Quelles sont les configurations courantes des points d'accès EFS ?

Date de la dernière mise à jour : 13/07/2022

Quelles sont les configurations de points d'accès Amazon Elastic File System (Amazon EFS) courantes qui fonctionnent correctement ou qui provoquent des erreurs de montage ?

Résolution

Avant de passer en revue les configurations des points d'accès, tenez compte des points suivants :

Comment Amazon EFS authentifie les clients ou remplace l'authentification si nécessaire

  • Les fichiers et répertoires EFS prennent en charge les autorisations de lecture, d'écriture et d'exécution de type Unix standard basées sur l'ID utilisateur et les ID de groupes.
  • Si un client NFS monte le système de fichiers sans point d'accès, les ID utilisateurs et de groupes fournis par le client sont approuvés et utilisés.
  • Par défaut, la fonction root squash (squash racine) n'est pas activée. Amazon EFS se comporte comme un serveur NFS Linux avec no_root_squash. Pour plus d'informations, reportez-vous à Pas de fonction root squash.
  • Si l'ID d'un utilisateur ou d'un groupe est 0, Amazon EFS traite cet utilisateur comme l'utilisateur root et ignore les vérifications d'autorisations. Pour remplacer l'ID utilisateur et l'ID de groupe utilisés par le client NFS, vous pouvez utiliser des points d'accès EFS. Amazon EFS utilise les ID de points d'accès pour indiquer le propriétaire et le propriétaire du groupe des nouveaux fichiers et répertoires créés par l'utilisateur. Il s'agit du comportement de mappage « all squash ».
    Remarque : le service Amazon EFS n'examine pas les noms des utilisateurs ou des groupes. Il utilise uniquement les identifiants numériques.

Comportement de mappage NFS, tel que no_root_squash, root_squash et all_squash

  • root_squash : mapper les demandes de l'UID ou du GID 0 à l'UID ou au GID anonyme. Cela ne s'applique pas aux autres UID ou GID qui peuvent être tout aussi sensibles, tels que la corbeille d'utilisateur ou le personnel du groupe.
  • no_root_squash : désactivez la fonction root squash. Cette option est utile pour les clients sans disque.
  • all_squash : mappage de tous les UID et GID à l'utilisateur anonyme. Cette option est utile pour les répertoires FTP publics exportés par NFS, les répertoires de spools d'actualités, etc. L'option opposée est no_all_squash, qui est la valeur par défaut.

Points d'accès avec chemin non-racine et autres configurations

Le point d'accès possède un chemin non-racine qui n'existait pas auparavant, tel que /test. Les champs POSIX user (Utilisateur POSIX) et Creation Info (Informations de création) sont vides.

Problème courant : vous essayez de monter un système de fichiers sur une instance Amazon Elastic Compute Cloud (Amazon EC2) par le biais d'un point d'accès. Le montage échoue si le répertoire de chemin du point d'accès (/test, dans cet exemple) n'existe pas dans le système de fichiers.

Résolution : créez un répertoire avant d'utiliser ou de monter un système de fichiers sans utiliser de point d'accès. Vous pouvez également spécifier les informations de création lors de la création ou de la modification du point d'accès.

Le point d'accès possède un chemin non-racine qui n'existait pas auparavant, tel que /test. L'utilisateur POSIX est configuré (par exemple 1000:1000). Le champ Informations de création est vide.

Problème courant : lorsque vous essayez de monter un système de fichiers sur une instance EC2 par le biais d'un point d'accès, le montage échoue. Cela est dû au fait que le répertoire de chemin du point d'accès (/test, dans cet exemple) n'existe pas dans le système de fichiers.

Résolution : créez un répertoire avant d'utiliser ou de monter un système de fichiers sans utiliser de point d'accès. Vous pouvez également spécifier les informations de création lors de la création ou de la modification du point d'accès.

Le point d'accès possède un chemin non-racine qui n'existait pas auparavant, tel que /test. Les champs Utilisateur POSIX (par exemple, 1000:1000) et Informations de création [par exemple, 1000:1000 (0755)] sont renseignés.

Vous ne rencontrerez aucun problème de montage avec cette configuration.

