rien d'autre que OPEN4_SHARE_DENY_NONE.

• Listes de contrôle d'accès (ACL)• Amazon EFS ne met pas à jour l'attribut time_access sur les lectures de fichier. Amazon EFS met à

jour time_access dans les cas suivants :• Lorsqu'un fichier est créé (un inode est créé).• Lorsqu'un client NFS effectue un appel setattr explicite.• Lors d'une écriture sur l'inode causé par, par exemple, les modifications de taille de fichier ou les

modifications de métadonnées de fichier.• Tout attribut inode est mis à jour.

• Namespaces• Cache de réponse permanent• Sécurité basée sur Kerberos• Conservation des données NFSv4.1• SetUID sur les répertoires• Types de fichier non pris en charge lors de l'utilisation de l'opération CREATE : périphériques de

stockage en mode bloc (NF4BLK), périphérique de caractères (NF4CHR), répertoire d'attributs(NF4ATTRDIR) et attribut nommé (NF4NAMEDATTR).

• Attributs non pris en charge : FATTR4_ARCHIVE, FATTR4_FILES_AVAIL, FATTR4_FILES_FREE,FATTR4_FILES_TOTAL, FATTR4_FS_LOCATIONS, FATTR4_MIMETYPE,FATTR4_QUOTA_AVAIL_HARD, FATTR4_QUOTA_AVAIL_SOFT, FATTR4_QUOTA_USED,FATTR4_TIME_BACKUP et FATTR4_ACL.

Une tentative de définition de ces attributs entraîne une erreur NFS4ERR_ATTRNOTSUPP qui estrenvoyée au client.

Considérations supplémentairesEn outre, notez les éléments suivants :

• Pour obtenir la liste des régions AWS où vous pouvez créer des systèmes de fichiers Amazon EFS,consultez AWS General Reference.

• Certains comptes AWS créés avant 2012 peuvent avoir accès à des zones de disponibilité de la régionus-east-1 qui ne prennent pas en charge la création de cibles de montage. Si vous ne pouvez pas créerune cible de montage dans l'une de ces régions AWS, essayez une autre zone de disponibilité danscette région AWS. Toutefois, le montage d'un système de fichiers sur une instance EC2 dans une zonede disponibilité via une cible de montage créée dans une autre zone de disponibilité représente uncertain coût.

• Vous montez votre système de fichiers depuis des instances EC2 de votre VPC via les cibles demontage que vous créez dans le VPC. Vous pouvez également monter votre système de fichiers sur vosinstances EC2-Classic (qui ne sont pas dans le VPC), mais vous devez tout d'abord les lier à votre VPCvia ClassicLink. Pour plus d'informations sur l'utilisation de ClassicLink, consultez ClassicLink dans lemanuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

115


http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html

Amazon Elastic File System Guide de l'utilisateurConsidérations supplémentaires

• Vous pouvez monter un système de fichiers Amazon EFS à partir de serveurs de centre de données sursite à l'aide d'AWS Direct Connect.

• L'appairage de VPC au sein d'une même région AWS lors de l'utilisation des instances C5 ou M5 est prisen charge. Cependant, d'autres mécanismes de connectivité privée de VPC comme une connexion VPN,un appairage VPC inter-région et un appairage VPC intra-région à l'aide d'autres types d'instances nesont pas pris en charge.

116

Amazon Elastic File System Guide de l'utilisateurDépannage de problèmes généraux

Dépannage Amazon EFSVous trouverez ci-après des informations sur la résolution des problèmes Amazon Elastic File System(Amazon EFS).

Rubriques• Dépannage des problèmes généraux d'Amazon EFS (p. 117)• Résolution des erreurs de traitement de fichiers (p. 119)• Résolution des problèmes d'AMI et de noyau (p. 121)• Résolution des problèmes de montage (p. 123)• Résolution des problèmes de chiffrement (p. 127)

Dépannage des problèmes généraux d'AmazonEFS

Ci-dessous, vous trouverez des informations sur la résolution des problèmes généraux liés à Amazon EFS.Pour plus d'informations sur les performances, consultez Performances d'Amazon EFS (p. 96).

Si vous rencontrez des problèmes avec Amazon EFS et que vous avez du mal à les résoudre, vérifiezque vous utilisez un noyau Linux récent. Si vous utilisez une distribution Linux d'entreprise, nous vousrecommandons de procéder comme suit :

• Amazon Linux 2015.09 ou version ultérieure• RHEL 7.3 ou version ultérieure• RHEL 6.9 avec noyau 2.6.32-696 ou version ultérieure• Toutes les versions Ubuntu 16.04• Ubuntu 14.04 avec noyau 3.13.0-83 ou version ultérieure• SLES 12 Sp2 ou version ultérieure

Si vous utilisez une autre distribution ou un noyau personnalisé, nous recommandons la version 4.3 ouversion ultérieure.

Rubriques• Blocage d'instance Amazon EC2 (p. 117)• Une application qui écrit de grandes quantités de données se bloque (p. 118)• Les opérations d'ouverture et de fermeture sont sérialisées (p. 118)• Paramètres NFS personnalisés entrainant des délais d'écriture (p. 119)• La création de sauvegardes avec Oracle Recovery Manager est lente (p. 119)

Blocage d'instance Amazon EC2Une instance Amazon EC2 peut se bloquer si vous avez supprimé la cible de montage d'un système defichiers sans démonter d'abord le système de fichiers.

Action à exécuter

117

Amazon Elastic File System Guide de l'utilisateurUne application qui écrit de grandes

quantités de données se bloque

Avant de supprimer la cible de montage d'un système de fichiers, démontez le système de fichiers. Pourplus d'informations sur le démontage de votre système de fichiers Amazon EFS, consultez Démontage dessystèmes de fichiers (p. 79).

Une application qui écrit de grandes quantités dedonnées se bloqueUne application qui écrit une grande quantité de données dans Amazon EFS se bloque et provoque leredémarrage de l'instance.

Action à exécuter

Si une application est trop longue à écrire toutes les données dans Amazon EFS, Linux peut redémarrercar il semble que le processus ne répond plus. Deux paramètres de configuration du noyau définissent cecomportement, kernel.hung_task_panic et kernel.hung_task_timeout_secs.

Dans l'exemple suivant, l'état du processus suspendu est indiqué par la commande ps avec D avant leredémarrage de l'instance, ce qui indique que le processus est en attente en E/S.

$ ps aux | grep large_io.pyroot 33253 0.5 0.0 126652 5020 pts/3 D+ 18:22 0:00 python large_io.py/efs/large_file

Pour éviter un redémarrage, augmentez le délai d'attente ou désactivez le mode paniques du noyaulorsqu'une tâche suspendue est détectée. La commande suivante désactive le mode panique du noyau dela tâche suspendue sur la plupart des distributions Linux.

$ sudo sysctl -w kernel.hung_task_panic=0

Les opérations d'ouverture et de fermeture sontsérialiséesLes opérations d'ouverture et de fermeture qui sont exécutées sur un système de fichiers par un utilisateursur une instance Amazon EC2 unique sont sérialisées.

Action à exécuter

Pour résoudre ce problème, utilisez la version 4.1 du protocole NFS et l'un des noyaux Linux suggérés. Enutilisant NFSv4.1 lors du montage de vos systèmes de fichiers, vous activez les opérations d'ouverture etde fermeture parallélisées sur les fichiers. Nous vous conseillons d'utiliser Amazon Linux AMI 2016.03.0comme AMI pour l'instance Amazon EC2 sur laquelle vous allez monter votre système de fichiers.

Si vous ne pouvez pas utiliser NFSv4.1, notez que le client NFSv4.0 Linux sérialise les demandesd'ouverture et de fermeture par ID d'utilisateur et ID de groupe. Cette sérialisation se produit mêmesi plusieurs processus ou plusieurs threads émettent des requêtes en même temps. Le client envoieuniquement une seule opération d'ouverture ou de fermeture sur un serveur NFS à la fois, lorsque tous lesID correspondent.

En outre, vous pouvez effectuer l'une des actions suivantes pour résoudre ce problème :

• Vous pouvez exécuter chaque processus à partir d'un ID d'utilisateur différent sur la même instanceAmazon EC2.

• Vous pouvez conserver les mêmes ID utilisateur sur toutes les requêtes ouvertes, puis modifierl'ensemble des ID de groupe.

118

Amazon Elastic File System Guide de l'utilisateurParamètres NFS personnalisésentrainant des délais d'écriture

• Vous pouvez exécuter chaque processus à partir d'une instance Amazon EC2 distincte.

Paramètres NFS personnalisés entrainant des délaisd'écritureVous avez des paramètres de client NFS personnalisés, et jusqu'à trois secondes sont parfois nécessairepour qu'une instance Amazon EC2 voit une opération d'écriture effectuée sur un système de fichiers depuisune autre instance Amazon EC2.

Action à exécuter

Si vous rencontrez ce problème, vous pouvez le résoudre de l'une des façons suivantes :

• Si la mise en cache des attributs est activée sur le client NFS sur l'instance Amazon EC2 qui lit desdonnées, démontez votre système de fichiers. Ensuite, remontez-le avec l'option noac pour désactiver lamise en cache des attributs. La mise en cache d'attribut dans NFSv4.1 est activée par défaut.

Note

Désactiver la mise en cache côté client peut éventuellement réduire les performances de votreapplication.

• Vous pouvez également effacer votre cache d'attribut à la demande en utilisant un langage deprogrammation compatible avec les procédures NFS. Pour ce faire, vous pouvez envoyer une requête deprocédure ACCESS immédiatement avant une demande de lecture.

Par exemple, en utilisant le langage de programmation Python, vous pouvez construire l'appel suivant :

# Does an NFS ACCESS procedure request to clear the attribute cache, given a path to the fileimport osos.access(path, os.W_OK)

La création de sauvegardes avec Oracle RecoveryManager est lenteLa création de sauvegardes avec Oracle Recovery Manager peut être lente si Oracle Recovery Managerreste en pause pendant 120 secondes avant de démarrer une tâche de sauvegarde.

Action à exécuter

Si vous rencontrez ce problème, désactivez Oracle Direct NFS, comme décrit dans Enabling and DisablingDirect NFS Client Control of NFS dans le centre d'aide Oracle.

Note

Amazon EFS ne prend pas en charge Oracle Direct NFS.

Résolution des erreurs de traitement de fichiersLorsque vous accédez aux systèmes de fichiers Amazon EFS, certaines limites s'appliquent aux fichiersdu système de fichiers. Un dépassement de ces limites entraîne des erreurs d'opérations sur les fichiers.

119

https://docs.oracle.com/database/122/HPDBI/enabling-and-disabling-direct-nfs-client-control-of-nfs.htm#HPDBI-GUID-27DDB55B-F79E-4F40-8228-5D94456E620B

https://docs.oracle.com/database/122/HPDBI/enabling-and-disabling-direct-nfs-client-control-of-nfs.htm#HPDBI-GUID-27DDB55B-F79E-4F40-8228-5D94456E620B

Amazon Elastic File System Guide de l'utilisateurÉchec de la commande avec l'erreur

« Quota de disque dépassé »

Pour plus d'informations sur les limites basées sur le client et sur les fichiers dans Amazon EFS, consultezLimites pour les instances EC2 de client (p. 113). Vous trouverez ci-après certaines erreurs courantesd'opérations sur les fichiers et les limites associées à chaque erreur.

Échec de la commande avec l'erreur « Quota dedisque dépassé »Amazon EFS ne prend pas en charge actuellement les quotas de disque utilisateur. Cette erreur peut seproduire si les limites suivantes ont été dépassées :

• Jusqu'à 128 comptes d'utilisateur actif peuvent ouvrir des fichiers simultanément pour une instance.• Jusqu'à 32 768 fichiers peuvent être ouverts simultanément pour une instance.• Chaque montage unique sur l'instance peut acquérir un maximum de 8 192 verrous sur un maximum

de 256 paires de fichier-processus uniques. Par exemple, un processus unique peut acquérir un ouplusieurs verrous sur 256 fichiers distincts, ou huit processus peuvent chacun acquérir un ou plusieursverrous sur 32 fichiers.

Action à exécuter

Si vous rencontrez ce problème, vous pouvez le résoudre en identifiant quelles limites parmi lessusmentionnées vous dépassez, puis en apportant les modifications nécessaires pour respecter cettelimite.

Échec de la commande avec l'erreur « Erreur d'E/S »Cette erreur se produit pour l'une des raisons suivantes :

• Plus de 128 comptes d'utilisateur actif ont ouvert des fichiers simultanément pour chaque instance.

Action à exécuter

Si vous rencontrez ce problème, vous pouvez le résoudre en respectant les limites prises en charge pourles fichiers ouverts sur vos instances. Pour ce faire, réduisez le nombre d'utilisateurs actifs ayant desfichiers de votre système de fichiers Amazon EFS ouverts simultanément sur vos instances.

• Le chiffrement de la clé AWS KMS de votre système de fichiers a été supprimé.

Action à exécuter

Si vous rencontrez ce problème, vous ne pouvez plus déchiffrer les données qui ont été chiffrées souscette clé, ce qui signifie que les données deviennent irrécupérables.

Échec de la commande avec l'erreur « Le nom defichier est trop long »Cette erreur se produit lorsque la taille d'un nom de fichier est trop importante ou que son lien symbolique(symlink) est trop long. Les noms de fichiers ont les limites suivantes :

• Un nom peut compter jusqu'à 255 octets.• Un symlink peut compter jusqu'à 4 080 octets.

Action à exécuter

120

Amazon Elastic File System Guide de l'utilisateurÉchec de la commande avec l'erreur « Trop de liens »

Si vous rencontrez ce problème, vous pouvez le résoudre en réduisant la taille du nom de fichier ou lalongueur du symlink, afin de respecter les limites prises en charge.

Échec de la commande avec l'erreur « Trop de liens »Cette erreur se produit lorsqu'il y a trop de liens physiques vers un fichier. Vous pouvez avoir jusqu'à177 liens physiques dans un fichier.

Action à exécuter

Si vous rencontrez ce problème, vous pouvez le résoudre en réduisant le nombre de liens physiques dansun fichier afin de respecter à la limite prise en charge.

Échec de la commande avec l'erreur « Fichier tropvolumineux »Cette erreur se produit lorsqu'un fichier est trop volumineux. Un fichier peut atteindre la taille de47.9 673 613 135 872 octets (Tio).

Action à exécuter

Si vous rencontrez ce problème, vous pouvez le résoudre en réduisant la taille du fichier afin de respecterla limite prise en charge.

Échec de la commande avec l'erreur « Réessayer »Cette erreur se produit lorsqu'un trop grand nombre d'utilisateurs ou d'applications tente d'accéder à unfichier. Lorsqu'une application ou un utilisateur accède à un fichier, un verrou est placé sur le fichier. Unfichier particulier peut avoir jusqu'à 87 verrous parmi tous les utilisateurs et les applications du système defichiers. Vous pouvez monter un système de fichiers sur une ou plusieurs instances Amazon EC2, mais lalimite de 87 verrous maximum pour un fichier s'applique toujours.

Action à exécuter

Si vous rencontrez ce problème, vous pouvez le résoudre en réduisant le nombre d'applications oud'utilisateurs qui accèdent au fichier jusqu'à ce que ce nombre corresponde au nombre de verrous autoriséou moins.

Résolution des problèmes d'AMI et de noyauCi-dessous, vous trouverez des informations sur la résolution des problèmes liés à certaines versionsd'Amazon Machine Image (AMI) et ou de noyau lors de l'utilisation d'Amazon EFS à partir d'une instanceAmazon EC2.

Rubriques• Impossible d'exécuter la commande chown (p. 122)• Le système de fichiers continue à effectuer des opérations plusieurs fois en raison d'un bogue

client (p. 122)• Client bloqué (p. 122)• L'affichage de la liste de fichiers d'un répertoire volumineux prend beaucoup de temps. (p. 122)

121

Amazon Elastic File System Guide de l'utilisateurImpossible d'exécuter la commande chown

Impossible d'exécuter la commande chownVous ne pouvez pas modifier le propriétaire d'un fichier/répertoire à l'aide de la commande chown Linux.

Versions de noyau avec ce bogue

2.6.32

Action à exécuter

Vous pouvez résoudre cette erreur en procédant comme suit :

• Si vous exécutez chown pour l'étape d'installation unique nécessaire pour modifier la propriété durépertoire racine EFS, vous pouvez exécuter la commande chown depuis une instance exécutant uneversion plus récente du noyau. Par exemple, vous pouvez utiliser la nouvelle version d'Amazon Linux.

• Si chown fait partie de votre flux de travail de production, vous devez mettre à jour la version du noyaupour utiliser chown.

Le système de fichiers continue à effectuer desopérations plusieurs fois en raison d'un bogue clientUn système de fichiers est bloqué alors qu'il est en train d'effectuer des opérations répétées en raisond'une bogue client.

Action à exécuter

Mettez à jour le logiciel client vers la dernière version.

Client bloquéUn client est bloqué.


• CentOS-7 avec le noyau Linux 3.10.0-229.20.1.el7.x86_64• Ubuntu 15.10 avec le noyau Linux 4.2.0-18-generic

Action à exécuter

Effectuez l'une des actions suivantes :

• Effectuez une mise à niveau vers une nouvelle version de noyau. Pour CentOS-7, la version de noyauLinux 3.10.0-327 ou ultérieure contient le correctif.

• Revenez à une ancienne version de noyau.

L'affichage de la liste de fichiers d'un répertoirevolumineux prend beaucoup de temps.Cela peut se produire si le répertoire change pendant que votre client NFS parcourt le répertoire pourterminer l'opération de liste. Chaque fois que le client NFS remarque que le contenu du répertoire a changéau cours de cette itération, il redémarre l'itération depuis le début. En conséquence, l'exécution de la

122

Amazon Elastic File System Guide de l'utilisateurRésolution des problèmes de montage

commande ls peut prendre beaucoup de temps pour un répertoire volumineux avec des fichiers modifiésfréquemment.


Versions de noyau CentOS inférieures à 2.6.32-696.1.1.el6

Action à exécuter

Pour résoudre ce problème, effectuez une mise à niveau vers une version plus récente du noyau.

Résolution des problèmes de montageVous trouverez ci-dessous des informations sur le dépannage des problèmes de montage du système defichiers pour Amazon EFS.

• Le montage du système de fichiers sur l'instance Windows échoue (p. 123)• Le montage automatique échoue et l'instance ne répond pas (p. 123)• Le montage de plusieurs systèmes de fichiers Amazon EFS dans /etc/fstab échoue (p. 124)• La commande de montage échoue avec le message d'erreur « wrong fs type » (p. 124)• La commande de montage échoue avec le message d'erreur « incorrect mount option » (p. 124)• Le montage du système de fichiers échoue immédiatement après la création du système de

fichiers (p. 125)• Le montage du système de fichiers se bloque, puis échoue avec une erreur de dépassement de délai

d'attente (p. 125)• Le montage du système de fichiers en utilisant un nom DNS échoue (p. 126)• L'état de cycle de vie de la cible de montage est bloqué (p. 126)• Le montage ne répond pas (p. 126)• Les opérations sur un système de fichiers nouvellement monté renvoient l'erreur « bad file

handle » (p. 127)• Le démontage d'un système de fichiers échoue (p. 127)

Le montage du système de fichiers sur l'instanceWindows échoueLe montage d'un système de fichiers sur une instance Amazon EC2 sous Microsoft Windows échoue.

Action à exécuter

N'utilisez pas Amazon EFS avec les instances EC2 Windows ; cela n'est pas pris en charge.

Le montage automatique échoue et l'instance nerépond pasCe problème peut survenir si le système de fichiers a été monté automatiquement sur une instance et sil'option _netdev n'a pas été déclarée. Si l'option _netdev est manquante, votre instance EC2 peut cesserde répondre. Cela s'explique par le fait que les systèmes de fichiers réseau doivent être initialisés après ledémarrage de la mise en réseau de l'instance de calcul.

Action à exécuter

Si ce problème se produit, contactez AWS Support.

123

Amazon Elastic File System Guide de l'utilisateurLe montage de plusieurs systèmes de

fichiers Amazon EFS dans /etc/fstab échoue

Le montage de plusieurs systèmes de fichiers AmazonEFS dans /etc/fstab échouePour les instances qui utilisent le système d'initialisation systemd avec plusieurs entrées Amazon EFSdans /etc/fstab, il peut arriver que tout ou partie de ces entrées ne soient pas montées. Dans ce cas, lasortie dmesg affiche une ou plusieurs lignes similaires à ce qui suit :

NFS: nfs4_discover_server_trunking unhandled error -512. Exiting with error EIO

Action à exécuter

Dans ce cas, nous vous recommandons de créer un nouveau fichier de service systemd dans /etc/systemd/system/mount-nfs-sequentially.service avec le contenu suivant :

[Unit]Description=Workaround for mounting NFS file systems sequentially at boot timeAfter=remote-fs.target

[Service]Type=oneshotExecStart=/bin/mount -avt nfs4RemainAfterExit=yes

[Install]WantedBy=multi-user.target

Après cela, exécutez les deux commandes suivantes :

1. sudo systemctl daemon-reload2. sudo systemctl enable mount-nfs-sequentially.service

Redémarrez ensuite votre instance Amazon EC2. Les systèmes de fichiers sont montés à la demande,généralement en une seconde.

La commande de montage échoue avec le messaged'erreur « wrong fs type »La commande de montage échoue avec le message d'erreur suivant.

mount: wrong fs type, bad option, bad superblock on 10.1.25.30:/, missing codepage or helper program, or other error (for several filesystems (e.g. nfs, cifs) you might need a /sbin/mount.<type> helper program)In some cases useful info is found in syslog - try dmesg | tail or so.

Action à exécuter

Si vous recevez ce message, installez le package nfs-utils (ou nfs-common sur Ubuntu). Pour de plusamples informations, veuillez consulter Installation du client NFS (p. 258).

La commande de montage échoue avec le messaged'erreur « incorrect mount option »La commande de montage échoue avec le message d'erreur suivant.

124

Amazon Elastic File System Guide de l'utilisateurLe montage du système de fichiers échoue

immédiatement après la création du système de fichiers

mount.nfs: an incorrect mount option was specified

Action à exécuter

Ce message d'erreur signifie probablement que votre distribution Linux ne prend pas en charge NetworkFile System versions 4.0 et 4.1 (NFSv4.1). Pour vérifier si c'est le cas, vous pouvez exécuter la commandesuivante :

$ grep CONFIG_NFS_V4_1 /boot/config*

Si la commande précédente retourne # CONFIG_NFS_V4_1 is not set, NFSv4.1 n'est pas pris encharge sur votre distribution Linux. Pour obtenir une liste des Amazon Machine Images (AMI) pour AmazonElastic Compute Cloud (Amazon EC2) prenant en charge NFSv4.1, consultez NFS Support (p. 257).

Le montage du système de fichiers échoueimmédiatement après la création du système defichiersLa propagation complète des enregistrements DNS (Domain Name Service) dans une région AWS peutprendre jusqu'à 90 secondes après la création d'une cible de montage.

Action à exécuter

Si vous créez ou montez des systèmes de fichiers par programmation, par exemple avec un modèle AWSCloudFormation, nous vous recommandons d'implémenter une condition d'attente.

Le montage du système de fichiers se bloque, puiséchoue avec une erreur de dépassement de délaid'attenteLa commande de montage du système de fichiers se bloque pendant une minute ou deux, puis échoueavec une erreur de dépassement de délai d'attente au bout d'une ou deux minutes. Le code suivant enprésente un exemple.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-ip:/ mnt

[2+ minute wait here]mount.nfs: Connection timed out$Â

Action à exécuter

Cette erreur peut se produire si l'instance Amazon EC2 ou les groupes de sécurité de la cible de montagene sont pas correctement configurés. Pour de plus amples informations, veuillez consulter Création degroupes de sécurité (p. 29).

Vérifiez que l'adresse IP de la cible montage que vous avez spécifiée est valide. Si vous spécifiez uneadresse IP erronée et que rien à cette adresse IP ne rejette le montage, vous pouvez rencontrer ceproblème.

125

Amazon Elastic File System Guide de l'utilisateurLe montage du système de fichiers

en utilisant un nom DNS échoue

Le montage du système de fichiers en utilisant un nomDNS échoueLe montage d'un système de fichiers en utilisant un nom DNS échoue. Le code suivant en présente unexemple.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ mnt mount.nfs: Failed to resolve server file-system-id.efs.aws-region.amazonaws.com: Name or service not known.

$

Action à exécuter

Vérifiez la configuration de votre VPC. Si vous utilisez un VPC personnalisé, assurez-vous que lesparamètres DNS sont activés. Pour plus d'informations, consultez Utilisation de DNS avec votre VPC dansle guide Amazon VPC Guide de l'utilisateur.

Pour spécifier un nom DNS dans la commande mount, vous devez procéder comme suit :

• Assurez-vous qu'il y a une cible de montage Amazon EFS dans la même zone de disponibilité quel'instance Amazon EC2.

• Connectez-vous à votre instance Amazon EC2 à l'intérieur d'un Amazon VPC configuré pour l'utilisationdu serveur DNS fourni par Amazon. Pour plus d'informations, consultez Jeux d'options DHCP dans leAmazon VPC Guide de l'utilisateur.

• Assurez-vous que les noms d'hôte DNS sont activés pour le Amazon VPC de l'instance Amazon EC2connectée. Pour plus d'informations, consultez Mise à jour de la prise en charge de DNS pour votre VPCdans le Amazon VPC Guide de l'utilisateur.

L'état de cycle de vie de la cible de montage estbloquéL'état de cycle de vie de la cible de montage est bloqué à l'état creating ou deleting.

Action à exécuter

Recommencez l'appel CreateMountTarget ou DeleteMountTarget.

Le montage ne répond pasUn montage d'Amazon EFS ne semble pas réactif. Par exemple, des commandes telles que ls sebloquent.

Action à exécuter

Cette erreur peut se produire si une autre application écrit de grandes quantités de données sur le systèmede fichiers. L'accès aux fichiers qui sont écrits peut être bloqué jusqu'à ce que l'opération soit terminée. Engénéral, les commandes ou les applications qui essaient d'accéder aux fichiers en cours d'écriture peuventsembler bloquées. Par exemple, la commande ls peut se bloquer lorsqu'elle essaie d'accéder au fichierqui est en cours d'écriture. Ceci s'explique par le fait que certaines distributions Linux utilisent l'alias decommande ls afin d'extraire les attributs, en plus de la liste du contenu du répertoire.

126



http://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating

Amazon Elastic File System Guide de l'utilisateurLes opérations sur un système de fichiers nouvellement

monté renvoient l'erreur « bad file handle »

Pour résoudre ce problème, vérifiez si une autre application est en train d'écrire dans des fichiers surle montage Amazon EFS, et si elle est à l'état Uninterruptible sleep (D), comme dans l'exemplesuivant :

$ ps aux | grep large_io.py root 33253 0.5 0.0 126652 5020 pts/3 D+ 18:22 0:00 python large_io.py /efs/large_file

Après avoir vérifié que c'est le cas, vous pouvez résoudre le problème en attendant que l'autre opérationd'écriture se termine, ou en essayant une solution de contournement. Dans l'exemple ls, vous pouvezutiliser la commande /bin/ls directement, au lieu d'un alias. Cela permet à la commande de continuersans suspendre le fichier dans lequel sont écrites les données. En général, si l'application qui écrit lesdonnées peut forcer un vidage périodique des données, peut-être en utilisant fsync(2), cette opérationpeut contribuer à améliorer la réactivité de votre système de fichiers pour d'autres applications. Cependant,cette amélioration peut se faire aux dépens des performances lorsque l'application écrit des données.

Les opérations sur un système de fichiersnouvellement monté renvoient l'erreur « bad filehandle »Les opérations effectuées sur un système de fichiers nouvellement monté renvoient une erreur bad filehandle.

Cette erreur peut se produire si une instance Amazon EC2 a été connectée à un système d'un fichiers etune cible de montage avec une adresse IP spécifiée, et qu'ensuite ce système de fichiers et cette cible demontage ont été supprimés. Ce problème peut se produire si vous créez un nouveau système de fichierspour vous connecter à cette instance Amazon EC2 avec la même adresse IP de cible de montage.

Action à exécuter

Vous pouvez résoudre cette erreur en démontant le système de fichiers, puis en le remontant sur l'instanceAmazon EC2. Pour plus d'informations sur le démontage de votre système de fichiers Amazon EFS,consultez Démontage des systèmes de fichiers (p. 79).

Le démontage d'un système de fichiers échoueSi votre système de fichiers est occupé, vous ne pouvez pas le démonter.

Action à exécuter

Vous pouvez résoudre ce problème en procédant de l'une des manières suivantes :

• Patientez jusqu'à ce que toutes les opérations de lecture et d'écriture soient terminées, puis essayez derelancer la commande umount.

• Forcez la commande umount à terminer le traitement de l'option -f.Warning

Le fait de forcer un démontage interrompt toutes les opérations de lecture ou d'écriture dedonnées qui sont actuellement en cours pour le système de fichiers.

Résolution des problèmes de chiffrementVous trouverez ci-dessous des informations sur le dépannage des problèmes de chiffrement pour AmazonEFS.

127

Amazon Elastic File System Guide de l'utilisateurLe montage avec chiffrement des données en transit échoue

• Le montage avec chiffrement des données en transit échoue (p. 128)• Le montage avec chiffrement des données en transit est interrompu (p. 128)• Impossible de créer le système de fichiers avec chiffrement des données au repos (p. 129)• Système de fichiers chiffré inutilisable (p. 129)

Le montage avec chiffrement des données en transitéchouePar défaut, lorsque vous utilisez l'assistant de montage Amazon EFS avec le protocole TLS, il imposel'utilisation du protocole de vérification en ligne de certificat (OCSP) et la vérification du nom d'hôte ducertificat. Si votre système ne prend pas en charge l'une ou l'autre de ces fonctionnalités (par exemple,lors de l'utilisation de Red Hat Enterprise Linux ou de CentOS), le montage d'un système de fichiers EFS àl'aide de TLS échoue.

Action à exécuter

Nous vous recommandons de mettre à niveau la version de stunnel sur votre client afin de prendre encharge ces fonctionnalités. Pour plus d'informations, consultez Mise à niveau de stunnel (p. 45).

Le montage avec chiffrement des données en transitest interrompuIl est possible, bien que peu probable, que la connexion chiffrée vers votre système de fichiers AmazonEFS soit suspendue ou interrompue par des événements côté client.

Action à exécuter

Si la connexion à votre système de fichiers Amazon EFS avec chiffrement des données en transit estinterrompue, procédez comme suit :

1. Assurez-vous que le service stunnel est en cours d'exécution sur le client.2. Vérifiez que l'application de surveillance amazon-efs-mount-watchdog est en cours d'exécution sur

le client. Vous pouvez déterminer si cette application est en cours d'exécution à l'aide de la commandesuivante :

ps aux | grep [a]mazon-efs-mount-watchdog

3. Consultez vos journaux de support. Pour plus d'informations, consultez Obtention de journaux desupport (p. 46).

4. Le cas échéant, vous pouvez activer vos journaux stunnel et consulter les informations qu'ilscontiennent. Vous pouvez modifier la configuration de vos journaux dans /etc/amazon/efs/amazon-efs-utils.conf afin d'activer les journaux stunnel. Toutefois, cette opération nécessite le démontage,puis le remontage du système de fichiers à l'aide de l'assistant de montage pour que les modificationsprennent effet.

Important

Sachez que l'activation des journaux stunnel risque d'utiliser une quantité d'espace nonnégligeable sur votre système de fichiers.

Si les interruptions se poursuivent, contactez AWS Support.

128

Amazon Elastic File System Guide de l'utilisateurImpossible de créer le système de fichiersavec chiffrement des données au repos

Impossible de créer le système de fichiers avecchiffrement des données au reposVous avez tenté de créer un nouveau système de fichiers chiffré au repos. Toutefois, vous avez reçu unmessage d'erreur indiquant que AWS KMS n'était pas disponible.

Action à exécuter

Cette erreur peut se produire dans les rares cas où AWS KMS est temporairement indisponible dans votrerégion AWS. Dans ce cas, attendez que AWS KMS redevienne totalement disponible, puis réessayez decréer le système de fichiers.

Système de fichiers chiffré inutilisableUn système de fichiers chiffré renvoie systématiquement des erreurs de serveur NFS. Ces erreurs peuventse produire lorsque EFS ne peut pas extraire votre clé principale à partir de AWS KMS pour l'une desraisons suivantes :

• La clé a été désactivée.• La clé a été supprimée.• L'autorisation d'Amazon EFS d'utiliser la clé a été révoquée.• AWS KMS est temporairement indisponible.

Action à exécuter

Tout d'abord, vérifiez que la clé AWS KMS est activée. Vous pouvez le faire en affichant les clés dans laconsole. Pour plus d'informations, consultez Affichage des clés dans le AWS Key Management ServiceDeveloper Guide.

Si la clé n'est pas activée, activez-la. Pour de plus amples informations, veuillez consulter Activation etdésactivation des clés du AWS Key Management Service Developer Guide.

Si la clé est en attente de suppression, ce statut désactive la clé. Vous pouvez annuler la suppression, puisréactiver la clé. Pour de plus amples informations, consultez Planification et annulation d'une suppressionde clé dans le AWS Key Management Service Developer Guide.

Si la clé est activée et que vous êtes toujours confronté à un problème, ou si vous rencontrez un problèmelors de la réactivation de votre clé, contactez AWS Support.

129

http://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html

http://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html

http://docs.aws.amazon.com/kms/latest/developerguide/enabling-keys.html

http://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion

http://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion

Amazon Elastic File System Guide de l'utilisateurVotre système de fichiers source sursite est bloqué sur le statut Montage

Dépannage d'EFS File SyncVous trouverez ci-après des informations sur la résolution des problèmes liés à EFS File Sync.

Rubriques• Votre système de fichiers source sur site est bloqué sur le statut Montage (p. 130)• Votre système de fichiers source Amazon EC2 est bloqué sur le statut Montage (p. 130)• Votre tâche de synchronisation est bloquée sur le statut Démarrage (p. 131)• Votre tâche de synchronisation a échoué avec un message d'erreur de refus d'autorisation (p. 131)• Combien de temps le statut Préparation d'une tâche de synchronisation dure-t-il ? (p. 132)• Combien de temps le statut Vérification d'une tâche de synchronisation dure-t-il ? (p. 132)• Activation d'AWS Support pour dépanner votre EFS File Sync qui s'exécute sur site (p. 132)• Activation d'AWS Support pour dépanner votre EFS File Sync qui s'exécute sur Amazon EC2 (p. 133)

Votre système de fichiers source sur site est bloquésur le statut Montage

Votre système de fichiers source sur site peut se bloquer sur le statut Montage lorsque l'agent desynchronisation que vous avez choisi ne peut pas monter l'emplacement que vous avez spécifié lors de laconfiguration.

