本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
网络访问的安全注意事项
4.1 (NFSv4.1) NFS 版本的客户机只有在能够通过网络连接到文件系统的其中一个装载目标的NFS端TCP口(端口 2049)时才能装载文件系统。同样,NFSv4.1 客户端只有在能够建立网络连接的情况下才能在访问文件系统时声明用户和组 ID。
能否使此网络连接由以下各因素共同决定:
-
由挂载目标提供的网络隔离 VPC — 文件系统挂载目标不能有与之关联的公有 IP 地址。可挂载文件系统的唯一目标包括:
-
本地亚马逊中的亚马逊EC2实例 VPC
-
EC2已连接的实例 VPCs
-
本地服务器VPC通过使用 Amazon Direct Connect 和 Amazon Virtual Private Network (VPN) 连接到 Amazon
-
-
客户机和装载目标VPC子网的网络访问控制列表 (ACLs),用于从装载目标子网外部进行访问 — 要装载文件系统,客户机必须能够TCP连接到装载目标的NFS端口并接收返回流量。
-
针对所有访问权限的客户端和挂载目标VPC安全组规则 — 要使EC2实例挂载文件系统,以下安全组规则必须生效:
-
文件系统必须有一个装载目标,其网络接口上有一个安全组,其规则允许从实例的NFS端口上进行入站连接。您可以通过 IP 地址(CIDR范围)或安全组启用入站连接。挂载目标网络接口上入站NFS端口的安全组规则的来源是文件系统访问控制的关键要素。文件系统挂载目标的网络接口不使用除NFS端口规则和任何出站规则之外的入站规则。
-
挂载实例必须具有带有安全组规则的网络接口,该规则允许与文件系统的其中一个挂载目标上的NFS端口进行出站连接。您可以通过 IP 地址(CIDR范围)或安全组启用出站连接。
-
有关更多信息,请参阅 管理挂载目标。