Was sind gängige Konfigurationen von EFS-Zugangspunkten?

Lösung

Bevor Sie die Access-Point-Konfigurationen überprüfen, stellen Sie sicher, dass Sie sich der folgenden Punkte bewusst sind:

Wie Amazon EFS Clients authentifiziert oder bei Bedarf die Authentifizierung außer Kraft setzt

• EFS-Dateien und -Verzeichnisse unterstützen standardmäßige Lese-, Schreib- und Ausführungsberechtigungen im UNIX-Stil basierend auf der Benutzer-ID und Gruppen-ID.
• Wenn ein NFS-Client das Dateisystem ohne Zugriffspunkt einhängt, werden die vom Client bereitgestellten Benutzer- und Gruppen-IDs als vertrauenswürdig eingestuft und verwendet.
• Standardmäßig ist die Root-Squashing-Funktion nicht aktiviert. Amazon EFS verhält sich wie ein Linux-NFS-Server mitno_root_squash. Weitere Informationen finden Sie unterKein Root-Squashing.
• Wenn eine Benutzer- oder Gruppen-ID 0 ist, behandelt Amazon EFS diesen Benutzer als Root-Benutzer und umgeht Berechtigungsprüfungen. Um die vom NFS-Client verwendete Benutzer-ID und Gruppen-ID außer Kraft zu setzen, können Sie EFS-Zugriffspunkte verwenden. Amazon EFS verwendet die Zugriffspunkt-IDs, um den Besitzer und Gruppenbesitzer für neue Dateien und Verzeichnisse anzugeben, die der Benutzer erstellt. Dies ist das „all squash“ -Mapping-Verhalten.
  Hinweis: Amazon EFS untersucht keine Benutzer- oder Gruppennamen. Es werden nur die numerischen Identifikatoren verwendet.

NFS-Mapping-Verhalten wie no_root_squash, root_squash und all_squash

• root_squash: Map Anforderungen von der UID oder GID 0 der anonymen UID oder GID. Dies gilt nicht für andere UIDs oder GIDs, die ebenso sensibel sein könnten, wie Benutzer-Bin oder Gruppenmitarbeiter.
• no_root_squash: Schalte Root-Squashing aus. Diese Option ist für Clients ohne Festplatte nützlich.
• all_squash: Map alle UIDs und GIDs dem anonymen Benutzer. Diese Option ist für per NFS exportierte öffentliche FTP-Verzeichnisse, News-Spool-Verzeichnisse usw. nützlich. Die entgegengesetzte Option istno_all_squash, was die Standardeinstellung ist.

Zugriffspunkte mit Nicht-Root-Pfad und andere Konfigurationen

Der Access Point hat einen Nicht-Root-Pfad, der zuvor nicht existierte, z. B. /test. Die Felder POSIX-Benutzer und Erstellungsinformationen sind leer.

Häufiges Problem: Sie versuchen, ein Dateisystem über einen Access Point auf einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance zu mounten. Das Einhängen schlägt fehl, wenn das Pfadverzeichnis des Zugriffspunkts (in diesem Beispiel /test) nicht im Dateisystem existiert.

Lösung: Erstellen Sie ein Verzeichnis, bevor Sie ein Dateisystem verwenden oder mounten, ohne einen Zugriffspunkt zu verwenden. Oder geben Sie beim Erstellen oder Ändern des Zugriffspunkts die Erstellungsinformationen an.

Der Access Point hat einen Nicht-Root-Pfad, der zuvor nicht existierte, z. B. /test. Der POSIX-Benutzer ist konfiguriert (z. B. 1000:1000). Das Feld Erstellungsinfo ist leer.

Häufiges Problem: Wenn Sie versuchen, ein Dateisystem über einen Zugangspunkt in eine EC2-Instance einzuhängen, schlägt das Einhängen fehl. Dies liegt daran, dass das Pfadverzeichnis des Zugriffspunkts (in diesem Beispiel /test) nicht im Dateisystem existiert.

Lösung: Erstellen Sie ein Verzeichnis, bevor Sie ein Dateisystem verwenden oder mounten, ohne einen Zugriffspunkt zu verwenden. Oder geben Sie beim Erstellen oder Ändern des Zugriffspunkts die Erstellungsinformationen an.

Der Access Point hat einen Nicht-Root-Pfad, der zuvor nicht existierte, z. B. /test. POSIX-Benutzer (z. B. 1000:1000) und das Feld Erstellungsinformationen ist ausgefüllt (z. B. 1000:1000 (0755) ).

Sie werden bei dieser Konfiguration keine Probleme beim Einhängen haben.

