建立 EFS 檔案系統 - Amazon Elastic File System
建立檔案系統所需的 IAM 許可檔案系統的組態選項

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 EFS 檔案系統

您可以在建立新的 EC2 啟動執行個體時建立檔案系統,如入門練習中所述。不過,您也可以使用 Amazon EFS 主控台、 AWS Command Line Interface (AWS CLI) 或 Amazon EFS API 來建立檔案系統。

使用 Amazon EFS 主控台建立檔案系統時,根據您希望檔案系統使用建議的設定,或您想要自訂設定,您有不同的選項。

  • 您可以使用快速建立,透過下列建議的設定快速建立檔案系統。

    • 區域可用性

    • 將檔案系統在 30 天後轉換為 EFS 不常存取 (IA) 儲存體、在 90 天後轉換為 EFS Archive 儲存體,而不是轉換為 EFS 標準儲存體的生命週期政策

    • 啟用靜態資料加密

    • 彈性輸送量模式

    • 一般用途效能模式

    • 在建立 AWS 區域 檔案系統的 中,掛載每個可用區域中設定的目標

  • 您可以使用自訂,以您選擇的設定建立檔案系統。

如需列出檔案系統設定和建議值的資料表,請參閱 檔案系統的組態選項

建立檔案系統所需的 IAM 許可

若要建立 EFS 資源,例如檔案系統和存取點,您必須具有對應 API 操作和資源的 AWS Identity and Access Management (IAM) 許可。

建立 IAM 使用者,並使用使用者政策授予他們 Amazon EFS 動作的許可。您也可以使用角色來授予跨帳戶許可。Amazon Elastic File System 也使用 IAM 服務連結角色,其中包含 AWS 服務 代表您呼叫其他 所需的許可。如需管理 API 操作許可的詳細資訊,請參閱 Amazon EFS 的身分和存取管理

檔案系統的組態選項

EFS 檔案系統是以下表所列的設定進行設定。

  • 如果您使用快速建立來建立檔案系統,則會使用 設定的指定建議值來建立檔案系統。

  • 如果使用自訂來建立自訂檔案系統,您可以變更設定的建議值。

建立檔案系統之後,您可以自訂檔案系統的設定,但檔案系統類型、加密和效能模式除外。

EFS 檔案系統設定
設定 描述
檔案系統類型

建議:區域

檔案系統類型會決定 EFS 檔案系統在 中存放資料的可用性和耐久性 AWS 區域。

  • 區域檔案系統會以備援方式跨 內的所有可用區域存放資料和中繼資料 AWS 區域。您可在 AWS 區域的每個可用區域中建立一個掛載目標。區域提供最高層級的可用性和耐久性。

  • 單區域檔案系統會在單一可用區域內以備援方式存放資料和中繼資料。單區域檔案系統只能有單一掛載目標。此掛載目標必須位於建立檔案系統的相同可用區域中。

    注意

    單區域檔案系統僅適用於特定可用區域。

如需建立檔案系統類型的詳細資訊,請參閱 EFS 檔案系統的可用性和耐久性
生命週期管理

建議:在 30 天後轉換為 IA 儲存體,並在 90 天後轉換為封存儲存體。請勿轉換至標準儲存。

生命週期管理使用生命週期政策,根據存取模式自動將檔案移入和移出成本較低的不常存取 (IA) 儲存類別。當您使用 建立檔案系統時 AWS Management Console,會使用下列預設設定來設定檔案系統的生命週期政策:

  • 轉移至 IA 設定為自上次存取後 30 天

  • 轉換為封存 設定為自上次存取後 90 天。

  • 轉移至標準設定為

當您使用 AWS CLI、Amazon EFS API 或 AWS SDKs 建立檔案系統時,您無法同時設定生命週期政策。您必須等到檔案系統建立,然後使用 PutLifecycleConfiguration API 操作來更新生命週期政策。

