通俗易懂的 理解EFS 的挂载目标和接入点

通俗易懂的 理解EFS 的挂载目标和接入点

想象你在一个大型图书馆里

整个 EFS 文件系统 = 一座巨大的图书馆

  • 里面有成千上万本书(文件)
  • 书架分门别类(目录结构)

1. 挂载目标(Mount Target) = 图书馆的【大门】

比喻解释:

  • 挂载目标就是图书馆的入口大门
  • 一个图书馆可以有多个大门(多个挂载目标)
  • 每个大门开在不同的位置(不同的子网)
  • 功能:告诉EC2实例"从哪个门进入图书馆"

技术细节:

yaml 复制代码
# 挂载目标的配置就像:
大门位置: 
  - 东门: 子网-A (10.0.1.0/24)  # 办公区的人从这里进
  - 西门: 子网-B (10.0.2.0/24)  # 研发区的人从这里进
  
# EC2实例看到的:
$ mount -t nfs 10.0.1.100:/ /mnt/efs
# ↑ 告诉EC2:从IP 10.0.1.100这个门进去

特点:

  • 网络层面的东西(在哪个子网、用哪个IP)
  • 一个EFS可以有多个挂载目标(多扇门)
  • 不同可用区需要不同挂载目标
  • 安全控制:通过安全组控制谁能进这个门

2. 接入点(Access Point) = 图书馆的【专用通道+访问规则】

比喻解释:

  • 接入点就是VIP通道+借阅规则
  • 从同一个大门进去,但走不同通道看到的内容不一样
  • 功能:控制"进去后能看到什么、能做什么"

具体例子:

yaml 复制代码
# 同一个图书馆,不同人看到的版本不同:

接入点1: 普通读者通道
- 只能进入: /public/ 区域
- 进去后根目录显示: /public/
- 只能读,不能写
- 用户身份: anonymous(匿名)

接入点2: 管理员通道  
- 可以进入: 整个图书馆
- 进去后根目录显示: /
- 读写权限都有
- 用户身份: uid=1000, gid=1000

接入点3: 财务部专用通道
- 只能进入: /finance/ 区域
- 进去后根目录显示: /finance/
- 只能财务部员工进(特定IAM角色)
- 自动设置文件属主为财务部

特点:

  • 访问控制层面的东西(权限、根目录映射)
  • 基于IAM认证(谁可以走这个通道)
  • 强制目录限制(进去后只能看到指定目录)
  • 自动设置文件属主(创建的文件自动属于特定用户)

3. 两者的区别(对比表格)

方面 挂载目标(Mount Target) 接入点(Access Point)
比喻 图书馆的大门 大门里的专用通道+规则
作用 网络连接 访问控制
数量 每个可用区1个 每个EFS可创建多个
配置内容 IP地址、子网、安全组 根目录、IAM策略、文件属主
认证方式 网络层面(安全组) IAM身份认证
使用场景 "从哪条路连到EFS" "进去后能看到什么、能做什么"

4. 实际使用例子

场景:公司文件共享系统

bash 复制代码
# 情况1:传统方式(只用挂载目标)
$ mount -t nfs fs-123456.efs.us-east-1.amazonaws.com:/ /mnt/shared
# 所有用户看到完全一样的文件系统
# 需要自己在里面设置权限,很混乱

# 情况2:现代方式(使用接入点)
# 财务部门:
$ mount -t nfs -o accesspoint=fsap-12345678 \
  fs-123456.efs.us-east-1.amazonaws.com:/ /mnt/finance
# ↑ 只能看到/finance目录,文件自动属于财务用户

# 研发部门:  
$ mount -t nfs -o accesspoint=fsap-87654321 \
  fs-123456.efs.us-east-1.amazonaws.com:/ /mnt/dev
# ↑ 只能看到/dev目录,文件自动属于研发用户

5. 工作原理流程图

复制代码
┌─────────────────────────────────────────────┐
│           你的EC2实例                        │
└───────────────────┬─────────────────────────┘
                    │ 1. 连接请求
                    ▼
┌─────────────────────────────────────────────┐
│     挂载目标(大门)                          │
│     - IP: 10.0.1.100                        │
│     - 在子网A中                             │
│     - 安全组控制谁能进                       │
└───────────────────┬─────────────────────────┘
                    │ 2. 进入大门后
                    ▼
┌─────────────────────────────────────────────┐
│     接入点(专用通道)                        │
│     - 根目录映射: / → /department/finance    │
│     - IAM策略: 只允许财务角色访问            │
│     - 文件属主: uid=1001, gid=1001          │
└───────────────────┬─────────────────────────┘
                    │ 3. 最终看到
                    ▼
┌─────────────────────────────────────────────┐
│     EFS文件系统的特定视图                     │
│     - 只能看到/finance目录                   │
│     - 创建的文件自动属于财务部                │
└─────────────────────────────────────────────┘

6. 一句话总结

挂载目标解决"怎么走到EFS"(网络连接问题),接入点解决"进去后能干什么"(权限控制问题)。

更简单的理解:

  • 挂载目标 = 快递收货地址(告诉快递员送到哪里)
  • 接入点 = 快递柜取件码(控制谁能打开哪个柜子)

这样,同一个地址(挂载目标)可以有多个快递柜(接入点),每个柜子只有特定的人(IAM角色)用特定取件码(接入点ID)才能打开,而且每个柜子里放的东西(目录)都不一样!

相关推荐
A小辣椒12 天前
AWS Clould Support Engineer就职面试题
aws
亚林瓜子14 天前
AWS WAF中如何放行某个触发了托管规则的接口
aws·waf
悠悠1213816 天前
AWS DevOps Agent 体验一周后,我决定把 oncall 手机调成静音了
云计算·aws·devops
yyuuuzz16 天前
独立站运营的几个技术层面常见问题
大数据·运维·服务器·网络·数据库·aws
yyuuuzz16 天前
游戏云服务器推荐的技术选择思路
大数据·运维·服务器·游戏·云计算·aws
kernelcraft18 天前
Boto3:Python 操作 AWS 的官方 SDK
开发语言·python·其他·aws
普通网友25 天前
Serverless 框架:多云函数部署(AWS + 阿里云 + 腾讯云)
阿里云·serverless·aws
TG_yunshuguoji25 天前
亚马逊云代理商:如何用 CloudWatch+Lambda 打造自动化告警系统
大数据·运维·自动化·云计算·aws
yyuuuzz25 天前
独立站搭建的几个核心技术问题
运维·服务器·网络·数据库·aws
yyuuuzz25 天前
aws亚马逊云服务的基础认知与常见场景
大数据·运维·服务器·网络·云计算·aws