Action à exécuter

Tout d'abord, assurez-vous que le serveur NFS et l'exportation que vous avez spécifiés sont tous deuxvalides. Si ce n'est pas le cas, supprimez la tâche de synchronisation définie, créez-en une nouvelle enutilisant le serveur NFS correct, puis procédez à l'exportation.

Si le serveur NFS et l'exportation sont tous deux valides, ce problème peut avoir deux origines. Soit unpare-feu empêche l'agent de synchronisation de monter le serveur NFS, soit le serveur NFS n'est pasconfiguré pour autoriser l'agent de synchronisation à le monter.

Assurez-vous qu'il n'y a pas de pare-feu entre l'agent de synchronisation et le serveur NFS. Ensuite,assurez-vous que le serveur NFS est configuré pour autoriser l'agent de synchronisation à monterl'exportation spécifiée dans la synchronisation définie.

Si vous effectuez ces actions et que l'agent de synchronisation ne peut toujours pas monter le serveurNFS et l'exportation, ouvrez un canal de support et collaborez avec le support client AWS. Pour plusd'informations sur l'ouverture d'un canal de support, consultez Activation d'AWS Support pour dépannervotre EFS File Sync qui s'exécute sur site (p. 132) ou Activation d'AWS Support pour dépanner votre EFSFile Sync qui s'exécute sur Amazon EC2 (p. 133).

Votre système de fichiers source Amazon EC2 estbloqué sur le statut Montage

Votre système de fichiers source Amazon EC2 peut se bloquer sur le statut Montage lorsque l'agent desynchronisation que vous avez choisi ne peut pas monter l'emplacement que vous avez spécifié lors de laconfiguration.

130

Amazon Elastic File System Guide de l'utilisateurVotre tâche de synchronisation estbloquée sur le statut Démarrage

Action à exécuter

Tout d'abord, assurez-vous que le serveur NFS et l'exportation que vous avez spécifiés sont tous deuxvalides. Si ce n'est pas le cas, supprimez la tâche de synchronisation définie, créez-en une nouvelle enutilisant le serveur NFS correct, puis procédez à l'exportation.

Si le serveur NFS et l'exportation sont tous deux valides, ce problème peut avoir deux origines. Soit unpare-feu empêche l'agent de synchronisation de monter le serveur NFS, soit le serveur NFS n'est pasconfiguré pour autoriser l'agent de synchronisation à le monter.

Assurez-vous que le VPC dans lequel votre serveur NFS réside possède une règle entrante de groupe desécurité qui autorise tout le trafic vers l'agent de synchronisation que vous avez créé pour votre systèmede fichiers source. Ensuite, assurez-vous que le VPC dans lequel votre agent de synchronisation s'exécutepossède une règle sortante de groupe de sécurité qui autorise tout le trafic provenant de l'agent desynchronisation.

Si vous effectuez ces actions et que l'agent de synchronisation ne peut toujours pas monter le serveurNFS et l'exportation, ouvrez un canal de support et collaborez avec le support client AWS. Pour plusd'informations sur l'ouverture d'un canal de support, consultez Activation d'AWS Support pour dépannervotre EFS File Sync qui s'exécute sur site (p. 132) ou Activation d'AWS Support pour dépanner votre EFSFile Sync qui s'exécute sur Amazon EC2 (p. 133).

Votre tâche de synchronisation est bloquée sur lestatut Démarrage

Votre tâche de synchronisation peut se bloquer sur le statut Démarrage lorsque EFS File Sync ne peutpas ordonner à l'agent de synchronisation source spécifié de commencer une tâche de synchronisation.Ce problème se produit généralement parce que l'agent de synchronisation est hors tension ou a perdu saconnectivité réseau.

Action à exécuter

Assurez-vous que l'agent de synchronisation source est connecté et que le statut est En cours d'exécution.Si le statut est Hors ligne, l'agent n'est pas connecté.

Ensuite, assurez-vous que votre agent de synchronisation est sous tension. Si ce n'est pas le cas, mettez-le sous tension.

Si l'agent de synchronisation est sous tension et que la tâche de synchronisation continue d'être bloquéesur le statut Démarrage, un problème de connectivité réseau entre l'agent de synchronisation et EFS FileSync est l'explication la plus probable. Vérifiez les paramètres de votre réseau et du pare-feu pour vousassurer que l'agent de synchronisation peut se connecter à EFS File Sync.

Si vous effectuez ces actions et que le problème n'est pas résolu, ouvrez un canal de support et collaborezavec le support client AWS. Pour plus d'informations sur l'ouverture d'un canal de support, consultezActivation d'AWS Support pour dépanner votre EFS File Sync qui s'exécute sur site (p. 132) ou Activationd'AWS Support pour dépanner votre EFS File Sync qui s'exécute sur Amazon EC2 (p. 133).

Votre tâche de synchronisation a échoué avec unmessage d'erreur de refus d'autorisation

Vous pouvez recevoir un message d'erreur de refus d'autorisation si vous configurez votre serveur NFSavec les options root_squash ou all_squash activées, et que vos fichiers n'ont pas tous les accès enlecture.

131

Amazon Elastic File System Guide de l'utilisateurCombien de temps le statut Préparation

d'une tâche de synchronisation dure-t-il ?

Action à exécuter

Pour résoudre ce problème, configurez l'exportation NFS avec no_root_squash ou assurez-vous que lesautorisations pour tous les fichiers que vous souhaitez synchroniser permettent un accès en lecture pourtous les utilisateurs. Ces actions permettent à l'agent de synchronisation de lire les fichiers. Pour quel'agent de synchronisation puisse accéder aux répertoires, vous devez également activer toutes les accèsen exécution. Pour plus d'informations sur la configuration des exportations NFS, consultez 18.7. The /etc/exports Configuration File dans la documentation Centos.

Si vous effectuez ces actions et que le problème n'est pas résolu, contactez le support client AWS.

Combien de temps le statut Préparation d'une tâchede synchronisation dure-t-il ?

Le temps passé par EFS File Sync dans le statut Préparation dépend du nombre de fichiers dansles systèmes de fichiers source et de destination, et des performances de ces systèmes de fichiers.Lorsqu'une tâche de synchronisation démarre, EFS File Sync établit une liste récursive des répertoirespour découvrir tous les fichiers et les métadonnées de fichiers dans le système de fichiers source et dedestination. Ces listes sont utilisées pour identifier les différences et déterminer ce qui est à copier.

Action à exécuter

Aucune action de votre part n'est requise. Attendez que le statut Préparation prenne fin et passe àSynchronisation. Si le statut ne devient pas Synchronisation, contactez le support client AWS.

Combien de temps le statut Vérification d'une tâchede synchronisation dure-t-il ?

Le temps passé par EFS File Sync dans le statut Vérification dépend du nombre de fichiers, de la tailletotal des tous les fichiers des systèmes de fichiers source et de destination, et des performances de cessystèmes de fichiers. Par défaut, le mode Vérification est activé dans les paramètres de synchronisation.La vérification effectuée par EFS File Sync inclut un total de contrôle SHA256 sur tous les contenus defichiers et une comparaison exacte de toutes les métadonnées de fichiers.

Action à exécuter

Aucune action de votre part n'est requise. Attendez que le statut Vérification prenne fin. Si le statutVérification ne prend pas fin, contactez le support client AWS.

Activation d'AWS Support pour dépanner votre EFSFile Sync qui s'exécute sur site

EFS File Sync fournit une console locale que vous pouvez utiliser pour exécuter plusieurs tâches demaintenance, y compris l'activation de l'accès d'AWS Support à votre EFS File Sync pour vous aider dansle dépannage des problèmes liés à EFS File Sync. Par défaut, l'accès d'AWS Support à votre EFS FileSync est désactivé. Vous activez cet accès par le biais de la console locale de l'hôte. Pour donner à AWSSupport un accès à votre EFS File Sync, vous devez d'abord vous connecter à la console locale pourl'hôte, puis vous connecter au serveur de support.

132

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-nfs-server-config-exports.html

https://www.centos.org/docs/5/html/Deployment_Guide-en-US/s1-nfs-server-config-exports.html

Amazon Elastic File System Guide de l'utilisateurActivation d'AWS Support pour

dépanner votre EFS File Sync EC2

Pour activer l'accès d'AWS Support à votre EFS File Sync

1. Connectez-vous à la console locale de l'hôte. Utilisez le nom d'utilisateur admin et le mot depasse password.

La console locale ressemble à ce qui suit.

2. À l'invite, entrez 4 pour ouvrir le menu d'aide.3. Tapez h pour ouvrir la fenêtre COMMANDES DISPONIBLES.4. Dans la fenêtre COMMANDES DISPONIBLES, tapez open-support-channel afin de vous

connecter au support client. Vous devez autoriser le port TCP 22 à ouvrir un canal de support pourAWS. Lorsque vous vous connectez au support client, EFS File Sync vous attribue un numéro desupport. Notez ce numéro.

Note

Le numéro de canal n'est pas un numéro de port de TCP/UDP (Transmission ControlProtocol/User Datagram Protocol). Au lieu de cela, il permet une connexion SSH (SecureShell) (TCP 22) aux serveurs et fournit le canal de support pour la connexion.

5. Une fois que le canal de support est établi, fournissez votre numéro de service de support àAWS Support afin que l'équipe puisse vous aider à résoudre le problème.

6. Une fois la session de support terminée, tapez q pour y mettre fin.7. Tapez exit pour vous déconnecter de la console locale EFS File Sync.8. Suivez les invites pour quitter la console locale.

Activation d'AWS Support pour dépanner votre EFSFile Sync qui s'exécute sur Amazon EC2

EFS File Sync fournit une console locale que vous pouvez utiliser pour exécuter plusieurs tâches demaintenance, y compris l'activation de l'accès d'AWS Support à votre EFS File Sync pour vous aider dansle dépannage des problèmes liés à EFS File Sync. Par défaut, l'accès d'AWS Support à votre EFS FileSync est désactivé. Vous activez cet accès par le biais de la console locale Amazon EC2. Vous vousconnectez à la console locale Amazon EC2 via SSH (Secure Shell). Pour vous connecter avec succès viaSSH, le groupe de sécurité de l'instance doit avoir une règle qui ouvre le port TCP 22.

133



Note

Si vous ajoutez une règle à un groupe de sécurité existant, la nouvelle règle s'applique à toutes lesinstances qui utilisent ce groupe de sécurité. Pour plus d'informations sur les groupes de sécuritéet sur l'ajout d'une règle à un groupe de sécurité, consultez Groupes de sécurité Amazon EC2dans le Guide de l'utilisateur Amazon EC2.

Pour permettre à AWS Support de se connecter à votre EFS File Sync, vous devez d'abord vous connecterà la console locale de l'instance Amazon EC2, puis accéder à la console EFS File Sync et fournir l'accès.

Pour activer l'accès d'AWS Support à une instance EFS File Sync déployée sur une instanceAmazon EC2

1. Connectez-vous à la console locale pour votre instance Amazon EC2. Pour plus d'informations,consultez Connexion à l'instance dans le Manuel utilisateur Amazon EC2.

Vous pouvez utiliser la commande suivante pour vous connecter à la console locale de l'instance EC2.Le nom utilisateur est admin.

ssh –i PRIVATE-KEY admin@INSTANCE-PUBLIC-DNS-NAME

Note

La PRIVATE-KEY est le fichier .pen qui contient le certificat privé de la paire de clés EC2 quevous avez utilisée pour lancer l'instance Amazon EC2. Pour plus d'informations, consultezRécupération de la clé publique pour votre paire de clés dans le Guide de l'utilisateur AmazonEC2.INSTANCE-PUBLIC-DNS-NAME est le nom DNS (Domain Name System) public de votreinstance Amazon EC2 sur laquelle votre EFS File Sync s'exécute. Pour obtenir ce nom DNSpublic, sélectionnez l'instance Amazon EC2 dans la console EC2, puis cliquez sur l'ongletDescription.

La console locale ressemble à ce qui suit.

2. À l'invite, entrez 2 pour ouvrir le menu d'aide.3. Tapez h pour ouvrir la fenêtre COMMANDES DISPONIBLES.4. Dans la fenêtre COMMANDES DISPONIBLES, tapez open-support-channel afin de vous

connecter au support client pour EFS File Sync. Vous devez autoriser le port TCP 22 à ouvrir un canalde support pour AWS. Lorsque vous vous connectez au support client, EFS File Sync vous attribue unnuméro de support. Notez ce numéro.

134


http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#retriving-the-public-key



Note

Le numéro de canal n'est pas un numéro de port de TCP/UDP (Transmission ControlProtocol/User Datagram Protocol). Au lieu de cela, EFS File Sync établit une connexion SSH(Secure Shell) (TCP 22) aux serveurs EFS File Sync et fournit le canal de support pour laconnexion.

5. Une fois que le canal de support est établi, fournissez votre numéro de service de support àAWS Support afin que l'équipe puisse vous aider à résoudre le problème.

6. Une fois la session de support terminée, tapez q pour y mettre fin.7. Tapez exit pour quitter la console EFS File Sync.8. Suivez les menus de la console pour vous déconnecter de l'instance EFS File Sync.

135

Amazon Elastic File System Guide de l'utilisateurProcédure 1 : Création et montage d'un

système de fichiers à l'aide de l'AWS CLI

Procédures Amazon Elastic FileSystem.

Cette section fournit des procédures que vous pouvez utiliser pour explorer Amazon EFS et tester laconfiguration de bout en bout.

Rubriques• Procédure 1 : Création d'un système de fichiers Amazon EFS et montage de ce dernier sur une

instance EC2 à l'aide de l'AWS CLI (p. 136)• Procédure 2 : Définition d'un serveur Web Apache et distribution des fichiers Amazon EFS (p. 149)• Procédure 3 : Création de sous-répertoires par utilisateur accessibles en écriture et configuration d'un

remontage au redémarrage automatique (p. 154)• Procédure 4 : Solutions de sauvegarde pour les systèmes de fichiers Amazon EFS (p. 156)• Procédure 5 : Créer et monter un système de fichiers sur site avec AWS Direct Connect (p. 156)• Procédure 6 : Application du chiffrement sur un système de fichiers Amazon EFS au repos (p. 162)• Procédure 7 : Synchroniser les fichiers d'un système de fichiers sur site vers Amazon EFS en utilisant

EFS File Sync (p. 164)• Procédure 8 : Synchroniser un système de fichiers à partir d'Amazon EC2 vers Amazon EFS à l'aide

d'EFS File Sync (p. 169)

Procédure 1 : Création d'un système de fichiersAmazon EFS et montage de ce dernier sur uneinstance EC2 à l'aide de l'AWS CLI

Cette procédure utilise l'AWS CLI pour explorer l'API Amazon EFS. Dans cette procédure, vous créezun système de fichiers Amazon EFS, le montez sur une instance EC2 dans votre VPC et testez laconfiguration.

Note

Cette procédure est similaire à l'exercice de mise en route. Dans l'exercice Mise en route (p. 11),vous utilisez la console pour créer des ressources EC2 et Amazon EFS. Dans cette procédure,vous utilisez l'AWS CLI pour faire de même, essentiellement pour vous familiariser avec l'APIAmazon EFS.

Dans cette procédure, vous créez les ressources AWS suivantes dans votre compte :

• Ressources Amazon EC2 :• Deux groupes de sécurité (pour votre instance EC2 et votre système de fichiers Amazon EFS).

Vous ajoutez des règles à ces groupes de sécurité afin autoriser les accès entrants et sortantsappropriés pour permettre à votre instance EC2 de se connecter au système de fichiers via la cible demontage à l'aide d'un port TCP NFSv4.1 standard.

• Une instance Amazon EC2 dans votre VPC.• Ressources Amazon EFS :

136

Amazon Elastic File System Guide de l'utilisateurAvant de commencer

• Un système de fichiers.• Une cible de montage pour votre système de fichiers.

Pour monter votre système de fichier sur une instance EC2, vous devez créer une cible de montagedans votre VPC. Vous pouvez créer une cible de montage dans chacune des zones de disponibilité devotre VPC. Pour de plus amples informations, veuillez consulter Amazon EFS : fonctionnement (p. 3).

Ensuite, vous tester le système de fichiers sur votre instance EC2. L'étape de nettoyage à la fin de laprocédure fournit des informations concernant la suppression de ces ressources.

La procédure crée toutes ces ressources dans la région USA Ouest (Oregon) (us-west-2). Quelle quesoit la région AWS que vous utilisez, veillez à l'utiliser de façon cohérente. Toutes vos ressources—votreVPC, vos ressources EC2 et les ressources Amazon EFS— doivent se trouver dans la même région AWS.

Avant de commencer• Vous pouvez utiliser les informations d'identification racine de votre compte AWS pour vous connecter

à la console, puis tenter l'exercice de mise en route. Toutefois, AWS Identity and Access Management(IAM) vous recommande de ne pas utiliser les informations d'identification racine de votre compte AWS.Au lieu de cela, créez un administrateur dans votre compte et utilisez ces informations d'identificationpour gérer les ressources de votre compte. Pour de plus amples informations, veuillez consulterConfiguration (p. 8).

• Vous pouvez utiliser un VPC par défaut ou un VPC personnalisé que vous avez créé dans votre compte.Pour cette procédure, la configuration du VPC par défaut fonctionne. Toutefois, si vous utilisez un VPCpersonnalisé, vérifiez les éléments suivants :• Les noms d'hôte DNS sont activés. Pour plus d'informations, consultez Mise à jour de la prise en

charge de DNS pour votre VPC dans le Amazon VPC Guide de l'utilisateur.• La passerelle Internet est attachée à votre VPC. Pour de plus amples informations, veuillez consulter

Passerelles Internet dans le guide Amazon VPC Guide de l'utilisateur.• Les sous-réseaux VPC sont configurés pour demander des adresses IP publiques pour les instances

lancées dans les sous-réseaux VPC. Pour plus d'informations, consultez Adressage IP dans votreVPC dans le guide Amazon VPC Guide de l'utilisateur.

• La table de routage VPC comprend une règle pour l'envoi de tout le trafic Internet entrant vers lapasserelle Internet.

• Vous devez configurer l'AWS CLI et ajouter le profil adminuser.

Configuration de l'AWS CLIUtilisez les instructions suivantes pour configurer l'AWS CLI et le profil utilisateur.

Pour configurer l'AWS CLI.

1. Téléchargez et configurez l'AWS CLI. Pour obtenir des instructions, consultez les rubriques suivantesAWS Command Line Interface Guide de l'utilisateur.

Préparation de l'installation de l'interface de ligne de commande AWS

Installation de l'Interface de Ligne de Commande AWS

Configuration de l'interface de ligne de commande AWS2. Définissez des profils.

Vous enregistrerez les informations d'identification dans le fichier config de l' AWS CLI. Lesexemples de commandes CLI dans cette procédure spécifient le profil adminuser. Créez le profil

137



http://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html

http://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

http://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

http://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-set-up.html

http://docs.aws.amazon.com/cli/latest/userguide/installing.html

http://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html

Amazon Elastic File System Guide de l'utilisateurÉtape 1 : Créer des ressources Amazon EC2

adminuser dans le fichier config. Vous pouvez également définir le profil utilisateur administrateurcomme profil par défaut dans le fichier config comme illustré.

[profile adminuser]aws_access_key_id = admin user access key IDaws_secret_access_key = admin user secret access keyregion = us-west-2

[default]aws_access_key_id = admin user access key IDaws_secret_access_key = admin user secret access keyregion = us-west-2

Le profil précédent définit également la région AWS par défaut. Si vous n'indiquez aucune région dansla commande d'interface de ligne de commande, la région us-west-2 est utilisée par défaut.

3. Vérifiez la configuration en saisissant la commande suivante à l'invite de commande. Ces deuxcommandes ne fournissent pas directement d'informations d'identification, par conséquent ce sont lesinformations du profil par défaut qui sont utilisées.

• Essayez les commandes d'aide

Vous pouvez également spécifier explicitement le profil utilisateur en ajoutant le paramètre --profile.

aws help

aws help \--profile adminuser

Étape suivante

Étape 1 : Créer des ressources Amazon EC2 (p. 138)

Étape 1 : Créer des ressources Amazon EC2Dans cette étapes, vous effectuez les opérations suivantes :

• Créez deux groupes de sécurité.• Ajoutez des règles pour les groupes de sécurité afin d'autoriser un accès supplémentaire.• Lancer une instance EC2. Vous créez et montez un système de fichiers Amazon EFS sur cette instance

à l'étape suivante.

Rubriques• Étape 1.1 : Créer deux groupes de sécurité (p. 138)• Étape 1.2 : Ajouter des règles aux groupes de sécurité afin d'autoriser un accès entrant/

sortant (p. 140)• Étape 1.3 : Lancer une instance EC2 (p. 140)

Étape 1.1 : Créer deux groupes de sécuritéDans cette section, vous créez des groupes de sécurité dans votre VPC pour votre instance EC2 et lacible de montage Amazon EFS. Plus tard dans la procédure, vous attribuez ces groupes de sécurité àune instance EC2 et une cible de montage Amazon EFS. Pour plus d'informations sur les groupes de

138


sécurité, consultez Security Groups for EC2-VPC dans le manuel Amazon EC2 Guide de l'utilisateur pourles instances Linux.

Pour créer des groupes de sécurité

1. Créez deux groupes de sécurité à l'aide de la commande d'interface de ligne de commande create-security-group.

a. Créez un groupe de sécurité (efs-walkthrough1-ec2-sg) pour votre instance EC2. Vousdevrez fournir votre ID VPC.

$ aws ec2 create-security-group \--region us-west-2 \--group-name efs-walkthrough1-ec2-sg \--description "Amazon EFS walkthrough 1, SG for EC2 instance" \--vpc-id vpc-id-in-us-west-2 \--profile adminuser

Notez l'ID du groupe de sécurité. Voici un exemple de réponse :

{ "GroupId": "sg-aexample"}

Vous pouvez trouver l'ID VPC à l'aide de la commande suivante :

$ aws ec2 describe-vpcs

b. Créez un groupe de sécurité (efs-walkthrough1-mt-sg) pour votre cible de montage AmazonEFS. Vous devez fournir votre ID VPC.

$ aws ec2 create-security-group \--region us-west-2 \--group-name efs-walkthrough1-mt-sg \--description "Amazon EFS walkthrough 1, SG for mount target" \--vpc-id vpc-id-in-us-west-2 \--profile adminuser

Notez l'ID du groupe de sécurité. Voici un exemple de réponse :

{ "GroupId": "sg-aexample"}

2. Vérifiez les groupes de sécurité.

aws ec2 describe-security-groups \--group-ids list of security group IDs separated by space \--profile adminuser \--region us-west-2

Les deux doivent avoir une seule règle sortante qui autorise la sortie du trafic.

Dans la section suivante, vous autorisez un accès supplémentaire qui permet les opérationssuivantes :

• Vous permettre de vous connecter à votre instance EC2.

139

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#vpc-security-groups


• Activer le trafic entre une instance EC2 et une cible de montage Amazon EFS (à laquelle vous allezassocier ces groupes de sécurité plus loin dans cette procédure).

Étape 1.2 : Ajouter des règles aux groupes de sécurité afind'autoriser un accès entrant/sortantDans cette étape, vous ajoutez des règles aux groupes de sécurité pour autoriser un accès entrant/sortant.

Pour ajouter des règles

1. Autorisez les connexions SSH entrantes au groupe de sécurité pour votre instance EC2 (efs-walkthrough1-ec2-sg) afin de pouvoir vous connecter à votre instance EC2 à l'aide de SSH depuisn'importe quel hôte.

$ aws ec2 authorize-security-group-ingress \--group-id id of the security group created for EC2 instance \--protocol tcp \--port 22 \--cidr 0.0.0.0/0 \--profile adminuser \--region us-west-2

Vérifiez que le groupe de sécurité comporte la règle entrante et sortante que vous avez ajoutée.

aws ec2 describe-security-groups \--region us-west-2 \--profile adminuser \--group-id security-group-id

2. Autorisez l'accès entrant au groupe de sécurité pour la cible de montage Amazon EFS (efs-walkthrough1-mt-sg).

À l'invite de commande, exécutez la commande d'AWS CLI authorize-security-group-ingress à l'aide du profil adminuser pour ajouter la règle entrante.

$ aws ec2 authorize-security-group-ingress \--group-id ID of the security group created for Amazon EFS mount target \--protocol tcp \--port 2049 \--source-group ID of the security group created for EC2 instance \--profile adminuser \--region us-west-2

3. Vérifiez que les deux groupes de sécurité autorisent maintenant l'accès entrant.

aws ec2 describe-security-groups \--group-names efs-walkthrough1-ec2-sg efs-walkthrough1-mt-sg \--profile adminuser \--region us-west-2

Étape 1.3 : Lancer une instance EC2Dans cette étape, vous lancez une instance EC2.

140


Pour lancer une instance EC2

1. Collectez les informations suivantes que vous devez fournir lors du lancement d'une instance EC2 :

a. Key pair name.

• Pour obtenir des informations d'introduction, consultez Setting Up with Amazon EC2 dans lemanuel Amazon EC2 Guide de l'utilisateur pour les instances Linux.

• Pour plus d'informations sur la création d'un fichier .pem, consultez Créer une paire de clésdans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

b. ID d'AMI que vous souhaitez lancer.

La commande d'interface de ligne de commande AWS CLI que vous allez utiliser pour lancerune instance EC2 nécessite un ID d'AMI (que vous souhaitez déployer) comme un paramètre.L'exercice utilise l'AMI HVM Amazon Linux.

Note

Vous pouvez utiliser des AMI Linux d'usage général. Si vous utilisez un autre API Linux,gardez à l'esprit que vous allez utiliser yum pour installer le client NFS sur l'instance etvous devrez peut-être ajouter des packages logiciels dont vous aurez besoin.

Pour l'AMI HVM Amazon Linux, vous pouvez trouver les ID les plus récents à la section AMIAmazon Linux. Vous choisissez la valeur de l'ID dans le tableau des ID d'AMI Amazon Linuxcomme suit :

• Choisissez la région US West Oregon. Cette procédure suppose que vous créez toutes lesressources dans la région USA Ouest (Oregon) (us-west-2).

• Choisissez le type EBS-backed HVM 64-bit (car dans la commande d'interface de ligne decommande vous indiquez le t2.micro type d'instance, qui ne prend pas en charge le stockaged'instance).

c. ID du groupe de sécurité que vous avez créé pour une instance EC2.d. Région AWS. Cette procédure utilise la région us-west-2.e. ID de sous-réseau de votre VPC dans lequel vous voulez lancer l'instance. Vous pouvez obtenir la

liste des sous-réseaux à l'aide de la commande describe-subnets.

$ aws ec2 describe-subnets \--region us-west-2 \--filters "Name=vpc-id,Values=vpc-id" \--profile adminuser

Une fois que vous avez choisi l'ID de sous-réseau, notez les valeurs suivantes à partir du résultatdescribe-subnets :

• ID de sous-réseau – Vous avez besoin de cette valeur lorsque vous créez une cible demontage. Dans cet exercice, vous créez une cible de montage dans le même sous-réseau quecelui où vous lancez une instance EC2.

• Zone de disponibilité du sous-réseau – Vous avez besoin de cette information pour construire lenom DNS de votre cible de montage, laquelle vous permet de monter un système de fichiers surl'instance EC2.

2. Exécutez la commande d'AWS CLI run-instances suivante pour lancer une instance EC2.

$ aws ec2 run-instances \--image-id AMI ID \--count 1 \--instance-type t2.micro \--associate-public-ip-address \

141

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/get-set-up-for-amazon-ec2.html#create-a-key-pair

https://aws.amazon.com/amazon-linux-ami/

https://aws.amazon.com/amazon-linux-ami/

Amazon Elastic File System Guide de l'utilisateurÉtape 2 : Créer des ressources Amazon EFS

--key-name key-pair-name \--security-group-ids ID of the security group created for EC2 instance \--subnet-id VPC subnet ID \--region us-west-2 \--profile adminuser

3. Notez l'ID d'instance renvoyé par la commande run-instances.4. L'instance EC2, que vous avez créée doit avoir un nom DNS public que vous utilisez pour vous

connecter à l'instance EC2 et monter le système de fichier dessus. Le nom DNS public a le formatsuivant :

ec2-xx-xx-xx-xxx.compute-1.amazonaws.com

Exécutez la commande d'interface de ligne de commande suivante et notez le nom DNS public.

aws ec2 describe-instances \--instance-ids EC2 instance ID \--region us-west-2 \ --profile adminuser

Si vous ne trouvez pas le nom DNS public, vérifiez la configuration du VPC sur lequel vous avez lancél'instance EC2. Pour de plus amples informations, veuillez consulter Avant de commencer (p. 137).

5. Vous pouvez affecter un nom à l'instance EC2 que vous avez créée en ajoutant une balise avecle nom de clé et la valeur définie pour le nom que vous souhaitez affecter à l'instance. Exécutez lacommande d'AWS CLI create-tags suivante.

$ aws ec2 create-tags \--resources EC2-instance-ID \--tags Key=Name,Value=Provide-instance-name \--region us-west-2 \--profile adminuser

Étape suivante

Étape 2 : Créer des ressources Amazon EFS (p. 142)

Étape 2 : Créer des ressources Amazon EFSDans cette étapes, vous effectuez les opérations suivantes :

• Créez un système de fichiers Amazon EFS.• Créez une cible de montage dans la zone de disponibilité où votre instance EC2 a été lancée.

Rubriques• Étape 2.1 : Créer un système de fichiers Amazon EFS (p. 142)• Étape 2.2 : Créer une cible de montage (p. 144)

Étape 2.1 : Créer un système de fichiers Amazon EFSDans cette étape, vous créez un système de fichiers Amazon EFS. Notez le FileSystemId à utiliser plustard lorsque vous créez des cibles de montage pour le système de fichiers à l'étape suivante.

142


Pour créer un système de fichiers

1. Créez un système de fichiers et ajoutez la balise Name en option.

a. A l'invite de commande, exécutez la commande AWS CLI create-file-system suivante.

$ aws efs create-file-system \--creation-token FileSystemForWalkthrough1 \--region us-west-2 \--profile adminuser

b. Vérifiez la création du système de fichiers en appelant la commande d'interface de ligne decommande describe-file-systems.

$ aws efs describe-file-systems \--region us-west-2 \--profile adminuser

Voici un exemple de réponse :

{ "FileSystems": [ { "SizeInBytes": { "Timestamp": 1418062014.0, "Value": 1024 }, "CreationToken": "FileSystemForWalkthrough1", "CreationTime": 1418062014.0, "FileSystemId": "fs-cda54064", "PerformanceMode" : "generalPurpose", "NumberOfMountTargets": 0, "LifeCycleState": "available", "OwnerId": "account-id" } ]}

c. Notez la valeur FileSystemId. Vous avez besoin de cette valeur lors de la création d'une ciblede montage pour ce système de fichiers à l'étape suivante.

2. (Facultatif) Ajoutez une balise pour le système de fichiers que vous avez créé à l'aide de la commanded'interface de ligne de commande create-tag.

Il n'est pas nécessaire de créer une balise pour votre système de fichiers pour terminer cetteprocédure. Mais comme vous explorez l'API Amazon EFS, testons cette API Amazon EFSpour la création et la gestion des balises. Pour de plus amples informations, veuillez consulterCreateTags (p. 206).

a. Ajouter une balise.

$ aws efs create-tags \--file-system-id File-System-ID \--tags Key=Name,Value=SomeExampleNameValue \--region us-west-2 \--profile adminuser

b. Procédez à l'extraction d'une liste de balises ajoutées au système de fichiers à l'aide de lacommande d'interface de ligne de commande describe-tags.

$ aws efs describe-tags \

143


--file-system-id File-System-ID \--region us-west-2 \--profile adminuser

Amazon EFS retourne la liste des balises dans le corps de la réponse.

{ "Tags": [ { "Value": "SomeExampleNameValue", "Key": "Name" } ]}

Étape 2.2 : Créer une cible de montageDans cette étape, vous créez une cible de montage pour votre système de fichiers dans la zone dedisponibilité où votre instance EC2 est lancée.

1. Assurez-vous de disposer des informations suivantes :

• ID du système de fichiers (par exemple, fs-example) pour lequel vous créez la cible de montage.• ID de sous-réseau VPC dans lequel vous avez lancé l'instance EC2 à l'étape 1.

Pour cette procédure, vous créez la cible de montage dans le même sous-réseau que celui oùvous avez lancé l'instance EC2, vous n'avez donc pas besoin de l'ID de sous-réseau (par exemple,subnet-example).

• ID du groupe de sécurité que vous avez créé pour la cible de montage à l'étape précédente.2. A l'invite de commande, exécutez la commande d'AWS CLI create-mount-target suivante.

$ aws efs create-mount-target \--file-system-id file-system-id \--subnet-id subnet-id \--security-group ID-of-the security-group-created-for-mount-target \--region us-west-2 \--profile adminuser

Vous obtenez la réponse suivante :

{ "MountTargetId": "fsmt-example", "NetworkInterfaceId": "eni-example", "FileSystemId": "fs-example", "PerformanceMode" : "generalPurpose", "LifeCycleState": "available", "SubnetId": "fs-subnet-example", "OwnerId": "account-id", "IpAddress": "xxx.xx.xx.xxx"}

3. Vous pouvez également utiliser la commande describe-mount-targets pour obtenir lesdescriptions des cibles de montage que vous avez créées sur un système de fichiers.

$ aws efs describe-mount-targets \--file-system-id file-system-id \--region us-west-2 \

144

http://docs.aws.amazon.com/efs/latest/ug/wt1-create-ec2-resources.html

Amazon Elastic File System Guide de l'utilisateurÉtape 3 : Monter et tester le système de fichiers

--profile adminuser

Étape suivante

Étape 3 : Monter le système de fichiers Amazon EFS sur l'instance EC2 et tester (p. 145)

Étape 3 : Monter le système de fichiers Amazon EFSsur l'instance EC2 et testerDans cette étapes, vous effectuez les opérations suivantes :

Rubriques• Étape 3.1 : Collecter des informations (p. 145)• Étape 3.2 : Installer le client NFS sur votre instance EC2 (p. 145)• Étape 3.3 : Monter le système de fichiers sur votre instance EC2 et tester (p. 146)• Étape suivante (p. 147)

• Installez un client NFS sur votre instance EC2.• Montez le système de fichiers sur votre instance EC2 et testez la configuration.

Étape 3.1 : Collecter des informationsAssurez-vous de disposer des informations suivantes avant de suivre les étapes de cette section:

• Nom DNS public de votre instance EC2 au format suivant :

ec2-xx-xxx-xxx-xx.aws-region.compute.amazonaws.com

• Nom DNS de votre système de fichiers. Vous pouvez construire ce nom DNS à l'aide du formatgénérique suivant :


L'instance EC2 sur laquelle vous montez le système de fichiers via la cible de montage peut résoudre lenom DNS du système de fichiers par l'adresse IP de la cible de montage.

Note

Amazon EFS n'exige pas que votre instance Amazon EC2 dispose d'une adresse IP publique oud'un nom DNS public. Les exigences susmentionnées concernent uniquement cet exemple deprocédure. Elles permettent de s'assurer que vous pourrez établir la connexion à l'instance depuisun emplacement extérieur au VPC via SSH.

Étape 3.2 : Installer le client NFS sur votre instance EC2Vous pouvez vous connecter à votre instance EC2 depuis Windows ou depuis un ordinateur exécutantLinux, Mac OS X, ou tout autre variante d'Unix.

Pour installer un client NFS

1. Connectez-vous à votre instance EC2:

145

Amazon Elastic File System Guide de l'utilisateurÉtape 3 : Monter et tester le système de fichiers

• Pour vous connecter à votre instance à partir d'un ordinateur exécutant Mac OS ou Linux, spécifiezle fichier .pem dans votre commande ssh avec l'option -i et le chemin d'accès à la clé privée.

• Pour vous connecter à votre instance à partir d'un ordinateur exécutant Windows, vous pouvezutiliser MindTerm ou PuTTY. Si vous prévoyez d'utiliser PuTTY, vous devez l'installer et exécuter laprocédure suivante pour convertir le fichier .pem en fichier .ppk.

Pour de plus amples informations, veuillez consulter les rubriques suivantes du manuel Amazon EC2Guide de l'utilisateur pour les instances Linux :

• Connexion à votre instance Linux à partir de Windows à l'aide de PuTTY• Connexion à votre instance Linux à l'aide de SSH

2. Exécutez les commandes suivantes sur l'instance EC2, via la session SSH :

a. (Facultatif) Obtenez les mises à jour et redémarrez.

$ sudo yum -y update $ sudo reboot

Une fois le redémarrage effectué, reconnectez-vous à votre instance EC2.b. Installez le client NFS.

$ sudo yum -y install nfs-utils

Note

Si vous choisissez l'AMI Amazon Linux Amazon Linux AMI 2016.03.0 lors du lancementde votre instance Amazon EC2, vous n'aurez pas besoin d'installer nfs-utils car il estdéjà inclus par défaut dans l'AMI.

Étape 3.3 : Monter le système de fichiers sur votre instance EC2et testerA présent, vous montez le système de fichiers sur votre instance EC2.

1. Créez un répertoire ("efs-mount-point").

$ mkdir ~/efs-mount-point

2. Montez le système de fichiers Amazon EFS.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-DNS:/ ~/efs-mount-point

L'instance EC2 peut résoudre le nom DNS de la cible de montage par l'adresse IP. Vous pouvezéventuellement spécifier l'adresse IP de la cible de montage directement.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-ip:/ ~/efs-mount-point

146



Amazon Elastic File System Guide de l'utilisateurÉtape 4 : Nettoyage

3. Maintenant que le système de fichiers Amazon EFS est monté sur votre instance EC2, vous pouvezcréer des fichiers.

a. Changez de répertoire.

$ cd ~/efs-mount-point

b. Affichez le contenu du répertoire.

$ ls -al

Il doit être vide.

drwxr-xr-x 2 root root 4096 Dec 29 22:33 .drwx------ 4 ec2-user ec2-user 4096 Dec 29 22:54 ..

c. Le répertoire racine d'un système de fichiers, une fois créé, appartient à l'utilisateur racine et cedernier peut y écrire. Il n'est donc pas nécessaire de modifier les autorisations pour ajouter desfichiers.

$ sudo chmod go+rw .

A présent, si vous essayez la commande ls -al, vous constatez que les autorisations ontchangé.

drwxrwxrwx 2 root root 4096 Dec 29 22:33 .drwx------ 4 ec2-user ec2-user 4096 Dec 29 22:54 ..

d. Créez un fichier texte.


e. Affichez le contenu du répertoire.

$ ls -l

Vous avez maintenant créé et monté un système de fichiers Amazon EFS sur votre instance EC2 dansvotre VPC.

Le système de fichiers que vous avez monté n'est pas persistant entre les redémarrages. Pour remonterautomatiquement le répertoire, vous pouvez utiliser le fichier fstab. Pour de plus amples informations,veuillez consulter Remontage automatique au redémarrage (p. 155). Si vous utilisez un groupe AutoScaling pour lancer des instances EC2, vous pouvez aussi définir des scripts dans une configuration delancement. Pour obtenir un exemple, consultez Procédure 2 : Définition d'un serveur Web Apache etdistribution des fichiers Amazon EFS (p. 149).

Étape suivanteÉtape 4 : Nettoyage (p. 147)

Étape 4 : NettoyageSi vous n'avez plus besoin des ressources que vous avez créées, vous devez les supprimer. Vous pouvezfaire cela à l'aide de l'interface de ligne de commande.

147


• Supprimez les ressources EC2 (l'instance EC2 et les deux groupes de sécurité). Amazon EFS supprimel'interface réseau lorsque vous supprimez la cible de montage.

• Supprimez les ressources Amazon EFS (système de fichiers, cible de montage).

Pour supprimer les ressources AWS créées dans cette procédure

1. Résiliez l'instance EC2, que vous avez créée pour cette procédure.

$ aws ec2 terminate-instances \--instance-ids instance-id \--profile adminuser

Vous pouvez aussi supprimer les ressources EC2 à l'aide de la console. Pour plus d'informations,consultez Mise hors service d'une instance dans le Amazon EC2 Guide de l'utilisateur pour lesinstances Linux.

2. Supprimez la cible de montage.

Vous devez supprimer les cibles de montage créées pour le système de fichiers avant de supprimer cedernier. Vous pouvez obtenir une liste des cibles de montage à l'aide de la commande d'interface deligne de commande describe-mount-targets.

$ aws efs describe-mount-targets \--file-system-id file-system-ID \--profile adminuser \--region aws-region

Supprimez ensuite la cible de montage à l'aide de la commande d'interface de ligne de commandedelete-mount-target.

$ aws efs delete-mount-target \--mount-target-id ID-of-mount-target-to-delete \--profile adminuser \--region aws-region

3. (Facultatif) Supprimez les deux groupes de sécurité que vous avez créés. Vous ne payez pas pour lacréation des groupes de sécurité.

Vous devez tout d'abord supprimer le groupe de sécurité de la cible de montage, avant de supprimerle groupe de sécurité de l'instance EC2. Le groupe de sécurité de la cible de montage comporte unerègle qui fait référence au groupe de sécurité EC2. Par conséquent, vous ne pouvez pas d'abordsupprimer le groupe de sécurité de l'instance EC2.

Pour plus d'informations, consultez Suppression d'un groupe de sécurité dans le Amazon EC2 Guidede l'utilisateur pour les instances Linux.

4. Supprimez le système de fichiers à l'aide de la commande d'interface de ligne de commande delete-file-system. Vous pouvez obtenir une liste de vos systèmes de fichiers à l'aide de la commanded'interface de ligne de commande describe-file-systems. Vous pouvez obtenir l'ID de systèmede fichiers à partir de la réponse.

aws efs describe-file-systems \--profile adminuser \--region aws-region

Supprimez le système de fichiers en fournissant l'ID du système de fichiers.

148

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console

http://docs.aws.amazon.com/cli/latest/userguide/cli-ec2-sg.html#deleting-a-security-group

Amazon Elastic File System Guide de l'utilisateurProcédure 2 : Définition d'un serveur

Web Apache et distribution des fichiers

$ aws efs delete-file-system \--file-system-id ID-of-file-system-to-delete \--region aws-region \--profile adminuser

Procédure 2 : Définition d'un serveur Web Apacheet distribution des fichiers Amazon EFS

Vous pouvez avoir des instances EC2 qui exécutent le serveur Web Apache qui distribue les fichiersstockés sur votre système de fichiers Amazon EFS. Il peut s'agir d'une instance EC2, ou si votre applicationl'exige, de plusieurs instances EC2 qui distribuent les fichiers de votre système de fichiers Amazon EFS.Les procédures suivantes sont décrites.

• Configurer un serveur Web Apache sur une instance EC2 (p. 149).• Configurer un serveur web de Apache sur plusieurs instances EC2 en créant un groupe Auto

Scaling (p. 151). Vous pouvez créer plusieurs instances EC2 à l'aide de l'Amazon EC2 Auto Scaling,service AWS qui vous permet d'augmenter ou de diminuer le nombre d'instances EC2 dans un groupeselon les besoins de votre application. Lorsque vous avez plusieurs serveurs Web, vous avez égalementbesoin d'un équilibreur de charges afin de répartir le trafic sur ces serveurs.

Note

Pour les deux procédures, vous créez toutes les ressources dans la Région USA Ouest (Oregon)(us-west-2).

Instance EC2 unique pour la distribution de fichiersSuivez les étapes de configuration d'un serveur Web Apache sur une instance EC2 pour distribuer lesfichiers que vous créez sur votre système de fichiers Amazon EFS.

1. Suivez les étapes de l'exercice de mise en route de manière à disposer d'une configurationopérationnelle composée des éléments suivants :

• Système de fichiers Amazon EFS• Instance EC2• Système de fichiers monté sur l'instance EC2

Pour obtenir des instructions, consultez Mise en route avec Amazon Elastic File System (p. 11). Lorsde l'exécution de ces étapes, notez les informations suivantes :

• Nom DNS public de l'instance EC2.• Nom DNS public de la cible de montage créée dans la zone de disponibilité où vous avez lancé

l'instance EC2.2. (Facultatif) Vous pouvez choisir de démonter le système de fichiers depuis le point de montage que

vous avez créé dans l'exercice de mise en route.

$ sudo umount ~/efs-mount-point

Dans cette procédure, vous créez un autre point de montage pour le système de fichiers.

149

Amazon Elastic File System Guide de l'utilisateurInstance EC2 unique pour la distribution de fichiers

3. Sur votre instance EC2, installez le serveur Web Apache et configurez-le comme suit :

a. Connectez-vous à votre instance EC2 et installez le serveur Web Apache.

$ sudo yum -y install httpd

b. Lancez le service.

$ sudo service httpd start

c. Créez un point de montage.

Tout d'abord notez que DocumentRoot dans le fichier /etc/httpd/conf/httpd.conf pointesur /var/www/html (DocumentRoot "/var/www/html").

Vous allez monter votre système de fichiers Amazon EFS sur un sous-répertoire sous la racine dudocument.

i. Créer un sous-répertoire efs-mount-point sous /var/www/html.

$ sudo mkdir /var/www/html/efs-mount-point

ii. Monter votre système de fichiers Amazon EFS. Vous devez mettre à jour la commandesuivante en indiquant l'ID de votre système de fichiers et votre région AWS (si vous avez suivil'exercice de mise en route pour créer un système de fichiers, cela suppose que vous utilisezla région AWS us-west-2).

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ /var/www/html/efs-mount-point

Ici, vous construisez dynamiquement le nom DNS de la cible de montage à partir de l'instanceEC2 que vous utilisez. Pour de plus amples informations, veuillez consulter Montage surAmazon EC2 avec un nom DNS (p. 259).

4. Testez la configuration.

a. Ajoutez une règle dans le groupe de sécurité d'instance EC2, que vous avez créé dans l'exercicede mise en route, pour autoriser le trafic HTTP sur le port TCP 80 à partir de n'importe quelemplacement.

Une fois la règle ajoutée, le groupe de sécurité d'instance EC2 aura les règles entrantessuivantes.

Pour obtenir des instructions, consultez Création de groupes de sécurité à l'aide d'AWSManagement Console (p. 30).

b. Créez un exemple de fichier html.

150

Amazon Elastic File System Guide de l'utilisateurPlusieurs instances EC2 pour la distribution des fichiers

i. Changez de répertoire.

$ cd /var/www/html/efs-mount-point

ii. Créez un sous-répertoire sampledir et modifiez la propriété. Modifiez également lerépertoire afin de pouvoir créer des fichiers dans le sous-répertoire sampledir.

$ sudo mkdir sampledir $ sudo chown ec2-user sampledir$ sudo chmod -R o+r sampledir$ cd sampledir

iii. Créez un exemple de hello.html fichier.

$ echo "<html><h1>Hello from Amazon EFS</h1></html>" > hello.html

c. Ouvrez une fenêtre de navigateur et entrez l'URL permettant d'accéder au fichier (il s'agit du nomDNS public de l'instance EC2 suivi du nom du fichier). Exemples :

http://EC2-instance-public-DNS/efs-mount-point/sampledir/hello.html

Vous distribuez maintenant des pages Web stockées sur un système de fichiers Amazon EFS.

Note

Cette configuration ne configure pas l'instance EC2 pour un démarrage automatique de httpd(serveur Web) et elle ne monte pas le système de fichiers à l'amorçage. Dans la procéduresuivante, vous créez une configuration de lancement pour mettre tout cela en place.

Plusieurs instances EC2 pour la distribution desfichiersSuivez ces étapes pour distribuer le même contenu sur votre système de fichiers Amazon EFS à partir deplusieurs instances EC2 pour une meilleure évolutivité ou disponibilité.

1. Suivez les étapes de l'exercice Mise en route (p. 11) afin de disposer d'un système de fichiers AmazonEFS créé et testé.

Important

Pour cette procédure, vous n'utilisez pas l'instance EC2 que vous avez créée dans l'exercicede mise en route. Au lieu de cela, vous lancez de nouvelles instances EC2.

2. Créez un équilibreur de charge dans votre VPC à l'aide de la procédure suivante.

1. Définissez un équilibreur de charge

Dans la section Configuration de base, sélectionnez votre VPC dans lequel vous créez égalementles instances EC2 sur lesquelles vous montez le système de fichiers.

Dans la section Sélectionner des sous-réseaux (subnets), vous pouvez sélectionner tous les sous-réseaux disponibles ou sélectionnez . Pour plus d'informations, consultez le script cloud-configdans la section suivante.

2. Attribuez des groupes de sécurité

151


Créer un nouveau groupe de sécurité pour l'équilibreur de charge afin d'autoriser l'accès HTTP duport 80 depuis n'importe où, comme illustré ci-après :

• Type : HTTP• Protocole : TCP• Plage de ports : 80• Source : N'importe où (0.0.0.0/0)

Note

Lorsque tout fonctionne, vous pouvez également mettre à jour l'accès de la règle entrantedu groupe de sécurité d'instance EC2 afin d'autoriser le trafic HTTP uniquement à partirde l'équilibreur de charge.

3. Configurez une vérification de l'état

Définissez la valeur Chemin de ping sur /efs-mount-point/test.html. efs-mount-pointest le sous-répertoire dans lequel le système de fichiers est monté. Vous y ajouterez la pagetest.html plus loin dans cette procédure.

Note

N"ajoutez aucune instance EC2. Plus tard, vous créerez un groupe Auto Scaling dans lequelvous lancerez l'instance EC2 et indiquerez cet équilibreur de charge.

Pour plus de détails sur la création d'un équilibreur de charge, consultez Mise en route avec ElasticLoad Balancing dans le Elastic Load Balancing Guide de l'utilisateur.

3. Créez un groupe Auto Scaling avec deux instances EC2. Tout d'abord, vous créez une configurationde lancement décrivant les instances. Ensuite, vous créez un groupe Auto Scaling en spécifiant laconfiguration de lancement. Les étapes suivantes fournissent des informations de configuration quevous spécifiez pour créer un groupe Auto Scaling à partir de la console Amazon EC2.

a. Choisissez Configurations de lancement sous AUTO SCALING dans le volet de navigation degauche.

b. Choisissez Créer le groupe Auto Scaling pour lancer l'assistant.c. Choisissez Create launch configuration.d. À partir de Quick Start, sélectionnez la dernière version de l'AMI Amazon Linux (HVM). Il s'agit de

la même AMI que celle que vous avez utilisée à l'Étape 1 : Créer vos ressources EC2 et lancervotre instance EC2 (p. 12) de l'exercice de mise en route.

e. Dans la section Avancé, procédez comme suit :

• En regard de Type d'adresse IP, choisissez Attribuer une adresse IP publique à chaqueinstance.

• Copiez/collez le script suivant dans la zone Données utilisateur.

Vous devez mettre à jour le script en fournissant des valeurs pour file-system-id et aws-region (si vous avez suivi l'exercice de mise en route, vous avez créé le système de fichiersdans la région us-west-2).

Dans le script, notez les éléments suivants :• Le script installe le client NFS et le serveur Web Apache.• La commande echo écrit l'entrée suivante dans le fichier /etc/fstab en identifiant le nom

DNS du système de fichiers et le sous-répertoire dans lequel le monter. Cette entrée garantitque le fichier est monté après chaque redémarrage du système. Notez que le nom DNS

152

http://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-getting-started.html

http://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-getting-started.html


du système de fichiers est créé de manière dynamique. Pour de plus amples informations,veuillez consulter Montage sur Amazon EC2 avec un nom DNS (p. 259).

file-system-ID.efs.aws-region.amazonaws.com:/ /var/www/html/efs-mount-point nfs4 defaults

• Créez un sous-répertoire efs-mount-point et montez-le système de fichiers.• Créez une page test.html pour que la vérification de l'état ELB puisse trouver le fichier (lors

de la création d'un équilibreur de charge, vous avez spécifié ce fichier en tant que le point deping).

Pour plus d'informations sur les scripts de données utilisateur, consultez Ajouter des donnéesutilisateur dans le Amazon EC2 Guide de l'utilisateur pour les instances Linux.

#cloud-configpackage_upgrade: truepackages:- nfs-utils- httpdruncmd:- echo "$(curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone).file-system-id.efs.aws-region.amazonaws.com:/ /var/www/html/efs-mount-point nfs4 defaults" >> /etc/fstab- mkdir /var/www/html/efs-mount-point- mount -a- touch /var/www/html/efs-mount-point/test.html- service httpd start- chkconfig httpd on

f. En regard de Attribuer un groupe de sécurité, choisissez Sélectionnez un groupe de sécuritéexistant, puis choisissez le groupe de sécurité que vous avez créé pour l'instance EC2.

Lorsque vous configurez les détails du groupe Auto Scaling, utilisez les informations suivantes :

1. En regard de Taille du groupe, choisissez Commencer par 2 instances. Vous allez créerdeux instances EC2.

2. Sélectionnez votre VPC dans la liste Réseau.3. Sélectionnez un sous-réseau dans la même zone de disponibilité que vous avez utilisée lors de

l'indication de l'ID cible de montage dans le script de données utilisateur lors de la création de laconfiguration de lancement à l'étape précédente.

4. Dans la section Détails avancés

a. En regard de Equilibrage de charges, choisissez Recevoir le trafic des Elastic LoadBalancer(s), puis sélectionnez l'équilibreur de charge que vous avez créé pour cet exercice.

b. En regard de Type de vérification de l'état, choisissez ELB.

Suivez les instructions pour créer un groupe Auto Scaling à la section Configurer une applicationredimensionnée et à charge équilibrée dans le Amazon EC2 Auto Scaling Guide de l'utilisateur.Utilisez les informations des tableaux précédents, le cas échéant.

4. Une fois le groupe Auto Scaling créé, vous disposez de deux instances EC2 avec nfs-utils et leserveur Web Apache installé. Sur chaque instance, vérifiez que vous avez le sous-répertoire /var/www/html/efs-mount-point avec votre système de fichiers Amazon EFS monté dans ce dernier.Pour plus d'informations sur la connexion à une instance EC2, consultez l'Étape 3 : Vous connecter àvotre instance Amazon EC2 et monter le système de fichiers Amazon EFS (p. 16).

153



http://docs.aws.amazon.com/autoscaling/latest/userguide/as-register-lbs-with-asg.html

http://docs.aws.amazon.com/autoscaling/latest/userguide/as-register-lbs-with-asg.html

Amazon Elastic File System Guide de l'utilisateurProcédure 3 : Création de sous-répertoires

par utilisateur accessibles en écriture

Note

Si vous choisissez l'AMI Amazon Linux Amazon Linux AMI 2016.03.0 lors du lancement devotre instance Amazon EC2, vous n'aurez pas besoin d'installer nfs-utils car il est déjàinclus par défaut dans l'AMI.

5. Créez un exemple de page (index.html).

a. Changez de répertoire.

$ cd /var/www/html/efs-mount-point

b. Créez un sous-répertoire sampledir et modifiez la propriété. Modifiez également le répertoireafin de pouvoir créer des fichiers dans le sous-répertoire sampledir. Si vous avez suivi laprocédure précédente Instance EC2 unique pour la distribution de fichiers (p. 149), vous avezdéjà créé le sous-répertoire sampledir, vous pouvez donc omettre cette étape.

$ sudo mkdir sampledir $ sudo chown ec2-user sampledir$ sudo chmod -R o+r sampledir$ cd sampledir

c. Créez un exemple de index.html fichier.

$ echo "<html><h1>Hello from Amazon EFS</h1></html>" > index.html

6. Vous pouvez maintenant tester la configuration. À l'aide du nom DNS public de l'équilibreur de charge,accédez à la page index.html.

http://load balancer public DNS Name/efs-mount-point/sampledir/index.html

L'équilibreur de charge envoie une requête à l'une des instances EC2 exécutant le serveur WebApache. Ensuite, le serveur Web distribue le fichier qui est stocké sur votre système de fichiersAmazon EFS.

Procédure 3 : Création de sous-répertoires parutilisateur accessibles en écriture et configurationd'un remontage au redémarrage automatique

Une fois que vous avez créé un système de fichiers Amazon EFS et que vous l'avez monté en local survotre instance EC2, il expose un répertoire vide appelé racine de système de fichiers. Un casd'utilisation courant consiste à créer un sous-répertoire « accessibles en écriture » sous la racine de cesystème de fichiers pour chaque utilisateur que vous créez sur l'instance EC2 et de le monter dans lerépertoire de base de l'utilisateur. Tous les fichiers et sous-répertoires que l'utilisateur crée dans sonrépertoire de base sont ensuite créés sur le système de fichiers Amazon EFS.

Dans cette procédure, vous commencez par créer un utilisateur « mike » sur votre instance EC2. Ensuite,vous monter un sous-répertoire Amazon EFS dans le répertoire de base de l'utilisateur mike. La procédureexplique également comment configurer un remontage automatique des sous-répertoires si le systèmeredémarre.

Supposons que vous disposiez d'un système de fichiers Amazon EFS créé et monté dans un répertoirelocal sur votre instance EC2. Appelons-le EFSroot.

154

Amazon Elastic File System Guide de l'utilisateurRemontage automatique au redémarrage

Note

Vous pouvez suivre l'exercice Mise en route (p. 11) afin de créer et de monter un système defichiers Amazon EFS sur votre instance EC2.

Dans les étapes suivantes, vous créez un utilisateur (mike), un sous-répertoire pour l'utilisateur(EFSroot/mike), définissez l'utilisateur mike en tant que propriétaire du sous-répertoire, lui accordez desautorisations complètes et enfin vous montez le sous-répertoire Amazon EFS dans le répertoire de base del'utilisateur (/home/mike).

1. Créez l'utilisateur mike :

• Connectez-vous à votre instance EC2. À l'aide de privilèges racine (dans ce cas, à l'aide de lacommande sudo), créez l'utilisateur mike et affectez-lui un mot de passe.

$ sudo useradd -c "Mike Smith" mike$ sudo passwd mike

Cette opération crée également un répertoire de base, /home/mike, pour l'utilisateur.2. Créez un sous-répertoire sous EFSroot pour l'utilisateurmike :

a. Créez sous-répertoire mike sous EFSroot.

$ sudo mkdir /EFSroot/mike

Vous n'aurez pas à remplacer EFSroot par le nom de votre répertoire local.b. L'utilisateur racine et le groupe racine sont les propriétaires du sous-répertoire /mike (vous

pouvez le vérifier en utilisant la commande ls -l). Pour activer toutes les autorisations pourl'utilisateur mike sur ce sous-répertoire, accordez à mike la propriété sur le répertoire.

$ sudo chown mike:mike /EFSroot/mike

3. Utilisez la commande mount pour monter le sous-répertoire EFSroot/mike dans le répertoire de basede mike.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-DNS:/mike /home/mike

L'adresse mount-target-DNS identifie la racine du système de fichiers Amazon EFS distant.

A présent le répertoire de base de l'utilisateur mike est un sous-répertoire, accessible en écriture par mike,sur le système de fichiers Amazon EFS. Si vous démontez cette cible de montage, l'utilisateur ne peut pasaccéder à son répertoire EFS sans un remontage, qui exige des autorisations racine.

Remontage automatique au redémarrageVous pouvez utiliser le fichier fstab pour remonter automatiquement votre système de fichiers après lesredémarrages système. Pour plus d'informations, consultez Montage automatique de votre système defichiers EFS Amazon (p. 75).

155

Amazon Elastic File System Guide de l'utilisateurProcédure 4 : Solutions de sauvegarde

pour les systèmes de fichiers Amazon EFS

Procédure 4 : Solutions de sauvegarde pour lessystèmes de fichiers Amazon EFS

Si vous souhaitez pouvoir récupérer de modifications ou suppressions imprévues dans vos systèmes defichiers Amazon EFS, nous vous recommandons d'utiliser la solution de sauvegarde EFS-vers-EFS.

La solution de sauvegarde EFS-vers-EFS est compatible pour tous les systèmes de fichiers Amazon EFSde toutes les régions AWS. Elle comprend un modèle AWS CloudFormation qui lance, configure et exécuteles services AWS nécessaires au déploiement de la solution. Cette solution respecte les bonnes pratiquesde sécurité et de disponibilité établies par AWS.

Pour plus d'informations sur la solution de sauvegarde EFS-vers-EFS, consultez Solution de sauvegardeEFS-vers-EFS dans AWS Answers.

Note

Avant que la solution de sauvegarde EFS vers EFS ne soit disponible, nous avons recommandéune autre solution de sauvegarde qui ne peut être utilisée que dans les régions AWS qui prennenten charge AWS Data Pipeline. Pour plus d'informations sur cette solution précédente, consultezSauvegarde de systèmes de fichiers Amazon EFS à l'aide d'AWS Data Pipeline (p. 244).

Procédure 5 : Créer et monter un système defichiers sur site avec AWS Direct Connect

Cette procédure utilise AWS Management Console pour créer et monter un système de fichiers sur unclient sur site à l'aide d'une connexion AWS Direct Connect.

Note

L'utilisation d'Amazon EFS avec les clients basés sur Microsoft Windows n'est pas prise encharge.

Dans cette procédure, nous supposons que vous avez déjà une connexion AWS Direct Connect. Si cen'est pas le cas, vous pouvez lancer le processus de connexion maintenant et revenir à cette procédureune fois votre connexion établie. Pour plus d'informations, consultez la Description détaillée d'AWS DirectConnect.

Lorsque vous avez une connexion AWS Direct Connect, vous créez un système de fichiers Amazon EFSet une cible de montage dans votre Amazon VPC. Puis, téléchargez et installez les outils amazon-efs-utils.Testez ensuite le système de fichiers à partir de votre client sur site. Enfin, l'étape de nettoyage à la fin dela procédure fournit des informations concernant la suppression de ces ressources.

La procédure crée toutes ces ressources dans la région USA Ouest (Oregon) (us-west-2). Quelle quesoit la région AWS que vous utilisez, veillez à l'utiliser de façon cohérente. Toutes vos ressources (votreVPC, votre cible de montage et votre système de fichiers Amazon EFS) doivent se trouver dans la mêmerégion AWS.

Note

Si votre application locale a besoin de savoir si le système de fichiers EFS est disponible, elledoit être en mesure de pointer vers une adresse IP de point de montage différente si le premierpoint de montage n'est pas disponible temporairement. Dans ce scénario, nous recommandons la

156

https://aws.amazon.com/answers/infrastructure-management/efs-backup/



https://aws.amazon.com/directconnect/details/

https://aws.amazon.com/directconnect/details/


présence de deux clients sur site connectés à votre système de fichiers via différentes zones dedisponibilité afin de bénéficier d'une plus grande disponibilité.

Avant de commencerVous pouvez utiliser les informations d'identification racine de votre compte AWS pour vous connecterà la console, puis effectuer cet exercice. Toutefois, les bonnes pratiques AWS Identity and AccessManagement (IAM) recommandent de ne pas utiliser les informations d'identification racine de votrecompte AWS. Au lieu de cela, créez un administrateur dans votre compte et utilisez ces informationsd'identification pour gérer les ressources de votre compte. Pour de plus amples informations, veuillezconsulter Configuration (p. 8).

Vous pouvez utiliser un VPC par défaut ou un VPC personnalisé que vous avez créé dans votre compte.Pour cette procédure, la configuration du VPC par défaut fonctionne. Toutefois, si vous utilisez un VPCpersonnalisé, vérifiez les éléments suivants :

• La passerelle Internet est attachée à votre VPC. Pour de plus amples informations, veuillez consulterPasserelles Internet dans le guide Amazon VPC Guide de l'utilisateur.

• La table de routage VPC comprend une règle pour l'envoi de tout le trafic Internet entrant vers lapasserelle Internet.

Étape 1 : Créer vos ressources Amazon Elastic FileSystemAu cours de cette étape, vous allez créer votre système de fichiers Amazon EFS et monter les cibles.

Pour créer votre système de fichiers Amazon EFS.

1. Ouvrez la console Amazon EFS à l'adresse https://console.aws.amazon.com/efs/.2. Choisissez Create File System.3. Choisissez votre VPC par défaut dans la liste VPC.4. Activez les cases à cocher de toutes les zones de disponibilité. Veillez à ce qu'elles comportent toutes

les sous-réseaux par défaut, les adresses IP automatiques et les groupes de sécurité par défautchoisi. Il s'agit de vos cibles de montage. Pour plus d'informations, consultez Création de cibles demontage (p. 25).

5. Choisissez Next Step.6. Nommez votre système de fichiers, conservez la sélection Usage général comme mode de

performance par défaut et choisissez Étape suivante.7. Choisissez Create File System.8. Choisissez votre système de fichiers dans la liste et prenez note de la valeur de Groupe de sécurité.

Vous avez besoin de cette valeur pour l'étape suivante.

Le système de fichiers que vous venez de créer possède des cibles de montage, créées à l'étape 1.4.Chaque cible de montage dispose d'un groupe de sécurité associé. Ce groupe de sécurité fait office depare-feu virtuel contrôlant le trafic réseau. Si vous n'avez pas indiqué de groupe de sécurité lors de lacréation d'une cible de montage, Amazon EFS lui associe le groupe de sécurité par défaut du VPC. Si vousavez suivi scrupuleusement les étapes précédentes, vos cibles de montage utilisent le groupe de sécuritépar défaut.

Vous allez maintenant ajouter une règle au groupe de sécurité de la cible de montage pour autoriser letrafic entrant vers le port NFS (2049). Vous pouvez utiliser l'AWS Management Console pour ajouter larègle aux groupes de sécurité de votre cible de montage dans votre VPC.

157

http://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html


Amazon Elastic File System Guide de l'utilisateurÉtape 2 : Télécharger et installer amazon-efs-utils

Pour autoriser le trafic entrant vers le port NFS

1. Connectez-vous à AWS Management Console et ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

2. Sous RÉSEAU ET SÉCURITÉ, choisissez Groupes de sécurité.3. Choisissez le groupe de sécurité associé à votre système de fichiers. Vous avez pris note de cette

valeur à la fin de l'Étape 1 : Créer vos ressources Amazon Elastic File System (p. 157).4. Dans le volet à onglets qui s'affiche sous la liste des groupes de sécurité, cliquez sur l'onglet Entrant.5. Choisissez Edit.6. Choisissez Ajouter une règle, puis choisissez une règle du type suivant :

• Type – NFS• Source – Anywhere (N'importe où)

Nous vous recommandons d'utiliser uniquement la source N'importe où pour les tests. Vous pouvezdécider de créer un ensemble de sources personnalisées défini à l'adresse IP du client sur site, oud'utiliser la console à partir du client lui-même, puis de choisir My IP (Mon IP).

Note

Vous n'avez pas besoin d'ajouter une règle sortante, car la règle sortante par défaut autorisetout le trafic en sortie. Si ce n'est pas le cas, vous devez ajouter une règle sortante pourouvrir une connexion TCP sur le port NFS, en identifiant le groupe de sécurité de la cible demontage en tant que destination.

Étape 2 : Télécharger et installer amazon-efs-utilsLe package amazon-efs-utils est une collection open source d'outils Amazon EFS ; il est fourni avecun assistant de montage et des outils qui facilitent le chiffrement des données en transit pour AmazonEFS. Pour plus d'informations, consultez Utilisation des outils amazon-efs-utils (p. 42). Ce package estdisponible en téléchargement gratuit à partir de GitHub, que vous pouvez obtenir en clonant le référentieldu package.

Pour cloner amazon-efs-utils à partir de GitHub

1. Accédez au terminal pour votre client sur site.2. Depuis le terminal, clonez l'outil amazon-efs-utils depuis GitHub vers un répertoire de votre choix, avec

la commande suivante.

git clone https://github.com/aws/efs-utils

Maintenant que vous avez le package, vous pouvez l'installer. Cette installation est gérée différemmentselon la distribution Linux de votre client sur site. Les distributions suivantes sont prises en charge :

• Amazon Linux 2• Amazon Linux• Red Hat Enterprise Linux (et dérivés telles que CentOS) version 7 et versions ultérieures• Ubuntu 16.04 LTS et les versions plus récentes

158



Amazon Elastic File System Guide de l'utilisateurÉtape 3 : Monter le système de fichiers

Amazon EFS sur votre client sur site

Pour générer et installer amazon-efs-utils sous la forme d'un package RPM



make rpm

Note

Si vous ne l'avez pas déjà fait, installez le package rpm-builder à l'aide de la commandesuivante :

sudo yum -y install rpm-build


sudo yum -y install build/amazon-efs-utils*rpm

Pour générer et installer amazon-efs-utils sous la forme d'un package deb



./build-deb.sh


sudo apt-get install build/amazon-efs-utils*deb

Une fois que le package est installé, configurez les outils amazon-efs-utils pour les utiliser dans votrerégion AWS avec AWS Direct Connect.

Pour configurer amazon-efs-utils pour les utiliser dans votre région AWS

1. Dans l'éditeur de texte de votre choix, ouvrez le fichier /etc/amazon/efs/amazon-efs-utils.conf pour le modifier.

2. Recherchez la ligne “dns_name_format = {fs_id}.efs.{region}.amazonaws.com”.3. Remplacez {region} par l'ID de votre région AWS, par exemple us-west-2.

Maintenant que le package amazon-efs-utils est installé et configuré, vous pouvez monter votre système defichiers sur votre client sur site.

Étape 3 : Monter le système de fichiers Amazon EFSsur votre client sur sitePour monter le système de fichiers EFS sur votre client sur site, vous devez d'abord ouvrir un terminal survotre client Linux sur site. Pour monter le système, vous avez besoin de l'ID du système de fichiers, del'adresse IP de cible de montage pour l'une de vos cibles de montage et de la région AWS du système de

159

Amazon Elastic File System Guide de l'utilisateurÉtape 3 : Monter le système de fichiers

Amazon EFS sur votre client sur site

fichiers. Si vous avez créé plusieurs cibles de montage pour votre système de fichiers, vous pouvez choisirl'une d'elles.

Lorsque vous avez ces informations, vous pouvez monter votre système de fichiers en trois étapes :

1. Choisissez votre adresse IP préférée de la cible de montage dans la zone de disponibilité. Vous pouvezmesurer la latence de vos clients Linux sur site. Pour ce faire, utilisez un outil basé sur le terminalcomme ping sur l'adresse IP de vos instances EC2 dans des zones de disponibilité différentes pourtrouver celle avec la latence la plus faible.

2. Ajoutez une entrée à votre fichier /etc/hosts local avec l'ID du système de fichiers et l'adresse IP dela cible de montage, au format suivant.

mount-target-IP-Address file-system-ID.efs.region.amazonaws.com

Example

192.0.2.0 fs-12345678.efs.us-west-2.amazonaws.com

3. Créez un répertoire local sur lequel monter le système de fichiers.

Example

mkdir ~/efs

4. Exécutez la commande mount pour monter le système de fichiers.

Example

sudo mount -t efs fs-12345678 ~/efs

Si vous souhaitez utiliser le chiffrement des données en transit, votre commande de montage doit seprésenter comme suit.

Example

sudo mount -t efs -o tls fs-12345678 ~/efs

Maintenant que vous avez monté votre système de fichiers Amazon EFS, vous pouvez le tester avec laprocédure suivante.

Pour tester la connexion du système de fichiers Amazon EFS

1. Remplacez les répertoires par le nouveau répertoire que vous avez créé à l'aide de la commandesuivante.

$ cd ~/efs

2. Créez un sous-répertoire et modifiez la propriété de ce sous-répertoire pour votre utilisateur del'instance EC2. Ensuite, accédez à ce nouveau répertoire à l'aide des commandes suivantes.

$ sudo mkdir getting-started$ sudo chown ec2-user getting-started$ cd getting-started

3. Créez un fichier texte contenant la commande suivante.

160




4. Affichez le contenu du répertoire à l'aide de la commande suivante.

$ ls -al

Le fichier suivant est alors créé.

-rw-rw-r-- 1 username username 0 Nov 15 15:32 test-file.txt

Vous pouvez également monter votre système de fichiers automatiquement en ajoutant une entrée aufichier /etc/fstab. Pour plus d'informations, consultez Montage automatique de votre système defichiers EFS Amazon (p. 75).

Warning

Utilisez l'option _netdev, utilisée pour identifier les systèmes de fichiers réseau lors du montageautomatique de votre système de fichiers. Si l'option _netdev est manquante, votre instanceEC2 peut cesser de répondre. Cela s'explique par le fait que les systèmes de fichiers réseaudoivent être initialisés après le démarrage de la mise en réseau de l'instance de calcul. Pour plusd'informations, consultez Le montage automatique échoue et l'instance ne répond pas (p. 123).

Étape 4 : Nettoyer les ressources et protéger votrecompte AWSUne fois que vous avez suivi cette procédure, ou si vous ne voulez pas aller plus avant, vous devez suivreles étapes suivantes pour nettoyer vos ressources et protéger votre compte AWS.

Pour nettoyer les ressources et protéger votre compte AWS

1. Démontez le système de fichiers Amazon EFS. à l'aide de la commande suivante.

$ sudo umount ~/efs

2. Ouvrez la console Amazon EFS à l'adresse https://console.aws.amazon.com/efs/.3. Choisissez le système de fichiers Amazon EFS. que vous souhaitez supprimer dans la liste des

systèmes de fichiers.4. En regard de Actions, choisissez Delete file system.5. Dans la boîte de dialogue Permanently delete file system, saisissez l'ID de système de fichiers du

système de fichiers Amazon EFS que vous voulez supprimer, puis choisissez Delete File System.6. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.7. Dans le volet de navigation, choisissez Security Groups.8. Sélectionnez le nom du groupe de sécurité auquel vous avez ajouté la règle de cette procédure.

Warning

Ne supprimez pas le groupe de sécurité par défaut pour votre VPC.9. Pour Actions, choisissez Modifier les règles entrantes.10. Choisissez le X à la fin de la règle entrante que vous ajoutée, puis choisissez Enregistrer.

161



Amazon Elastic File System Guide de l'utilisateurProcédure 6 : Application du chiffrement sur

un système de fichiers Amazon EFS au repos

Procédure 6 : Application du chiffrement sur unsystème de fichiers Amazon EFS au repos

Vous trouverez ci-après des informations sur la façon d'appliquer le chiffrement au repos à l'aide deAmazon CloudWatch et AWS CloudTrail. Cette procédure repose sur le livre blanc AWS Chiffrer lesdonnées au repos avec Amazon EFS Encrypted File Systems.

Note

Actuellement, vous ne pouvez pas appliquer le chiffrement en transit.

Application du chiffrement au reposVotre organisation peut exiger le chiffrement au repos de toutes les données qui répondent àune classification spécifique ou qui sont associées à une application, une charge de travail ou unenvironnement spécifiques. Vous pouvez appliquer des stratégies pour le chiffrement des données aurepos pour les systèmes de fichiers Amazon EFS en utilisant des contrôles de détection. Ces contrôlesdétectent la création d'un système de fichiers et vérifient que le chiffrement au repos est activé.

Si un système de fichiers qui ne possède pas de chiffrement au repos est détecté, vous pouvez répondred'un certain nombre de façons. Celles-ci vont de la suppression du système de fichiers et des cibles demontage à la notification d'un administrateur.

Si vous souhaitez supprimer un système de fichiers au repos non chiffré, mais que vous souhaitezconserver les données, vous devez d'abord créer un nouveau système de fichiers chiffrés au repos.Ensuite, copiez les données vers le nouveau système de fichiers chiffrés au repos. Une fois que lesdonnées sont copiées, vous pouvez supprimer le système de fichiers non chiffrés au repos.

Détection des systèmes de fichiers non chiffrés au reposVous pouvez créer une alarme CloudWatch pour surveiller les journaux CloudTrail pour l'événementCreateFileSystem. Vous pouvez ensuite déclencher l'alarme pour informer un administrateur si lesystème de fichiers qui a été créé a été chiffré au repos.

Créer un filtre de métriquePour créer une alarme CloudWatch qui se déclenche lorsqu'un système de fichiers Amazon EFS nonchiffrés est créé, utilisez la procédure suivante.

Avant de commencer, vous devez avoir créé un journal d'activité qui envoie les journaux CloudTrail àun groupe de journaux CloudWatch Logs. Pour plus d'informations, consultez Envoi d'événements auxjournaux CloudWatch dans le AWS CloudTrail User Guide.

Pour créer un filtre de métrique

1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le volet de navigation, sélectionnez Logs.3. Dans la liste des groupes de journaux, choisissez le groupe de journaux que vous avez créé pour les

événements de journaux CloudTrail.4. Choisissez Create Metric Filter.5. Sur la page Define Logs Metric Filter (Définir le filtre des métriques de journaux), choisissez Filter

Pattern (Modèle de filtre), puis saisissez ce qui suit :

{ ($.eventName = CreateFileSystem) && ($.responseElements.encrypted IS FALSE) }

6. Choisissez Assign Metric.

162

https://d1.awsstatic.com/whitepapers/Security/amazon-efs-encrypted-filesystems.pdf

https://d1.awsstatic.com/whitepapers/Security/amazon-efs-encrypted-filesystems.pdf

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html

http://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html


Amazon Elastic File System Guide de l'utilisateurApplication du chiffrement au repos

7. Pour Filter Name (Nom du filtre), tapez UnencryptedFileSystemCreated.8. Dans Metric Namespace, tapez CloudTrailMetrics.9. Dans Metric Name (Nom de métrique), tapez UnencryptedFileSystemCreatedEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.

Créer une alarmeUne fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.

Pour créer une alarme

1. Sous Filters (Filtres) pour la page Log_Group_Name, à côté du nom du filtreUnencryptedFileSystemCreated, choisissez Create Alarm (Créer une alarme).

2. Sur la page Create Alarm (Créer une alarme), définissez les paramètres suivants :

• Pour Name (Nom), tapez Unencrypted FileSystem Created.• Pour Whenever (Lorsque :), procédez comme suit :

• Définissez is sur > =1.• Définissez for: sur 1 période consécutive.

• Pour Treat missing data as (Traiter les données manquantes comme), choisissez good (notbreaching threshold) (bonnes (seuil non dépassé)).

• Pour Actions, procédez comme suit :• Pour Whenever this alarm, sélectionnez State is ALARM.• Pour Envoyer les notifications à, choisissez NotifyMe, choisissez Nouvelle liste, puis tapez un nom

de rubrique unique pour la liste.• Dans Email list (Liste d'e-mails), saisissez l'adresse e-mail où vous souhaitez que les notifications

soient envoyées. Vous recevrez un e-mail à cette adresse afin de confirmer que vous avez créécette alarme.

• Pour Alarm Preview (Aperçu d'une alarme), procédez comme suit :• Pour Period (Période), choisissez 1 Minute.• Pour Statistic (Statistiques), choisissez Standard et Sum (Somme).

3. Sélectionnez Create Alarm.

Test de l'alarme pour la création de systèmes de fichiers nonchiffrésVous pouvez tester l'alarme en créant un système de fichiers au repos non chiffrés, comme suit.

Pour tester l'alarme en créant un système de fichiers au repos non chiffrés

1. Ouvrez la console Amazon EFS à l'adresse https://console.aws.amazon.com/efs.2. Choisissez Create File System.3. Dans la liste VPC, choisissez votre VPC par défaut.4. Choisissez toutes les zones de disponibilité. Assurez-vous que les sous-réseaux par défaut, les

adresses IP automatiques et les groupes de sécurité par défaut sont choisis. Il s'agit de vos cibles demontage.

5. Choisissez Next Step.

163

https://console.aws.amazon.com/efs

Amazon Elastic File System Guide de l'utilisateurProcédure 7 : Synchroniser les fichiers d'un système

de fichiers sur site en utilisant EFS File Sync

6. Nommez votre système de fichiers et conservez Enable encryption (Activer le chiffrement) non cochépour créer un système de fichiers non chiffrés.

7. Choisissez Next Step.8. Choisissez Create File System.

Votre journal de suivi journalise l'opération CreateFileSystem et transmet l'événement à votre groupede journaux CloudWatch Logs. L'événement déclenche votre alarme de métrique et CloudWatch Logs vousenvoie une notification à propos de la modification.

Procédure 7 : Synchroniser les fichiers d'unsystème de fichiers sur site vers Amazon EFS enutilisant EFS File Sync

Cette procédure montre les étapes permettant de synchroniser des fichiers d'un système de fichiers sur sitevers Amazon EFS à l'aide d'EFS File Sync.

Rubriques• Avant de commencer (p. 164)• Étape 1 : Créer un agent de synchronisation (p. 165)• Étape 2 : Créer une tâche de synchronisation (p. 166)• Étape 3 : Synchroniser votre système de fichiers source vers Amazon EFS (p. 168)• Étape 4 : Accéder à vos fichiers (p. 169)• Étape 5 : Nettoyage (p. 169)

Avant de commencerDans cette procédure, nous présupposons ce qui suit :

• Vous avez un serveur de fichiers Network File System (NFS) dans votre centre de données sur site.• Vous avez un hyperviseur VMware ESXi hôte dans votre centre de données sur site.• Vous avez créé un système de fichiers Amazon EFS. Si vous n'avez pas de système de fichiers Amazon

EFS, créez-en un maintenant et revenez à cette procédure une fois que vous avez terminé. Pour plusd'informations sur la façon de créer un système de fichiers Amazon EFS, consultez Mise en route avecAmazon Elastic File System (p. 11).

Vous pouvez copier de manière efficace et sécurisée vos fichiers via Internet ou utiliser AWS DirectConnect. Pour plus d'informations sur l'utilisation d'AWS Direct Connect, consultez Procédure 5 : Créer etmonter un système de fichiers sur site avec AWS Direct Connect (p. 156).

164

Amazon Elastic File System Guide de l'utilisateurÉtape 1 : Créer un agent de synchronisation

Étape 1 : Créer un agent de synchronisationPour créer un agent de synchronisation, vous téléchargez une image de machine virtuelle (VM) et vous ladéployez dans votre environnement sur site de façon à pouvoir monter votre système de fichiers source.Une fois l'image déployée, vous devez activer l'agent afin de l'associer en toute sécurité à votre compteAWS.

Pour créer un agent de synchronisation pour des données sur site

1. Ouvrez la console de gestion Amazon EFS à l'adresse https://console.aws.amazon.com/efs/.2. Choisissez Synchronisations de fichiers. Si vous n'avez pas encore utilisé EFS File Sync dans cette

région AWS, vous voyez une page d'introduction. Choisissez Get started (Mise en route) pour ouvrir lapage Select a host platform (Sélectionner une plateforme hôte).

Si vous avez déjà utilisé EFS File Sync dans cette région AWS, choisissez Agents dans le voletgauche, puis Create sync agent (Créer un agent de synchronisation) pour ouvrir la page Select a hostplatform (Sélectionner une plateforme hôte).

3. Sur la page Sélectionner la plateforme hôte, choisissez VMware ESXi, puis Télécharger une image.L'image de machine virtuelle (VM) commence à être téléchargée.

4. Une fois le téléchargement terminé, déployez la machine virtuelle sur votre hyperviseur VMware ESXiet utilisez le client VMware pour configurer la machine virtuelle. Nous recommandons une machinevirtuelle avec 4 vCPU, 32 Go de mémoire, 10 gigabits de réseau et 80 Go de volume racine.

5. Démarrez la machine virtuelle, puis notez son adresse IP. Cette machine virtuelle doit être en mesurede monter votre système de fichiers source à l'aide de NFS.

Note

Bien que ce ne soit pas obligatoire, nous vous recommandons d'utiliser des contrôleurs deréseau paravirtualisés pour la machine virtuelle VMware ESXi.Vous n'avez pas besoin d'ajouter de disques supplémentaires à la machine virtuelle. EFS FileSync utilise uniquement le disque racine.

6. Sur la console Amazon EFS, sélectionnez Next : Connect to agent (Suivant : Se connecter à l'agent).7. Pour IP address (Adresse IP), saisissez l'adresse IP de la machine virtuelle, puis choisissez Next:

Activate agent (Suivant : Activer l'agent). Votre navigateur va se connecter à cette adresse IP pourobtenir une clé d'activation unique à partir de votre agent de synchronisation. Cette clé associe defaçon sécurisée votre agent de synchronisation à votre compte AWS. Il n'est pas nécessaire que cetteadresse IP soit accessible à partir de l'extérieur de votre réseau, mais elle doit être accessible à partirde votre navigateur.

8. Sur la page Activate agent (Activer l'agent), saisissez le nom de votre agent de synchronisation, puischoisissez Activate agent (Activer l'agent).

À ce stade, vous devez voir votre agent de synchronisation activé sur la console Amazon EFS.

165


Amazon Elastic File System Guide de l'utilisateurÉtape 2 : Créer une tâche de synchronisation

Étape 2 : Créer une tâche de synchronisationCréez une tâche de synchronisation et configurez les systèmes de fichiers source et de destination.

Pour créer une tâche de synchronisation

1. Choisissez Create sync task (Créer une tâche de synchronisation). La page Configure source location(Configurer l'emplacement source) s'affiche.

2. Fournissez les informations suivantes pour le système de fichiers source :

• Pour NFS server (Serveur NFS), tapez le nom de domaine ou l'adresse IP du serveur NFS source.• Pour Mount Path (Chemin de montage), tapez le chemin de montage de votre système de fichiers

source.• Pour Agent, choisissez l'agent de synchronisation que vous avez créé précédemment.

3. Choisissez Next: Configure destination (Suivant : Configurer la destination). La page Configuredestination location (Configurer l'emplacement de destination) s'affiche.

4. Fournissez les informations suivantes pour le système de fichiers de destination :

• Pour Amazon EFS file system (Système de fichiers Amazon EFS), choisissez le système de fichiersEFS vers lequel effectuer la synchronisation. Si vous n'avez pas de système de fichiers AmazonEFS, créez-en un maintenant et reprenez cette procédure une fois que vous avez terminé. Pour plusd'informations sur la façon de créer un système de fichiers Amazon EFS, consultez Mise en routeavec Amazon Elastic File System (p. 11).

• Pour File system path (Chemin du système de fichiers), tapez le chemin du système de fichiers surlequel écrire les données. Ce chemin doit exister dans le système de fichiers de destination.

166


• Pour Security Group (Groupe de sécurité), choisissez un groupe de sécurité permettant l'accès ausystème de fichiers Amazon EFS que vous avez sélectionné.

5. Choisissez Next: Configure settings (Suivant : Configurer les paramètres). La page Configure syncsettings (Configurer les paramètres de synchronisation) s'affiche.

6. Configurez les paramètres par défaut que cette tâche de synchronisation devra utiliser pour lasynchronisation de vos fichiers :

Note

Vous pouvez remplacer ces paramètres ultérieurement lorsque vous démarrez une tâche desynchronisation.

• Choisissez Ownership (User/Group ID) (Propriété (ID utilisateur/groupe)) pour copier les IDutilisateur et groupe à partir des fichiers source.

• Choisissez Permissions (Autorisations) pour copier les autorisations des fichiers source.• Choisissez Timestamps (Horodatages) pour copier les horodatages à partir des fichiers source.• Choisissez File deletion (Suppression des fichiers) pour conserver tous les fichiers de la destination

qui sont introuvables dans le système de fichier source. Si cette case est désélectionnée, tous lesfichiers de la destination qui sont introuvables dans le système de fichier source sont supprimés.

• Choisissez Verification mode (Mode vérification) pour vérifier que le système de fichiers dedestination est une copie exacte du système de fichiers source, une fois la tâche de synchronisationterminée. Si vous ne choisissez pas cette option, seules les données transférées sont vérifiées.Les modifications apportées aux fichiers pendant leur transfert et celles apportées aux fichiers quine sont pas en cours de transfert ne seront pas détectées. Nous vous recommandons de choisir lavérification complète.

7. Choisissez Next: Review and Create (Suivant : Vérifier et créer), puis vérifiez les paramètres de latâche de synchronisation. Lorsque vous êtes prêt, choisissez Create sync task (Créer une tâche desynchronisation).

167

Amazon Elastic File System Guide de l'utilisateurÉtape 3 : Synchroniser votre systèmede fichiers source vers Amazon EFS

Votre tâche de synchronisation est créée. Le statut de la tâche apparaît comme Disponible une fois que lessystèmes de fichiers source et de destination ont été montés.

L'onglet Details (Détails) affiche le statut et les paramètres de vos systèmes de fichiers source et dedestination.

Étape 3 : Synchroniser votre système de fichierssource vers Amazon EFSMaintenant que vous avez une tâche de synchronisation, vous pouvez la lancer pour commencer lasynchronisation des fichiers du système de fichiers source vers le système de fichiers Amazon EFS dedestination.

Pour synchroniser le système de fichiers source

1. Sur la page Tâches, choisissez la tâche de synchronisation que vous venez de créer. L'onglet Détailsaffiche le statut de votre tâche de synchronisation.

2. Dans le menu Actions, sélectionnez Start (Démarrer).3. Dans la boîte de dialogue Start sync task (Démarrer la tâche de synchronisation), vous pouvez

modifier les paramètres de votre tâche de synchronisation et choisir Start (Démarrer).

4. Choisissez Start (Démarrer) pour lancer la synchronisation des fichiers.

168

Amazon Elastic File System Guide de l'utilisateurÉtape 4 : Accéder à vos fichiers

5. Une fois la tâche de synchronisation démarrée, la colonne Status (Statut) affiche la progression dela tâche. Lorsque la tâche de synchronisation commence la préparation, le statut passe de Starting(Démarrage en cours) à Preparing (Préparation en cours). Lorsque la tâche commence à synchroniserles fichiers, le statut passe de Preparing (Préparation en cours) à Syncing (Synchronisation en cours).Lorsque la vérification de la cohérence des fichiers commence, le statut devient Verifying (Vérificationen cours). Une fois la tâche de synchronisation terminée, le statut devient Success (Opérationréussie).

Étape 4 : Accéder à vos fichiersPour accéder à vos fichiers, connectez-vous au système de fichiers Amazon EFS à partir d'une instanceAmazon EC2 ou utilisez AWS Direct Connect.

Pour plus d'informations sur la façon de se connecter en utilisant Amazon EC2, consultez Connexion àvotre instance Amazon EC2 et montage du système de fichiers Amazon EFS.

Pour plus d'informations sur la façon de se connecter en utilisant AWS Direct Connect, consultezProcédure 5 : Créer et monter un système de fichiers sur site avec AWS Direct Connect (p. 156).

Étape 5 : NettoyageSi vous n'avez plus besoin des ressources que vous avez créées, vous devez les supprimer:

• Supprimez la tâche que vous avez créée. Pour plus d'informations, consultez Suppression d'une tâchede synchronisation (p. 58).

• Supprimez l'agent de synchronisation que vous avez créé. Cela ne supprime pas la machine virtuelle quevous avez déployée sur votre hyperviseur sur site.

• Nettoyez les ressources Amazon EFS que vous avez créées. Pour plus d'informations, consultez Étape5 : Nettoyer les ressources et protéger votre compte AWS (p. 18).

Procédure 8 : Synchroniser un système de fichiersà partir d'Amazon EC2 vers Amazon EFS à l'aided'EFS File Sync

Cette procédure montre les étapes permettant de synchroniser des fichiers d'un système de fichiers dansAWS vers Amazon EFS à l'aide d'EFS File Sync.

Rubriques

169

http://docs.aws.amazon.com/efs/latest/ug/gs-step-three-connect-to-ec2-instance.html



• Avant de commencer (p. 170)• Étape 1 : Créer un agent de synchronisation (p. 170)• Étape 2 : Créer une tâche de synchronisation (p. 172)• Étape 3 : Synchroniser votre système de fichiers source vers Amazon EFS (p. 174)• Étape 4 : Accéder à vos fichiers (p. 175)• Étape 4 : Nettoyage (p. 175)

Avant de commencerDans cette procédure, nous présupposons ce qui suit :

• Vous disposez d'un serveur de fichiers NFS (Network File System) sur une instance Amazon EC2.• Vous avez créé un système de fichiers Amazon EFS. Si vous n'avez pas de système de fichiers Amazon

EFS, créez-en un maintenant et revenez à cette procédure une fois que vous avez terminé. Pour plusd'informations sur la façon de créer un système de fichiers Amazon EFS, consultez Mise en route avecAmazon Elastic File System (p. 11).

Étape 1 : Créer un agent de synchronisationPour créer un agent de synchronisation dans Amazon EC2, vous allez utiliser l'AMI fournie pour créer uneinstance Amazon EC2 qui peut monter le système de fichiers source dans votre environnement AWS. Cetteinstance Amazon EC2 s'exécute dans la même région AWS que votre système de fichiers source. Une foisl'instance déployée, vous devez activer l'agent afin de l'associer en toute sécurité à votre compte AWS.

Pour créer un agent de synchronisation pour les données dans AWS

1. Ouvrez la console de gestion Amazon EFS à l'adresse https://console.aws.amazon.com/efs/ etchoisissez la région AWS dans laquelle vous avez créé votre système de fichiers source.

2. Choisissez Synchronisations de fichiers. Si vous n'avez pas utilisé EFS File Sync dans cette régionAWS, vous voyez une page d'introduction. Choisissez Get started (Mise en route) pour ouvrir la pageSelect a host platform(Sélectionner une plateforme hôte).

Si vous avez déjà utilisé EFS File Sync dans cette région AWS, choisissez Agents dans le voletgauche, puis Create sync agent (Créer un agent de synchronisation) pour ouvrir la page Select a hostplatform (Sélectionner une plateforme hôte).

3. Dans Select a host platform (Sélectionner une plateforme hôte), choisissez Amazon EC2, choisissez larégion AWS dans laquelle se trouve votre système de fichiers source, puis choisissez Launch instance(Lancer une instance). Vous êtes alors redirigé vers la page Choose an Instance Type (Choisir un typed'instance) de la console de gestion Amazon EC2 dans cette région AWS, où vous pouvez choisir untype d'instance.

170


Amazon Elastic File System Guide de l'utilisateurÉtape 1 : Créer un agent de synchronisation

Note

Un agent de synchronisation synchronise des fichiers vers les systèmes de fichiers EFS dela région AWS dans laquelle l'agent de synchronisation est activé. Les tarifs Amazon EC2standard s'appliquent à l'instance.

4. Sur la page Choose an Instance Type, choisissez la configuration matérielle de votre instance.Lorsque vous déployez votre agent de synchronisation sur Amazon EC2, nous vous recommandonsde choisir l'un des types d'instance Mémoire optimisée pour votre agent de synchronisation. La tailled'instance que vous choisissez doit être au moins xlarge.

5. Sélectionnez Next: Configure Instance Details.6. Sur la page Configure Instance Details, choisissez une valeur pour Auto-assign Public IP. Si vous

voulez que votre instance soit accessible depuis l'Internet public, définissez Attribuer automatiquementl'adresse IP publique sur Activer. Sinon, définissez Attribuer automatiquement l'adresse IP publique surDésactiver.

7. Choisissez Suivant : Ajouter le stockage, puis Suivant : Ajouter des balises. L'agent EFS File Syncutilise le volume racine et n'a pas besoin de stockage supplémentaire.

8. Sur la page Ajouter des balises, vous pouvez éventuellement ajouter des balises à votre instance.Choisissez ensuite Next: Configure Security Group.

9. Sur la page Configurer le groupe de sécurité, ajoutez des règles de pare-feu pour qu'un traficspécifique accède à votre instance. Vous pouvez créer un nouveau groupe de sécurité ou sélectionnerun groupe de sécurité existant.

Important

Au minimum, votre groupe de sécurité doit autoriser l'accès entrant au port HTTP 80 à partirde votre navigateur web pour activer votre agent de synchronisation.

10. Choisissez Vérifier et lancer pour vérifier votre configuration, puis Lancer pour lancer votre instance.Nous recommandons de sélectionner une paire de clés existante ou de créer une nouvelle paire declés pour votre instance. Cette paire de clés n'est pas nécessaire pour un fonctionnement normald'EFS File Sync, mais elle peut être nécessaire si vous contactez AWS pour obtenir de l'aide.

Une page de confirmation apparaît pour indiquer que l'instance est en cours de lancement.11. Sélectionnez View Instances pour fermer la page de confirmation et revenir à la console. Sur l'écran

Instances, vous pouvez afficher le statut de votre instance. Il suffit de peu de temps pour lancer uneinstance. Lorsque vous lancez une instance, son état initial est pending. Une fois que l'instance adémarré, son état devient running et elle se voit affecter un nom DNS public et une adresse IP.

12. Choisissez votre instance et prenez note de l'adresse IP publique dans l'onglet Description. Vousutiliserez cette adresse IP pour vous connecter à votre agent de synchronisation.

Note

L'adresse IP n'a pas besoin d'être accessible depuis l'extérieur de votre réseau.

171


Important

Si votre système de fichiers source et votre système de fichiers Amazon EFS de destinationsont dans différentes régions AWS, vous ouvrez la console Amazon EFS dans la région AWSdans laquelle se trouve votre système de fichiers Amazon EFS de destination pour vousconnecter.

13. Choisissez File syncs (Synchronisations de fichiers), Create sync agent (Créer un agent desynchronisation), puis choisissez Next: Connect to agent (Suivant : Se connecter à l'agent) sur la pageSelect host platform (Sélectionner une plateforme hôte).

14. Pour Adresse IP, saisissez l'adresse IP de l'instance Amazon EC2, puis choisissez Next: Activateagent (Suivant : Activer l'agent). Votre navigateur va se connecter à cette adresse IP pour obtenir uneclé d'activation unique à partir de votre agent de synchronisation. Cette clé associe de façon sécuriséevotre agent de synchronisation à votre compte AWS. Il n'est pas nécessaire que cette adresse IPsoit accessible à partir de l'extérieur de votre réseau, mais elle doit être accessible à partir de votrenavigateur.

15. Sur la page Activate agent (Activer l'agent), saisissez le nom de votre agent de synchronisation, puischoisissez Activate agent (Activer l'agent).

À ce stade, vous devez voir votre agent de synchronisation activé sur la console Amazon EFS.

Étape 2 : Créer une tâche de synchronisationCréez une tâche de synchronisation et configurez les systèmes de fichiers source et de destination.

Pour créer une tâche de synchronisation

1. Choisissez Create sync task (Créer une tâche de synchronisation). La page Configure source location(Configurer l'emplacement source) s'affiche.

2. Fournissez les informations suivantes pour le système de fichiers source :

• Pour NFS server (Serveur NFS), tapez le nom de domaine ou l'adresse IP du serveur NFS source.• Pour Mount Path (Chemin de montage), tapez le chemin de montage de votre système de fichiers

source.• Pour Agent, choisissez l'agent de synchronisation que vous avez créé précédemment.

3. Choisissez Next: Configure destination (Suivant : Configurer la destination). La page Configuredestination location (Configurer l'emplacement de destination) s'affiche.

172


4. Fournissez les informations suivantes pour le système de fichiers de destination :

• Pour Amazon EFS file system (Système de fichiers Amazon EFS), choisissez le système de fichiersEFS vers lequel effectuer la synchronisation. Si vous n'avez pas de système de fichiers AmazonEFS, créez-en un maintenant et reprenez cette procédure une fois que vous avez terminé. Pour plusd'informations sur la façon de créer un système de fichiers Amazon EFS, consultez Mise en routeavec Amazon Elastic File System (p. 11).

• Pour File system path (Chemin du système de fichiers), tapez le chemin du système de fichiers surlequel écrire les données. Ce chemin doit exister dans le système de fichiers de destination.

• Pour Security Group (Groupe de sécurité), choisissez un groupe de sécurité permettant l'accès ausystème de fichiers Amazon EFS que vous avez sélectionné.

5. Choisissez Next: Configure settings (Suivant : Configurer les paramètres). La page Configure syncsettings (Configurer les paramètres de synchronisation) s'affiche.

6. Configurez les paramètres par défaut que cette tâche de synchronisation devra utiliser pour lasynchronisation de vos fichiers :

Note

Vous pouvez remplacer ces paramètres ultérieurement lorsque vous démarrez une tâche desynchronisation.

• Choisissez Ownership (User/Group ID) (Propriété (ID utilisateur/groupe)) pour copier les IDutilisateur et groupe à partir des fichiers source.

• Choisissez Permissions (Autorisations) pour copier les autorisations des fichiers source.

173

Amazon Elastic File System Guide de l'utilisateurÉtape 3 : Synchroniser votre systèmede fichiers source vers Amazon EFS

• Choisissez Timestamps (Horodatages) pour copier les horodatages à partir des fichiers source.• Choisissez File deletion (Suppression des fichiers) pour conserver tous les fichiers de la destination

qui sont introuvables dans le système de fichier source. Si cette case est désélectionnée, tous lesfichiers de la destination qui sont introuvables dans le système de fichier source sont supprimés.

• Choisissez Verification mode (Mode vérification) pour vérifier que le système de fichiers dedestination est une copie exacte du système de fichiers source, une fois la tâche de synchronisationterminée. Si vous ne choisissez pas cette option, seules les données transférées sont vérifiées.Les modifications apportées aux fichiers pendant leur transfert et celles apportées aux fichiers quine sont pas en cours de transfert ne seront pas détectées. Nous vous recommandons de choisir lavérification complète.

7. Choisissez Next: Review and Create (Suivant : Vérifier et créer), puis vérifiez les paramètres de latâche de synchronisation. Lorsque vous êtes prêt, choisissez Create sync task (Créer une tâche desynchronisation).

Votre tâche de synchronisation est créée. Le statut de la tâche apparaît comme Disponible une fois que lessystèmes de fichiers source et de destination ont été montés.

L'onglet Details (Détails) affiche le statut et les paramètres de vos systèmes de fichiers source et dedestination.

Étape 3 : Synchroniser votre système de fichierssource vers Amazon EFSMaintenant que vous avez une tâche de synchronisation, vous pouvez la lancer pour commencer lasynchronisation des fichiers du système de fichiers source vers le système de fichiers EFS File Sync dedestination.

Pour synchroniser le système de fichiers source

1. Sur la page Tâches, choisissez la tâche de synchronisation que vous venez de créer. L'onglet Détailsaffiche le statut de votre tâche de synchronisation.

2. Dans le menu Actions, sélectionnez Start (Démarrer).3. Dans la boîte de dialogue Start sync task (Démarrer la tâche de synchronisation), vous pouvez

modifier les paramètres de votre tâche de synchronisation et choisir Start (Démarrer).

174

Amazon Elastic File System Guide de l'utilisateurÉtape 4 : Accéder à vos fichiers

4. Choisissez Start (Démarrer) pour lancer la synchronisation des fichiers.

5. Une fois la tâche de synchronisation démarrée, la colonne Status (Statut) affiche la progression dela tâche. Lorsque la tâche de synchronisation commence la préparation, le statut passe de Starting(Démarrage en cours) à Preparing (Préparation en cours). Lorsque la tâche commence à synchroniserles fichiers, le statut passe de Preparing (Préparation en cours) à Syncing (Synchronisation en cours).Lorsque la vérification de la cohérence des fichiers commence, le statut devient Verifying (Vérificationen cours). Une fois la tâche de synchronisation terminée, le statut devient Success (Opérationréussie).

Étape 4 : Accéder à vos fichiersPour accéder à vos fichiers, connectez-vous au système de fichiers Amazon EFS à partir d'une instanceAmazon EC2 ou utilisez AWS Direct Connect.

Pour plus d'informations sur la façon de se connecter en utilisant Amazon EC2, consultez Connexion àvotre instance Amazon EC2 et montage du système de fichiers Amazon EFS.

Pour plus d'informations sur la façon de se connecter en utilisant AWS Direct Connect, consultezProcédure 5 : Créer et monter un système de fichiers sur site avec AWS Direct Connect (p. 156).

Étape 4 : NettoyageSi vous n'avez plus besoin des ressources que vous avez créées, vous devez les supprimer afin deprotéger votre compte :

Si vous n'avez plus besoin des ressources que vous avez créées, vous devez les supprimer:

175




• Supprimez la tâche que vous avez créée. Pour plus d'informations, consultez Suppression d'une tâchede synchronisation (p. 58).

• Supprimez l'agent de synchronisation que vous avez créé. Cette opération ne supprime pas l'instanceAmazon EC2 que vous avez lancée.

• Nettoyez les ressources Amazon EFS que vous avez créées. Pour plus d'informations, consultez Étape5 : Nettoyer les ressources et protéger votre compte AWS (p. 18).

• Nettoyez votre instance si vous avez créé votre EFS File Sync sur Amazon EC2. Pour plusd'informations, consultez Étape 3 : Nettoyage de votre instance dans le Amazon EC2 Guide del'utilisateur pour les instances Linux.

176

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html#ec2-clean-up-your-instance

Amazon Elastic File System Guide de l'utilisateurAuthentification

Authentification et contrôle d'accèspour Amazon EFS

L'accès à Amazon EFS ou Amazon EFS File Sync requiert les informations d'identification qu'AWS peututiliser pour authentifier vos demandes. Ces informations d'identification doivent disposer d'autorisationsd'accès aux ressources AWS, comme un système de fichiers Amazon EFS ou une instance AmazonElastic Compute Cloud (Amazon EC2). Les sections suivantes fournissent des détails sur la façon dontvous pouvez utiliser AWS Identity and Access Management (IAM) et Amazon EFS pour contribuer àsécuriser vos ressources en contrôlant qui peut y accéder.

• Authentification (p. 177)• Contrôle d'accès (p. 178)

AuthentificationVous pouvez utiliser les types d'identité suivants pour accéder à AWS :

• Utilisateur racine du compte AWS – Lorsque vous vous inscrivez à AWS, vous fournissez une adresse demessagerie et un mot de passe qui sont associés à votre compte AWS. Il s'agit de l'utilisateur racine devotre compte AWS. Ses informations d'identification racine fournissent un accès complet à l'ensemble devos ressources AWS.

Important

Pour des raisons de sécurité, nous vous conseillons d'utiliser les informations d'utilisateurracine uniquement pour créer un administrateur, qui est un utilisateur IAM disposant desautorisations complètes sur votre compte AWS. Vous pouvez ensuite utiliser cet utilisateuradministrateur pour créer d'autres rôles et utilisateurs IAM dotés d'autorisations limitées. Pourplus d'informations, consultez Bonnes pratiques IAM et Création d'un utilisateurs administrateuret d'un groupe dans le manuel IAM Guide de l'utilisateur.

• Utilisateur IAM : un utilisateur IAM est simplement une identité au sein de votre compte AWS qui disposed'autorisations personnalisées spécifiques (par exemple, des autorisations pour créer a file system dansAmazon EFS). Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecteraux pages Web AWS sécurisées telles que AWS Management Console, les forums de discussion AWSet le AWS Support Center.

En plus de générer un nom utilisateur et un mot de passe, vous pouvez générer des clés d'accèspour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux services AWS parprogrammation, soit par le biais d'un kit SDK soit à l'aide d'AWS Command Line Interface (CLI). Lesoutils de l'interface de ligne de commande et les kits SDK utilisent les clés d'accès pour signer de façoncryptographique votre demande. Si vous n'utilisez pas les outils AWS, vous devez signer la demandevous-même. Amazon EFS supports prend en charge Signature Version 4, un protocole permettantl'authentification des demandes d'API entrantes. Pour plus d'informations sur l'authentification desdemandes, consultez la rubrique Processus de signature Signature Version 4 dans la documentationAWS General Reference.

177

http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

http://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://console.aws.amazon.com/

https://forums.aws.amazon.com/

https://console.aws.amazon.com/support/home#/

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://aws.amazon.com/tools/

https://aws.amazon.com/cli/

http://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

Amazon Elastic File System Guide de l'utilisateurContrôle d'accès

• Rôle IAM : un rôle IAM est une autre identité IAM que vous pouvez créer dans votre compte et qui

dispose d'autorisations spécifiques. Le concept ressemble à celui d'utilisateur IAM, mais le rôle IAMn'est pas associé à une personne en particulier. Un rôle IAM vous permet d'obtenir des clés d'accèstemporaires qui peuvent être utilisées pour accéder aux ressources et services AWS. Les rôles IAM avecdes informations d'identification temporaires sont utiles dans les cas suivants :

• Accès par des utilisateurs fédérés : au lieu de créer un utilisateur IAM, vous pouvez utiliser des

identités d'utilisateur préexistantes provenant d'AWS Directory Service, de votre répertoire utilisateurd'entreprise ou d'un fournisseur d'identité web. Ces derniers sont appelés utilisateurs fédérés. AWSattribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pourplus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le manuelIAM Guide de l'utilisateur.

• Administration entre comptes – Vous pouvez utiliser un rôle IAM de votre compte pour accorder

d'autres autorisations de compte AWS pour administrer les ressources Amazon EFS de votre compte.Pour obtenir un exemple, consultez le Didacticiel : Déléguer l'accès entre des comptes AWS à l'aidede rôles IAM dans le IAM Guide de l'utilisateur. Notez que vous ne pouvez pas monter de systèmes defichiers Amazon EFS depuis les VPC ou les comptes. Pour plus d'informations, consultez Gestion del'accessibilité réseau du système de fichiers (p. 48)

• &Accès au service AWS – Vous pouvez utiliser un rôle IAM de votre compte pour autoriser un service

AWS à accéder aux ressources de votre compte. Par exemple, vous pouvez créer un rôle qui permet àAmazon Redshift d'accéder à un compartiment Amazon S3 en votre nom, puis de charger les donnéesstockées dans le compartiment dans un cluster Amazon Redshift. Pour plus d'informations, consultezla rubrique Création d'un rôle pour déléguer des autorisations à un service AWS dans le IAM Guide del'utilisateur.

• Applications s'exécutant sur Amazon EC2 : vous pouvez utiliser un rôle IAM pour gérer des

informations d'identification temporaires pour les applications s'exécutant sur une instance EC2 etprocéder à des requêtes d'API AWS. Cette solution est préférable au stockage des clés d'accèsau sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible àtoutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profild'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir desinformations d'identification temporaires. Pour plus d'informations, consultez Utilisation de rôles pourdes applications s'exécutant sur Amazon EC2 dans le manuel IAM Guide de l'utilisateur.

Contrôle d'accèsVous pouvez avoir des informations d'identification valides pour authentifier vos demandes, mais à moinsd'avoir les autorisations requises, vous ne pouvez pas créer de ressources Amazon Elastic File System niaccéder à de telles ressources. Par exemple, vous devez disposer d'autorisations pour créer un systèmede fichiers Amazon EFS.

Les sections suivantes décrivent comment gérer les autorisations pour Amazon Elastic File System. Nousvous recommandons de commencer par lire la présentation.

• Présentation de la gestion des autorisations d'accès à vos ressources Amazon EFS (p. 179)• Utilisation des stratégies basées sur l'identité (stratégies IAM) pour Amazon Elastic File

System (p. 182)

178

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

Amazon Elastic File System Guide de l'utilisateurPrésentation de la gestion de l'accès

Présentation de la gestion des autorisations d'accèsà vos ressources Amazon EFS

Chaque ressource AWS appartient à un compte AWS et les autorisations permettant de créer desressources et d'y accéder sont régies par les stratégies d'autorisation. Un administrateur de compte peutattacher des stratégies d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, groupes et rôles),et certains services (tels que AWS Lambda) prennent également en charge l'attachement de stratégiesd'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilègesd'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le manuel IAMGuide de l'utilisateur.

Lorsque vous accordez des autorisations, vous décidez qui doit les obtenir, à quelles ressources cesautorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Rubriques• Opérations et ressources Amazon Elastic File System (p. 179)• Présentation de la propriété des ressources (p. 179)• Gestion de l'accès aux ressources (p. 180)• Spécification des éléments d'une stratégie : actions, effets et mandataires (p. 181)• Spécification des conditions dans une stratégie (p. 182)

Opérations et ressources Amazon Elastic File SystemDans Amazon Elastic File System, la ressource principale est un système de fichiers. Amazon Elastic FileSystem prend également en charge des types de ressources supplémentaires, la cible de montage et desbalises. Toutefois, pour Amazon EFS, vous pouvez créer des cibles de montage et des balises uniquementdans le cadre d'un système de fichiers existant. Les cibles de montage et les balises sont appelées sous-ressources.

Ces ressources et sous-ressources ont des noms ARN (Amazon Resource Name) uniques associés,comme cela est illustré dans le tableau suivant.

Amazon EFS fournit un ensemble d'opérations pour utiliser les ressources Amazon EFS. Pour obtenir laliste des opérations disponibles, consultez Amazon Elastic File System Actions (p. 191).

Présentation de la propriété des ressourcesLe compte AWS possède les ressources qui sont créés dans le compte, indépendamment de la personnequi a créé les ressources. Plus spécifiquement, le propriétaire des ressources est le compte AWS del'entité principale (à savoir, le compte racine, un utilisateur IAM ou un rôle IAM) qui authentifie la demandede création des ressources. Les exemples suivants illustrent comment cela fonctionne :

• Si vous utilisez les informations d'identification du compte racine de votre compte AWS pour créerun système de fichiers, votre compte AWS est le propriétaire de la ressource (dans Amazon EFS, laressource est le système de fichiers).

• Si vous créez un utilisateur IAM dans votre compte AWS et que vous accordez des autorisations pourcréer un système de fichiers pour cet utilisateur, celui-ci peut créer un système de fichiers. Toutefois,votre compte AWS, auquel l'utilisateur appartient, détient la ressource du système de fichiers.

179

http://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html

Amazon Elastic File System Guide de l'utilisateurGestion de l'accès aux ressources

• Si vous créez un rôle IAM dans votre compte AWS et que vous lui accordez des autorisations pour créerun système de fichiers, toute personne capable d'assumer le rôle peut créer un système de fichiers.Votre compte AWS, auquel le rôle appartient, détient la ressource du système de fichiers.

Gestion de l'accès aux ressourcesUne stratégie d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponiblespour créer des stratégies d'autorisation.

Note

Cette section décrit l'utilisation d'IAM dans le contexte d'Amazon Elastic File System. Elle nefournit pas d'informations détaillées sur le service IAM. Pour accéder à la documentation complèted'IAM, consultez Qu'est-ce qu'IAM ? du manuel IAM Guide de l'utilisateur. Pour plus d'informationssur la syntaxe et les descriptions des stratégies IAM, consultez Référence de stratégie AWS IAMdans le manuel IAM Guide de l'utilisateur.

Les stratégies attachées à une identité IAM sont qualifiées de stratégies basées sur une entité (stratégiesIAM) et les stratégies attachées à une ressource sont qualifiées de stratégies basées sur une ressource.Amazon Elastic File System. prend en charge uniquement les stratégies basées sur une identité (stratégiesIAM).

Rubriques• Stratégies basées sur une identité (stratégies IAM) (p. 180)• Stratégies basées sur une ressource (p. 181)

Stratégies basées sur une identité (stratégies IAM)Vous pouvez attacher des stratégies à des identités IAM. Par exemple, vous pouvez effectuer lesopérations suivantes :

• Lier une stratégie d'autorisations à un utilisateur ou à un groupe de votre compte – pour accorder uneautorisation d'utilisateur relative à la création d'une ressource Amazon EFS, comme un système defichiers, vous pouvez lier une stratégie d'autorisations à un utilisateur ou à un groupe auquel l'utilisateurappartient.

• Attacher une stratégie d'autorisation à un rôle (accorder des autorisations entre comptes) – Vous pouvezattacher une stratégie d'autorisation basée sur une identité à un rôle IAM pour accorder des autorisationsentre comptes. Par exemple, l'administrateur dans le Compte A peut créer un rôle pour accorder desautorisations entre comptes à un autre compte AWS (par exemple, le Compte B) ou à un service AWScomme suit :1. L'administrateur du Compte A crée un rôle IAM et attache une stratégie d'autorisation à ce rôle qui

accorde des autorisations sur les ressources dans le Compte A.2. L'administrateur du Compte A attache une stratégie d'approbation au rôle identifiant le Compte B

comme mandataire pouvant assumer ce rôle.3. L'administrateur du Compte B peut alors déléguer des autorisations pour assumer le rôle à tous

les utilisateurs figurant dans le Compte B. Cela autorise les utilisateurs du Compte B à créer desressources ou à y accéder dans le Compte A. Le mandataire dans la stratégie d'approbation peutégalement être un mandataire de service AWS si vous souhaitez accorder à un service AWS desautorisations pour assumer ce rôle.

Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion del'accès dans le manuel IAM Guide de l'utilisateur.

180

http://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html



Amazon Elastic File System Guide de l'utilisateurSpécification des éléments d'une

stratégie : actions, effets et mandataires

Voici un exemple de stratégie autorisant un utilisateur à effectuer l'action CreateFileSystem pour votrecompte AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1EFSpermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "Stmt2EC2permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]

Pour plus d'informations sur l'utilisation des stratégies basées sur une identité avec Amazon EFS,consultez Utilisation des stratégies basées sur l'identité (stratégies IAM) pour Amazon Elastic FileSystem (p. 182). Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations,consultez Identités (utilisateurs, groupes et rôles) dans le manuel IAM Guide de l'utilisateur.

Stratégies basées sur une ressourceD'autres services, tels que Amazon S3, prennent également en charge les stratégies d'autorisation baséessur une ressource. Par exemple, vous pouvez attacher une stratégie à un compartiment S3 pour gérerles autorisations d'accès à ce compartiment. Amazon Elastic File System ne prend pas en charge lesstratégies basées sur une ressource.

Spécification des éléments d'une stratégie : actions,effets et mandatairesPour chaque ressource Amazon Elastic File System (voir Opérations et ressources Amazon ElasticFile System (p. 179)), le service définit un ensemble d'opérations d'API (voir Actions (p. 191)).Pour accorder des autorisations pour ces opérations d'API, Amazon EFS définit un ensemble d'actionsque vous pouvez spécifier dans une stratégie. Par exemple, pour la ressource de système de fichiersAmazon EFS, les actions suivantes sont définies : CreateFileSystem, DeleteFileSystem etDescribeFileSystems. Notez que l'exécution d'une opération d'API peut exiger des autorisations pourplusieurs actions.

Voici les éléments les plus élémentaires d'une stratégie :

• Ressource – Dans une stratégie, vous utilisez un Amazon Resource Name (ARN) pour identifier laressource à laquelle la stratégie s'applique. Pour plus d'informations, consultez Opérations et ressourcesAmazon Elastic File System (p. 179).

• Action – Vous utilisez des mots clés d'action pour identifier les opérations de ressource quevous voulez accorder ou refuser. Par exemple, en fonction de l'Effect spécifié, l'autorisation

181

http://docs.aws.amazon.com/IAM/latest/UserGuide/id.html

Amazon Elastic File System Guide de l'utilisateurSpécification des conditions dans une stratégie

elasticfilesystem:CreateFileSystem accorde ou refuse à l'utilisateur les autorisations poureffectuer l'opération Amazon Elastic File System CreateFileSystem.

• Effet – Vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique—ce qui peut êtreun autorisation ou refus. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource,l'accès est implicitement refusé. Vous pouvez aussi explicitement refuser l'accès à une ressource, ce quevous pouvez faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une stratégie différenteaccorde l'accès.

• Mandataire – Dans les stratégies basées sur une identité (stratégies IAM), l'utilisateur auquel la stratégieest attachée est le mandataire implicite. Pour les stratégies basées sur une ressource, vous spécifiezl'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'appliqueuniquement aux stratégies basées sur une ressource). Amazon EFS ne prend pas en charge lesstratégies basées sur une ressource.

Pour plus d'informations sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultezRéférence de stratégie AWS IAM dans le manuel IAM Guide de l'utilisateur.

Pour visualiser un tableau répertoriant toutes les actions d'API Amazon Elastic File System, consultez lapage Autorisations d'API Amazon EFS : référence des actions, ressources et conditions (p. 186).

Spécification des conditions dans une stratégieLorsque vous accordez des autorisations, vous pouvez utiliser le langage de stratégie IAM pour spécifierles conditions définissant à quel moment une stratégie doit prendre effet. Par exemple, il est possibled'appliquer une stratégie après seulement une date spécifique. Pour plus d'informations sur la spécificationde conditions dans un langage de stratégie, consultez Condition dans le manuel IAM Guide de l'utilisateur.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe pas de clés decondition spécifiques à Amazon Elastic File System. Il existe toutefois des clés de condition à l'échelled'AWS que vous pouvez utiliser selon vos besoins. Pour une liste complète des clés à l'échelle d'AWS,consultez Clés disponibles pour les conditions dans le IAM Guide de l'utilisateur.

Note

N'utilisez pas la condition aws:SourceIp à l'échelle d'AWS pour les actionsCreateMountTarget, DeleteMountTarget ou ModifyMountTargetSecurityGroup.Amazon EFS met en service des cibles de montage à l'aide de sa propre adresse IP, et non avecl'adresse IP de la requête d'origine.

Utilisation des stratégies basées sur l'identité(stratégies IAM) pour Amazon Elastic File System

Cette rubrique fournit des exemples de stratégies basées sur l'identité qui montrent comment unadministrateur de compte peut lier des stratégies d'autorisations à des identités IAM (autrement dit, desutilisateurs, des groupes et des rôles) et accorder ainsi des autorisations pour effectuer des opérations surles ressources Amazon EFS.

Important

Nous vous recommandons tout d'abord d'examiner les rubriques de présentation qui détaillent lesconcepts de base et les options disponibles pour gérer l'accès à vos ressources Amazon ElasticFile System. Pour plus d'informations, consultez Présentation de la gestion des autorisationsd'accès à vos ressources Amazon EFS (p. 179).

Les sections de cette rubrique couvrent les sujets suivants :

• Autorisations requises pour utiliser la console Amazon EFS (p. 183)

182

http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition

http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys

Amazon Elastic File System Guide de l'utilisateurAutorisations requises pour utiliser la console Amazon EFS

• Stratégies gérées par AWS (prédéfinies) pour Amazon EFS (p. 184)• Exemples de stratégies gérées par le client (p. 185)

Un exemple de stratégie d'autorisation est exposé ci-dessous.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AllowFileSystemPermissions", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateFileSystem", "elasticfilesystem:CreateMountTarget" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:account-id:file-system/*" }, { "Sid" : "AllowEC2Permissions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*" } ]}

La stratégie possède deux énoncés:

• La première instruction accorde des autorisations pour deux actions Amazon EFS(elasticfilesystem:CreateFileSystem et elasticfilesystem:CreateMountTarget) surune ressource à l'aide d' Amazon Resource Name (ARN) pour le système de fichiers. L'ARN spécifie uncaractère générique (*), car vous ne connaissez pas l'ID de système de fichier tant que vous n'avez pascréé un système de fichiers.

• La deuxième instruction accorde des autorisations pour certaines actions Amazon EC2, car l'actionelasticfilesystem:CreateMountTarget dans la première instruction nécessite des autorisationspour des actions Amazon EC2 spécifiques. Etant donné que ces actions Amazon EC2 ne prennent pasen charge les autorisations de niveau ressources, la stratégie spécifie le caractère générique (*) en tantque valeur Resource au lieu de spécifier un ARN de système de fichiers.

La stratégie ne spécifie pas l'élément Principal car, dans une stratégie basée sur une identité, vous nespécifiez pas le mandataire qui obtient l'autorisation. Quand vous attachez une stratégie à un utilisateur,l'utilisateur est le mandataire implicite. Lorsque vous attachez une stratégie d'autorisation à un rôle IAM, lemandataire identifié dans la stratégie d'approbation de ce rôle obtient les autorisations.

Pour visualiser un tableau répertoriant toutes les actions d'API de Amazon Elastic File System et lesressources qu'elles appliquent, consultez Autorisations d'API Amazon EFS : référence des actions,ressources et conditions (p. 186).

Autorisations requises pour utiliser la console AmazonEFSLa table de référence des autorisations répertorie les opérations d'API Amazon EFS et affiche lesautorisations requises pour chaque opération. Pour plus d'informations sur les opérations de l'API

183

Amazon Elastic File System Guide de l'utilisateurStratégies gérées par AWS (prédéfinies) pour Amazon EFS

Amazon EFS, consultez Autorisations d'API Amazon EFS : référence des actions, ressources etconditions (p. 186).

Pour utiliser la console Amazon EFS, vous devez accorder des autorisations pour des actionssupplémentaires, comme indiqué dans les stratégies d'autorisation suivantes :

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1AddtionalEC2PermissionsForConsole", "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeVpcAttribute"

], "Resource": "*" } { "Sid" : "Stmt2AdditionalKMSPermissionsForConsole", "Effect": "Allow", "Action": [ "kms:ListAliases", "kms:DescribeKey" ], "Resource": "*" } ]}

La console Amazon EFS nécessite ces autorisations supplémentaires pour les raisons suivantes :

• Les autorisations pour les actions Amazon EFS permettent d'activer la console pour afficher lesressources Amazon EFS du compte.

• La console a besoin d'autorisations pour les actions ec2 pour interroger Amazon EC2 afin qu'elle puisseafficher les zones de disponibilité, les VPC, les groupes de sécurité et les attributs de compte.

• La console a besoin d'autorisations pour que les actions kms créent un système de fichiers chiffré.Pour plus d'informations sur les systèmes de fichiers chiffrés, consultez Chiffrement des données etmétadonnées dans EFS (p. 107).

Stratégies gérées par AWS (prédéfinies) pour AmazonEFSAWS est approprié pour de nombreux cas d'utilisation courants et fournit des stratégies IAM autonomes quisont créées et administrées par AWS. Les stratégies gérées octroient les autorisations requises dans lescas d'utilisation courants et vous évitent d'avoir à réfléchir aux autorisations qui sont requises. Pour plusd'informations, consultez Stratégies gérées par AWS dans le manuel IAM Guide de l'utilisateur.

Les stratégies gérées par AWS, répertoriées ci-dessous, que vous pouvez attacher aux utilisateurs dansvotre compte, sont spécifiques à Amazon EFS :

• AmazonElasticFileSystemReadOnlyAccess – Accorde l'accès en lecture seule aux ressources AmazonEFS.

• AmazonElasticFileSystemFullAccess – Accorde un accès complet aux ressources Amazon EFS.

184

http://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

Amazon Elastic File System Guide de l'utilisateurExemples de stratégies gérées par le client

Note

Vous pouvez consulter ces stratégies d'autorisations en vous connectant à la console IAM et en yrecherchant des stratégies spécifiques.

Vous pouvez également créer vos propres stratégies IAM personnalisées pour accorder des autorisationspour les actions d'API Amazon EFS. Vous pouvez attacher ces stratégies personnalisées aux utilisateursou groupes IAM qui nécessitent ces autorisations.

Exemples de stratégies gérées par le clientDans cette section, vous trouverez des exemples de stratégies utilisateur qui accordent des autorisationspour diverses actions Amazon EFS. Ces stratégies fonctionnent lorsque vous utilisez les kits SDK AWSou l'AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentairesspécifiques à la console, ce qui est détaillé dans Autorisations requises pour utiliser la console AmazonEFS (p. 183).

Note

Tous les exemples utilisent la région us-west-2 et contiennent des ID de compte fictifs.

Exemples• Exemple 1 : Autoriser un utilisateur à créer une cible de montage et des balises sur un système de

fichiers existant (p. 185)• Exemple 2 : Autoriser un utilisateur à effectuer toutes les actions Amazon EFS (p. 186)

Exemple 1 : Autoriser un utilisateur à créer une cible de montageet des balises sur un système de fichiers existantLa stratégie d'autorisations suivante accorde à l'utilisateur des autorisations pour créer des cibles demontage et des balises sur un système de fichiers particulier dans la région us-west-2. Pour créer descibles de montage, des autorisations pour des actions Amazon EC2 spécifiques sont également requises etsont incluses dans la stratégie d'autorisations.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1CreateMountTargetAndTag", "Effect": "Allow", "Action": [ "elasticfilesystem:CreateMountTarget", "elasticfilesystem:DescribeMountTargets", "elasticfilesystem:CreateTags", "elasticfilesystem:DescribeTags" ], "Resource": "arn:aws:elasticfilesystem:us-west-2:123456789012:file-system/file-system-ID" }, { "Sid" : "Stmt2AdditionalEC2PermissionsToCreateMountTarget", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces" ], "Resource": "*"

185

Amazon Elastic File System Guide de l'utilisateurRéférence des autorisations d'API Amazon EFS

} ]}

Exemple 2 : Autoriser un utilisateur à effectuer toutes les actionsAmazon EFSLa stratégie d'autorisations suivante utilise un caractère générique ("elasticfilesystem:*") pourautoriser toutes les actions Amazon EFS dans la région us-west-2. Etant donné que certaines actionsAmazon EFS requièrent également des autorisations pour les actions Amazon EC2, la stratégie accordeégalement des autorisations pour toutes ces actions.

{ "Version": "2012-10-17", "Statement": [ { "Sid" : "Stmt1PermissionForAllEFSActions", "Effect": "Allow", "Action": "elasticfilesystem:*", "Resource": "arn:aws:elasticfilesystem:us-west-2:123456789012:file-system/*" }, { "Sid" : "Stmt2RequiredEC2PermissionsForAllEFSActions", "Effect": "Allow", "Action": [ "ec2:DescribeSubnets", "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaceAttribute" ], "Resource": "*" } ]}

Autorisations d'API Amazon EFS : référence desactions, ressources et conditions

Lorsque vous configurez Contrôle d'accès (p. 178) et que vous créez une stratégie d'autorisation quevous pouvez attacher à une identité IAM (stratégies basées sur une identité), vous pouvez utiliser la detableaux ci-dessous comme référence. la liste inclut chaque opération d'API Amazon EFS, les actionscorrespondantes pour lesquelles vous pouvez accorder des autorisations pour exécuter l'action et laressource AWS pour laquelle vous pouvez accorder des autorisations. Vous spécifiez les actions dans lechamp Action de la stratégie ainsi que la valeur des ressources dans le champ Resource de la stratégie.

Vous pouvez utiliser des clés de condition à l'échelle d'AWS dans les stratégies Amazon EFS pourexprimer des conditions. Pour obtenir la liste complète des clés à l'échelle d'AWS, consultez Clésdisponibles dans le manuel IAM Guide de l'utilisateur.

Note

Pour spécifier une action, utilisez le préfixe elasticfilesystem: suivi du nom de l'opérationd'API (par exemple, elasticfilesystem:CreateFileSystem).

186




API Amazon EFS et autorisations requises pour les actions

CreateFileSystem (p. 192)

Action(s) : elasticfilesystem:CreateFileSystem

Ressource: arn:aws:elasticfilesystem:region:account-id:file-system/*CreateMountTarget (p. 199)

Action(s) : elasticfilesystem:CreateMountTarget, ec2:DescribeSubnets,ec2:DescribeNetworkInterfaces, ec2:CreatenetworkInterface

Ressource: arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id

CreateTags (p. 206)

Action(s) : elasticfilesystem:CreateTags


DeleteFileSystem (p. 209)

Action(s) : elasticfilesystem:DeleteFileSystem


DeleteMountTarget (p. 211)

Action(s) : elasticfilesystem:DeleteMountTarget, ec2:DeleteNetworkInterface


DeleteTags (p. 214)

Action(s) : elasticfilesystem:DeleteTags


DescribeFileSystems (p. 216)

Action(s) : elasticfilesystem:DescribeFileSystems

Ressource: arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id, arn:aws:elasticfilesystem:region:account-id:file-system/*

DescribeMountTargetSecurityGroups (p. 223)

Action(s) : elasticfilesystem:DescribeMountTargetSecurityGroups,ec2:DescribeNetworkInterfaceAttribute


DescribeMountTargets (p. 220)

Action(s) : elasticfilesystem:DescribeMountTargets


187


DescribeTags (p. 226)

Action(s) : elasticfilesystem:DescribeTags


ModifyMountTargetSecurityGroups (p. 229)

Action(s) : elasticfilesystem:ModifyMountTargetSecurityGroups, ec2:ModifyNetworkInterfaceAttribute


UpdateFileSystem (p. 232)

Action(s) : elasticfilesystem:UpdateFileSystem,elasticfilesystem:UpdateFileSystem


188

Amazon Elastic File System Guide de l'utilisateurPoint de terminaison API

API Amazon EFSL'API Amazon EFS est un protocole réseau basé sur HTTP (RFC 2616). Pour chaque appel d'API, vousprésentez une requête HTTP au point de terminaison d'API Amazon EFS spécifique à une région APIpour la région AWS où vous voulez gérer les systèmes de fichiers. L'API utilise des documents JSON(RFC 4627) pour les corps de requête/réponse HTTP.

L'API Amazon EFS est un modèle RPC. Dans ce modèle, il existe un ensemble fixe d'opérations et lasyntaxe de chaque opération est connue des clients sans aucune interaction préalable. Dans la sectionsuivante, vous pouvez trouver une description de chaque opération d'API à l'aide d'une notation RPCabstraite. Chacune a un nom d'opération qui n'apparaît pas dans le transfert. Pour chaque opération, larubrique spécifie le mapping d'éléments de requête HTTP.

L'opération Amazon EFS spécifique à laquelle est mappée une requête donnée est déterminée par unecombinaison de la méthode de la demande (GET, PUT, POST ou DELETE) et de la correspondance deRequest-URI avec l'un des différents modèles. Si l'opération est PUT ou POST, Amazon EFS extrait lesarguments d'appel du segment de chemin Request-URI, les paramètres de requête, ainsi que l'objet JSONdans le corps de la requête.

Note

Bien que les noms d'opération, tels que CreateFileSystem, n'apparaissent pas dansle transfert, ces noms ont une signification dans les stratégies AWS Identity and AccessManagement (IAM). Pour plus d'informations, consultez Authentification et contrôle d'accès pourAmazon EFS (p. 177).Le nom de l'opération est également utilisé pour nommer les commandes dans les outils de lignede commande et les éléments des API du kit de développement logiciel AWS. Par exemple, unecommande de l'AWS CLI create-file-system est mappée à l'opération CreateFileSystem.Le nom de l'opération apparaît également dans les journaux AWS CloudTrail pour les appels d'APIAmazon EFS.

Point de terminaison APILe point de terminaison API est le nom DNS utilisé en tant que hôte dans l'URI HTTP pour les appels d'API.Ces points de terminaison API sont spécifiques aux régions AWS et prennent la forme suivante.

elasticfilesystem.aws-region.amazonaws.com

Par exemple, le point de terminaison d'API Amazon EFS pour la région Région USA Ouest (Oregon) est lesuivant.

elasticfilesystem.us-west-2.amazonaws.com

Pour connaître la liste des régions AWS prises en charge par Amazon EFS (où vous pouvez créer etgérer des systèmes de fichiers), consultez la section Amazon Elastic File System dans le document AWSGeneral Reference.

Le point de terminaison API spécifique à une région définit la portée des ressources Amazon EFS quisont accessibles lorsque vous effectuez un appel d'API. Par exemple, lorsque vous appelez l'opération

189

https://www.ietf.org/rfc/rfc2616.txt


Amazon Elastic File System Guide de l'utilisateurVersion de l'API

DescribeFileSystems à l'aide du point de terminaison précédent, vous obtenez une liste de systèmesde fichiers dans la région-USA Ouest (Oregon) qui est créée dans votre compte.

Version de l'APILa version de l'API utilisée pour un appel est identifiée par le premier segment de chemin de l'URIde la demande, et sa forme est une date ISO 8601. Pour obtenir un exemple, veuillez consulterCreateFileSystem (p. 192).

La documentation décrit l'API version 2015-02-01.

Rubriques connexesLes sections suivantes fournissent des descriptions de opérations d'API, indiquent comment créer unesignature pour l'authentification de la requête et comment accorder des autorisations pour ces opérationsd'API à l'aide de stratégies IAM.

• Authentification et contrôle d'accès pour Amazon EFS (p. 177)• Actions (p. 191)• Data Types (p. 236)

Utilisation du taux de demandes de l'API Querypour Amazon EFS

Les demandes d'API Amazon EFS sont limitées pour chaque compte AWS en fonction de la région pouraider les performances de service. Tous les appels d'API Amazon EFS, s'ils proviennent d'une application,de l'AWS CLI ou de la console Amazon EFS, ne doivent pas dépasser le taux maximal autorisé dedemandes d'API. Le taux maximal de demandes d'API peut varier selon les régions AWS. Les demandesd'API effectuées par AWS Identity and Access Management (IAM) sont attribuées au compte AWS sous-jacent.

Si une demande d'API dépasse le taux de demandes d'API pour sa catégorie, la demande renvoie lecode d'erreur ThrottlingException. Pour éviter cette erreur, assurez-vous que votre applicationn'effectue pas de nouvelles tentatives de demandes d'API à un taux élevé. Vous pouvez le faire en utilisantl'interrogation avec soin et en utilisant les tentatives d'interruption exponentielle.

InterrogationVotre application peut avoir besoin d'appeler une opération d'API de façon répétée pour vérifier une mise àjour du statut. Avant de démarrer l'interrogation, indiquez la durée potentielle de la demande. Lorsque vouscommencez l'interrogation, utilisez un intervalle de veille approprié entre les demandes successives. Pourobtenir de meilleurs résultats, utilisez un intervalle de veille croissant.

Nouvelles tentatives ou traitement par lotsVotre application peut avoir besoin de relancer une demande d'API après un échec ou de traiter plusieursressources (par exemple, l'ensemble de vos systèmes de fichiers Amazon EFS). Pour réduire le taux dedemandes d'API, utilisez un intervalle de veille approprié entre les demandes successives. Pour obtenir demeilleurs résultats, utilisez un intervalle de veille croissant ou variable.

190

Amazon Elastic File System Guide de l'utilisateurCalcul de l'intervalle de veille

Calcul de l'intervalle de veilleLorsque vous devez interroger ou relancer une demande d'API, nous vous recommandons d'utiliser unalgorithme d'interruption exponentielle pour calculer l'intervalle de sommeil entre les appels d'API. L'idéesous-jacente consiste à utiliser des temps d'attente progressivement plus longs entre les tentatives en casde réponses d'erreur consécutives. Pour plus d'informations, et la mise en œuvre des exemples de cetalgorithme, consultez Nouvelles tentatives après erreur et interruption exponentielle dans AWS dans leRéférence générale d'Amazon Web Services.

ActionsThe following actions are supported:

• CreateFileSystem (p. 192)• CreateMountTarget (p. 199)• CreateTags (p. 206)• DeleteFileSystem (p. 209)• DeleteMountTarget (p. 211)• DeleteTags (p. 214)• DescribeFileSystems (p. 216)• DescribeMountTargets (p. 220)• DescribeMountTargetSecurityGroups (p. 223)• DescribeTags (p. 226)• ModifyMountTargetSecurityGroups (p. 229)• UpdateFileSystem (p. 232)

191

http://docs.aws.amazon.com/general/latest/gr/api-retries.html

Amazon Elastic File System Guide de l'utilisateurCreateFileSystem

CreateFileSystemCreates a new, empty file system. The operation requires a creation token in the request that Amazon EFSuses to ensure idempotent creation (calling the operation with same creation token has no effect). If a filesystem does not currently exist that is owned by the caller's AWS account with the specified creation token,this operation does the following:

• Creates a new, empty file system. The file system will have an Amazon EFS assigned ID, and an initiallifecycle state creating.

• Returns with the description of the created file system.

Otherwise, this operation returns a FileSystemAlreadyExists error with the ID of the existing filesystem.

Note

For basic use cases, you can use a randomly generated UUID for the creation token.

The idempotent operation allows you to retry a CreateFileSystem call without risk of creating an extrafile system. This can happen when an initial call fails in a way that leaves it uncertain whether or not afile system was actually created. An example might be that a transport level timeout occurred or yourconnection was reset. As long as you use the same creation token, if the initial call had succeeded increating a file system, the client can learn of its existence from the FileSystemAlreadyExists error.

Note

The CreateFileSystem call returns while the file system's lifecycle state is still creating. Youcan check the file system creation status by calling the DescribeFileSystems (p. 216) operation,which among other things returns the file system state.

This operation also takes an optional PerformanceMode parameter that you choose for your file system.We recommend generalPurpose performance mode for most file systems. File systems using the maxIOperformance mode can scale to higher levels of aggregate throughput and operations per second with atradeoff of slightly higher latencies for most file operations. The performance mode can't be changed afterthe file system has been created. For more information, see Amazon EFS: Performance Modes.

After the file system is fully created, Amazon EFS sets its lifecycle state to available, at which pointyou can create one or more mount targets for the file system in your VPC. For more information, seeCreateMountTarget (p. 199). You mount your Amazon EFS file system on an EC2 instances in your VPCby using the mount target. For more information, see Amazon EFS: How it Works.

This operation requires permissions for the elasticfilesystem:CreateFileSystem action.

Request Syntax

POST /2015-02-01/file-systems HTTP/1.1Content-type: application/json

{ "CreationToken": "string", "Encrypted": boolean, "KmsKeyId": "string", "PerformanceMode": "string", "ProvisionedThroughputInMibps": number, "ThroughputMode": "string"}

192

https://docs.aws.amazon.com/efs/latest/ug/performance.html#performancemodes.html

https://docs.aws.amazon.com/efs/latest/ug/how-it-works.html


URI Request ParametersThe request does not use any URI parameters.

Request BodyThe request accepts the following data in JSON format.

CreationToken (p. 192)

String of up to 64 ASCII characters. Amazon EFS uses this to ensure idempotent creation.

Type: String

Length Constraints: Minimum length of 1. Maximum length of 64.

Required: YesEncrypted (p. 192)

A Boolean value that, if true, creates an encrypted file system. When creating an encrypted file system,you have the option of specifying a CreateFileSystem:KmsKeyId (p. 193) for an existing AWS KeyManagement Service (AWS KMS) customer master key (CMK). If you don't specify a CMK, then thedefault CMK for Amazon EFS, /aws/elasticfilesystem, is used to protect the encrypted filesystem.

Type: Boolean

Required: NoKmsKeyId (p. 192)

The ID of the AWS KMS CMK to be used to protect the encrypted file system. This parameter is onlyrequired if you want to use a non-default CMK. If this parameter is not specified, the default CMK forAmazon EFS is used. This ID can be in one of the following formats:• Key ID - A unique identifier of the key, for example,1234abcd-12ab-34cd-56ef-1234567890ab.

• ARN - An Amazon Resource Name (ARN) for the key, for example, arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

• Key alias - A previously created display name for a key. For example, alias/projectKey1.• Key alias ARN - An ARN for a key alias, for example, arn:aws:kms:us-west-2:444455556666:alias/projectKey1.

If KmsKeyId is specified, the CreateFileSystem:Encrypted (p. 193) parameter must be set to true.

Type: String


Required: NoPerformanceMode (p. 192)

The PerformanceMode of the file system. We recommend generalPurpose performance modefor most file systems. File systems using the maxIO performance mode can scale to higher levels ofaggregate throughput and operations per second with a tradeoff of slightly higher latencies for most fileoperations. This can't be changed after the file system has been created.

Type: String

Valid Values: generalPurpose | maxIO

193


Required: NoProvisionedThroughputInMibps (p. 192)

The throughput, measured in MiB/s, that you want to provision for a file system that you're creating.The limit on throughput is 1024 MiB/s. You can get these limits increased by contacting AWS Support.For more information, see Amazon EFS Limits That You Can Increase in the Amazon EFS User Guide.

Type: Double

Valid Range: Minimum value of 0.0.

Required: NoThroughputMode (p. 192)

The throughput mode for the file system to be created. There are two throughput modes to choosefrom for your file system: bursting and provisioned. You can decrease your file system's throughputin Provisioned Throughput mode or change between the throughput modes as long as it’s been morethan 24 hours since the last decrease or throughput mode change.

Type: String

Valid Values: bursting | provisioned

Required: No

Response SyntaxHTTP/1.1 201Content-type: application/json

{ "CreationTime": number, "CreationToken": "string", "Encrypted": boolean, "FileSystemId": "string", "KmsKeyId": "string", "LifeCycleState": "string", "Name": "string", "NumberOfMountTargets": number, "OwnerId": "string", "PerformanceMode": "string", "ProvisionedThroughputInMibps": number, "SizeInBytes": { "Timestamp": number, "Value": number }, "ThroughputMode": "string"}

Response ElementsIf the action is successful, the service sends back an HTTP 201 response.

The following data is returned in JSON format by the service.

CreationTime (p. 194)

Time that the file system was created, in seconds (since 1970-01-01T00:00:00Z).

Type: Timestamp

194

https://docs.aws.amazon.com/efs/latest/ug/limits.html#soft-limits



Opaque string specified in the request.

Type: String

Length Constraints: Minimum length of 1. Maximum length of 64.Encrypted (p. 194)

A Boolean value that, if true, indicates that the file system is encrypted.

Type: BooleanFileSystemId (p. 194)

ID of the file system, assigned by Amazon EFS.

Type: StringKmsKeyId (p. 194)

The ID of an AWS Key Management Service (AWS KMS) customer master key (CMK) that was usedto protect the encrypted file system.

Type: String

Length Constraints: Minimum length of 1. Maximum length of 2048.LifeCycleState (p. 194)

Lifecycle phase of the file system.

Type: String

Valid Values: creating | available | updating | deleting | deletedName (p. 194)

You can add tags to a file system, including a Name tag. For more information, seeCreateTags (p. 206). If the file system has a Name tag, Amazon EFS returns the value in this field.

Type: String

Length Constraints: Maximum length of 256.NumberOfMountTargets (p. 194)

Current number of mount targets that the file system has. For more information, seeCreateMountTarget (p. 199).

Type: Integer

Valid Range: Minimum value of 0.OwnerId (p. 194)

AWS account that created the file system. If the file system was created by an IAM user, the parentaccount to which the user belongs is the owner.

Type: StringPerformanceMode (p. 194)

The PerformanceMode of the file system.

Type: String

195


Valid Values: generalPurpose | maxIOProvisionedThroughputInMibps (p. 194)

The throughput, measured in MiB/s, that you want to provision for a file system. The limit on throughputis 1024 MiB/s. You can get these limits increased by contacting AWS Support. For more information,see Amazon EFS Limits That You Can Increase in the Amazon EFS User Guide.

Type: Double

Valid Range: Minimum value of 0.0.SizeInBytes (p. 194)

Latest known metered size (in bytes) of data stored in the file system, in its Value field, and the timeat which that size was determined in its Timestamp field. The Timestamp value is the integer numberof seconds since 1970-01-01T00:00:00Z. The SizeInBytes value doesn't represent the size of aconsistent snapshot of the file system, but it is eventually consistent when there are no writes to the filesystem. That is, SizeInBytes represents actual size only if the file system is not modified for a periodlonger than a couple of hours. Otherwise, the value is not the exact size that the file system was at anypoint in time.

Type: FileSystemSize (p. 240) objectThroughputMode (p. 194)

The throughput mode for a file system. There are two throughput modes to choose from for your filesystem: bursting and provisioned. You can decrease your file system's throughput in ProvisionedThroughput mode or change between the throughput modes as long as it’s been more than 24 hourssince the last decrease or throughput mode change.

Type: String


ErrorsBadRequest

Returned if the request is malformed or contains an error such as an invalid parameter value or amissing required parameter.

HTTP Status Code: 400FileSystemAlreadyExists

Returned if the file system you are trying to create already exists, with the creation token you provided.

HTTP Status Code: 409FileSystemLimitExceeded

Returned if the AWS account has already created the maximum number of file systems allowed peraccount.

HTTP Status Code: 403InsufficientThroughputCapacity

Returned if there's not enough capacity to provision additional throughput. This value might be returnedwhen you try to create a file system in provisioned throughput mode, when you attempt to increasethe provisioned throughput of an existing file system, or when you attempt to change an existing filesystem from bursting to provisioned throughput mode.

196



HTTP Status Code: 503InternalServerError

Returned if an error occurred on the server side.

HTTP Status Code: 500ThroughputLimitExceeded

Returned if the throughput mode or amount of provisioned throughput can't be changed because thethroughput limit of 1024 MiB/s has been reached.

HTTP Status Code: 400

ExampleCreate a file system

The following example sends a POST request to create a file system in the us-west-2 region. Therequest specifies myFileSystem1 as the creation token.

Sample Request

POST /2015-02-01/file-systems HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T215117ZAuthorization: <...>Content-Type: application/jsonContent-Length: 42

{"CreationToken" : "myFileSystem1","PerformanceMode" : "generalPurpose"}

Sample Response

HTTP/1.1 201 Createdx-amzn-RequestId: 7560489e-8bc7-4a56-a09a-757ce6f4832aContent-Type: application/jsonContent-Length: 319

{ "ownerId":"251839141158", "creationToken":"myFileSystem1", "PerformanceMode" : "generalPurpose", "fileSystemId":"fs-47a2c22e", "CreationTime":"1403301078", "LifeCycleState":"creating", "numberOfMountTargets":0, "sizeInBytes":{ "value":1024, "timestamp":"1403301078" }}

See AlsoFor more information about using this API in one of the language-specific AWS SDKs, see the following:

197


• AWS Command Line Interface• AWS SDK for .NET• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3• AWS SDK for Python• AWS SDK for Ruby V2

198

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/CreateFileSystem

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/CreateFileSystem

Amazon Elastic File System Guide de l'utilisateurCreateMountTarget

CreateMountTargetCreates a mount target for a file system. You can then mount the file system on EC2 instances by using themount target.

You can create one mount target in each Availability Zone in your VPC. All EC2 instances in a VPC withina given Availability Zone share a single mount target for a given file system. If you have multiple subnets inan Availability Zone, you create a mount target in one of the subnets. EC2 instances do not need to be inthe same subnet as the mount target in order to access their file system. For more information, see AmazonEFS: How it Works.

In the request, you also specify a file system ID for which you are creating the mount target and the filesystem's lifecycle state must be available. For more information, see DescribeFileSystems (p. 216).

In the request, you also provide a subnet ID, which determines the following:

• VPC in which Amazon EFS creates the mount target• Availability Zone in which Amazon EFS creates the mount target• IP address range from which Amazon EFS selects the IP address of the mount target (if you don't specify

an IP address in the request)

After creating the mount target, Amazon EFS returns a response that includes, a MountTargetId and anIpAddress. You use this IP address when mounting the file system in an EC2 instance. You can also usethe mount target's DNS name when mounting the file system. The EC2 instance on which you mount thefile system by using the mount target can resolve the mount target's DNS name to its IP address. For moreinformation, see How it Works: Implementation Overview.

Note that you can create mount targets for a file system in only one VPC, and there can be only one mounttarget per Availability Zone. That is, if the file system already has one or more mount targets created for it,the subnet specified in the request to add another mount target must meet the following requirements:

• Must belong to the same VPC as the subnets of the existing mount targets• Must not be in the same Availability Zone as any of the subnets of the existing mount targets

If the request satisfies the requirements, Amazon EFS does the following:

• Creates a new mount target in the specified subnet.• Also creates a new network interface in the subnet as follows:

• If the request provides an IpAddress, Amazon EFS assigns that IP address to the network interface.Otherwise, Amazon EFS assigns a free address in the subnet (in the same way that the Amazon EC2CreateNetworkInterface call does when a request does not specify a primary private IP address).

• If the request provides SecurityGroups, this network interface is associated with those securitygroups. Otherwise, it belongs to the default security group for the subnet's VPC.

• Assigns the description Mount target fsmt-id for file system fs-id where fsmt-id is the mount target ID, and fs-id is the FileSystemId.

• Sets the requesterManaged property of the network interface to true, and the requesterId valueto EFS.

Each Amazon EFS mount target has one corresponding requester-managed EC2 network interface. Afterthe network interface is created, Amazon EFS sets the NetworkInterfaceId field in the mount target'sdescription to the network interface ID, and the IpAddress field to its address. If network interfacecreation fails, the entire CreateMountTarget operation fails.

199



https://docs.aws.amazon.com/efs/latest/ug/how-it-works.html#how-it-works-implementation


Note

The CreateMountTarget call returns only after creating the network interface, but while themount target state is still creating, you can check the mount target creation status by calling theDescribeMountTargets (p. 220) operation, which among other things returns the mount targetstate.

We recommend you create a mount target in each of the Availability Zones. There are cost considerationsfor using a file system in an Availability Zone through a mount target created in another Availability Zone.For more information, see Amazon EFS. In addition, by always using a mount target local to the instance'sAvailability Zone, you eliminate a partial failure scenario. If the Availability Zone in which your mount targetis created goes down, then you won't be able to access your file system through that mount target.

This operation requires permissions for the following action on the file system:

• elasticfilesystem:CreateMountTarget

This operation also requires permissions for the following Amazon EC2 actions:

• ec2:DescribeSubnets

• ec2:DescribeNetworkInterfaces

• ec2:CreateNetworkInterface

Request SyntaxPOST /2015-02-01/mount-targets HTTP/1.1Content-type: application/json

{ "FileSystemId": "string", "IpAddress": "string", "SecurityGroups": [ "string" ], "SubnetId": "string"}

URI Request ParametersThe request does not use any URI parameters.


FileSystemId (p. 200)

ID of the file system for which to create the mount target.

Type: String

Required: YesIpAddress (p. 200)

Valid IPv4 address within the address range of the specified subnet.

Type: String

Required: No

200

http://aws.amazon.com/efs/


SecurityGroups (p. 200)

Up to five VPC security group IDs, of the form sg-xxxxxxxx. These must be for the same VPC assubnet specified.

Type: Array of strings

Array Members: Maximum number of 5 items.

Required: NoSubnetId (p. 200)

ID of the subnet to add the mount target in.

Type: String

Required: Yes


{ "FileSystemId": "string", "IpAddress": "string", "LifeCycleState": "string", "MountTargetId": "string", "NetworkInterfaceId": "string", "OwnerId": "string", "SubnetId": "string"}




ID of the file system for which the mount target is intended.

Type: StringIpAddress (p. 201)

Address at which the file system can be mounted by using the mount target.

Type: StringLifeCycleState (p. 201)

Lifecycle state of the mount target.

Type: String

Valid Values: creating | available | updating | deleting | deletedMountTargetId (p. 201)

System-assigned mount target ID.

201


Type: StringNetworkInterfaceId (p. 201)

ID of the network interface that Amazon EFS created when it created the mount target.

Type: StringOwnerId (p. 201)

AWS account ID that owns the resource.

Type: StringSubnetId (p. 201)

ID of the mount target's subnet.

Type: String

ErrorsBadRequest


HTTP Status Code: 400FileSystemNotFound

Returned if the specified FileSystemId value doesn't exist in the requester's AWS account.

HTTP Status Code: 404IncorrectFileSystemLifeCycleState

Returned if the file system's lifecycle state is not "available".



HTTP Status Code: 500IpAddressInUse

Returned if the request specified an IpAddress that is already in use in the subnet.

HTTP Status Code: 409MountTargetConflict

Returned if the mount target would violate one of the specified restrictions based on the file system'sexisting mount targets.

HTTP Status Code: 409NetworkInterfaceLimitExceeded

The calling account has reached the limit for elastic network interfaces for the specific AWS Region.The client should try to delete some elastic network interfaces or get the account limit raised. For moreinformation, see Amazon VPC Limits in the Amazon VPC User Guide (see the Network interfaces perVPC entry in the table).

202

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html


HTTP Status Code: 409NoFreeAddressesInSubnet

Returned if IpAddress was not specified in the request and there are no free IP addresses in thesubnet.

HTTP Status Code: 409SecurityGroupLimitExceeded

Returned if the size of SecurityGroups specified in the request is greater than five.

HTTP Status Code: 400SecurityGroupNotFound

Returned if one of the specified security groups doesn't exist in the subnet's VPC.

HTTP Status Code: 400SubnetNotFound

Returned if there is no subnet with ID SubnetId provided in the request.

HTTP Status Code: 400UnsupportedAvailabilityZone


ExamplesExample 1: Add a mount target to a file system

The following request creates a mount target for a file system. The request specifies values for onlythe required FileSystemId and SubnetId parameters. The request does not provide the optionalIpAddress and SecurityGroups parameters. For IpAddress, the operation uses one of the availableIP addresses in the specified subnet. And, the operation uses the default security group associated with theVPC for the SecurityGroups.

Sample Request

POST /2015-02-01/mount-targets HTTP/1.1 Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T221118ZAuthorization: <...>Content-Type: application/jsonContent-Length: 160

{"SubnetId": "subnet-748c5d03", "FileSystemId": "fs-e2a6438b"}

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: c3616af3-33fa-40ad-ae0d-d3895a2c3a1fContent-Type: application/jsonContent-Length: 252

{ "MountTargetId": "fsmt-55a4413c",

203


"NetworkInterfaceId": "eni-d95852af", "FileSystemId": "fs-e2a6438b", "LifeCycleState": "available", "SubnetId": "subnet-748c5d03", "OwnerId": "231243201240", "IpAddress": "172.31.22.183"}

Example 2: Add a mount target to a file system

The following request specifies all the request parameters to create a mount target.

Sample Request

POST /2015-02-01/mount-targets HTTP/1.1 Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T221118ZAuthorization: <...>Content-Type: application/jsonContent-Length: 160

{ "FileSystemId":"fs-47a2c22e", "SubnetId":"subnet-fd04ff94", "IpAddress":"10.0.2.42", "SecurityGroups":[ "sg-1a2b3c4d" ]}

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: c3616af3-33fa-40ad-ae0d-d3895a2c3a1fContent-Type: application/jsonContent-Length: 252

{ "OwnerId":"251839141158", "MountTargetId":"fsmt-9a13661e", "FileSystemId":"fs-47a2c22e", "SubnetId":"subnet-fd04ff94", "LifeCycleState":"available", "IpAddress":"10.0.2.42", "NetworkInterfaceId":"eni-1bcb7772"}


• AWS Command Line Interface• AWS SDK for .NET• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3

204

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/CreateMountTarget


• AWS SDK for Python• AWS SDK for Ruby V2

205

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/CreateMountTarget

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/CreateMountTarget

Amazon Elastic File System Guide de l'utilisateurCreateTags

CreateTagsCreates or overwrites tags associated with a file system. Each tag is a key-value pair. If a tag key specifiedin the request already exists on the file system, this operation overwrites its value with the value providedin the request. If you add the Name tag to your file system, Amazon EFS returns it in the response to theDescribeFileSystems (p. 216) operation.

This operation requires permission for the elasticfilesystem:CreateTags action.

Request Syntax

POST /2015-02-01/create-tags/FileSystemId HTTP/1.1Content-type: application/json

{ "Tags": [ { "Key": "string", "Value": "string" } ]}

URI Request ParametersThe request requires the following URI parameters.


ID of the file system whose tags you want to modify (String). This operation modifies the tags only, notthe file system.


Tags (p. 206)

Array of Tag objects to add. Each Tag object is a key-value pair.

Type: Array of Tag (p. 243) objects

Required: Yes

Response Syntax

HTTP/1.1 204

Response ElementsIf the action is successful, the service sends back an HTTP 204 response with an empty HTTP body.

206


ErrorsBadRequest







ExampleCreate tags on a file systemThe following request creates three tags ("key1", "key2", and "key3") on the specified file system.

Sample Request

POST /2015-02-01/create-tags/fs-e2a6438b HTTP/1.1 Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T221118ZAuthorization: <...>Content-Type: application/jsonContent-Length: 160

{ "Tags": [ { "Value": "value1", "Key": "key1" }, { "Value": "value2", "Key": "key2" }, { "Value": "value3", "Key": "key3" } ]}

Sample Response

HTTP/1.1 204 no contentx-amzn-RequestId: c3616af3-33fa-40ad-ae0d-d3895a2c3a1f


207



208

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/CreateTags

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/CreateTags

Amazon Elastic File System Guide de l'utilisateurDeleteFileSystem

DeleteFileSystemDeletes a file system, permanently severing access to its contents. Upon return, the file system no longerexists and you can't access any contents of the deleted file system.

You can't delete a file system that is in use. That is, if the file system has any mount targets,you must first delete them. For more information, see DescribeMountTargets (p. 220) andDeleteMountTarget (p. 211).

Note

The DeleteFileSystem call returns while the file system state is still deleting. You can checkthe file system deletion status by calling the DescribeFileSystems (p. 216) operation, whichreturns a list of file systems in your account. If you pass file system ID or creation token for thedeleted file system, the DescribeFileSystems (p. 216) returns a 404 FileSystemNotFounderror.

This operation requires permissions for the elasticfilesystem:DeleteFileSystem action.

Request SyntaxDELETE /2015-02-01/file-systems/FileSystemId HTTP/1.1



ID of the file system you want to delete.

Request BodyThe request does not have a request body.

Response SyntaxHTTP/1.1 204


ErrorsBadRequest


HTTP Status Code: 400FileSystemInUse

Returned if a file system has mount targets.

209

Amazon Elastic File System Guide de l'utilisateurDeleteFileSystem






ExampleDelete a file system

The following example sends a DELETE request to the file-systems endpoint(elasticfilesystem.us-west-2.amazonaws.com/2015-02-01/file-systems/fs-47a2c22e)to delete a file system whose ID is fs-47a2c22e.

Sample Request

DELETE /2015-02-01/file-systems/fs-47a2c22e HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140622T233021ZAuthorization: <...>

Sample Response

HTTP/1.1 204 No Contentx-amzn-RequestId: a2d125b3-7ebd-4d6a-ab3d-5548630bff33Content-Length: 0



210

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DeleteFileSystem

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/DeleteFileSystem

Amazon Elastic File System Guide de l'utilisateurDeleteMountTarget

DeleteMountTargetDeletes the specified mount target.

This operation forcibly breaks any mounts of the file system by using the mount target that is being deleted,which might disrupt instances or applications using those mounts. To avoid applications getting cut offabruptly, you might consider unmounting any mounts of the mount target, if feasible. The operation alsodeletes the associated network interface. Uncommitted writes might be lost, but breaking a mount targetusing this operation does not corrupt the file system itself. The file system you created remains. You canmount an EC2 instance in your VPC by using another mount target.

This operation requires permissions for the following action on the file system:

• elasticfilesystem:DeleteMountTarget

Note

The DeleteMountTarget call returns while the mount target state is still deleting. You cancheck the mount target deletion by calling the DescribeMountTargets (p. 220) operation, whichreturns a list of mount target descriptions for the given file system.

The operation also requires permissions for the following Amazon EC2 action on the mount target's networkinterface:

• ec2:DeleteNetworkInterface

Request Syntax

DELETE /2015-02-01/mount-targets/MountTargetId HTTP/1.1


MountTargetId (p. 211)

ID of the mount target to delete (String).


Response Syntax

HTTP/1.1 204


211


ErrorsBadRequest


HTTP Status Code: 400DependencyTimeout

The service timed out trying to fulfill the request, and the client should try the call again.



HTTP Status Code: 500MountTargetNotFound

Returned if there is no mount target with the specified ID found in the caller's account.


ExampleRemove a file system's mount target

The following example sends a DELETE request to delete a specific mount target.

Sample Request

DELETE /2015-02-01/mount-targets/fsmt-9a13661e HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140622T232908ZAuthorization: <...>

Sample Response

HTTP/1.1 204 No Contentx-amzn-RequestId: 76787670-2797-48ee-a34f-fce2ce122fef



212

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DeleteMountTarget



213

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DeleteMountTarget

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/DeleteMountTarget

Amazon Elastic File System Guide de l'utilisateurDeleteTags

DeleteTagsDeletes the specified tags from a file system. If the DeleteTags request includes a tag key that does notexist, Amazon EFS ignores it and doesn't cause an error. For more information about tags and relatedrestrictions, see Tag Restrictions in the AWS Billing and Cost Management User Guide.

This operation requires permissions for the elasticfilesystem:DeleteTags action.

Request Syntax

POST /2015-02-01/delete-tags/FileSystemId HTTP/1.1Content-type: application/json

{ "TagKeys": [ "string" ]}



ID of the file system whose tags you want to delete (String).


TagKeys (p. 214)

List of tag keys to delete.



Required: Yes

Response Syntax

HTTP/1.1 204


ErrorsBadRequest


214

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html

Amazon Elastic File System Guide de l'utilisateurDeleteTags






ExampleDelete tags from a file system

The following request deletes the tag key2 from the tag set associated with the file system.

Sample Request

POST /2015-02-01/delete-tags/fs-e2a6438b HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T215123ZAuthorization: <...>Content-Type: application/jsonContent-Length: 223

{ "TagKeys":[ "key2" ]}

Sample Response

HTTP/1.1 204 No Contentx-amzn-RequestId: ec08ae47-3409-49f3-9e90-64a5f981bb2b



215

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DeleteTags

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/DeleteTags

Amazon Elastic File System Guide de l'utilisateurDescribeFileSystems

DescribeFileSystemsReturns the description of a specific Amazon EFS file system if either the file system CreationToken orthe FileSystemId is provided. Otherwise, it returns descriptions of all file systems owned by the caller'sAWS account in the AWS Region of the endpoint that you're calling.

When retrieving all file system descriptions, you can optionally specify the MaxItems parameter to limitthe number of descriptions in a response. Currently, this number is automatically set to 10. If more filesystem descriptions remain, Amazon EFS returns a NextMarker, an opaque token, in the response. Inthis case, you should send a subsequent request with the Marker request parameter set to the value ofNextMarker.

To retrieve a list of your file system descriptions, this operation is used in an iterative process, whereDescribeFileSystems is called first without the Marker and then the operation continues to call it withthe Marker parameter set to the value of the NextMarker from the previous response until the responsehas no NextMarker.

The order of file systems returned in the response of one DescribeFileSystems call and the order of filesystems returned across the responses of a multi-call iteration is unspecified.

This operation requires permissions for the elasticfilesystem:DescribeFileSystems action.

Request SyntaxGET /2015-02-01/file-systems?CreationToken=CreationToken&FileSystemId=FileSystemId&Marker=Marker&MaxItems=MaxItems HTTP/1.1



(Optional) Restricts the list to the file system with this creation token (String). You specify a creationtoken when you create an Amazon EFS file system.

Length Constraints: Minimum length of 1. Maximum length of 64.FileSystemId (p. 216)

(Optional) ID of the file system whose description you want to retrieve (String).Marker (p. 216)

(Optional) Opaque pagination token returned from a previous DescribeFileSystems operation(String). If present, specifies to continue the list from where the returning call had left off.

MaxItems (p. 216)

(Optional) Specifies the maximum number of file systems to return in the response (integer). Currently,this number is automatically set to 10.

Valid Range: Minimum value of 1.


216



{ "FileSystems": [ { "CreationTime": number, "CreationToken": "string", "Encrypted": boolean, "FileSystemId": "string", "KmsKeyId": "string", "LifeCycleState": "string", "Name": "string", "NumberOfMountTargets": number, "OwnerId": "string", "PerformanceMode": "string", "ProvisionedThroughputInMibps": number, "SizeInBytes": { "Timestamp": number, "Value": number }, "ThroughputMode": "string" } ], "Marker": "string", "NextMarker": "string"}



FileSystems (p. 217)

Array of file system descriptions.

Type: Array of FileSystemDescription (p. 237) objectsMarker (p. 217)

Present if provided by caller in the request (String).

Type: StringNextMarker (p. 217)

Present if there are more file systems than returned in the response (String). You can use theNextMarker in the subsequent request to fetch the descriptions.

Type: String

ErrorsBadRequest


217







ExampleRetrieve list of ten file systemsThe following example sends a GET request to the file-systems endpoint (elasticfilesystem.us-west-2.amazonaws.com/2015-02-01/file-systems). The request specifies a MaxItems queryparameter to limit the number of file system descriptions to 10.

Sample Request

GET /2015-02-01/file-systems?MaxItems=10 HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140622T191208ZAuthorization: <...>

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: ab5f2427-3ab3-4002-868e-30a77a88f739Content-Type: application/jsonContent-Length: 499{ "FileSystems":[ { "OwnerId":"251839141158", "CreationToken":"MyFileSystem1", "FileSystemId":"fs-47a2c22e", "PerformanceMode" : "generalPurpose", "CreationTime":"1403301078", "LifeCycleState":"created", "Name":"my first file system", "NumberOfMountTargets":1, "SizeInBytes":{ "Value":29313417216, "Timestamp":"1403301078" } } ]}


• AWS Command Line Interface• AWS SDK for .NET

218

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeFileSystems


• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3• AWS SDK for Python• AWS SDK for Ruby V2

219

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeFileSystems

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/DescribeFileSystems

Amazon Elastic File System Guide de l'utilisateurDescribeMountTargets

DescribeMountTargetsReturns the descriptions of all the current mount targets, or a specific mount target, for a file system.When requesting all of the current mount targets, the order of mount targets returned in the response isunspecified.

This operation requires permissions for the elasticfilesystem:DescribeMountTargets action, oneither the file system ID that you specify in FileSystemId, or on the file system of the mount target thatyou specify in MountTargetId.

Request Syntax

GET /2015-02-01/mount-targets?FileSystemId=FileSystemId&Marker=Marker&MaxItems=MaxItems&MountTargetId=MountTargetId HTTP/1.1



(Optional) ID of the file system whose mount targets you want to list (String). It must be included in yourrequest if MountTargetId is not included.

Marker (p. 220)

(Optional) Opaque pagination token returned from a previous DescribeMountTargets operation(String). If present, it specifies to continue the list from where the previous returning call left off.

MaxItems (p. 220)

(Optional) Maximum number of mount targets to return in the response. Currently, this number isautomatically set to 10.

Valid Range: Minimum value of 1.MountTargetId (p. 220)

(Optional) ID of the mount target that you want to have described (String). It must be included in yourrequest if FileSystemId is not included.


Response Syntax

HTTP/1.1 200Content-type: application/json

{ "Marker": "string", "MountTargets": [ { "FileSystemId": "string", "IpAddress": "string",

220


"LifeCycleState": "string", "MountTargetId": "string", "NetworkInterfaceId": "string", "OwnerId": "string", "SubnetId": "string" } ], "NextMarker": "string"}



Marker (p. 220)

If the request included the Marker, the response returns that value in this field.

Type: StringMountTargets (p. 220)

Returns the file system's mount targets as an array of MountTargetDescription objects.

Type: Array of MountTargetDescription (p. 241) objectsNextMarker (p. 220)

If a value is present, there are more mount targets to return. In a subsequent request, you can provideMarker in your request with this value to retrieve the next set of mount targets.

Type: String

ErrorsBadRequest









221


ExampleRetrieve descriptions mount targets created for a file system

The following request retrieves descriptions of mount targets created for the specified file system.

Sample Request

GET /2015-02-01/mount-targets?FileSystemId=fs-47a2c22e HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140622T191252ZAuthorization: <...>

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: ab5f2427-3ab3-4002-868e-30a77a88f739Content-Type: application/jsonContent-Length: 357

{ "MountTargets":[ { "OwnerId":"251839141158", "MountTargetId":"fsmt-9a13661e", "FileSystemId":"fs-47a2c22e", "SubnetId":"subnet-fd04ff94", "LifeCycleState":"added", "IpAddress":"10.0.2.42", "NetworkInterfaceId":"eni-1bcb7772" } ]}



222

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeMountTargets

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/DescribeMountTargets

Amazon Elastic File System Guide de l'utilisateurDescribeMountTargetSecurityGroups

DescribeMountTargetSecurityGroupsReturns the security groups currently in effect for a mount target. This operation requires that the networkinterface of the mount target has been created and the lifecycle state of the mount target is not deleted.