Points d'accès avec chemin racine et autres configurations

Si vous ne spécifiez pas la valeur « path » lors de la création d'un point d'accès, EFS utilise le répertoire racine du système de fichiers comme chemin d'accès au point d'accès. Dans ce scénario, le système de fichiers autorise uniquement le compte racine du système d'exploitation à effectuer des opérations de système de fichiers, telles que la lecture, l'écriture et l'exécution. En effet, vous n'êtes pas autorisé à modifier les autorisations du répertoire racine dans les systèmes de fichiers configurés de cette manière.

Mais lorsque l'application utilisateur est activée, Amazon EFS remplace les ID d'utilisateurs et de groupes du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations de système de fichiers. Cette option entre en conflit côté serveur EFS du système de fichiers.

Le point d'accès possède un chemin racine «  /  » et les champs POSIX user (Utilisateur POSIX) et Creation info (Informations de création) sont vides.

Vous ne rencontrerez aucun problème de montage avec cette configuration. Cette configuration revient à utiliser un système de fichiers EFS sans utiliser de point d'accès. Seul l'utilisateur root peut créer ou modifier des fichiers.

Le point d'accès possède un chemin racine «  /  » et l'utilisateur POSIX est défini sur 0:0. Le champ Informations de création est vide.

Vous ne rencontrerez aucun problème de montage avec cette configuration. En effet, le mappage all_squash fait apparaître que toutes les opérations sont effectuées avec le compte racine, ce qui applique une identité d'utilisateur. Cette configuration revient à utiliser un système de fichiers EFS sans utiliser de point d'accès. Seul l'utilisateur root peut créer ou modifier des fichiers.

Le point d'accès possède un chemin racine «  /  » et l'utilisateur POSIX est défini sur 1000:1000. Le champ Informations de création est vide.

Vous ne rencontrerez aucun problème de montage avec cette configuration. En effet, le mappage all_squash fait apparaître que toutes les opérations sont effectuées avec le compte qui possède l'identification numérique UID/GID 1000. Vous ne pouvez pas créer ou modifier des fichiers, même si vous utilisez des commandes sudo avec cette configuration.

Le point d'accès possède un chemin racine «  /  » et l'utilisateur POSIX est défini sur 1000:1000. Le champ Creation info (Informations de création) est défini sur 1000:1000 0755.

EFS crée automatiquement le répertoire racine spécifié avec ces autorisations si le répertoire n'existe pas déjà. Mais en raison du mappage all_squash, les utilisateurs ne peuvent pas du tout écrire dans le système de fichiers.

Remarque : les informations de création n'affectent pas le système de fichiers EFS, car le répertoire racine (/) existe déjà.

Problème courant : les utilisateurs ne peuvent effectuer aucune opération sur les fichiers en raison du conflit de propriété.

Résolution :

  • N'utilisez pas « / » comme chemin pour un point d'accès.
  • Utilisez 0:0 en tant qu'utilisateur POSIX et n'utilisez pas les informations de création, qui ne sont pas requises.

Points d'accès dont le chemin n'est pas racine (par exemple, /test), l'utilisateur POSIX est 0:0 et le champ Informations de création est 0:0 (0755)

Vous n'aurez aucun problème de montage avec cette configuration en raison du mappage all_squash. Le mappage all_squash fait apparaître que toutes les opérations sont effectuées avec le compte racine (appliquant une identité d'utilisateur). Cela est vrai, même si l'utilisateur n'est pas un utilisateur root.

Points d'accès avec un chemin non-racine (par exemple, /test), un utilisateur POSIX sous la forme 1000:1000 et un champ Informations de création vide

Remarque : créez un chemin /test pour le point d'accès.

Vous ne rencontrerez aucun problème de montage avec cette configuration. Notez toutefois que tous les fichiers et répertoires appartiennent à un compte dont l'identification numérique est UID 1000 et GID 1000.

Points d'accès avec un chemin non-racine (par exemple, /test), le champ Informations de création avec 0:0 (0755) et le champ Utilisateur POSIX vide

Vous ne rencontrerez aucun problème de montage avec cette configuration. Mais la commande sudo doit être utilisée pour les opérations sur les fichiers.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?