如需生命週期管理的詳細資訊,請參閱「管理儲存生命週期」。
靜態加密

建議:已啟用

Amazon EFS 預設會使用您的 AWS Key Management Service (AWS KMS) EFS 服務金鑰 (aws/elasticfilesystem) 來加密靜態資料。透過加密,儲存在其上的所有資料和中繼資料都會加密。建立 EFS 檔案系統之後,您無法變更其加密設定。這表示您無法修改未加密的檔案系統,使其加密。反之,您需要建立新的加密檔案系統。

如需 Amazon EFS 加密的詳細資訊,請參閱 在 Amazon EFS 中加密資料
輸送量模式

建議:彈性

您可以選擇下列輸送量模式:

  • 彈性 – 提供可即時自動擴展和縮減的輸送量,以滿足工作負載的效能需求。

  • 佈建 – 指定您想要的輸送量量,與檔案系統的大小無關。

  • 大量批量:提供可隨標準儲存體中資料量擴展的輸送量。

注意

與使用彈性和佈建輸送量相關的額外費用。如需詳細資訊,請參閱 Amazon EFS 定價

如需輸送量模式的詳細資訊,請參閱 輸送量模式
效能模式

建議:一般用途

一般用途效能模式具有最低的每次操作延遲,建議用於所有檔案系統。

Max I/O 是上一代效能類型,專為可容忍高於一般用途模式延遲的高度平行工作負載而設計。單區域檔案系統或使用彈性輸送量的檔案系統不支援最大 I/O 模式。

重要

由於最大 I/O 的每個操作延遲較高,我們建議所有檔案系統使用「一般用途」效能模式。

如需詳細資訊,請參閱效能模式

網路存取

建議:掛載在可使用檔案系統的每個可用區域中建立的目標

掛載目標設定如下:

  • VPC – 您可以一次在一個 VPC 中為檔案系統建立掛載目標。預設會選取 EC2 執行個體的預設子網路。如果您需要從不同的 VPC 存取檔案系統,請變更 VPC。

    如果您想要在建立 檔案系統之後變更 VPC,您必須先從目前的 VPC 刪除掛載目標。如需詳細資訊,請參閱變更掛載目標 VPC

  • 可用區域子網路 ID – 您可以變更掛載目標的可用區域或子網路。

  • IP 地址 - 根據預設,Amazon EFS 會在指定子網路上的可用地址建立掛載目標。或者,您可以指定掛載目標的 IP 地址。

    您無法在掛載目標建立後變更其 IP 地址。您需要刪除掛載目標,並使用新地址建立新的目標。

  • 安全群組 – 預設會使用指派給 VPC 目標的安全群組。您可以新增或移除安全群組。如需安全群組的詳細資訊,請參閱變更掛載目標安全群組

當您使用 AWS CLI、Amazon EFS API 或 AWS SDKs 建立檔案系統時,您無法同時建立掛載目標。您必須等到檔案系統建立完畢,然後使用 CreateMountTarget API 操作來建立掛載目標。

如需掛載目標的詳細資訊,請參閱 管理掛載目標

使用 Amazon EFS 主控台建立具有建議設定的 Amazon EFS 檔案系統。如果您要建立帶自訂組態的檔案系統,請參閱 使用主控台自訂建立

快速建立具有建議設定的 Amazon EFS 檔案系統

  1. 登入 AWS Management Console 並開啟位於 https:// 的 Amazon EFS 主控台。 https://console.aws.amazon.com/efs/

  2. 選擇建立檔案系統以開啟建立檔案系統對話方塊。

  3. (選用) 輸入您的檔案系統名稱

  4. 對於虛擬私有雲端 (VPC),請選擇您的 VPC,或將其設定為預設 VPC。

  5. 選擇建立以建立使用下列服務建議設定的檔案系統:

    • 區域可用性。

    • 一般用途效能模式。

    • 彈性輸送量模式。

    • 啟用靜態資料加密。

    • 轉換為 IA 和封存儲存體的生命週期管理政策。

    • 在建立 AWS 區域 檔案系統的 中,掛載每個可用區域中設定的目標。

    檔案系統頁面上方會出現一個橫幅,顯示您建立的檔案系統狀態。當檔案系統可供使用時,橫幅中會出現存取檔案系統詳細資訊頁面的連結。

    如需關於建立檔案系統狀態的詳細資訊,請參閱 了解檔案系統狀態

本節說明使用 Amazon EFS 主控台建立具有自訂設定的 EFS 檔案系統,而非使用服務建議設定的程序。如需使用建議設定建立檔案系統的詳細資訊,請參閱 使用主控台快速建立

使用主控台建立具有自訂設定的 EFS 檔案系統是四個步驟:

  • 步驟 1:設定一般檔案系統設定,包括儲存類別和輸送量模式。

  • 步驟 2:設定檔案系統網路設定,包括虛擬私有雲端 (VPC) 和掛載目標。針對每個掛載目標,設定可用區域、子網路、IP 地址和安全群組。

  • 步驟 3:(選用) 建立檔案系統原則以控制 NFS 用戶端對檔案系統的存取。

  • 步驟 4:檢閱檔案系統設定,進行任何變更,然後建立檔案系統。

步驟 1:設定檔案系統設定

  1. 登入 AWS Management Console ,並在 https://console.aws.amazon.com/efs/:// 開啟 Amazon EFS 主控台。

  2. 選擇建立檔案系統以開啟建立檔案系統對話方塊。

  3. 選擇自訂以建立自訂檔案系統,而不是使用建議的設定建立檔案系統。檔案系統設定 頁面隨即開啟。

  4. 針對一般設定,執行下列操作:

    1. (選用) 輸入檔案系統的名稱

    2. 對於檔案系統類型,預設會選取區域。如果您想要建立檔案系統,以備援方式將檔案系統資料和中繼資料存放在單一可用區域內,請選擇區域。如果您選擇「一個區域」,請選擇您要在其中建立檔案系統的可用區域,或保留預設值。

    3. 針對生命週期管理,視需要變更生命週期政策。

      • 轉換為 IA:根據上次在標準儲存中存取檔案之後的時間,選取將檔案轉換為 Infrequent Access (IA) 儲存類別的時間。

      • 轉換至封存:根據上次在標準儲存體中存取檔案之後的時間,選取將檔案轉換為封存儲存類別的時間。

      • 轉換為標準:選取是否要將檔案系統轉換為儲存類別。

        如需生命週期政策的詳細資訊,請參閱 管理儲存生命週期

    4. Amazon EFS 預設會使用您的 AWS Key Management Service (AWS KMS) EFS 服務金鑰 (aws/elasticfilesystem) 來加密靜態資料。若要選擇要用於加密的其他 KMS 金鑰,請展開自訂加密設定,然後從清單中選擇金鑰。或者,輸入您要使用的 KMS 金鑰的 KMS 金鑰 ID 或 Amazon Resource Name (ARN)。

      如果您需要建立新的金鑰,請選擇建立 AWS KMS key以啟動 AWS KMS 主控台並建立新的金鑰。

      您可以清除核取方塊來關閉靜態資料的加密。

      您無法在建立檔案系統後變更加密設定。如需詳細資訊,請參閱在 Amazon EFS 中加密資料

  5. 針對效能設定,執行下列操作:

