はじめに
クラウドでファイル共有を考えたことはありませんか?
本記事では、Amazon Web Services(AWS)が提供するファイルストレージ「Amazon Elastic File System(EFS)」について、基礎から運用で役立つポイントまでやさしく解説します。専門用語はできるだけ少なくし、具体例を交えて説明しますので、初めてEFSに触れる方でも読みやすい構成にしています。
この記事の目的
- EFSがどんなサービスかを理解する
- 他のAWSストレージ(例:S3)との違いを把握する
- 実際の導入や運用で注意すべき点を学ぶ
対象読者
- サーバーやクラウドでファイル共有を検討しているエンジニア
- 運用担当者やシステム設計者
- EFSの基本を短時間で押さえたいマネージャー
本記事の構成
第2章でEFSの概要を説明し、第3章で主な特徴を紹介します。第4章はS3との違いを扱い、第5章で代表的な用途を示します。第6章はセキュリティとアクセス制御、第7章で導入・設定手順をステップで解説し、第8章でベストプラクティスと注意点をまとめます。
Amazon EFSの概要
概要
Amazon EFS(Elastic File System)は、AWSが提供するフルマネージドのファイルストレージサービスです。サーバーの容量を手動で管理せずに、ファイルを保存・共有できます。必要に応じて自動で拡張・縮小し、利用者はストレージ運用を気にせずに済みます。
接続と対応サービス
EFSは主にNFS(Network File System)プロトコルを使います。Amazon EC2、ECS、EKS、Lambda、Fargateなど、さまざまなコンピュートサービスからファイルシステムをマウントして使えます。これにより、複数のインスタンスやコンテナで同じファイルに同時アクセスできます。
使い方のイメージ
・複数サーバーで同じ共有ディレクトリを使いたい場合
・コンテナ間でファイルをやり取りしたい場合
・ユーザーのホームディレクトリや共有ストレージが必要な場合
EFSは運用負荷を減らし、共有ファイルの管理を簡単にします。次章で主な特徴や性能面について詳しく見ていきます。
Amazon EFSの主な特徴
概要
Amazon EFSは、クラウド上で使える共有ファイルストレージです。使い勝手がシンプルで、Windowsの共有フォルダや家庭のNASに似た感覚で利用できます。以下で主要な特徴を丁寧に説明します。
スケーラビリティ
必要に応じて容量が自動で増減します。運用者が事前に容量を確保する必要はなく、数GBからペタバイト規模まで無停止で拡張できます。例えば、画像やログが急増するウェブサービスでも、容量を気にせず運用できます。
高可用性・耐障害性
データは複数のアベイラビリティゾーン(AZ)に分散して保存されます。Regionalタイプを選ぶと、1つのAZで障害が起きてもデータ消失リスクを低減できます。重要なデータを置く用途に向いています。
共有ファイルシステム
複数のEC2インスタンスやコンテナから同時に同じファイルにアクセスできます。ウェブサーバー群で同じコンテンツを共有したり、CI/CDのビルド成果物を複数ノードで参照したりする場面で便利です。
マネージドサービス
インフラ管理やパッチ適用はAWS側が行います。ユーザーはファイルシステムの作成やマウント、アクセス設定に集中できます。運用負荷を下げたい場合に有効です。
S3との違い
概要
Amazon EFS(Elastic File System)はファイル単位で読み書きし、複数のサーバーで同時に共有する用途に向きます。一方、Amazon S3(Simple Storage Service)はオブジェクト単位で大量データを保存し、配信やアーカイブに適しています。
アクセス方法の違い
- EFS: NFSという仕組みでマウントして使います。例えると、ネットワーク上の共有フォルダをそのまま使う感覚です。EC2やEKSからディレクトリとして扱えます。
- S3: REST APIやSDKでオブジェクトを送受信します。HTTPを通じてファイルをアップロード・ダウンロードするイメージで、ブラウザやプログラムから直接操作できます。
一貫性とファイル機能
EFSはPOSIX互換で、ファイルロックやパーミッションを扱えます。アプリケーションがファイル単位での更新や即時の共有を必要とする場合に便利です。S3はオブジェクトストアで、厳密なファイル操作やロックは基本的に提供しませんが、オブジェクトのバージョン管理や大規模なデータ保存に強みがあります。
性能・スループット、レイテンシ
EFSは低レイテンシでファイル操作が速く、同時アクセスに強い設計です。S3はオブジェクトの転送に最適化されており、大きなファイルや大量リクエストの取り扱いが得意です。
コストと運用面
S3は保存容量あたりのコストが安く、ライフサイクル機能で自動アーカイブできます。EFSはファイルシステムとしての利便性が高く、アクセス頻度に応じたストレージクラスもありますが、使い方によってはコストが高くなることがあります。
使い分けの例
- EFSを選ぶ例: 複数のWebサーバーで同じファイルをリアルタイム共有する、アプリがPOSIX互換のファイル操作を前提とする。
- S3を選ぶ例: 画像・動画の保存と配信、大量ログのアーカイブ、バックアップや分析用のデータレイク。
どちらも強みが異なるため、目的に合わせて選択すると効果的です。
代表的な用途・ユースケース
1. Webサーバーやアプリケーションの共有ストレージ
複数のサーバーで静的ファイルや設定を同じ場所に置きたいときに便利です。例えば、複数のEC2で/var/wwwを共有すれば、どのサーバーからでも同じ画像やHTMLにアクセスできます。運用はシンプルになり、デプロイも容易です。
2. データ解析や機械学習ジョブの一時ストレージ
