一般的な EFS アクセスポイントの設定を教えてください。

所要時間2分
0

一般的な Amazon Elastic File System (Amazon EFS) アクセスポイント設定で、正常に動作するものやマウントエラーを引き起こすものを教えてください。

解決方法

アクセスポイントの設定を確認する前に、次の点に注意してください。

Amazon EFS がクライアントを認証する方法、または必要なときに認証をオーバーライドする方法

  • EFS ファイルおよびディレクトリは、ユーザー ID とグループ ID に基づいて、標準の Unix スタイルの読み取り、書き込み、および実行のアクセス許可をサポートします。
  • NFS クライアントがアクセスポイントなしでファイルシステムをマウントする場合、クライアントから提供されたユーザー ID とグループ ID は信頼され、使用されます。
  • デフォルトでは、ルートスカッシングはオンになっていません。Amazon EFS は、no_root_squash の Linux NFS サーバーのように動作します。詳細については、「No root squashing」(ルートスカッシングなし) を参照してください。
  • ユーザー ID またはグループ ID が 0 の場合、Amazon EFS はそのユーザーをルートユーザーとして扱い、アクセス許可のチェックをバイパスします。NFS クライアントが使用するユーザー ID とグループ ID を上書きするには、EFS アクセスポイントを使用できます。Amazon EFS は、アクセスポイント ID を使用して、ユーザーが作成する新しいファイルとディレクトリの所有者とグループ所有者を示します。これは「all squash」マッピング動作です。
    注: Amazon EFS は、ユーザー名またはグループ名を調べません。数字の識別子のみを使用します。

NFS マッピングの動作 (no_root_squash、root_squash、all_squash など)

  • root_squash: UID または GID 0 からのリクエストを匿名 UID または GID にマッピングします。これは、ユーザー bin やグループ staff など、同様に機密性が高い可能性のある他の UID または GID には適用されません。
  • no_root_squash: ルートスカッシングをオフにします。このオプションはディスクレスクライアントに役立ちます。
  • all_squash: すべての UID と GID を匿名ユーザーにマッピングします。このオプションは、NFS でエクスポートされたパブリック FTP ディレクトリ、ニューススプールディレクトリなどに役立ちます。逆のオプションは、no_all_squash で、これがデフォルト設定です。

非ルートパスのアクセスポイントとその他の設定

アクセスポイントに、/test など、以前は存在しなかった非ルートパスがある。POSIX ユーザーフィールドと Creation Info フィールドが空白になっている。

一般的な問題: アクセスポイントを介して Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにファイルシステムをマウントしようとしている。アクセスポイントのパスディレクトリ (この例では /test) がファイルシステムに存在しない場合、マウントは失敗します。

解決策: アクセスポイントを使用せずにファイルシステムを使用またはマウントする前に、ディレクトリを作成してください。または、アクセスポイントを作成または変更するときに Creation Info を指定します。

アクセスポイントに、/test など、以前は存在しなかった非ルートパスがある。POSIX ユーザーが設定されている (たとえば、1000:1000)。Creation Info フィールドが空白になっている。

一般的な問題: アクセスポイントを介して EC2 インスタンスにファイルシステムをマウントしようとすると、マウントは失敗します。これは、アクセスポイントのパスディレクトリ (この例では /test) がファイルシステムに存在しないためです。

解決策: アクセスポイントを使用せずにファイルシステムを使用またはマウントする前に、ディレクトリを作成してください。または、アクセスポイントを作成または変更するときに Creation Info を指定します。

アクセスポイントに、/test など、以前は存在しなかった非ルートパスがある。POSIX ユーザー (1000:1000 など) で、Creation Info フィールドが入力されている (たとえば、1000:1000 (0755))。

この設定ではマウントの問題は発生しません。

ルートパスのクセスポイントとその他の設定

アクセスポイントの作成時に「パス」値を指定しない場合、EFS はファイルシステムのルートディレクトリをアクセスポイントへのパスとして使用します。このシナリオでは、ファイルシステムは OS の root アカウントのみに、読み取り、書き込み、実行などのファイルシステム操作を実行することを許可します。これは、このように設定されているファイルシステムでは、ルートディレクトリのパーミッションを変更できないためです。

ただし、ユーザー強制設定が有効になっている場合、Amazon EFS は NFS クライアントのユーザー ID とグループ ID を、すべてのファイルシステム操作でアクセスポイントに設定された ID に置き換えます。このオプションは、ファイルシステムの EFS サーバー側で競合します。

アクセスポイントにはルートパス "/" があり、POSIX ユーザーと Creation info フィールドが空白になっている。

この設定ではマウントの問題は発生しません。この設定は、アクセスポイントを使用せずに EFS ファイルシステムを使用する場合と同じです。ファイルの作成や変更ができるのはルートユーザーだけです。

アクセスポイントにはルートパス「/」があり、POSIX ユーザーは 0:0 に設定されている。Creation info フィールドが空白になっている。

この設定ではマウントの問題は発生しません。これは、all_squash マッピングにより、すべての操作が root アカウントで実行されているように見え、ユーザー ID が強制されるためです。この設定は、アクセスポイントを使用せずに EFS ファイルシステムを使用する場合と同じです。ファイルの作成や変更ができるのはルートユーザーだけです。

アクセスポイントにはルートパス「/」があり、POSIX ユーザーが 1000:1000 に設定されている。Creation info フィールドが空白になっている。

この設定ではマウントの問題は発生しません。これは、all_squash マッピングにより、すべての操作が 1000 UID/GID の数値 ID を持つアカウントで実行されているように見えるためです。この設定で sudo コマンドを使用している場合でも、ファイルを作成したり変更したりすることはできません。

アクセスポイントにはルートパス「/」があり、POSIX ユーザーが 1000:1000 に設定されている。Creation info フィールドは 1000:1000 0755 に設定されています。

EFS は、指定されたルートディレクトリがまだ存在しない場合、これらのアクセス許可を付与して自動的に作成します。しかし、all_squash マッピングのため、ユーザーはファイルシステムにまったく書き込むことができません。

注: ルートディレクトリ (/) が既に存在するため、Creation info は EFS ファイルシステムに影響しません。

一般的な問題: 所有権の競合により、ユーザーがファイル操作を何も実行できない。

解決方法:

  • アクセスポイントのパスとして「/」を使用しないでください。
  • POSIX ユーザーとして 0:0 を使用し、必須ではない Creation info は使用しないでください。

非ルートパス (/test など) のアクセスポイント、POSIX ユーザーが 0:0、および Creation info が 0:0 (0755)

all_squash マッピングのため、この設定ではマウントの問題は発生しません。all_squash マッピングにより、すべての操作が root アカウントで実行されているように見える (ユーザー ID を強制する)。これは、ユーザーがルートユーザー以外であっても当てはまります。

非ルートパス (/test など) のアクセスポイント、POSIX ユーザーが 1000:1000、および Creation info フィールドが空

注: アクセスポイント用にパス /test を作成します。

この設定ではマウントの問題は発生しません。ただし、すべてのファイルとディレクトリは、数値 ID UID 1000 と GID 1000 を持つアカウントによって所有されていることに注意してください。

非ルートパス (/test など) のアクセスポイント、Creation info フィールドが 0:0 (0755)、および POSIX ユーザーが空

この設定ではマウントの問題は発生しません。しかし、ファイル操作には sudo を使用する必要があります。


関連情報

Amazon EFS アクセスポイントの操作

AWS公式
AWS公式更新しました 2年前
コメントはありません

関連するコンテンツ