    1. 對於輸送量模式,預設會選取彈性模式。

      • 若要使用佈建的輸送量,請選擇已佈建,然後在佈建輸送量 (MiB/s) 中,輸入要為檔案系統要求佈建的輸送量。「最大讀取輸送量」的顯示量是您輸入輸送量的三倍。

      • 若要使用爆量輸送量,請選擇爆量

      選擇輸送量模式後,會顯示檔案系統的每月成本估算。您可以在檔案系統可用後變更輸送量模式。

      如需為效能需求選擇正確輸送量模式的更多資訊,請參閱 在 Amazon EFS 中加密資料

    2. 針對效能模式,預設為一般用途。若要變更效能模式,請展開其他設定,然後選擇最大 I/O

      您無法在檔案系統可用後變更效能模式。如需詳細資訊,請參閱效能模式

      重要

      由於最大 I/O 的每個操作延遲較高,我們建議所有檔案系統使用「一般用途」效能模式。

  6. (選用) 將標籤鍵值組新增至檔案系統。

  7. 選擇「下一步」以設定檔案系統的網路存取。

步驟 2:設定網路

在步驟 2 中,您可以設定檔案系統的網路設定,包括 VPC 和掛載目標。

  1. 選擇您希望 EC2 執行個體連線至檔案系統的虛擬私有雲端 (VPC)。如需詳細資訊,請參閱管理掛載目標

  2. 對於裝載目標,您可以為檔案系統建立一或多個掛載目標。為每個掛載目標設定下列屬性:

    • 可用區域 – 根據預設,掛載目標是在 中的每個可用區域中設定 AWS 區域。如果您不想在特定可用區域中建立掛載目標,請選擇移除以刪除該區域的掛載目標。在您打算存取檔案系統的每個可用區域中建立掛載目標,不需要花費任何費用。

    • 子網路 ID:從可用區域中的可用子網路中選擇。預設子網路已預先選取。

    • IP 地址:依預設,Amazon EFS 會從子網路中的可用位址自動選擇 IP 地址。或者,您可以輸入子網路中的特定 IP 地址。雖然掛載目標具有單一 IP 地址,但它們是備援且高可用性的網路資源。

    • 安全群組 – 根據預設,Amazon EFS 會選擇 VPC 的預設安全群組。若要變更安全群組,請刪除指派的群組,然後從選擇安全群組清單中選擇群組。您可以為掛載目標指定一或多個安全群組。如需詳細資訊,請參閱使用 VPC 安全群組

  3. 選擇新增掛載目標,為沒有可用區域建立掛載目標。如果為每個可用區域設定掛載目標,則無法使用此選項。

  4. 選擇下一步以設定檔案系統政策。

步驟 3:建立檔案系統政策 (選用)

或者,您可以為您的檔案系統建立檔案系統政策。EFS 檔案系統政策是您用來控制 NFS 用戶端存取檔案系統的 IAM 資源政策。如需詳細資訊,請參閱使用 IAM 控制檔案系統的存取

  1. 政策選項中,您可以選擇任何預先設定的檔案系統原則組合:

    • 預設情況下防止根存取:此選項會 ClientRootAccess 從一組允許的 EFS 動作中移除。

    • 預設情況下強制執行唯讀存取:此選項會 ClientWriteAccess 從一組允許的 EFS 動作中移除。

    • 防止匿名存取:此選項會 ClientMount 從允許的 EFS 動作集中移除。

    • 對所有用戶端強制執行傳輸中加密:此選項會拒絕存取未加密的用戶端。

    當您選擇預先設定的原則時,原則 JSON 物件會顯示在原則編輯器窗格中。

  2. 使用授予其他許可,將檔案系統許可授予其他 IAM 主體,包括另一個主體 AWS 帳戶。選擇新增,然後輸入要授與權限之實體的主體 ARN。選擇您要授予的許可。其他許可會顯示在政策編輯器中。

  3. 您可以使用原則編輯器來自訂預先設定的原則,或建立您自己的檔案系統原則。當您使用編輯器時,預先設定的原則選項將無法使用。若要清除目前的檔案系統原則並開始建立新原則,請選擇清除

  4. 選擇下一步以檢閱並建立檔案系統。

步驟 4:檢閱和建立

  1. 檢閱每個檔案系統組態群組。您可以選擇編輯,此時對每個群組進行變更。

  2. 選擇建立檔案系統以建立檔案系統,並返回檔案系統頁面。

    頂端的橫幅會顯示正在建立新的檔案系統。當檔案系統可用時,橫幅中會顯示存取新檔案系統詳細資訊頁面的連結。

當您使用 時 AWS CLI,您可以依序建立這些資源。首先,您會建立檔案系統。然後,您可以使用對應的 AWS CLI 命令,為檔案系統建立掛載目標和任何其他選用標籤。

