网络访问的安全注意事项
只有在可以建立到文件系统的某个挂载目标的 NFS 端口(TCP 端口 2049)的网络连接时,NFS 版本 4.1(NFSv4.1)客户端才能挂载该文件系统。同样,只有在可以建立该网络连接时,NFSv4.1 客户端才能在访问文件系统时声明用户和组 ID。
能否使此网络连接由以下各因素共同决定:
-
由挂载目标的 VPC 提供的网络隔离 – 文件系统挂载目标不能具有关联的公有 IP 地址。可挂载文件系统的唯一目标包括:
-
本地 VPC 中的 Amazon EC2 实例
-
已连接 VPC 中的 EC2 实例
-
使用 Amazon Direct Connect 和 Amazon Virtual Private Network(VPN)连接到 Amazon VPC 的本地服务器
-
-
客户端和挂载目标的 VPC 子网的网络访问控制列表 (ACL),用于从挂载目标的子网外部进行访问 – 要挂载文件系统,客户端必须能够建立到挂载目标的 NFS 端口的 TCP 连接并接收返回的流量。
-
客户端和挂载目标的 VPC 安全组的规则(用于所有访问) – 要使 EC2 实例能够挂载文件系统,以下安全组规则必须生效:
-
文件系统必须具有一个挂载目标,其网络接口具有的安全组的规则允许在 NFS 端口上具有来自实例的入站连接。您可以按 IP 地址(CIDR 范围)或安全组启用入站连接。挂载目标网络接口上的入站 NFS 端口的安全组规则来源是文件系统访问控制的关键要素。文件系统挂载目标的网络接口不使用 NFS 端口以外的入站规则以及任何出站规则。
-
挂载实例必须具有一个网络接口,其安全组规则允许建立到文件系统的某个挂载目标上的 NFS 端口的出站连接。您可以按 IP 地址(CIDR 范围)或安全组启用出站连接。
-
有关更多信息,请参阅 管理挂载目标。