Access Points mit einem Root-Pfad und anderen Konfigurationen

Wenn Sie beim Erstellen eines Zugriffspunkts keinen „Pfad“ -Wert angeben, verwendet EFS das Stammverzeichnis des Dateisystems als Pfad zum Zugriffspunkt. In diesem Szenario lässt das Dateisystem nur dem Root-Konto des Betriebssystems zu, Dateisystemvorgänge wie Lesen, Schreiben und Ausführen auszuführen. Dies liegt daran, dass Sie die Berechtigungen des Stammverzeichnisses in Dateisystemen, die so eingerichtet sind, nicht ändern dürfen.

Wenn die Benutzererzwingung jedoch aktiviert ist, ersetzt Amazon EFS die Benutzer- und Gruppen-IDs des NFS-Clients durch die Identität, die auf dem Zugriffspunkt für alle Dateisystemvorgänge konfiguriert ist. Diese Option steht auf der EFS-Serverseite des Dateisystems in Konflikt.

Der Access Point hat einen Root-Pfad "/" und das POSIX-Benutzer- und Erstellungsinformationsfeld ist leer.

Sie werden bei dieser Konfiguration keine Probleme beim Einhängen haben. Diese Konfiguration entspricht der Verwendung eines EFS-Dateisystems ohne Verwendung eines Zugriffspunkts. Nur der Root-Benutzer kann Dateien erstellen oder ändern.

Der Access Point hat einen Root-Pfad "/" und der POSIX-Benutzer ist auf 0:0 gesetzt. Das Feld Erstellungsinformationen ist leer.

Sie werden bei dieser Konfiguration keine Probleme beim Einhängen haben. Dies liegt daran, dass die all_squashmapping den Anschein erweckt, dass alle Operationen mit dem Root-Konto ausgeführt werden, wodurch eine Benutzeridentität erzwungen wird. Diese Konfiguration entspricht der Verwendung eines EFS-Dateisystems ohne Verwendung eines Zugriffspunkts. Nur der Root-Benutzer kann Dateien erstellen oder ändern.

Der Access Point hat einen Root-Pfad "/" und der POSIX-Benutzer ist auf 1000:1000 gesetzt. Das Feld Erstellungsinformationen ist leer.

Sie werden bei dieser Konfiguration keine Probleme beim Einhängen haben. Dies liegt daran, dass die all_squash-Zuordnung den Anschein erweckt, dass alle Operationen mit dem Konto ausgeführt werden, das über eine numerische Identifizierung von 1000 UID/GID verfügt. Sie können keine Dateien erstellen oder ändern, selbst wenn Sie sudo-Befehle mit dieser Konfiguration verwenden.

Der Access Point hat einen Root-Pfad "/" und der POSIX-Benutzer ist auf 1000:1000 gesetzt. Das Feld Erstellungsinfo ist auf 1000:1000 0755 eingestellt.

EFS erstellt automatisch das angegebene Stammverzeichnis mit diesen Berechtigungen, wenn das Verzeichnis noch nicht vorhanden ist. Aufgrund des all_squash-Mappings können Benutzer jedoch überhaupt nicht in das Dateisystem schreiben.

Hinweis: Die Erstellungsinformationen wirken sich nicht auf das EFS-Dateisystem aus, da das Stammverzeichnis (/) bereits vorhanden ist.

Häufiges Problem: Benutzer können aufgrund des Besitzkonflikts keine Dateivorgänge ausführen.

Lösung:

• Verwenden Sie "/" nicht als Pfad für einen Access Point.
• Verwenden Sie 0:0 als POSIX-Benutzer und verwenden Sie keine Erstellungsinformationen, die nicht erforderlich sind.

Zugriffspunkte mit einem Nicht-Root-Pfad (z. B. /test), POSIX-Benutzer als 0:0 und dem Feld Erstellungsinfo als 0:0 (0755)

Sie werden aufgrund der all_squashmapping keine Mount-Probleme mit dieser Konfiguration haben. Die all_squashmapping lässt den Anschein erwecken, dass alle Operationen mit dem Root-Konto ausgeführt werden (Erzwingen einer Benutzeridentität). Dies gilt auch dann, wenn der Benutzer kein Root-Benutzer ist.

Zugriffspunkte mit einem Nicht-Root-Pfad (z. B. /test ), POSIX-Benutzer 1000:1000 und leerem Feld "Creation info

Hinweis: Erstellen Sie einen Pfad/test für den Access Point.

Sie werden bei dieser Konfiguration keine Probleme beim Einhängen haben. Beachten Sie jedoch, dass alle Dateien und Verzeichnisse einem Konto gehören, das die numerische Identifikation UID 1000 und GID 1000 hat.

Zugriffspunkte mit einem Nicht-Root-Pfad (z. B. /test), Erstellungsinfo-Feld als 0:0 (0755) und der POSIX-Benutzer ist leer

Sie werden bei dieser Konfiguration keine Probleme beim Einhängen haben. Aber sudo muss für Dateioperationen verwendet werden.

---

Relevante Informationen

Arbeiten mit Amazon EFS-Zugriffspunkten