网络访问的安全注意事项事项事项事项事项事项事项 - Amazon Elastic File System
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

网络访问的安全注意事项事项事项事项事项事项事项

只有在可以建立到文件系统的某个挂载目标的 NFS 端口(TCP 端口 2049)的网络连接时,NFS 版本 4.1 (NFSv4.1) 客户端才能挂载该文件系统。同样,只有在可以建立该网络连接时,NFSv4.1 客户端才能在访问文件系统时声明用户和组 ID。

能否使此网络连接由以下各因素共同决定:

  • 挂载目标的 VPC 提供的网络隔离— 文件系统挂载目标不能有与其相关联的公有 IP 地址。可挂载文件系统的唯一目标包括:

    • 本地亚马逊 VPC 中的 Amazon EC2 实例

    • 已连接 VPC 中的 EC2 实例

    • 使用连接到 Amazon VPC 的本地服务器Amazon Direct Connect还有Amazon Virtual Private Network(VPN)

  • 客户端和挂载目标的 VPC 子网的网络访问控制列表 (ACL),用于从挂载目标的子网外部进行访问 – 要挂载文件系统,客户端必须能够建立到挂载目标的 NFS 端口的 TCP 连接并接收返回的流量。

  • 客户端和挂载目标的 VPC 安全组规则— 要使 EC2 实例能够挂载文件系统,以下安全组规则必须生效:

    • 文件系统必须具有一个挂载目标,其网络接口具有的安全组的规则允许在 NFS 端口上具有来自实例的入站连接。您可以按 IP 地址(CIDR 范围)或安全组启用入站连接。挂载目标网络接口上的入站 NFS 端口的安全组规则来源是文件系统访问控制的关键要素。文件系统挂载目标的网络接口不使用 NFS 端口以外的入站规则以及任何出站规则。

    • 挂载实例必须具有一个网络接口,其安全组规则允许建立到文件系统的某个挂载目标上的 NFS 端口的出站连接。您可以按 IP 地址(CIDR 范围)或安全组启用出站连接。

有关更多信息,请参阅 创建和管理装载目标和安全组