初めに
ストレージゲートウェイをVPCエンドポイント経由で作成する手順について書きました。
ストレージゲートウェイの作成
利用するVPC内のインスタンスにアクセスできるようにクライアントVPN等で通信経路を確保しておきます。
あらかじめストレージゲートウェイ用のエンドポイントを作成しておきます。
「S3 ファイルゲートウェイ」を選択します。
「EC2」を選択します。「インスタンスの起動」を選択し、m4.xlarge のインスタンスを起動します。
なお、インスタンスのEBSはキャッシュ用に150GiBを追加します。
「VPC」を選択し、ストレージゲートウェイ用のエンドポイントを選択します。
IPアドレスは、EC2のプライベートIPアドレスを入力します。
ゲートウェイの名前を入力します。
「ゲートウェイのアクティブ化」を選択します。
しばらくローカルディスクの読み込みが完了するまで待ちます。
読み込みが完了したら「保存して続行」を選択します。
ログの設定はデフォルトのまま進めます。
ファイル共有の作成
ストレージゲートウェイを作成したら「ファイル共有の作成」を選択します。
今作成したストレージゲートウェイを選択し、バケット名を入力します。他はデフォルトで進めます。
ストレージ設定ではすべてデフォルトで進めます。
クライアントの追加で、マウントを許可するCIDRを入力します。
アクセス権限やIDはすべてデフォルトで進めます。
作成したらステータスが「利用可能」になるまで待ちます。「利用不可」であれば設定ミスがあります。この手順検証中、設定したバケットのバケットポリシーでファイル共有のロールに対するすべてのアクセスをDenyにしていたことが原因で「利用不可」と表示されました。
ファイル共有作成後、マウントできるようになります。このインスタンスにはパブリックIPアドレスを使用してログインしています。
sudo mount -t nfs -o nolock,hard 172.31.43.107:/account-a-bucket-0525 dir
許可していないNFSクライアントからはマウントできません。
[ec2-user@ip-172-31-1-236 ~]$ sudo mount -t nfs -o nolock,hard 172.31.43.107:/account-a-bucket-0525 dir
mount.nfs: access denied by server while mounting 172.31.43.107:/account-a-bucket-0525
参考記事