Das Amazon Elastic File System (EFS) ist ein regionaler Dienst. Wenn Sie in einer bestimmten Region einen EFS erstellen (z. B .: us-east-1), können Sie mehrere EC2-Instanzen in verschiedenen Verfügbarkeitszonen in derselben us-east-1-Region erstellen, um auf die EFS zuzugreifen, um Daten zu lesen und zu schreiben.
Alle EC2-Instanzen in einer bestimmten Region (zB: us-east-1) müssen zu einer VPC und einem Subnetz gehören (sofern Sie nicht EC2-Classic verwenden). Eine VPC wird einer Region zugeordnet, und ein Subnetz wird einer Verfügbarkeitszone zugeordnet. Sie können Mount-Ziele in den Verfügbarkeitszonen Ihrer VPC einrichten, sodass EC2-Instanzen über ein Mount-Ziel eine Verbindung zu EFS herstellen und dasselbe Dateisystem verwenden können.
Werfen Sie einen Blick auf das folgende Bild von AWS-Dokumentation. Jetzt
, wie können wir sicherstellen, dass unsere EFS können nur von bestimmten Satz von EC2-Instanzen und nicht alle Instanzen von allen Subnetzen zugegriffen werden? Diese
ist, wo die Sicherheitsgruppen nützlich sein. Wir können den EFS-Einhängepunkten Sicherheitsgruppen zuweisen, sodass nur EC2s, denen die angegebene Sicherheitsgruppe zugeordnet ist, über das Einhängeziel auf EFS zugreifen können. Alle anderen EC2-Instanzen, die sich in einer anderen Sicherheitsgruppe befinden, können nicht auf den EFS zugreifen. Auf diese Weise beschränken wir den Zugriff auf EFS.
Also, wenn Sie den EFS auf eine EC2-Instanz montieren, haben wir die gleiche Sicherheitsgruppe des EFS auf die EC2-Instanz hinzuzufügen.
Sowohl eine Amazon EC2-Instanz als auch ein Mount-Ziel haben zugeordnete Sicherheitsgruppen. Diese Sicherheitsgruppen agieren als virtuelle Firewall, die den Datenverkehr zwischen ihnen steuert. Wenn Sie beim Erstellen eines Mount-Ziels keine Sicherheitsgruppe angeben, ordnet Amazon EFS die Standardsicherheitsgruppe der VPC damit zu.
Unabhängig davon, Verkehr zwischen einer EC2-Instanz und einer Halterung Ziel (und damit das Dateisystem) zu aktivieren, müssen Sie die folgenden Regeln in diesen Sicherheitsgruppen konfigurieren:
Die Sicherheitsgruppen, die Sie mit einem assoziieren Mount-Ziel muss eingehenden Zugriff für das TCP-Protokoll auf dem NFS-Port von allen EC2-Instanzen ermöglichen, auf denen Sie das Dateisystem bereitstellen möchten.
Jede EC2-Instanz, die das Dateisystem einbindet, muss über eine Sicherheitsgruppe verfügen, die den ausgehenden Zugriff auf das Mount-Ziel am NFS-Port zulässt.
Lesen Sie mehr über EFS Sicherheitsgruppen here.
Hoffe, das hilft.
Wo genau in der Dokumentation heißt es, dass "Sie nur an Instanzen anhängen können, die dieselbe Sicherheitsgruppe wie Ihre VPC haben"? –