Инструкции
In this article:
Инструкции#
Монтирование файловой системы#
Для монтирования файловой системы EFS на экземпляре следует предварительно создать файловую систему и точку монтирования. Последняя должна находиться в подсети из того же VPC, что и сам экземпляр. Кроме того, операционная система экземпляра должна поддерживать протокол NFS 4.1.
Чтобы экземпляр мог подключиться к точке монтирования, её необходимо корректно настроить — задать исходящие правила для группы безопасности экземпляра и входящие правила для точки монтирования. Если экземпляру и точке монтирования назначена группа безопасности по умолчанию и в ней не менялось заданные по умолчанию исходящее и входящее правила (разрешён весь исходящий трафик и весь входящий трафик от членов группы), то никаких дополнительных действий не требуется.
Внимание
Если правила группы безопасности по умолчанию не менялись, то доступ к файловой системе могут получить все экземпляры, которым назначена эта группа безопасности.
Смонтировать файловую систему на экземпляре#
Ниже предполагается, что на экземпляре установлена ОС Ubuntu или CentOS. Инструкция для других ОС Linux отличается лишь процедурой установки пакета с утилитами для работы с NFS (если он требуется). Для монтирования вам понадобится IP-адрес или DNS-имя точки монтирования. Их можно посмотреть на странице точки монтирования.
Установите клиента NFS (подробнее см., например, про использование NFS на Ubuntu)
sudo apt update sudo apt install nfs-common
sudo yum install nfs-utils -y
Создайте каталог, куда будет монтироваться файловая система:
sudo mkdir /mnt/efs-mount-point
Смонтируйте файловую систему, указав DNS-имя точки монтирования:
# Пример DNS-имени: ru-msk-vol51.fs-B8C952E6.efs.vpc-73d5fea1.internal sudo mount -t nfs -o nfsvers=4.1 mount-target-DNS:/ /mnt/efs-mount-point
либо IP-адрес точки монтирования:
sudo mount -t nfs -o nfsvers=4.1 mount-target-ip:/ /mnt/efs-mount-point
Чтобы файловая система автоматически монтировалось при рестарте экземпляра, в файл
/etc/fstab
добавьте следующую строку:az_name.file_system_id.efs.vpc_id.internal:/ /mnt/efs-mount-point nfs4 nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport,_netdev 0 0
где
az_name
— название зоны доступности,file_system_id
— идентификатор файловой системы,vpc_id
— идентификатор VPC, а~/efs-mount-point
— каталог, где смонтирована файловая система.
Настроить исходящее правило для экземпляра#
Если правила группы безопасности ограничивают исходящий трафик, то, при необходимости, добавьте исходящее правило для TCP-трафика на порт NFS на точке монтирования.
Экземпляру может быть назначено несколько групп безопасности. Заданные в них правила агрегируются в один набор правил. Поэтому вы можете добавить исходящее правило в любую группу, которая назначена экземпляру. (Однако, если эта группа назначена другим экземплярам, то это правило будет действовать и для них).
В данном примере мы создадим отдельную группу для исходящего трафика EFS. Для задания правила вам понадобится IP-адрес точки монтирования. Его можно посмотреть на странице точки монтирования.
Создайте группу безопасности с именем EfsOut.
Перейдите на страницу группы и откройте вкладку Входящие правила.
Удалите заданное по умолчанию правило, разрешающее исходящий трафик на все адреса для всех протоколов.
Нажмите Добавить.
В открывшемся окне:
Введите описание правила (опционально).
В поле Протоколы выберите TCP.
В поле Порты введите
2049
(поле доступно, когда выбрана опция К некоторым).Для параметра Разрешить доступ оставьте опцию ко всем IP-адресам.
В поле Сеть укажите IP-адрес точки монтирования.
Нажмите Добавить для создания правила.
Назначьте созданную группу безопасности экземпляру (если у экземпляра несколько сетевых интерфейсов, то группу можно назначить любому из них).
Настроить входящее правило для точки монтирования#
В данном примере мы создадим для точки монтирования отдельную группу безопасности с именем EfsIn, чтобы ограничить доступ только экземплярами, которым назначена группа EfsOut (см. предыдущий раздел).
Перейдите на страницу группы и откройте вкладку Входящие правила
Нажмите Добавить.
В открывшемся окне:
Введите описание правила (опционально).
В поле Протоколы выберите TCP.
В поле Порты введите
2049
(поле доступно, когда выбрана опция к некоторым).Для параметра Разрешить доступ выберите опцию Из группы безопасности.
В поле Группа безопасности выберите группу безопасности, которая назначена экземпляру (EfsOut, см. предыдущий раздел).
Нажмите Добавить для создания правила.
Назначьте созданную группу безопасности точке монтирования вместо заданной по умолчанию.