Инструкции#

Монтирование файловой системы#

Для монтирования файловой системы EFS на экземпляре следует предварительно создать файловую систему и точку монтирования. Последняя должна находиться в подсети из того же VPC, что и сам экземпляр. Кроме того, операционная система экземпляра должна поддерживать протокол NFS 4.1.

Чтобы экземпляр мог подключиться к точке монтирования, её необходимо корректно настроить — задать исходящие правила для группы безопасности экземпляра и входящие правила для точки монтирования. Если экземпляру и точке монтирования назначена группа безопасности по умолчанию и в ней не менялось заданные по умолчанию исходящее и входящее правила (разрешён весь исходящий трафик и весь входящий трафик от членов группы), то никаких дополнительных действий не требуется.

Внимание

Если правила группы безопасности по умолчанию не менялись, то доступ к файловой системе могут получить все экземпляры, которым назначена эта группа безопасности.

Смонтировать файловую систему на экземпляре#

Ниже предполагается, что на экземпляре установлена ОС Ubuntu или CentOS. Инструкция для других ОС Linux отличается лишь процедурой установки пакета с утилитами для работы с NFS (если он требуется). Для монтирования вам понадобится IP-адрес или DNS-имя точки монтирования. Их можно посмотреть на странице точки монтирования.

  1. Подключитесь к экземпляру по SSH.

  2. Установите клиента NFS (подробнее см., например, про использование NFS на Ubuntu)

    sudo apt update
    sudo apt install nfs-common
    
    sudo yum install nfs-utils -y
    
  3. Создайте каталог, куда будет монтироваться файловая система:

    sudo mkdir /mnt/efs-mount-point
    
  4. Смонтируйте файловую систему, указав DNS-имя точки монтирования:

    # Пример DNS-имени: ru-msk-vol51.fs-B8C952E6.efs.vpc-73d5fea1.internal
    
      sudo mount -t nfs -o nfsvers=4.1 mount-target-DNS:/   /mnt/efs-mount-point
    

    либо IP-адрес точки монтирования:

    sudo mount -t nfs -o nfsvers=4.1 mount-target-ip:/   /mnt/efs-mount-point
    
  5. Чтобы файловая система автоматически монтировалось при рестарте экземпляра, в файл /etc/fstab добавьте следующую строку:

    az_name.file_system_id.efs.vpc_id.internal:/ /mnt/efs-mount-point nfs4 nfsvers=4.1,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport,_netdev 0 0
    

    где az_name — название зоны доступности, file_system_id — идентификатор файловой системы, vpc_id — идентификатор VPC, а ~/efs-mount-point — каталог, где смонтирована файловая система.

Настроить исходящее правило для экземпляра#

Если правила группы безопасности ограничивают исходящий трафик, то, при необходимости, добавьте исходящее правило для TCP-трафика на порт NFS на точке монтирования.

Экземпляру может быть назначено несколько групп безопасности. Заданные в них правила агрегируются в один набор правил. Поэтому вы можете добавить исходящее правило в любую группу, которая назначена экземпляру. (Однако, если эта группа назначена другим экземплярам, то это правило будет действовать и для них).

В данном примере мы создадим отдельную группу для исходящего трафика EFS. Для задания правила вам понадобится IP-адрес точки монтирования. Его можно посмотреть на странице точки монтирования.

  1. Создайте группу безопасности с именем EfsOut.

  2. Перейдите на страницу группы и откройте вкладку Входящие правила.

  3. Удалите заданное по умолчанию правило, разрешающее исходящий трафик на все адреса для всех протоколов.

  4. Нажмите Добавить.

  5. В открывшемся окне:

    • Введите описание правила (опционально).

    • В поле Протоколы выберите TCP.

    • В поле Порты введите 2049 (поле доступно, когда выбрана опция К некоторым).

    • Для параметра Разрешить доступ оставьте опцию ко всем IP-адресам.

    • В поле Сеть укажите IP-адрес точки монтирования.

    • Нажмите Добавить для создания правила.

Назначьте созданную группу безопасности экземпляру (если у экземпляра несколько сетевых интерфейсов, то группу можно назначить любому из них).

Настроить входящее правило для точки монтирования#

В данном примере мы создадим для точки монтирования отдельную группу безопасности с именем EfsIn, чтобы ограничить доступ только экземплярами, которым назначена группа EfsOut (см. предыдущий раздел).

  1. Создайте группу безопасности

  2. Перейдите на страницу группы и откройте вкладку Входящие правила

  3. Нажмите Добавить.

  4. В открывшемся окне:

    • Введите описание правила (опционально).

    • В поле Протоколы выберите TCP.

    • В поле Порты введите 2049 (поле доступно, когда выбрана опция к некоторым).

    • Для параметра Разрешить доступ выберите опцию Из группы безопасности.

    • В поле Группа безопасности выберите группу безопасности, которая назначена экземпляру (EfsOut, см. предыдущий раздел).

    • Нажмите Добавить для создания правила.

Назначьте созданную группу безопасности точке монтирования вместо заданной по умолчанию.