Назад | Перейти на главную страницу

Общая зашифрованная файловая система для экземпляров ec2

Я и моя компания намерены начать использовать ec2 для распространения некоторых частей кода с интенсивным использованием ЦП, включающих несколько десятков гигабайт данных, однако у меня есть некоторые опасения по поводу защиты интеллектуальной собственности, которую содержит код (и в гораздо меньшей степени). данные тоже).

По крайней мере, в отношении кода, я решил, что могу пойти несколькими путями:

  1. Создайте файл ami с зашифрованной файловой системой внутри, а затем запустите из него множество экземпляров.
  2. То же самое и с файловой системой EBS (не уверен, смогу ли я сделать это со многими экземплярами)
  3. Создайте файловую систему на s3 и смонтируйте ее оттуда с помощью s3fs

Какой способ предпочтительнее? (важное замечание - код и данные не должны меняться, поэтому у меня нет проблем с монтированием вещей только для чтения)

Я предлагаю провести несколько тестов с s3fs и другими инструментами, которые вы можете использовать для просмотра корзин s3. В моем тесте s3fs vs s3 explorer в консоли aws папки s3fs и прочее не отображались правильно. s3cmd vs s3fs: та же проблема s3cmd vs s3 explorer в консоли: нет проблем.

Поскольку я делаю синхронизацию для спины, я пошел с s3cmd

/ мои 2 цента

Amazon теперь предлагает дорогую, но эффективную EFS.

Я еще не пробовал, я использую только немного s3fs, но похоже, что это хороший ответ для таких нужд, как ваш.

EFS лучше подходит для больших файлов, чем s3fs.

Посмотрите этот пост, чтобы лучше понять, что он предлагает:
https://stackoverflow.com/questions/29575877/aws-efs-vs-ebs-vs-s3-differences-when-to-use

Если ваше приложение можно настроить для прямого взаимодействия с S3, S3 может прозрачно управлять шифрованием / дешифрованием, см. Это - http://aws.typepad.com/aws/2011/10/new-amazon-s3-server-side-encryption.html и тут -- http://aws.amazon.com/s3/faqs/#What_options_do_I_have_for_encrypting_data_stored_on_Amazon_S3

s3fs тоже должен работать «прозрачно», но я могу ошибаться.

Если вы хотите разделить файловую систему между экземплярами, вариант 2 отключен, потому что вы не можете этого сделать с EBS. Вариант 1 предпочтительнее с точки зрения производительности (локальная файловая система), но вариант 3 более удобен (меньше настроек).

В частности, вы можете наложить что-то вроде Encfs поверх s3fs. Обратите внимание, что если вы действительно параноик по этому поводу, вам придется выбрать вариант 1, потому что вы, вероятно, захотите, чтобы все было зашифровано, в частности своп.