Làm cách nào tôi có thể thiết lập máy chủ SFTP được hỗ trợ bởi S3 (hoặc tương tự)

Tôi cần thiết lập một máy chủ SFTP, về cơ bản, có dung lượng rất lớn. Tôi cần cung cấp cho một trong các chi tiết đăng nhập SFTP của đối tác của chúng tôi đến một máy chủ nơi họ sẽ tải lên hàng triệu tệp, tổng cộng vài trăm Terabyte. Sau đó tôi sẽ chọn lọc và khá hiếm khi đọc một số các tệp này. Đây là yêu cầu thực tế duy nhất, bất kỳ sự lựa chọn công nghệ nào cũng được chấp nhận.

Điều dễ hiểu nhất là cách dễ nhất là có một số thể hiện EC2 chạy máy chủ SFTP theo cách mà bất kỳ thứ gì được tải lên đều được gửi trực tiếp đến S3 hoặc một số quy trình phát hiện ra các tệp mới khi chúng được tải lên, sao chép chúng vào S3 và xóa chúng khỏi đĩa.

Đây có phải là cách tốt nhất? Có cách nào khác để có được một máy chủ về cơ bản có "không gian đĩa phát triển vô hạn và kỳ diệu" không?

Cảm ơn bạn đã giúp đỡ! Daniel

Tôi đã trả lời câu hỏi tương tự trên Stack Overflow .

s3fs thực sự là một giải pháp hợp lý, và trong trường hợp của tôi, tôi đã kết hợp nó với proftpd với kết quả tuyệt vời, bất chấp các vấn đề lý thuyết / tiềm năng.

Vào thời điểm tôi viết câu trả lời, tôi chỉ thiết lập điều này cho một trong những khách hàng tư vấn của mình ... nhưng kể từ đó, tôi cũng bắt đầu uống viện trợ kool của riêng mình và đang sử dụng nó trong sản xuất trong công việc hàng ngày. Các công ty chúng tôi trao đổi dữ liệu với các tệp tải lên và tải xuống cả ngày trên máy chủ sftp của tôi, nơi đang lưu trữ mọi thứ trực tiếp trên S3. Như một phần thưởng, hệ thống xuất báo cáo của tôi - viết bảng tính excel trực tiếp lên S3 - có thể xuất báo cáo "sang máy chủ FTP" bằng cách đặt chúng trực tiếp vào nhóm máy chủ ftp, với siêu dữ liệu phù hợp để hiển thị uid, gid và chế độ của từng tập tin. (s3fs sử dụng các tiêu đề x-amz-meta-uid, -gid và -mode để mô phỏng các quyền của hệ thống tập tin). Khi máy khách đăng nhập vào máy chủ, các tệp báo cáo chỉ là ... ở đó.

Tôi nghĩ rằng giải pháp lý tưởng có lẽ sẽ là một dịch vụ cổng sftp cho S3, nhưng tôi vẫn chưa có ý định thiết kế một giải pháp, vì giải pháp này hoạt động rất tốt ... dĩ nhiên là có một số cảnh báo:

Không phải tất cả các giá trị mặc định cho s3fs là lành mạnh. Bạn có thể sẽ muốn chỉ định các tùy chọn sau:

-o enable_noobj_cache   # s3fs has a huge performance hit for large directories without this enabled
-o stat_cache_expire=30 # the ideal time will vary according to your usage
-o enable_content_md5   # it's beyond me why this safety check is disabled by default

Có lẽ tốt nhất là sử dụng một khu vực khác ngoài US-Standard, bởi vì đó là khu vực duy nhất không cung cấp tính nhất quán đọc sau khi viết trên các đối tượng mới. (Hoặc, nếu bạn cần sử dụng US-Standard, bạn có thể sử dụng tên máy chủ gần như không có giấy tờ your-bucket.s3-external-1.amazonaws.comtừ khu vực us-East-1 để ngăn các yêu cầu của bạn được định tuyến địa lý, điều này có thể cải thiện tính nhất quán.)

Tôi đã kích hoạt phiên bản đối tượng trên nhóm, điều mà s3fs hoàn toàn không biết. Lợi ích của việc này là ngay cả khi một tệp sẽ bị "dậm chân", tôi luôn có thể chuyển sang phiên bản xô để khôi phục tệp "bị ghi đè". Phiên bản đối tượng trong S3 được thiết kế tuyệt vời theo cách mà các máy khách S3 không biết về phiên bản không bị vô hiệu hóa hoặc nhầm lẫn, bởi vì nếu bạn không thực hiện các cuộc gọi REST nhận biết phiên bản, các phản hồi trả về S3 tương thích với các máy khách có không có khái niệm về phiên bản.