大きなデータセットの読み書きを複数ノードで行う処理に向きます。Sparkや機械学習の分散トレーニングで中間出力を共有する例があります。一時ファイル用に使うことで、永続ストレージと分離して管理できます。
3. コンテナ環境(Amazon EKS/ECS)での共有ファイル領域
コンテナ間で状態を共有する際にEFSをマウントできます。たとえば、ログやアップロードされたファイルをPod間で共通化すると、スケールや再起動後もデータが残ります。ボリュームとして扱うため設定も分かりやすいです。
4. ホームディレクトリやユーザープロファイルの保存
社員のホームディレクトリやユーザープロファイルをEFSに置けば、どの端末からでも同じ環境で作業できます。デスクの移動や端末交換があっても設定やファイルが失われにくくなります。
5. バックアップや災害対策用のファイル共有
定期バックアップの保存先や、障害時に別環境でマウントして復旧する用途に適します。ファイルベースのデータを扱うアプリケーションの復旧手順を簡単にできます。
各用途での注意点:レイテンシーやスループット、アクセスパターンに応じて設定を調整してください。高いIO性能が必要な場合は別のストレージや設定検討が有効です。
セキュリティとアクセス制御
IAMによるアクセス管理
IAMポリシーで誰が何をできるかを細かく決めます。例えば、開発チームには読み書き、運用チームには読み取りだけ許可するようにポリシーを分けます。EC2やECSからアクセスする場合はIAMロールを使い、一時的な権限で安全に操作させます。最小権限の原則を守ることが大切です。
アクセスコントロールリスト(ACL)
EFSはファイルやディレクトリごとにACLで権限を設定できます。たとえば、/logsフォルダはWebサーバーだけ書き込み可能にし、他は読み取り専用にする、といった運用ができます。ACLはユーザー単位で細かい制御が必要な状況で役立ちます。
暗号化と鍵管理
保存時(at-rest)と転送時(in-transit)の暗号化を必ず有効にしてください。転送はTLSで保護し、保存はAWS KMSで管理する鍵(CMK)を使うことを推奨します。KMSのカスタム鍵を使うと鍵のローテーションやアクセスログの管理が容易になります。
ネットワークアクセスの制限
セキュリティグループやNACLで接続元IPやポートを限定します。EFSはNFS(通常ポート2049)を使うため、許可する送信元を絞ると安全性が向上します。例として、特定のサブネットやEC2インスタンスのセキュリティグループのみ許可する設定が有効です。
監査とモニタリング
CloudTrailでEFS関連APIの操作履歴を残し、VPCフローログでネットワーク接続を確認します。異常なアクセスがあれば早めに検知して対応できるようにログを定期的に確認してください。
EFSの導入・設定手順
前準備
VPCとサブネット、EC2などクライアントが存在することを確認します。必要ならログイン用のキーペアや管理者権限のあるIAMユーザーを用意します。
1. ファイルシステムの作成
AWSコンソールまたはCLIで「ファイルシステムを作成」を選びます。ストレージクラスはRegional(高可用)かOne Zone(低コスト)を選べます。用途に応じて選択してください(例:複数AZで冗長に使うならRegional)。
2. マウントターゲットの作成
利用するVPCの各AZごとにマウントターゲット(エンドポイント)を作成します。各ターゲットはサブネットとセキュリティグループを関連付けます。これにより同じVPC内のEC2から接続できます。
3. セキュリティとIAMの設定
マウントターゲットのセキュリティグループにNFS(ポート2049)を許可します。API操作用のIAMは最小権限で設定してください。ファイルアクセスはPOSIXパーミッションと所有者で制御します。
4. クライアントからのマウント
例:Amazon Linux 2
sudo yum install -y amazon-efs-utils
sudo mkdir -p /mnt/efs
sudo mount -t efs fs-0123456789abcdef:/ /mnt/efs
(もしくはNFSで)sudo mount -t nfs4 -o nfsvers=4.1 fs-01234567.efs..amazonaws.com:/ /mnt/efs
5. 追加機能と運用ポイント
アクセスポイントを使うとUID/GID固定のデフォルトディレクトリを提供できます。ライフサイクルポリシーでコスト最適化やバックアップとの組合せも検討してください。
ベストプラクティスと注意点
はじめに
運用で安全かつ効率的に使うには、設計段階からの配慮が大切です。ここでは具体的な対策と注意点をわかりやすく説明します。
設計とアクセス管理
最小権限の原則でIAMを設計してください。例えば、読み取り専用のユーザーと書き込みも行うユーザーを分けるだけでリスクを減らせます。セキュリティグループは必要なポートと送受信元だけ許可します。
暗号化とネットワーク
データは保存時と転送時の両方で暗号化しましょう。管理者が鍵を扱う場合はアクセスを限定し、ログで操作を記録します。
バックアップと災害対策
定期的にスナップショットやバックアップを取得し、復元手順を文書化してください。別リージョンへコピーする運用も検討します。
コスト管理
従量課金のため不要ファイルは削除し、ライフサイクル設定で古いデータを自動で整理します。タグ付けして使用状況を把握すると管理が楽になります。
運用と監視
メトリクスやログを監視し、容量やパフォーマンスの異常を早めに検知します。アクセスログで不審な操作を確認してください。
テストと注意点
復元テストを定期的に実施し、障害時の手順を確認します。マウント設定や権限ミスが案外トラブルの原因になるため、導入後も定期点検を行ってください。
