Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ein NFS-Client der Version 4.1 (NFSv4.1) kann ein Dateisystem nur mounten, wenn er eine Netzwerkverbindung zum NFS-Port (TCP-Port 2049) eines der Mount-Ziele des Dateisystems herstellen kann. Ebenso kann ein NFSv4 .1-Client beim Zugriff auf ein Dateisystem nur dann eine Benutzer- und Gruppen-ID angeben, wenn er diese Netzwerkverbindung herstellen kann.
Die Fähigkeit, diese Netzwerkverbindung herzustellen, wird durch eine Kombination der folgenden Faktoren festgelegt:
-
Von der VPC des Mounting-Ziels bereitgestellte Netzwerkisolierung – Den Mounting-Zielen von Dateisystemen dürfen keine öffentlichen IP-Adressen zugewiesen sein. Die einzigen Ziele, die Dateisysteme mounten können, sind die folgenden:
-
EC2 Amazon-Instances in der lokalen Amazon VPC
-
EC2 Instanzen sind verbunden VPCs
-
Lokale Server, die über ein AWS Virtual Private Network (VPN) mit AWS Direct Connect einer Amazon VPC verbunden sind
-
-
Netzwerkzugriffskontrolllisten (ACLs) für die VPC-Subnetze des Clients und der Mount-Ziele, für den Zugriff von außerhalb der Subnetze des Mount-Ziels — Um ein Dateisystem zu mounten, muss der Client in der Lage sein, eine TCP-Verbindung zum NFS-Port eines Mount-Ziels herzustellen und Rückverkehr zu empfangen.
-
Regeln der VPC-Sicherheitsgruppen des Clients und der Mount-Ziele für den gesamten Zugriff — Damit eine EC2 Instance ein Dateisystem mounten kann, müssen die folgenden Sicherheitsgruppenregeln gelten:
-
Das Dateisystem muss ein Mounting-Ziel besitzen, dessen Netzwerkschnittstelle eine Sicherheitsgruppe mit einer Regel besitzt, die auf dem NFS-Port von der Instance eingehende Verbindungen unterstützt, entweder nach IP-Adresse (CIDR-Bereich) oder nach Sicherheitsgruppe. Die Quelle der Sicherheitsgruppenregeln für eingehende Verbindungen auf dem NFS-Port für Netzwerkschnittstellen von Mounting-Zielen stellt ein wesentliches Element der Steuerung des Zugriffs auf Dateisysteme dar. Regeln für eingehende Verbindungen auf anderen Ports als dem NFS-Port sowie alle Regeln für ausgehende Verbindungen werden von Netzwerkschnittstellen nicht für Dateisystem-Mounting-Ziele verwendet.
-
Die Mounting-Instance muss über eine Netzwerkschnittstelle mit einer Sicherheitsgruppe verfügen, die ausgehende Verbindungen über den NFS-Port eines der Mounting-Ziele des Dateisystems ermöglicht, Sie können ausgehende Verbindungen anhand von IP-Adressen (CIDR-Bereich) oder Sicherheitsgruppen aktivieren.
-
Weitere Informationen finden Sie unter Verwalten der Mountingziele.