Cũng lưu ý rằng việc truyền dữ liệu vào S3 không phải trả phí truyền dữ liệu. Bạn chỉ trả giá theo yêu cầu. Chuyển dữ liệu ra khỏi S3 vào EC2 trong một khu vực cũng không phải trả phí chuyển dữ liệu. Chỉ khi bạn chuyển từ S3 sang Internet, tới Cloudfront hoặc tới một khu vực AWS khác mà bạn phải trả phí chuyển khoản. Nếu bạn muốn sử dụng bộ lưu trữ dự phòng giảm giá thấp hơn, s3fs hỗ trợ điều đó với -o use_rrs.

Là một điều thú vị, bạn sẽ luôn có cảm giác mờ ấm khi nhìn thấy 256 terabyte dung lượng trống (và 0 được sử dụng, vì một phép tính thực tế về kích thước là không thực tế vì thực tế S3 là một kho lưu trữ đối tượng, không phải là hệ thống tệp ).

$ df -h
Filesystem      Size  Used Avail Use% Mounted on
/dev/xvda1      7.9G  1.4G  6.2G  18% /
s3fs            256T     0  256T   0% /srv/s3fs/example-bucket

Tất nhiên, bạn có thể gắn thùng ở bất cứ đâu. Tôi chỉ tình cờ có nó trong / srv / s3fs.

Kiểm tra Cổng SFTP trên Thị trường AWS .

Chúng tôi gặp vấn đề về độ tin cậy với s3fs, vì vậy chúng tôi đã phát triển một giải pháp tùy chỉnh dành riêng cho mục đích này. Chúng tôi đã sử dụng nó trong sản xuất trong vài năm mà không có vấn đề gì và gần đây đã phát hành nó cho AWS Marketplace.

Có hai lựa chọn. Bạn có thể sử dụng dịch vụ SFTP được quản lý riêng do Amazon thêm gần đây (dễ cài đặt hơn). Hoặc bạn có thể gắn thùng vào hệ thống tệp trên máy chủ Linux và truy cập các tệp bằng SFTP như bất kỳ tệp nào khác trên máy chủ (giúp bạn kiểm soát tốt hơn).

Dịch vụ SFTP được quản lý

• Trong Bảng điều khiển AWS của Amazon, hãy chuyển đến AWS Transfer cho SFTP và tạo một máy chủ mới.

• Trong trang máy chủ SFTP, thêm người dùng SFTP mới (hoặc người dùng).

  • Quyền của người dùng bị chi phối bởi vai trò AWS được liên kết trong dịch vụ IAM (để bắt đầu nhanh, bạn có thể sử dụng chính sách AmazonS3FullAccess ).

  • Vai trò phải có mối quan hệ tin cậy transfer.amazonaws.com.

Để biết chi tiết, hãy xem hướng dẫn của tôi Thiết lập quyền truy cập SFTP vào Amazon S3 .

Gắn thùng vào máy chủ Linux

Như @Michael đã trả lời , chỉ cần gắn thùng bằng s3fshệ thống tệp (hoặc tương tự) với máy chủ Linux (Amazon EC2) và sử dụng máy chủ SFTP tích hợp của máy chủ để truy cập nhóm.

Dưới đây là hướng dẫn cơ bản:

• Cài đặt s3fs
• Thêm thông tin bảo mật của bạn dưới dạng access-key-id:secret-access-keyvào/etc/passwd-s3fs

• Thêm một mục gắn gầu vào fstab:

  <bucket> /mnt/<bucket> fuse.s3fs rw,nosuid,nodev,allow_other 0 0
  

Để biết chi tiết, hãy xem hướng dẫn của tôi Thiết lập quyền truy cập SFTP vào Amazon S3 .

Sử dụng máy khách S3

Hoặc sử dụng bất kỳ "ứng dụng khách FTP / SFTP" miễn phí nào , đó cũng là "ứng dụng khách S3" và bạn không thiết lập bất cứ điều gì ở phía máy chủ. Ví dụ: WinSCP hoặc Cyberduck của tôi .

AWS hiện cung cấp dịch vụ SFTP qua S3 có tên AWS Transfer For SFTP . Nó có những lợi ích của S3 (lưu trữ phân tán, có sẵn, độ bền cao) kết hợp với giao thức SFTP nổi tiếng và được thiết lập.

Theo mặc định, người dùng xác thực bằng cặp khóa riêng / chung và sử dụng các chính sách IAM, bạn có thể thiết lập quyền cho người dùng SFTP trên các thùng S3. Bạn có thể thêm các lược đồ xác thực bằng cách triển khai chức năng của riêng mình trên AWS API Gateway và AWS Lambda.

Chúng tôi đã gói AWS Transfer cho SFTP trong tiện ích bổ sung Heroku có tên SFTP To Go để cung cấp các sơ đồ xác thực linh hoạt và TCO thấp hơn (vì điểm cuối dịch vụ có chi phí cố định trên AWS, nhưng có thể được chia sẻ bởi nhiều người dùng mà không cần bảo mật hoặc thỏa hiệp hiệu suất.