This operation requires permissions for the following actions:

• elasticfilesystem:DescribeMountTargetSecurityGroups action on the mount target's filesystem.

• ec2:DescribeNetworkInterfaceAttribute action on the mount target's network interface.

Request Syntax

GET /2015-02-01/mount-targets/MountTargetId/security-groups HTTP/1.1



ID of the mount target whose security groups you want to retrieve.


Response Syntax


{ "SecurityGroups": [ "string" ]}




Array of security groups.



223


ErrorsBadRequest


HTTP Status Code: 400IncorrectMountTargetState

Returned if the mount target is not in the correct state for the operation.






ExampleRetrieve security groups in effect for a file system

The following example retrieves the security groups that are in effect for the network interface associatedwith a mount target.

Sample Request

GET /2015-02-01/mount-targets/fsmt-9a13661e/security-groups HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T223513ZAuthorization: <...>

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: 088fb0b4-0c1d-4af7-9de1-933207fbdb46Content-Length: 57

{"SecurityGroups" : ["sg-188d9f74"]}


• AWS Command Line Interface• AWS SDK for .NET

224

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups


• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for JavaScript• AWS SDK for PHP V3• AWS SDK for Python• AWS SDK for Ruby V2

225

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/DescribeMountTargetSecurityGroups

Amazon Elastic File System Guide de l'utilisateurDescribeTags

DescribeTagsReturns the tags associated with a file system. The order of tags returned in the response of oneDescribeTags call and the order of tags returned across the responses of a multi-call iteration (whenusing pagination) is unspecified.

This operation requires permissions for the elasticfilesystem:DescribeTags action.

Request SyntaxGET /2015-02-01/tags/FileSystemId/?Marker=Marker&MaxItems=MaxItems HTTP/1.1



ID of the file system whose tag set you want to retrieve.Marker (p. 226)

(Optional) Opaque pagination token returned from a previous DescribeTags operation (String). Ifpresent, it specifies to continue the list from where the previous call left off.

MaxItems (p. 226)

(Optional) Maximum number of file system tags to return in the response. Currently, this number isautomatically set to 10.




{ "Marker": "string", "NextMarker": "string", "Tags": [ { "Key": "string", "Value": "string" } ]}



226


Marker (p. 226)

If the request included a Marker, the response returns that value in this field.

Type: StringNextMarker (p. 226)

If a value is present, there are more tags to return. In a subsequent request, you can provide the valueof NextMarker as the value of the Marker parameter in your next request to retrieve the next set oftags.

Type: StringTags (p. 226)

Returns tags associated with the file system as an array of Tag objects.

Type: Array of Tag (p. 243) objects

ErrorsBadRequest







ExampleRetrieve tags associated with a file system

The following request retrieves tags (key-value pairs) associated with the specified file system.

Sample Request

GET /2015-02-01/tags/fs-e2a6438b/ HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T215404ZAuthorization: <...>

Sample Response

HTTP/1.1 200 OKx-amzn-RequestId: f264e454-7859-4f15-8169-1c0d5b0b04f5Content-Type: application/jsonContent-Length: 288

227


{ "Tags":[ { "Key":"Name", "Value":"my first file system" }, { "Key":"Fleet", "Value":"Development" }, { "Key":"Developer", "Value":"Alice" } ]}



228

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/DescribeTags

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/DescribeTags

Amazon Elastic File System Guide de l'utilisateurModifyMountTargetSecurityGroups

ModifyMountTargetSecurityGroupsModifies the set of security groups in effect for a mount target.

When you create a mount target, Amazon EFS also creates a new network interface. For more information,see CreateMountTarget (p. 199). This operation replaces the security groups in effect for the networkinterface associated with a mount target, with the SecurityGroups provided in the request. Thisoperation requires that the network interface of the mount target has been created and the lifecycle state ofthe mount target is not deleted.

The operation requires permissions for the following actions:

• elasticfilesystem:ModifyMountTargetSecurityGroups action on the mount target's filesystem.

• ec2:ModifyNetworkInterfaceAttribute action on the mount target's network interface.

Request SyntaxPUT /2015-02-01/mount-targets/MountTargetId/security-groups HTTP/1.1Content-type: application/json

{ "SecurityGroups": [ "string" ]}



ID of the mount target whose security groups you want to modify.



Array of up to five VPC security group IDs.



Required: No

Response SyntaxHTTP/1.1 204


229


ErrorsBadRequest


HTTP Status Code: 400IncorrectMountTargetState

Returned if the mount target is not in the correct state for the operation.





HTTP Status Code: 404SecurityGroupLimitExceeded

Returned if the size of SecurityGroups specified in the request is greater than five.

HTTP Status Code: 400SecurityGroupNotFound

Returned if one of the specified security groups doesn't exist in the subnet's VPC.


ExampleReplace a mount target's security groups

The following example replaces security groups in effect for the network interface associated with a mounttarget.

Sample Request

PUT /2015-02-01/mount-targets/fsmt-9a13661e/security-groups HTTP/1.1Host: elasticfilesystem.us-west-2.amazonaws.comx-amz-date: 20140620T223446ZAuthorization: <...>Content-Type: application/jsonContent-Length: 57

{"SecurityGroups" : ["sg-188d9f74"]}

230


Sample Response

HTTP/1.1 204 No Contentx-amzn-RequestId: 088fb0b4-0c1d-4af7-9de1-933207fbdb46



231

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/ModifyMountTargetSecurityGroups

Amazon Elastic File System Guide de l'utilisateurUpdateFileSystem

UpdateFileSystemUpdates the throughput mode or the amount of provisioned throughput of an existing file system.

Request Syntax

PUT /2015-02-01/file-systems/FileSystemId HTTP/1.1Content-type: application/json

{ "ProvisionedThroughputInMibps": number, "ThroughputMode": "string"}



The ID of the file system that you want to update.


ProvisionedThroughputInMibps (p. 232)

(Optional) The amount of throughput, in MiB/s, that you want to provision for your file system. If you'renot updating the amount of provisioned throughput for your file system, you don't need to provide thisvalue in your request.

Type: Double


Required: NoThroughputMode (p. 232)

(Optional) The throughput mode that you want your file system to use. If you're not updating yourthroughput mode, you don't need to provide this value in your request.

Type: String


Required: No

Response Syntax


{ "CreationTime": number,

232


"CreationToken": "string", "Encrypted": boolean, "FileSystemId": "string", "KmsKeyId": "string", "LifeCycleState": "string", "Name": "string", "NumberOfMountTargets": number, "OwnerId": "string", "PerformanceMode": "string", "ProvisionedThroughputInMibps": number, "SizeInBytes": { "Timestamp": number, "Value": number }, "ThroughputMode": "string"}



CreationTime (p. 232)


Type: TimestampCreationToken (p. 232)


Type: String

Length Constraints: Minimum length of 1. Maximum length of 64.Encrypted (p. 232)


Type: BooleanFileSystemId (p. 232)


Type: StringKmsKeyId (p. 232)


Type: String

Length Constraints: Minimum length of 1. Maximum length of 2048.LifeCycleState (p. 232)


Type: String

Valid Values: creating | available | updating | deleting | deleted

233


Name (p. 232)


Type: String

Length Constraints: Maximum length of 256.NumberOfMountTargets (p. 232)


Type: Integer

Valid Range: Minimum value of 0.OwnerId (p. 232)


Type: StringPerformanceMode (p. 232)


Type: String

Valid Values: generalPurpose | maxIOProvisionedThroughputInMibps (p. 232)


Type: Double

Valid Range: Minimum value of 0.0.SizeInBytes (p. 232)


Type: FileSystemSize (p. 240) objectThroughputMode (p. 232)

The throughput mode for a file system. There are two throughput modes to choose from for your filesystem: bursting and provisioned. You can decrease your file system's throughput in ProvisionedThroughput mode or change between the throughput modes as long as it’s been more than 24 hourssince the last decrease or throughput mode change.

Type: String


234



ErrorsBadRequest




HTTP Status Code: 404IncorrectFileSystemLifeCycleState

Returned if the file system's lifecycle state is not "available".

HTTP Status Code: 409InsufficientThroughputCapacity

Returned if there's not enough capacity to provision additional throughput. This value might be returnedwhen you try to create a file system in provisioned throughput mode, when you attempt to increasethe provisioned throughput of an existing file system, or when you attempt to change an existing filesystem from bursting to provisioned throughput mode.



HTTP Status Code: 500ThroughputLimitExceeded

Returned if the throughput mode or amount of provisioned throughput can't be changed because thethroughput limit of 1024 MiB/s has been reached.

HTTP Status Code: 400TooManyRequests

Returned if you don’t wait at least 24 hours before changing the throughput mode, or decreasing theProvisioned Throughput value.




235

https://docs.aws.amazon.com/goto/aws-cli/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/DotNetSDKV3/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForPHPV3/elasticfilesystem-2015-02-01/UpdateFileSystem

Amazon Elastic File System Guide de l'utilisateurData Types


Data TypesThe following data types are supported:

• FileSystemDescription (p. 237)• FileSystemSize (p. 240)• MountTargetDescription (p. 241)• Tag (p. 243)

236

https://docs.aws.amazon.com/goto/boto3/elasticfilesystem-2015-02-01/UpdateFileSystem

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/UpdateFileSystem

Amazon Elastic File System Guide de l'utilisateurFileSystemDescription

FileSystemDescriptionDescription of the file system.

ContentsCreationTime


Type: Timestamp

Required: YesCreationToken


Type: String


Required: YesEncrypted


Type: Boolean

Required: NoFileSystemId


Type: String

Required: YesKmsKeyId


Type: String


Required: NoLifeCycleState


Type: String


Required: YesName


237


Type: String

Length Constraints: Maximum length of 256.

Required: NoNumberOfMountTargets


Type: Integer


Required: YesOwnerId


Type: String

Required: YesPerformanceMode


Type: String

Valid Values: generalPurpose | maxIO

Required: YesProvisionedThroughputInMibps


Type: Double


Required: NoSizeInBytes


Type: FileSystemSize (p. 240) object

Required: YesThroughputMode

The throughput mode for a file system. There are two throughput modes to choose from for your filesystem: bursting and provisioned. You can decrease your file system's throughput in Provisioned

238



Throughput mode or change between the throughput modes as long as it’s been more than 24 hourssince the last decrease or throughput mode change.

Type: String


Required: No


• AWS SDK for C++• AWS SDK for Go• AWS SDK for Java• AWS SDK for Ruby V2

239

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/FileSystemDescription

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/FileSystemDescription

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/FileSystemDescription

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/FileSystemDescription

Amazon Elastic File System Guide de l'utilisateurFileSystemSize

FileSystemSizeLatest known metered size (in bytes) of data stored in the file system, in its Value field, and the time atwhich that size was determined in its Timestamp field. Note that the value does not represent the size ofa consistent snapshot of the file system, but it is eventually consistent when there are no writes to the filesystem. That is, the value will represent the actual size only if the file system is not modified for a periodlonger than a couple of hours. Otherwise, the value is not necessarily the exact size the file system was atany instant in time.

ContentsTimestamp

Time at which the size of data, returned in the Value field, was determined. The value is the integernumber of seconds since 1970-01-01T00:00:00Z.

Type: Timestamp

Required: NoValue

Latest known metered size (in bytes) of data stored in the file system.

Type: Long


Required: Yes



240

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/FileSystemSize

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/FileSystemSize

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/FileSystemSize

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/FileSystemSize

Amazon Elastic File System Guide de l'utilisateurMountTargetDescription

MountTargetDescriptionProvides a description of a mount target.

ContentsFileSystemId

ID of the file system for which the mount target is intended.

Type: String

Required: YesIpAddress

Address at which the file system can be mounted by using the mount target.

Type: String

Required: NoLifeCycleState

Lifecycle state of the mount target.

Type: String


Required: YesMountTargetId

System-assigned mount target ID.

Type: String

Required: YesNetworkInterfaceId

ID of the network interface that Amazon EFS created when it created the mount target.

Type: String

Required: NoOwnerId

AWS account ID that owns the resource.

Type: String

Required: NoSubnetId

ID of the mount target's subnet.

Type: String

Required: Yes

241

Amazon Elastic File System Guide de l'utilisateurMountTargetDescription



242

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/MountTargetDescription

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/MountTargetDescription

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/MountTargetDescription

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/MountTargetDescription

Amazon Elastic File System Guide de l'utilisateurTag

TagA tag is a key-value pair. Allowed characters: letters, white space, and numbers, representable in UTF-8,and the following characters: + - = . _ : /

ContentsKey

Tag key (String). The key can't start with aws:.

Type: String


Required: YesValue

Value of the tag key.

Type: String

Length Constraints: Maximum length of 256.

Required: Yes



243

https://docs.aws.amazon.com/goto/SdkForCpp/elasticfilesystem-2015-02-01/Tag

https://docs.aws.amazon.com/goto/SdkForGoV1/elasticfilesystem-2015-02-01/Tag

https://docs.aws.amazon.com/goto/SdkForJava/elasticfilesystem-2015-02-01/Tag

https://docs.aws.amazon.com/goto/SdkForRubyV2/elasticfilesystem-2015-02-01/Tag

Amazon Elastic File System Guide de l'utilisateurSauvegarde avec AWS Data Pipeline

Informations supplémentaires pourAmazon EFS

Ensuite, vous pouvez trouver des informations supplémentaires sur Amazon EFS, y compris lesfonctionnalités encore prises en charge, mais pas nécessairement recommandées.

Rubriques• Sauvegarde de systèmes de fichiers Amazon EFS à l'aide d'AWS Data Pipeline (p. 244)• Montage des systèmes de fichiers sans l'assistant de montage EFS (p. 257)

Sauvegarde de systèmes de fichiers Amazon EFS àl'aide d'AWS Data Pipeline

Si vous souhaitez pouvoir récupérer de modifications ou suppressions imprévues dans vos systèmesde fichiers Amazon EFS, nous vous recommandons d'utiliser la solution de sauvegarde EFS-vers-EFS.Cette solution convient à tous les systèmes de fichiers Amazon EFS de toutes les régions AWS. Ellecomprend un modèle AWS CloudFormation qui lance, configure et exécute les services AWS nécessairesau déploiement de la solution. Cette solution respecte les bonnes pratiques de sécurité et de disponibilitéétablies par AWS.

Vous pouvez aussi sauvegarder vos systèmes de fichiers EFS à l'aide d'AWS Data Pipeline. Dans cettesolution de sauvegarde, vous créez un pipeline de données en utilisant le service AWS Data Pipeline.Ce pipeline copie les données de votre système de fichiers Amazon EFS (appelé système de fichiers deproduction) vers un autre système de fichiers Amazon EFS (appelé système de fichiers de sauvegarde).

Cette solution se compose de modèles AWS Data Pipeline qui mettent en œuvre les actions suivantes :

• Sauvegardes EFS automatisées selon un calendrier que vous définissez (horaire, quotidien,hebdomadaire ou mensuel, par exemple).

• Rotation automatique des sauvegardes, où la sauvegarde la plus ancienne est remplacée par lasauvegarde la plus récente selon le nombre de sauvegardes que vous souhaitez conserver.

• Sauvegardes plus rapides grâce à la commande rsync qui permet de ne sauvegarder que lesmodifications effectuées entre deux sauvegardes.

• Stockage efficace des sauvegardes au moyen de liens physiques. Un lien physique est une entrée derépertoire qui associe un nom à un fichier sur un système de fichiers. Par la définition d'un lien physique,vous pouvez effectuer une restauration complète des données à partir de n'importe quelle sauvegarde,tout en stockant uniquement ce qui a changé entre deux sauvegardes.

Une fois que vous avez configuré la solution de sauvegarde, cette procédure vous indique commentaccéder à vos sauvegardes pour restaurer vos données. Cette solution de sauvegarde dépend del'exécution de scripts qui sont hébergés sur GitHub et dépendent par conséquent de la disponibilité deGitHub. Si vous préférez éviter cette dépendance et héberger les scripts dans un compartiment AmazonS3, consultez Hébergement des scripts rsync dans un compartiment Amazon S3 (p. 255).

244


Amazon Elastic File System Guide de l'utilisateurPerformance des sauvegardes

Amazon EFS avec AWS Data Pipeline

Important

Cette solution nécessite d'utiliser AWS Data Pipeline dans la même région AWS que votresystème de fichiers. AWS Data Pipeline n'étant pas pris en charge dans USA Est (Ohio), cettesolution ne fonctionne pas dans cette région AWS. Si vous souhaitez sauvegarder votre systèmede fichiers à l'aide de cette solution, nous vous conseillons d'utiliser votre système de fichiers dansl'une des autres régions AWS prises en charge.

Rubriques• Performance des sauvegardes Amazon EFS avec AWS Data Pipeline (p. 245)• Considérations relatives à la sauvegarde Amazon EFS à l'aide d'AWS Data Pipeline (p. 246)• Hypothèses pour la sauvegarde Amazon EFS avec AWS Data Pipeline (p. 246)• Sauvegarde d'un système de fichiers Amazon EFS avec AWS Data Pipeline (p. 247)• Ressources supplémentaires de sauvegarde (p. 252)

Performance des sauvegardes Amazon EFS avecAWS Data PipelineLors de l'exécution de sauvegardes et de restaurations de données, les performances de votre système defichiers sont soumise à certaines limites comme décrit à la section Performances d'Amazon EFS (p. 96),y compris la capacité de débit de base et de transmission en rafales. Le débit utilisé par votre solutionde sauvegarde est comptabilisé dans le débit total de votre système de fichiers. Le tableau ci-dessousfournit quelques recommandations concernant les tailles du système de fichiers Amazon EFS et il indiqueles instances Amazon EC2 qui fonctionnent pour cette solution, en supposant que votre créneau desauvegarde est de 15 minutes.

Taille EFS(taille moyennede fichier de30 Mo)

Volume de modificationsquotidien

Heures de transmission enrafales restantes

Nombre minimum d'agentsde sauvegarde

256 Go Moins de 25 Go 6.75 1 - m3.medium

512 Go Moins de 50 Go 7.75 1 - m3.large

1.0 To Moins de 75 Go 11.75 2 - m3.large*

1.5 To Moins de 125 Go 11.75 2 - m3.xlarge*

2.0 To Moins de 175 Go 11.75 3 - m3.large*

3.0 To Moins de 250 Go 11.75 4 - m3.xlarge*

* Ces estimations reposent sur l'hypothèse que les données stockées sur un système de fichiers EFS dontla taille est d'au moins 1 To sont organisées de sorte que la sauvegarde puisse être répartie sur plusieursnœuds de sauvegarde. Les exemples de script à plusieurs nœuds répartissent la charge de sauvegardesur les nœuds en fonction du contenu du répertoire de premier niveau de votre système de fichiers EFS.

Par exemple, s'il y a deux nœuds de sauvegarde, le premier nœud sauvegarde l'ensemble des fichiers etdes répertoires pairs se trouvant dans le répertoire de premier niveau, tandis que le nœud impair fait demême pour les fichiers et répertoires impairs. Dans un autre exemple, avec six répertoires dans le systèmede fichiers Amazon EFS et quatre nœuds de sauvegarde, le premier nœud sauvegarde les premier et

245

Amazon Elastic File System Guide de l'utilisateurConsidérations relatives à la sauvegarde

Amazon EFS à l'aide d'AWS Data Pipeline

cinquième répertoires, le second nœud sauvegarde les deuxième et sixième répertoires, et enfin lestroisième et quatrième nœuds sauvegardent les troisième et quatrième répertoires, respectivement.

Considérations relatives à la sauvegarde Amazon EFSà l'aide d'AWS Data PipelineTenez compte des éléments suivants lorsque vous décidez de mettre en œuvre une solution desauvegarde Amazon EFS avec AWS Data Pipeline :

• Cette approche de la sauvegarde EFS implique un certain nombre de ressources AWS. Pour cettesolution, vous devez créer les éléments suivants :• Un système de fichiers de production et un système de fichiers de sauvegarde qui contiennent une

copie complète du système de fichiers de production. Le système contient également les modificationsincrémentielles apportées à vos données au cours de la période de rotation de la sauvegarde.

• Des instances Amazon EC2 dont les cycles de vie sont gérés par AWS Data Pipeline, qui exécutentdes restaurations et les sauvegardes planifiées.

• Un service AWS Data Pipeline régulièrement planifié pour la sauvegarde des données.• Un service AWS Data Pipeline pour la restauration des sauvegardes.

Lorsque cette solution est mise en œuvre, votre compte est facturé pour ces services. Pour plusd'informations, consultez les pages de tarification pour Amazon EFS, Amazon EC2 et AWS DataPipeline.

• Il ne s'agit pas d'une solution de sauvegarde hors ligne. Pour garantir une sauvegarde entièrementcohérente et complète, mettez en pause les opérations d'écriture de fichier sur le système de fichiersou démontez le système de fichiers lorsque la sauvegarde a lieu. Nous vous recommandons d'effectuertoutes les sauvegardes pendant les temps d'arrêt planifiés ou les heures creuses.

Hypothèses pour la sauvegarde Amazon EFS avecAWS Data PipelineCette procédure pose plusieurs hypothèses et déclare des exemples de valeur comme suit :

• Avant de commencer, cette procédure part de l'hypothèse que vous avez déjà terminé les étapes de lasection Mise en route (p. 11).

• Une fois que vous avez terminé l'exercice de mise en route, vous disposez de deux groupes de sécurité,d'un sous-réseau VPC et d'une cible de montage de système de fichiers pour le système de fichiers quevous souhaitez sauvegarder. Pour le reste de cette procédure, vous utilisez les exemples de valeurssuivants :• L'ID du système de fichiers que vous sauvegardez dans le cadre de cette procédure estfs-12345678.

• Le groupe de sécurité du système de fichiers qui est associé à la cible de montage est appelé efs-mt-sg (sg-1111111a).

• Le groupe de sécurité qui accorde aux instances Amazon EC2 la possibilité de se connecter au pointde montage EFS de production est appelé efs-ec2-sg (sg-1111111b).

• Le sous-réseau VPC a la valeur d'ID subnet-abcd1234.• L'adresse IP cible de montage du système de fichiers source pour le système de fichiers que vous

souhaitez sauvegarder est 10.0.1.32:/.• L'exemple suppose que le système de fichiers de production est un système de gestion de contenu qui

diffuse des fichiers multimédias dont la taille moyenne est de 30 Mo.

246


https://aws.amazon.com/ec2/pricing/

https://aws.amazon.com/datapipeline/pricing/

https://aws.amazon.com/datapipeline/pricing/

Amazon Elastic File System Guide de l'utilisateurSauvegarde d'un système de fichiers


Les hypothèses et exemples précédents sont reflétées dans le schéma de configuration initial suivant.

Sauvegarde d'un système de fichiers Amazon EFSavec AWS Data PipelineSuivez les étapes de cette section pour sauvegarder ou restaurer votre système de fichiers Amazon EFSavec AWS Data Pipeline.

Rubriques• Étape 1 : Créer votre système de fichiers Amazon EFS de sauvegarde (p. 247)• Étape 2 : télécharger le modèle AWS Data Pipeline pour les sauvegardes (p. 248)• Étape 3 : créer un pipeline de données pour la sauvegarde (p. 248)• Étape 4 : Accéder à vos sauvegardes Amazon EFS (p. 250)

Étape 1 : Créer votre système de fichiers Amazon EFS desauvegardeAu cours de cette procédure, vous créez des groupes de sécurité, des systèmes de fichiers et des pointsde montage distincts pour distinguer vos sauvegardes de votre source de données. Dans cette premièreétape, vous créez ces ressources:

1. Commencez par créer deux nouveaux groupes de sécurité. L'exemple de groupe de sécurité pourla cible de montage de la sauvegarde est efs-backup-mt-sg (sg-9999999a). L'exemple degroupe de sécurité pour que l'instance EC2 accède à la cible de montage est efs-backup-ec2-sg (sg-9999999b). Veillez à créer ces groupes de sécurité dans le même VPC que le volume EFSque vous souhaitez sauvegarder. Dans cet exemple, le VPC est associé au sous-réseau subnet-abcd1234. Pour de plus amples informations sur la création des groupes de sécurité, consultezCréation de groupes de sécurité (p. 29).

2. Ensuite, créez un système de fichiers Amazon EFS de sauvegarde. Dans cet exemple, l'ID du systèmede fichiers est fs-abcdefaa. Pour plus d'informations sur la création des systèmes de fichiers,consultez Création d'un Amazon Elastic File System (p. 21).

3. Enfin, créez un point de montage pour le système de fichiers de sauvegarde EFS avec commehypothèse de valeur 10.0.1.75:/. Pour plus d'informations sur la création de cibles de montage,consultez Création de cibles de montage (p. 25).

247



À l'issue de cette première étape, votre configuration doit être similaire à l'exemple de schéma qui suit.

Étape 2 : télécharger le modèle AWS Data Pipeline pour lessauvegardesAWS Data Pipeline vous aide à traiter de façon fiable les données et à les transférer entre les différentsservices de calcul et de stockage AWS, aux intervalles spécifiés. La console AWS Data Pipeline vouspermet de créer des définitions de pipeline préconfigurées, appelées modèles. Vous pouvez utiliser cesmodèles pour commencer à utiliser rapidement AWS Data Pipeline. Dans le cadre de cette procédure, unmodèle est fourni pour simplifier le processus de configuration de votre pipeline de sauvegarde.

Une fois implémenté, ce modèle crée un pipeline de données qui lance une instance unique d'AmazonEC2 selon le calendrier que vous spécifiez pour la sauvegarde des données du système de fichiers deproduction sur le système de fichiers de sauvegarde. Ce modèle dispose d'un certain nombre de valeursd'espace réservé. Vous fournissez les valeurs correspondantes pour ces espaces réservés dans lasection Parameters de la console AWS Data Pipeline. Téléchargez le modèle AWS Data Pipeline pour lessauvegardes à la section 1-Node-EFSBackupDataPipeline.json de GitHub.

Note

Ce modèle référence et exécute également un script pour lancer les commandes de sauvegarde.Vous pouvez télécharger ce script avant de créer le pipeline afin de passer en revue ce qu'ilfait. Pour passer en revue le script, téléchargez efs-backup.sh depuis GitHub. Cette solution desauvegarde dépend de l'exécution de scripts qui sont hébergés sur GitHub et dépendent parconséquent de la disponibilité de GitHub. Si vous préférez éviter cette dépendance et hébergerles scripts dans un compartiment Amazon S3, consultez Hébergement des scripts rsync dans uncompartiment Amazon S3 (p. 255).

Étape 3 : créer un pipeline de données pour la sauvegardeUtilisez la procédure suivante pour créer votre pipeline de données.

Pour créer un pipeline de données pour les sauvegardes Amazon EFS

1. Ouvrez la console AWS Data Pipeline à l'adresse https://console.aws.amazon.com/datapipeline/.

Important

Assurez-vous que vous êtes dans la même région AWS que vos systèmes de fichiersAmazon EFS.

248

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/1-Node-EFSBackupPipeline.json

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/efs-backup.sh

https://console.aws.amazon.com/datapipeline/



2. Choisissez Create new pipeline.3. Ajoutez les valeurs de Name (Nom) et une Description ( facultatif).4. En regard de Source, choisissez Import a definition, puis choisissez Load local file.5. Dans l'Explorateur de fichiers, accédez au modèle que vous avez enregistré dans Étape 2 :

télécharger le modèle AWS Data Pipeline pour les sauvegardes (p. 248), puis choisissez Open.6. Dans Parameters, entrez les détails relatifs à votre sauvegarde et aux systèmes de fichiers EFS de

production.

7. Configurez les options dans Schedule afin de définir votre calendrier de sauvegarde Amazon EFS.Dans cet exemple, la sauvegarde s'exécute une fois par jour et les sauvegardes sont conservéespendant une semaine. Lorsqu'une sauvegarde date de sept jours, elle est remplacée par lasauvegarde suivant la plus ancienne.

Note

Nous vous recommandons de définir une exécution en période d'heures creuses.8. (Facultatif) Spécifiez un emplacement Amazon S3 pour le stockage des journaux de pipeline,

configurez un rôle IAM personnalisé ou ajoutez les balises pour décrire votre pipeline.9. Lorsque votre pipeline est configuré, choisissez Activate.

249



Vous avez configuré et activé votre pipeline de données de sauvegarde Amazon EFS. Pour plusd'informations sur AWS Data Pipeline, consultez le manuel AWS Data Pipeline Guide du développeur. Àce stade, vous pouvez exécuter la sauvegarde immédiatement ou effectuer un test de sauvegarde. Vouspouvez aussi attendre jusqu'à la prochaine sauvegarde programmée.

Étape 4 : Accéder à vos sauvegardes Amazon EFSVotre sauvegarde Amazon EFS est maintenant créée, activée et s'exécute selon le calendrier que vousavez défini. Cette étape explique comment accéder à vos sauvegardes EFS. Vos sauvegardes sontstockés sur le système de fichiers de sauvegarde EFS que vous avez créé dans le format suivant.

backup-efs-mount-target:/efs-backup-id/[backup interval].[0-backup retention]-->

Utilisez les valeurs du scénario en exemple. La sauvegarde du système de fichiers se trouve àl'emplacement 10.1.0.75:/fs-12345678/daily.[0-6], où daily.0 est la sauvegarde la plusrécente et daily.6 est la sauvegarde la plus ancienne des sept sauvegardes en rotation.

L'accès à vos sauvegardes vous donne la possibilité de restaurer des données sur votre système defichiers de production. Vous pouvez choisir de restaurer un système de fichier complet, ou vous pouvezchoisir de restaurer des fichiers individuels.

Étape 4.1 : Restaurer l'intégralité d'une sauvegarde Amazon EFS

Pour restaurer une copie de sauvegarde d'un système de fichiers Amazon EFS, vous avez besoin d'unautre pipeline AWS Data Pipeline, similaire à celui que vous avez configuré à l'Étape 3 : créer un pipelinede données pour la sauvegarde (p. 248). Toutefois, ce pipeline de restauration fonctionne à l'inverse dupipeline de sauvegarde. Généralement ces restaurations ne sont pas programmées pour un démarrageautomatique.

Comme avec les sauvegardes, les restaurations peuvent être effectuées en parallèle afin de répondreà votre objectif de temps de récupération. Gardez à l'esprit que lorsque vous créez un pipeline dedonnées, vous devez planifier son heure d'exécution. Si vous choisissez un exécution sur activation, vouscommencez le processus de restauration immédiatement. Nous vous recommandons de créer uniquementun pipeline de restauration lorsque vous devez effectuer une restauration, ou lorsque vous avez déjà entête une fenêtre de temps spécifique.

La capacité de transmission en mode rafale est mise à profit par la sauvegarde EFS et par la restaurationEFS. Pour plus d'informations sur les performances, consultez Performances d'Amazon EFS (p. 96). Laprocédure suivante vous indique comment créer et implémenter place votre pipeline de restauration.

Pour créer un pipeline de données pour la restauration de données EFS

1. Téléchargez le modèle de pipeline de données pour la restauration des données à partir de votresystème de fichiers EFS de sauvegarde. Ce modèle lance une instance unique d'Amazon EC2 d'aprèsla taille spécifiée. Il se lance uniquement lorsque vous l'indiquez. Téléchargez le modèle AWS DataPipeline pour les sauvegardes à la section 1-Node-EFSRestoreDataPipeline.json de GitHub.

Note

Ce modèle référence et exécute également un script pour lancer les commandes derestauration. Vous pouvez télécharger ce script avant de créer le pipeline afin de passer enrevue ce qu'il fait. Pour passer en revue le script, téléchargez efs-restore.sh depuis GitHub.

2. Ouvrez la console AWS Data Pipeline à l'adresse https://console.aws.amazon.com/datapipeline/.

Important

Assurez-vous que vous êtes dans la même région AWS que vos systèmes de fichiersAmazon EFS et Amazon EC2.

250

http://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/1-Node-EFSRestorePipeline.json

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/efs-restore.sh

https://console.aws.amazon.com/datapipeline/



3. Choisissez Create new pipeline.4. Ajoutez les valeurs de Name (Nom) et une Description ( facultatif).5. En regard de Source, choisissez Import a definition, puis choisissez Load local file.6. Dans l'Explorateur de fichiers, accédez au modèle que vous avez enregistré dans Étape 1 : Créer

votre système de fichiers Amazon EFS de sauvegarde (p. 247), puis choisissez Open.7. Dans Parameters, entrez les détails relatifs à votre sauvegarde et aux systèmes de fichiers EFS de

production.

8. Dans la mesure où vous effectuez généralement des restaurations seulement lorsque vous en avezbesoin, vous pouvez planifier la restauration pour qu'elle s'exécute une fois sur l'activation du pipeline.Ou planifiez une restauration unique à une date ultérieure de votre choix, comme une période d'heurescreuses.

9. (Facultatif) Spécifiez un emplacement Amazon S3 pour le stockage des journaux de pipeline,configurez un rôle IAM personnalisé ou ajoutez les balises pour décrire votre pipeline.

10. Lorsque votre pipeline est configuré, choisissez Activate.

Vous avez configuré et activé votre pipeline de données de restauration Amazon EFS. Désormais, lorsquevous devez restaurer une sauvegarde sur votre système de fichiers EFS de production, il vous suffit del'activer à partir de la console AWS Data Pipeline. Pour plus d'informations, consultez le AWS Data PipelineGuide du développeur.