下列範例使用 adminuser做為--profile參數值。您需要使用適當的使用者描述檔,以提供您的憑證。如需詳細資訊,請參閱AWS Command Line Interface 《 使用者指南》中的使用 的先決條件 AWS CLI

  • 若要建立已啟用自動備份的加密檔案系統,請使用 Amazon EFS create-file-system CLI 命令 (對應的操作為 CreateFileSystem),如下所示。

    aws efs create-file-system \
--creation-token creation-token \
--encrypted \
--backup \
--performance-mode generalPurpose \
--throughput-mode elastic \
--region aws-region \
--tags Key=key,Value=value Key=key1,Value=value1 \
--profile adminuser

    例如,下列create-file-system命令會在 中使用彈性輸送量建立檔案系統us-west-2AWS 區域。此命令指定 MyFirstFS 做為建立字符。如需您可以在 AWS 區域 其中建立 Amazon EFS 檔案系統的 清單,請參閱《》中的 Amazon EFS 端點和配額Amazon Web Services 一般參考

    aws efs create-file-system \
--creation-token MyFirstFS \
--backup \
--encrypted \
--performance-mode generalPurpose \
--throughput-mode elastic \
--region us-west-2 \
--tags Key=Name,Value="Test File System" Key=developer,Value=rhoward \
--profile adminuser

    順利建立檔案系統後,Amazon EFS 會以 JSON 的形式傳回檔案系統描述,如下範例所示。

    {
    "OwnerId": "123456789abcd",
    "CreationToken": "MyFirstFS",
    "Encrypted": true,
    "FileSystemId": "fs-c7a0456e",
    "CreationTime": 1422823614.0,
    "LifeCycleState": "creating",
    "Name": "Test File System",
    "NumberOfMountTargets": 0,
    "SizeInBytes": {
        "Value": 6144,
        "ValueInIA": 0,
        "ValueInStandard": 6144
        "ValueInArchive": 0
    },
    "PerformanceMode": "generalPurpose",
    "ThroughputMode": "elastic",
    "Tags": [ 
      { 
         "Key": "Name",
         "Value": "Test File System"
      }
   ]
}

  • 下列範例會使用 availability-zone-name 屬性,建立在us-west-2a可用區域中使用爆量輸送量的檔案系統。

    aws efs create-file-system \
--creation-token MyFirstFS \
--availability-zone-name us-west-2a \
--backup \
--encrypted \
--performance-mode generalPurpose \
--throughput-mode bursting \
--region us-west-2 \
--tags Key=Name,Value="Test File System" Key=developer,Value=rhoward \
--profile adminuser

    順利建立檔案系統後,Amazon EFS 會以 JSON 的形式傳回檔案系統描述,如下範例所示。

    {
    "AvailabilityZoneId": "usw-az1",
    "AvailabilityZoneName": "us-west-2a",
    "OwnerId": "123456789abcd",
    "CreationToken": "MyFirstFS",
    "Encrypted": true,
    "FileSystemId": "fs-c7a0456e",
    "CreationTime": 1422823614.0,
    "LifeCycleState": "creating",
    "Name": "Test File System",
    "NumberOfMountTargets": 0,
    "SizeInBytes": {
        "Value": 6144,
        "ValueInIA": 0,
        "ValueInStandard": 6144
        "ValueInArchive": 0
    },
    "PerformanceMode": "generalPurpose",
    "ThroughputMode": "bursting",
    "Tags": [ 
      { 
         "Key": "Name",
         "Value": "Test File System"
      }
   ]
}

    Amazon EFS 還提供 describe-file-systems CLI 命令 (對應的 API 操作為 DescribeFileSystems),您可以使用該命令來在您的帳戶中擷取檔案系統的清單,如下所示:

    aws efs describe-file-systems \
--region aws-region \
--profile adminuser

    Amazon EFS 會傳回您在指定區域中 AWS 帳戶 建立的檔案系統清單。