Amazon S3 Files 深度解析:NFS 协议直通对象存储的架构设计与实践
引言
做 ML 训练的朋友大概都有这个经历:数据在 S3 上,训练框架只认文件系统路径。每次要写个数据加载器,先 boto3 下载,处理完再上传回去。多节点训练还得解决数据分发问题。
亚马逊云科技最近发布了 Amazon S3 Files,直接把 S3 桶挂载成 NFS 文件系统。底层复用 EFS 引擎,延迟约 1ms,支持 NFS v4.1+ 协议。
这篇文章从架构设计、挂载实操、容器集成到生产注意事项,把 S3 Files 掰开了说。
架构设计
存储层
S3 Files 的核心思路是在 S3 对象存储上面加了一层高性能缓存。活跃数据缓存在 EFS 引擎的存储层,提供约 1ms 的访问延迟。冷数据直接从 S3 读取,走高吞吐通道。
同步机制
双向同步是自动的:
- 文件系统 → S3:文件关闭后,几分钟内导出为 S3 新对象或现有对象的新版本
- S3 → 文件系统:桶上的对象变更在文件系统中几秒可见(偶尔需要几分钟)
- 一致性模型:NFS close-to-open 语义——一个客户端关闭文件后,其他客户端打开即可读到最新内容
网络架构
S3 Files 在你的 VPC 中创建 Mount Target(网络端点),EC2/容器通过 VPC 内部网络访问。数据传输 TLS 1.3 加密,静态数据 SSE-S3 或 KMS 加密。
挂载实操
前置条件
- 通用型(General Purpose)S3 桶
- EC2 实例(需安装最新 amazon-efs-utils)
- VPC 安全组放行 TCP 2049(NFS 端口)
CLI 完整流程
# 1. 创建文件系统(关联到已有桶)
aws s3 create-file-system \
--bucket my-training-data-bucket \
--file-system-name my-training-fs
# 返回文件系统 ID,类似 fs-0aa860d05df9afdfe
# 2. 创建 Mount Target(指定 VPC 子网和安全组)
aws s3 create-mount-target \
--file-system-id fs-0aa860d05df9afdfe \
--subnet-id subnet-0123456789abcdef0 \
--security-groups sg-0123456789abcdef0
# 3. 等 Mount Target 状态变为 available
aws s3 describe-mount-targets \
--file-system-id fs-0aa860d05df9afdfe
# 4. EC2 上创建挂载点并挂载
sudo mkdir /mnt/s3data
sudo mount -t s3files fs-0aa860d05df9afdfe:/ /mnt/s3data
读写验证
# 写入文件
echo "Hello S3 Files" > /mnt/s3data/hello.txt
# 本地确认
ls -al /mnt/s3data/hello.txt
# 等几分钟,S3 侧验证
aws s3 ls s3://my-training-data-bucket/hello.txt
踩坑记录
mount 命令卡住不动:大概率安全组问题。EC2 安全组需要允许出站到 Mount Target 的 TCP 2049。Mount Target 安全组需要允许来自 EC2 的入站 2049。这个坑我踩过,卡了半个小时才想起来检查安全组。
POSIX 权限报错:S3 Files 用 UID/GID 控制文件权限。如果 mount 用户的 UID 和文件 owner 不匹配,会报 Permission denied。
EKS 容器集成
在 Amazon EKS 里用 PersistentVolume 挂载:
apiVersion: v1
kind: PersistentVolume
metadata:
name: s3-files-pv
spec:
capacity:
storage: 100Gi
accessModes:
- ReadWriteMany
nfs:
server: fs-0aa860d05df9afdfe.s3files.<region>.amazonaws.com
path: /
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: s3-files-pvc
spec:
accessModes:
- ReadWriteMany
resources:
requests:
storage: 100Gi
volumeName: s3-files-pv
多个 Pod 共享同一份训练数据,不需要每个 Pod 都下载一遍。ReadWriteMany 模式天然支持多节点并发读写。
Lambda 集成
Lambda 也能挂 S3 文件系统:
aws lambda update-function-configuration \
--function-name my-data-processor \
--file-system-configs \
Arn=arn:aws:s3:us-east-1:123456789012:file-system/fs-0aa860d05df9afdfe,\
LocalMountPath=/mnt/s3data
函数里直接 open('/mnt/s3data/input.csv') 读 S3 数据。比 boto3 下载-处理-上传的三步流程清爽很多。
选型参考
| 维度 | S3 Files | Amazon FSx | Amazon EFS |
|---|---|---|---|
| 数据存储位置 | S3 桶 | 独立文件系统 | 独立文件系统 |
| 核心场景 | S3 数据的文件系统访问 | HPC/GPU 集群、NAS 迁移 | 通用 NFS 共享 |
| 协议 | NFS v4.1+ | Lustre/ONTAP/OpenZFS/SMB | NFS v4.1 |
| 延迟 | ~1ms(活跃数据) | 亚毫秒级(Lustre) | 毫秒级 |
| S3 集成 | 原生双向同步 | FSx for Lustre 支持导入导出 | 无直接集成 |
数据已在 S3,想用文件系统访问 → S3 Files。需要特定文件系统协议(Lustre/ONTAP) → FSx。纯 NFS 共享存储 → EFS。
生产环境注意事项
同步延迟
文件系统到 S3 的同步是几分钟级别,不是实时的。对实时性要求高的场景需要评估这个时间窗口。
并发写入
close-to-open 一致性模型意味着:多个客户端同时写同一个文件,需要应用层自己处理冲突。分布式训练中,建议每个 worker 写不同的 checkpoint 文件,避免写冲突。
缓存策略
可以控制哪些数据放在高性能存储层。全量缓存适合小数据集频繁访问;只缓存元数据适合大规模数据集按需读取。
监控
- CloudWatch 监控文件系统性能指标(IOPS、吞吐、延迟)
- CloudTrail 记录管理操作审计
常见问题排查
| 问题 | 原因 | 解决方案 |
|---|---|---|
| mount 卡住 | 安全组未放行 2049 | 检查 EC2 和 Mount Target 安全组 |
| Permission denied | POSIX UID/GID 不匹配 | 确认挂载用户 ID 与文件权限 |
| 写入后 S3 侧看不到 | 同步延迟 | 等几分钟,超过 10 分钟检查 CloudWatch |
| 大文件读取慢 | 冷数据直接走 S3 | 调整缓存策略,强制预加载热点文件 |
总结
S3 Files 解决了对象存储和文件系统之间的鸿沟。数据放在 S3 享受低成本和高持久性,同时通过 NFS 挂载获得文件系统的操作能力。
对 ML 训练场景来说,以前在 S3 和本地之间搬数据的代码可以全部砍掉了。mount 一下,框架直接读,架构简单了不少。
S3 Files 目前在所有商业 Region 可用,同步延迟是几分钟级别。对大多数场景来说完全够用。
参考资料:
浙公网安备 33010602011771号