Étape 4.2 : Restaurer les fichiers individuels à partir de vos sauvegardes AmazonEFSVous pouvez restaurer des fichiers à partir de vos sauvegardes de système de fichiers Amazon EFSen lançant une instance d'Amazon EC2 pour le montage temporaire des systèmes de fichiers EFS deproduction et de sauvegarde. L'instance EC2 doit être un membre des deux des groupes de sécurité clientEFS (dans cet exemple, efs-ec2-sg et efs-backup-clients-sg). Les deux cibles de montage EFS peuventêtre montées par cette instance de restauration. Par exemple, une instance EC2 de récupération peut créerles points de montage suivants. Ici, l'option -o ro est utilisée pour monter la sauvegarde EFS en lectureseule pour empêcher toute modification accidentelle de la sauvegarde lors de la tentative de restauration àpartir d'une sauvegarde.

mount -t nfs source-efs-mount-target:/ /mnt/data

251



Amazon Elastic File System Guide de l'utilisateurRessources supplémentaires de sauvegarde

mount -t nfs -o ro backup-efs-mount-target:/fs-12345678/daily.0 /mnt/backup>

Une fois que vous avez monté les cibles, vous pouvez copier les fichiers de /mnt/backup versl'emplacement approprié dans /mnt/data sur le terminal à l'aide de la commande cp -p. Par exemple,l'intégralité d'un répertoire de base (avec ses autorisations de système de fichiers) peut être copiée demanière récursive à l'aide de la commande suivante.

sudo cp -rp /mnt/backup/users/my_home /mnt/data/users/my_home

Vous pouvez restaurer un seul fichier en exécutant la commande suivante.

sudo cp -p /mnt/backup/user/my_home/.profile /mnt/data/users/my_home/.profile

Warning

Lorsque vous restaurez manuellement des fichiers de données individuels, veillez à ne pasmodifier accidentellement la sauvegarde elle-même. Sinon, vous pourriez l'endommager.

Ressources supplémentaires de sauvegardeLa solution de sauvegarde présentée dans cette procédure utilise des modèles pour AWS DataPipeline. Les modèles utilisés à l'Étape 2 : télécharger le modèle AWS Data Pipeline pour lessauvegardes (p. 248)et à l'Étape 4.1 : Restaurer l'intégralité d'une sauvegarde Amazon EFS (p. 250)utilisent une instance unique d'Amazon EC2 pour exécuter leur tâches. Cependant, il n'y a pas de limiteréelle au nombre d'instances parallèles que vous pouvez exécuter pour la sauvegarde ou la restauration devos données sur les systèmes de fichiers Amazon EFS. Dans cette rubrique, vous pouvez rechercher lesliens vers d'autres modèles AWS Data Pipeline configurés pour plusieurs instances EC2 que vous pouveztélécharger et utiliser pour votre solution de sauvegarde. Vous pouvez aussi rechercher des instructionsconcernant la modification des modèles afin d'inclure des instances supplémentaires.

Rubriques• Utilisation de modèles supplémentaires (p. 252)• Ajout d'instances de sauvegarde supplémentaires (p. 252)• Ajout d'instances de restauration supplémentaires (p. 254)• Hébergement des scripts rsync dans un compartiment Amazon S3 (p. 255)

Utilisation de modèles supplémentairesVous pouvez télécharger les modèles supplémentaires suivants de GitHub :

• 2-Node-EFSBackupPipeline.json – Ce modèle démarre deux instances parallèles d'Amazon EC2 poursauvegarder votre système de fichiers Amazon EFS de production.

• 2-Node-EFSRestorePipeline.json – Ce modèle démarre deux instances parallèles d'Amazon EC2 pour larestauration d'une sauvegarde de votre système de fichiers Amazon EFS de production.

Ajout d'instances de sauvegarde supplémentairesVous pouvez ajouter des nœuds supplémentaires aux modèles de sauvegardes utilisés danscette procédure. Pour ajouter un nœud, modifiez les sections suivantes du modèle 2-Node-EFSBackupDataPipeline.json.

252

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/2-Node-EFSBackupPipeline.json

https://github.com/awslabs/data-pipeline-samples/blob/master/samples/EFSBackup/2-Node-EFSRestorePipeline.json


Important

Si vous utilisez des nœuds supplémentaires, vous ne pouvez pas utiliser des espaces dans lesnoms de fichiers et les répertoires stockés dans le répertoire de niveau supérieur. Si tel est le cas,ces fichiers et répertoires ne sont pas sauvegardés ou restaurés. Tous les fichiers et les sous-répertoires qui sont au moins un niveau au-dessous du niveau supérieur sont sauvegardés etrestaurés comme prévu.

• Créez une ressource EC2Resource supplémentaire pour chaque nœud supplémentaire que voussouhaitez créer (dans cet exemple, une quatrième instance EC2).

{"id": "EC2Resource4","terminateAfter": "70 Minutes","instanceType": "#{myInstanceType}","name": "EC2Resource4","type": "Ec2Resource","securityGroupIds" : [ "#{mySrcSecGroupID}","#{myBackupSecGroupID}" ],"subnetId": "#{mySubnetID}","associatePublicIpAddress": "true"},

• Créer une activité de pipeline de données supplémentaires pour chaque nœud supplémentaire (dans cecas, l'activité BackupPart4), et configurez les sections suivantes :• Mettez à jour la référence runsOn pour qu'elle pointe sur la ressource EC2Resource précédemment

créée (EC2Resource4 dans l'exemple suivant).• Incrémentez les deux dernières valeurs scriptArgument pour égaler la part de sauvegarde dont

chaque nœud est responsable et le nombre total de nœuds. Pour "2" et "3" dans l'exemple ci-dessous, la partie de sauvegarde est "3" pour le quatrième nœud, car dans cet exemple car notrelogique de contrôle doit compter à partir de 0.

{"id": "BackupPart4","name": "BackupPart4","runsOn": {"ref": "EC2Resource4"},"command": "wget https://raw.githubusercontent.com/awslabs/data-pipeline-samples/master/samples/EFSBackup/efs-backup-rsync.sh\nchmod a+x efs-backup-rsync.sh\n./efs-backup-rsync.sh $1 $2 $3 $4 $5 $6 $7","scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myRetainedBackups}","#{myEfsID}", "3", "4"],"type": "ShellCommandActivity","dependsOn": {"ref": "InitBackup"},"stage": "true"},

• Incrémentez la dernière valeur dans toutes les valeurs scriptArgument existantes jusqu'au nombre denœuds (dans cet exemple, "4").

{"id": "BackupPart1",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myRetainedBackups}","#{myEfsID}", "1", "4"],...},{"id": "BackupPart2",

253


..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myRetainedBackups}","#{myEfsID}", "2", "4"],...},{"id": "BackupPart3",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myRetainedBackups}","#{myEfsID}", "0", "4"],...},

• Mettez à jour l'activité FinalizeBackup et ajoutez la nouvelle activité de sauvegarde à la listedependsOn (BackupPart4 dans ce cas).

{ "id": "FinalizeBackup", "name": "FinalizeBackup", "runsOn": { "ref":"EC2Resource1" }, "command": "wgethttps://raw.githubusercontent.com/awslabs/data-pipeline-samples/master/samples/EFSBackup/efs-backup-end.sh\nchmod a+xefs-backup-end.sh\n./efs-backup-end.sh $1 $2", "scriptArgument": ["#{myInterval}","#{myEfsID}"], "type": "ShellCommandActivity", "dependsOn": [ { "ref": "BackupPart1" },{ "ref": "BackupPart2" }, { "ref": "BackupPart3" }, { "ref": "BackupPart4" } ], "stage":"true"

Ajout d'instances de restauration supplémentairesVous pouvez ajouter des nœuds aux modèles de restauration utilisés dans cette procédure. Pour ajouterun nœud, modifiez les sections suivantes du modèle 2-Node-EFSRestorePipeline.json.

• Créez une ressource EC2Resource supplémentaire pour chaque nœud supplémentaire que voussouhaitez créer (dans cet exemple, une troisième instance EC2 appelée EC2Resource3).

{"id": "EC2Resource3","terminateAfter": "70 Minutes","instanceType": "#{myInstanceType}","name": "EC2Resource3","type": "Ec2Resource","securityGroupIds" : [ "#{mySrcSecGroupID}","#{myBackupSecGroupID}" ],"subnetId": "#{mySubnetID}","associatePublicIpAddress": "true"},

• Créez une activité de pipeline de données supplémentaires pour chaque nœud supplémentaire (dans cecas, l'activité RestorePart3) et veillez à configurer les sections suivantes :• Mettez à jour la référence runsOn afin qu'elle pointe sur la ressource EC2Resource précédemment

créée (dans cet exemple, EC2Resource3).• Incrémentez les deux dernières valeurs scriptArgument pour égaler la part de sauvegarde dont

chaque nœud est responsable et le nombre total de nœuds. Pour "2" et "3" dans l'exemple ci-dessous, la partie de sauvegarde est "3" pour le quatrième nœud, car dans cet exemple car notrelogique de contrôle doit compter à partir de 0.

{"id": "RestorePart3","name": "RestorePart3","runsOn": {"ref": "EC2Resource3"

254


},"command": "wget https://raw.githubusercontent.com/awslabs/data-pipeline-samples/master/samples/EFSBackup/efs-restore-rsync.sh\nchmod a+x efs-restore-rsync.sh\n./efs-backup-rsync.sh $1 $2 $3 $4 $5 $6 $7","scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myBackup}","#{myEfsID}", "2", "3"],"type": "ShellCommandActivity","dependsOn": {"ref": "InitBackup"},"stage": "true"},

• Incrémentez la dernière valeur dans toutes les valeurs scriptArgument existantes jusqu'au nombre denœuds (dans cet exemple, "3").

{"id": "RestorePart1",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myBackup}","#{myEfsID}", "1", "3"],...},{"id": "RestorePart2",..."scriptArgument": ["#{myEfsSource}","#{myEfsBackup}", "#{myInterval}", "#{myBackup}","#{myEfsID}", "0", "3"],...},

Hébergement des scripts rsync dans un compartiment AmazonS3Cette solution de sauvegarde dépend de l'exécution de scripts rsync qui sont hébergés dans un référentielGitHub sur Internet. Par conséquent, cette solution de sauvegarde est dépendante de la disponibilité duréférentiel GitHub. Cela signifie que si le référentiel GitHub supprime ces scripts ou que le site Web deGitHub se déconnecte pour une raison quelconque, la solution de sauvegarde mis en œuvre commeindiqué plus haut ne fonctionnera pas.

Si vous préférez éliminer cette dépendance de GitHub, vous pouvez choisir d'héberger les scripts dans uncompartiment Amazon S3 vous appartenant. Ci-après, vous pouvez trouver les étapes nécessaires pourhéberger les scripts par vous-même.

Pour héberger les scripts rsync dans votre propre compartiment Amazon S3

1. Inscrivez-vous à AWS – Si vous avez déjà un compte AWS, passez à l'étape suivante. Sinon,consultez Inscrivez-vous à AWS (p. 8).

2. Créer un utilisateur AWS Identity and Access Management – Si vous avez déjà un utilisateur IAM,passez à l'étape suivante. Sinon, consultez Créer un utilisateur IAM (p. 8).

3. Créez un compartiment Amazon S3 – Si vous avez déjà un compartiment dans lequel vous souhaitezhéberger les scripts rsync, passez à l'étape suivante. Sinon, consultez Créer un compartiment dans lemanuel Amazon Simple Storage Service Guide de mise en route.

4. Télécharger les scripts et les modèles rsync – Téléchargez l'ensemble des scripts et des modèlesrsync du dossier EFSBackup de GitHub. Notez l'emplacement où vous avez téléchargé ces fichiers survotre ordinateur.

255

http://docs.aws.amazon.com/AmazonS3/latest/gsg/CreatingABucket.html

https://github.com/awslabs/data-pipeline-samples/tree/master/samples/EFSBackup


5. Chargez les scripts rsync dans votre compartiment S3 – Pour plus de détails sur le chargementd'objets dans votre compartiment S3, consultez Ajouter un objet à un compartiment dans le manuelAmazon Simple Storage Service Guide de mise en route.

6. Modifiez les autorisations sur les scripts rsync téléchargés afin de permettre à Tout le monde de lesOuvrir/Télécharger. Pour plus d'informations sur la modification des autorisations sur un objet dansvotre compartiment S3, consultez Modification des autorisations d'un objet dans le manuel AmazonSimple Storage Service Guide de l'utilisateur de la console.

7. Mettez à jour vos modèles – Modifiez l'instruction wget du paramètre shellCmd afin qu'elle pointe surle compartiment Amazon S3 dans lequel vous placez le script de démarrage. Enregistrez le modèlemis à jour et utilisez-le lors de l'exécution de la procédure de l'Étape 3 : créer un pipeline de donnéespour la sauvegarde (p. 248).

Note

Nous vous recommandons de limiter l'accès à votre compartiment Amazon S3 afin d'inclurele compte IAM qui active AWS Data Pipeline pour cette solution de sauvegarde. Pour plusd'informations, consultez Gérer les autorisations d'un compartiment dans le guide &guide-s3-user;.

Vous hébergez désormais les scripts rsync pour cette solution de sauvegarde et vos sauvegardes ne sontplus dépendantes de la disponibilité de GitHub.

256

http://docs.aws.amazon.com/AmazonS3/latest/gsg/PuttingAnObjectInABucket.html

http://docs.aws.amazon.com/AmazonS3/latest/user-guide/EditingPermissionsonanObject.html

http://docs.aws.amazon.com/AmazonS3/latest/user-guide/EditingBucketPermissions.html

Amazon Elastic File System Guide de l'utilisateurMontage des systèmes de fichierssans l'assistant de montage EFS

Montage des systèmes de fichiers sans l'assistantde montage EFS

Note

Dans cette section, vous pouvez apprendre à monter votre système de fichiers Amazon EFSsans le package amazon-efs-utils. Pour utiliser le chiffrement des données en transit avecvotre système de fichiers, vous devez monter votre système de fichiers avec le protocole TLS(Transport Layer Security). Pour ce faire, nous vous recommandons d'utiliser le package amazon-efs-utils. Pour plus d'informations, consultez Utilisation des outils amazon-efs-utils (p. 42)

Dans la section suivante, vous découvrez comment installer le client NFS (Network File System) et montervotre système de fichiers Amazon EFS sur une instance Amazon EC2. Vous trouverez également uneexplication de la commande mount et les options disponibles pour spécifier le nom DNS (Domain NameSystem) de votre système de fichiers dans la commande mount. En outre, vous découvrirez commentutiliser le fichier fstab pour remonter automatiquement votre système de fichiers après un redémarrage dusystème.

Note

Avant de monter un système de fichiers, vous devez créer, configurer et lancer vos ressourcesAWS associées. Pour obtenir des instructions complètes, consultez Mise en route avec AmazonElastic File System (p. 11).

Rubriques• NFS Support (p. 257)• Installation du client NFS (p. 258)• Montage sur Amazon EC2 avec un nom DNS (p. 259)• Montage avec une adresse IP (p. 260)• Montage automatique (p. 261)

NFS SupportAmazon EFS prend en charge Network File System versions 4.0 et 4.1 (NFSv4.1) et les protocolesNFSv4.0 lors du montage de vos systèmes de fichiers sur les instances Amazon EC2. Même si NFSv4.0est pris en charge, nous vous recommandons d'utiliser NFSv4.1. Le montage de votre système de fichiersAmazon EFS sur votre instance Amazon EC2 nécessite également un client NFS qui prend en charge leprotocole NFSv4 choisi.

Afin d'obtenir des performances optimales et éviter divers bogues identifiés du client NFS, nous vousrecommandons d'utiliser un noyau Linux récent. Si vous utilisez une distribution Linux d'entreprise, nousvous recommandons de procéder comme suit :

• Amazon Linux 2015.09 ou version ultérieure• RHEL 7.3 ou version ultérieure• RHEL 6.9 avec noyau 2.6.32-696 ou version ultérieure• Toutes les versions Ubuntu 16.04• Ubuntu 14.04 avec noyau 3.13.0-83 ou version ultérieure• SLES 12 Sp2 ou version ultérieure

Si vous utilisez une autre distribution ou un noyau personnalisé, nous recommandons la version 4.3 ouversion ultérieure.

257

Amazon Elastic File System Guide de l'utilisateurInstallation du client NFS

Note

L'utilisation d'Amazon EFS avec les instances Amazon EC2 basées sur Microsoft Windows n'estpas prise en charge.

Dépannage des versions d'AMI et de noyauPour dépanner des problèmes liés à certaines versions d'AMI ou de noyau lors de l'utilisation d'AmazonEFS à partir d'une instance EC2, consultez Résolution des problèmes d'AMI et de noyau (p. 121).

Installation du client NFSPour monter votre système de fichiers Amazon EFS sur votre instance Amazon EC2, vous devez d'abordinstaller un client NFS. Pour vous connecter à votre instance EC2 et installer un client NFS, vous avezbesoin du nom DNS public de l'instance EC2 et d'un nom d'utilisateur. Le nom d'utilisateur de votreinstance est généralement ec2-user.

Pour vous connecter à votre instance EC2 et installer le client NFS

1. Connectez-vous à votre instance EC2. Tenez compte des éléments suivants pour la connexion àl'instance :

• Pour vous connecter à votre instance à partir d'un ordinateur exécutant Mac OS ou Linux, spécifiezle fichier .pem associé au client SSH avec l'option -i et le chemin d'accès à la clé privée.

• Pour vous connecter à votre instance à partir d'un ordinateur exécutant Windows, vous pouvezutiliser MindTerm ou PuTTY. Si vous prévoyez d'utiliser PuTTY, vous devez l'installer et exécuter laprocédure suivante pour convertir le fichier .pem en fichier .ppk.

Pour de plus amples informations, veuillez consulter les rubriques suivantes du manuel Amazon EC2Guide de l'utilisateur pour les instances Linux :

• Connexion à votre instance Linux à partir de Windows à l'aide de PuTTY• Connexion à votre instance Linux à l'aide de SSH

Le fichier de clé ne peut pas être visible publiquement pour SSH. Vous pouvez utiliser la commandechmod 400 nom de fichier.pem pour définir ces autorisations. Pour plus d'informations,consultez Créer une paire de clés.

2. (Facultatif) Obtenez les mises à jour et redémarrez.

$ sudo yum -y update $ sudo reboot

3. Une fois le redémarrage effectué, reconnectez-vous à votre instance EC2.4. Installez le client NFS.

Si vous utilisez une AMI Amazon Linux ou Red Hat Linux, installez le client NFS avec la commandesuivante.

$ sudo yum -y install nfs-utils

Si vous utilisez une AMI Amazon EC2 Ubuntu, installez le client NFS avec la commande suivante.

$ sudo apt-get -y install nfs-common

258



http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-set-up-for-amazon-ec2.html#create-a-key-pair

Amazon Elastic File System Guide de l'utilisateurMontage sur Amazon EC2 avec un nom DNS

Si vous utilisez un noyau personnalisé (autrement dit, si vous créez une AMI personnalisée), vous devezinclure, au minimum, le module de noyau client NFSv4.1 et l'assistant de montage d'espace utilisateurNFS4 approprié.

Note

Si vous choisissez Amazon Linux AMI 2016.03.0 ou Amazon Linux AMI 2016.09.0 lors dulancement de votre instance Amazon EC2, vous n'aurez pas besoin d'installer nfs-utils, car ilest déjà inclus par défaut dans l'AMI.

Ensuite : Montage de votre système de fichiers

Utilisez l'une des procédures suivantes pour monter votre système de fichiers.

• Montage sur Amazon EC2 avec un nom DNS (p. 259)• Montage avec une adresse IP (p. 260)• Montage automatique de votre système de fichiers EFS Amazon (p. 75)

Montage sur Amazon EC2 avec un nom DNSVous pouvez utiliser les noms DNS pour monter un système de fichiers Amazon EFS sur une instanceAmazon EC2. Vous pouvez indiquer le nom DNS du système de fichiers ou celui de la cible de montage.

• Nom DNS du système de fichiers – Le nom DNS du système de fichiers constitue votre option demontage la plus simple. Le nom DNS du système de fichiers sera automatiquement résolu en l'adresseIP de la cible de montage dans la zone de disponibilité de l'instance Amazon EC2 en cours deconnexion. Vous pouvez obtenir ce nom DNS à partir de la console, ou si vous avez l'ID du système defichiers, vous pouvez le construire selon la convention suivante.


A l'aide du nom DNS de système de fichiers, vous pouvez monter un système de fichiers sur votreinstance Amazon EC2 avec la commande suivante.

sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport file-system-id.efs.aws-region.amazonaws.com:/ efs-mount-point

• Nom DNS de la cible de montage – En décembre 2016, nous avons introduit les noms DNS pour lessystèmes de fichiers. Nous continuons à fournir un nom DNS pour chaque cible de montage de zonede disponibilité à des fins de compatibilité descendante. La forme générique du nom DNS de la cible demontage est la suivante.

availability-zone.file-system-id.efs.aws-region.amazonaws.com

Dans certains cas, il se peut que vous supprimiez une cible de montage, puis en créiez une nouvelledans la même zone de disponibilité. Dans ce cas, le nom DNS de cette nouvelle cible de montage decette zone de disponibilité est le même que le nom DNS de l'ancienne cible de montage.

Pour obtenir la liste des régions AWS prenant en charge Amazon EFS, consultez Amazon Elastic FileSystem & dans le document AWS General Reference.

Pour utiliser un nom DNS dans la commande mount, les conditions suivantes doivent être vérifiées :

259



Amazon Elastic File System Guide de l'utilisateurMontage avec une adresse IP

• L'instance EC2 de connexion doit être à l'intérieur d'un VPC et elle doit être configurée pour l'utilisationdu serveur DNS fourni par Amazon. Pour plus d'informations sur le serveur DNS Amazon, consultezJeux d'options DHCP dans le Amazon VPC Guide de l'utilisateur.

• Le nom VPC de l'instance EC2 en cours de connexion doit avoir un nom d'hôte DNS activé. Pour plusd'informations, consultez Affichage des noms d'hôte DNS pour votre instance EC2 dans le Amazon VPCGuide de l'utilisateur.

Note

Nous vous recommandons d'attendre 90 secondes après la création d'une cible de montagepour monter votre système de fichiers. Cette attente permet que les enregistrements DNS soientpropagés dans l'ensemble de la région AWS où réside le système de fichiers.

Montage avec une adresse IPAu lieu de monter votre système de fichiers Amazon EFS avec le nom DNS de montage, vous pouvezutiliser des instances Amazon EC2 pour monter un système de fichiers à l'aide de l'adresse IP d'une cibleun montage. Le montage par adresse IP fonctionne dans les environnements où DNS est désactivé,comme les VPC avec les noms d'hôte DNS désactivés, et le montage d'instances EC2-Classic avecClassicLink. Pour plus d'informations sur ClassicLink, consultez ClassicLink dans le manuel Amazon EC2Guide de l'utilisateur pour les instances Linux.

Il est aussi possible de configurer le montage d'un système de fichiers à l'aide de l'adresse IP de la ciblede montage comme option de secours pour les applications configurées pour le montage de système defichiers à l'aide de son nom DNS par défaut. Lors de la connexion à l'adresse IP d'une cible de montage,les instances EC2 doivent être montées à l'aide de l'adresse IP de la cible de montage dans la même zonede disponibilité que l'instance de connexion.

Vous pouvez obtenir l'adresse IP de la cible de montage pour votre système de fichiers EFS via la consoleen utilisant la procédure suivante.

Pour obtenir l'adresse IP de la cible de montage de votre système de fichiers EFS

1. Ouvrez la console Amazon Elastic File System à l'adresse https://console.aws.amazon.com/efs/.2. Choisissez la valeur Name (Nom) de votre système de fichiers EFS pour File systems (Systèmes de

fichiers).3. Dans le tableau Mount targets, identifiez la zone de disponibilité que vous voulez utiliser pour monter

votre système de fichiers EFS sur votre instance EC2.4. Notez l'adresse IP associée à la zone de disponibilité choisie.

260



http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/vpc-classiclink.html


Amazon Elastic File System Guide de l'utilisateurMontage automatique

Vous pouvez spécifier l'adresse IP d'une cible de montage dans la commande mount, comme illustré ci-après.

$ sudo mount -t nfs -o nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport mount-target-IP:/ ~/efs-mount-point

Montage avec une adresse IP dans AWS CloudFormationVous pouvez également monter le système de fichiers avec une adresse IP dans un modèle AWSCloudFormation. Pour plus d'informations, consultez storage-efs-mountfilesystem-ip-addr.config dans leréférentiel awsdocs/elastic-beanstalk-samples pour les fichiers de configuration fournis par la communautésur GitHub.

Montage automatiqueVous pouvez utiliser le fichier fstab pour monter automatiquement votre système de fichiers Amazon EFSchaque fois que l'instance Amazon EC2 est montée au redémarrage. Il existe deux façons de configurer unmontage automatique. Vous pouvez mettre à jour le fichier /etc/fstab dans votre instance EC2 aprèsvous être connecté à l'instance pour la première fois, ou vous pouvez configurer le montage automatiquede votre système de fichiers EFS lorsque vous créez votre instance EC2.

Mise à jour d'une instance EC2 existante pour un montageautomatiquePour remonter automatiquement le répertoire de votre système de fichiers Amazon EFS au redémarragede l'instance Amazon EC2, vous pouvez utiliser le fichier fstab. Le fichier fstab contient des informations

261

https://github.com/awsdocs/elastic-beanstalk-samples/blob/master/configuration-files/community-provided/instance-configuration/storage-efs-mountfilesystem-ip-addr.config


sur les systèmes de fichiers et la commande mount -a, qui s'exécute lors du démarrage de l'instance,monte les systèmes de fichiers répertoriés dans le fichier fstab.

Note

Avant de mettre à jour le fichier/etc/fstab de votre instance EC2, assurez-vous que vous avez déjàcréé votre système de fichiers Amazon EFS et que vous êtes connecté à votre instance AmazonEC2. Pour plus d'informations, consultez Étape 2 : Créer votre système de fichiers AmazonEFS (p. 15) dans l'exercice de mise en route d'Amazon EFS.

Pour mettre à jour le fichier /etc/fstab dans votre instance EC2

1. Connectez-vous à votre instance EC2, puis ouvrez le fichier /etc/fstab dans un éditeur.2. Ajoutez la ligne suivante dans le fichier /etc/fstab.

mount-target-DNS:/ efs-mount-point nfs4 nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,_netdev,noresvport 0 0

Si vous souhaitez copier le contenu de votre fichier /etc/fstab entre les instances EC2 dedifférentes zones de disponibilité (AZ), nous vous recommandons d'utiliser le nom DNS du système defichiers. Ne copiez pas le fichier /etc/fstab entre les zones de disponibilité si vous utilisez le nomDNS de la cible de montage. Si vous le faites, chaque système de fichiers a un nom DNS unique pourchaque zone de disponibilité avec une cible de montage. Pour plus d'informations sur les noms DNS,consultez Montage sur Amazon EC2 avec un nom DNS (p. 259).

3. Enregistrez les modifications dans le fichier.

Votre instance EC2 est maintenant configurée pour le montage du système de fichiers EFS à chaqueredémarrage.

Note

Si votre instance Amazon EC2 doit démarrer quel que soit l'état de votre système de fichiersAmazon EFS monté, ajoutez l'option nofail à l'entrée de votre système de fichiers dans le fichieretc/fstab.

La ligne de code que vous avez ajoutée au fichier/etc/fstab effectue les opérations suivantes.

Champ Description

mount-target-DNS:/ Nom DNS (Domain Name Server) pour le système de fichiers que vousvoulez monter. Il s'agit de la même valeur que celle utilisée dans lescommandes mount pour monter le sous-répertoire de votre système defichiers EFS.

efs-mount-point Point de montage du système de fichiers EFS sur votre instance EC2.

nfs4 Type de système de fichiers. Pour EFS, ce type est toujours nfs4.

mount options Options de montage pour le système de fichiers. Il s'agit d'une liste séparéepar des virgules des options suivantes :

• nfsvers– Identifie la version NFS à utiliser. Nousrecommandons 4.1 comme valeur pour cette option.

• rsize – Définit la taille des blocs pour la lecture des donnéesentre le client et le système de fichiers dans le cloud. Nousrecommandons 1048576 comme valeur pour cette option.

262


Champ Description• wsize – Définit la taille des blocs pour l'écriture des données

entre le client et le système de fichiers dans le cloud. Nousrecommandons 1048576 comme valeur pour cette option.

• hard – Spécifie que les applications locales qui utilisent un fichier surle système de fichiers doivent arrêter et attendre que le système defichiers soit de nouveau en ligne si Amazon EFS est temporairementindisponible.

• timeo – Spécifie le temps, en dixième de seconde, pendantlequel le client NFS attend une réponse avant de relancerune demande vers le système de fichiers dans le cloud. Nousrecommandons 600 décisecondes comme valeur pour cette option.

• retrans – Spécifie le nombre de fois que le client NFS doit relancer unedemande. Nous recommandons 2 comme valeur pour cette option.

• _netdev – Cette valeur est utilisée pour empêcher le noyau de l'instanceAmazon EC2 de monter le système de fichiers avant que l'instance n'aitla connectivité réseau.

• noresvport - Avec cette option, le client NFS utilise un nouveau portsource de protocole TCP (Transmission Control Protocol) lorsqu'uneconnexion réseau est rétablie. L'utilisation d'un nouveau port permetde garantir la disponibilité ininterrompue après un événement derécupération du réseau.

Pour plus d'informations, consultez Considérations de montagesupplémentaires (p. 78).

0 Une valeur différente de zéro indique que le système de fichiers doit êtresauvegardé par dump. Pour EFS, cette valeur doit être 0.

0 Ordre dans lequel fsck vérifie les systèmes de fichiers au démarrage. Pourles systèmes de fichiers EFS, cette valeur doit être 0 pour indiquer quefsck ne doit pas s'exécuter au démarrage.

263


Historique du document• Version de l'API : 2015-02-01• Dernière mise à jour de la documentation : 12 juillet 2018

Le tableau suivant décrit les modifications importantes apportées au manuel Amazon Elastic File SystemGuide de l'utilisateur après juillet 2018. Pour recevoir des notifications sur les mises à jour de cettedocumentation, abonnez-vous au flux RSS.

update-history-change update-history-description update-history-date

Présentation du mode Débitalloué (p. 264)

Vous pouvez désormais allouerun débit pour les systèmesde fichiers, nouveaux ouexistants, avec le nouveaumode Débit alloué. Pour plusd'informations, consultez http://docs.aws.amazon.com/efs/latest/ug/throughput-modes.html.

July 12, 2018

Ajout de la prise encharge de la région AWSsupplémentaires (p. 264)

Amazon EFS est désormaisdisponible pour tous lesutilisateurs de la région AWSAsie-Pacifique (Tokyo).

July 11, 2018

Le tableau suivant décrit les modifications importantes apportées au manuel Amazon Elastic File SystemGuide de l'utilisateur avant juillet 2018.

Modification Description Date de modification

Ajout de la priseen charge dela région AWSsupplémentaires

Amazon EFS est désormais disponible pour tous lesutilisateurs de la région AWS Asie-Pacifique (Séoul).

30 mai 2018

Ajout de la priseen charge desmathématiquesde métriquesCloudWatch

Les mathématiques appliquées aux métriques vouspermettent d'interroger plusieurs métriques CloudWatch etd'utiliser des expressions mathématiques pour créer desséries chronologiques basées sur ces métriques. Pour plusd'informations, consultez Utilisation des mathématiquesappliquées aux métriques avec Amazon EFS (p. 89).

4 avril 2018

Ajout de l'ensembled'outils amazon-efs-utils open-sourcetools et ajout duchiffrement in transit

Les outils amazon-efs-utils tools sont un ensemble defichiers exécutables open-source qui simplifient certainsaspects de l'utilisation d'Amazon EFS, comme le montage.Il n'y a pas de frais supplémentaires liés à l'utilisationd'amazon-efs-utils et vous pouvez télécharger ces outilsà partir de GitHub. Pour plus d'informations, consultezUtilisation des outils amazon-efs-utils (p. 42).

De même, dans cette version, Amazon EFS prenddésormais en charge le chiffrement en transit via letunneling TLS (Transport Layer Security). Pour plus

4 avril 2018

264

http://docs.aws.amazon.com/efs/latest/ug/throughput-modes.html




Modification Description Date de modificationd'informations, consultez Chiffrement des données etmétadonnées dans EFS (p. 107).

Mise à jour deslimites du systèmede fichiers parrégion AWS

Amazon EFS a augmenté la limite du nombre de systèmesde fichiers pour tous les comptes de toutes les régionsAWS. Pour plus d'informations, consultez Limites desressources (p. 113).

15 mars 2018

Ajout de la priseen charge dela région AWSsupplémentaires

Amazon EFS est désormais disponible pour tous lesutilisateurs de la région AWS USA Ouest (Californie duNord).

14 mars 2018

Amazon EFS FileSync (EFS FileSync)

Amazon EFS prend désormais en charge la copie desfichiers à partir de votre centre de données sur site oudepuis le cloud à l'aide d'Amazon EFS avec EFS File Sync.EFS File Sync copie les systèmes de fichiers accédés àl'aide de NFS (Network File System) version 3 ou version 4aux systèmes de fichiers Amazon EFS. Consultez AmazonEFS File Sync (p. 35) pour démarrer.

22 novembre 2017

Chiffrement dedonnées au repos

Amazon EFS prend désormais en charge le chiffrementdes données au repos. Pour plus d'informations,consultez Chiffrement des données et métadonnées dansEFS (p. 107).

14 août 2017

Ajout de la prise encharge d'une régionsupplémentaire

Amazon EFS est désormais disponible pour tous lesutilisateurs de la région UE (Francfort).

20 juillet 2017

Noms de systèmede fichiers utilisant lesystème de noms dedomaine (DNS)

Amazon EFS prend désormais en charge les noms DNSpour les systèmes de fichiers. Le nom DNS d'un systèmede fichiers est automatiquement résolu par l'adresse IPde la cible de montage dans la zone de disponibilité del'instance Amazon EC2 en cours de connexion. Pour plusd'informations, consultez Montage sur Amazon EC2 avecun nom DNS (p. 259).

20 décembre 2016

Meilleure prise encharge des balisepour les systèmesde fichiers

Amazon EFS prend désormais en charge 50 balises parsystème de fichiers. Pour en savoir plus sur les balisesdans Amazon EFS, consultez Gestion des balises desystème de fichiers (p. 55).

29 août 2016

Disponibilitégénérale

Amazon EFS est maintenant disponible pour tous lesutilisateurs des régions USA Est (Virginie du Nord),USA Ouest (Oregon) et UE (Irlande) regions.

28 juin 2016

Augmentation de lalimite de système defichiers

Le nombre de systèmes de fichiers Amazon EFS pouvantêtre créés par compte et par région est passé de 5 à 10.

21 août 2015

Mise à jour del'exercice de miseen route

L'exercice de mise en route a été mis à jour pour simplifierle processus de mise en route.

17 août 2015

Nouveau guide Il s'agit de la première édition du manuel Amazon ElasticFile System Guide de l'utilisateur.

26 mai 2015

265

amazon elastic file system - aws documentation · installation du package amazon-efs-utils sur...

Documents