本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络访问的安全注意事项
NFS 版本 4.1 (NFSv4.1) 客户端只有在能够与文件系统挂载目标之一的 NFS 端口(TCP 端口 2049)建立网络连接的情况下才能装载文件系统。同样,只有在可以建立该网络连接时,NFSv4.1 客户端才能在访问文件系统时声明用户和组 ID。
能否使此网络连接由以下各因素共同决定:
-
由挂载目标的 VPC 提供的网络隔离 — 文件系统挂载目标不能有与之关联的公有 IP 地址。可挂载文件系统的唯一目标包括:
-
本地 Amazon VPC 中的亚马逊 EC2 实例
-
已连接 VPC 中的 EC2 实例
-
使用Amazon Direct Connect和 Amazon Virtual Private Network (VPN) 连接到 Amazon VPC 的本地服务器
-
-
客户端和挂载目标的 VPC 子网的网络访问控制列表 (ACL),用于从挂载目标的子网外部进行访问 – 要挂载文件系统,客户端必须能够建立到挂载目标的 NFS 端口的 TCP 连接并接收返回的流量。
-
所有访问权限的客户端和挂载目标的 VPC 安全组规则 — 要让 EC2 实例挂载文件系统,以下安全组规则必须生效:
-
文件系统必须具有一个挂载目标,其网络接口具有的安全组的规则允许在 NFS 端口上具有来自实例的入站连接。您可以按 IP 地址(CIDR 范围)或安全组启用入站连接。挂载目标网络接口上的入站 NFS 端口的安全组规则来源是文件系统访问控制的关键要素。文件系统挂载目标的网络接口不使用 NFS 端口以外的入站规则以及任何出站规则。
-
挂载实例必须具有一个网络接口,其安全组规则允许建立到文件系统的某个挂载目标上的 NFS 端口的出站连接。您可以按 IP 地址(CIDR 范围)或安全组启用出站连接。
-
有关更多信息,请参阅创建和管理挂载目标和安全组: