기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
네트워크 액세스에 대한 보안 고려 사항
NFS 버전 4.1(NFSv4.1) 클라이언트는 파일 시스템의 탑재 대상 중 하나의 NFS 포트(TCP 포트 2049)에 네트워크를 연결할 수 있는 경우에만 파일 시스템을 탑재할 수 있습니다. 마찬가지로 NFSv4.1 클라이언트는 파일 시스템에 액세스할 때만 이 네트워크 연결을 만들 수 있는 경우에만 사용자 및 그룹 ID를 어설션할 수 있습니다.
이러한 네트워크 연결을 수행할 수 있는지 여부는 다음 조합에 따라 관리됩니다.
-
탑재 대상에서 제공하는 네트워크 격리' VPC - 파일 시스템 탑재 대상에는 연결된 퍼블릭 IP 주소가 있을 수 없습니다. 파일 시스템을 탑재할 수 있는 유일한 대상은 다음과 같습니다.
-
로컬 Amazon의 Amazon EC2 인스턴스 VPC
-
EC2 연결된 인스턴스 VPCs
-
AWS Direct Connect 및 AWS Virtual Private Network (VPN)를 VPC 사용하여 Amazon에 연결된 온프레미스 서버
-
-
클라이언트 및 탑재 대상의 VPC 서브넷에 대한 네트워크 액세스 제어 목록(ACLs)을 탑재 대상의 서브넷 외부에서 액세스할 수 있습니다. 파일 시스템을 탑재하려면 클라이언트가 탑재 대상의 NFS 포트에 TCP 연결하고 반환 트래픽을 수신할 수 있어야 합니다.
-
모든 액세스에 대한 클라이언트 및 탑재 대상의 VPC 보안 그룹의 규칙 - 파일 시스템을 탑재하는 EC2 인스턴스의 경우 다음 보안 그룹 규칙이 적용되어야 합니다.
-
파일 시스템에는 인스턴스의 NFS 포트에서 인바운드 연결을 활성화하는 규칙이 있는 보안 그룹이 네트워크 인터페이스에 있는 탑재 대상이 있어야 합니다. IP 주소(CIDR범위) 또는 보안 그룹별로 인바운드 연결을 활성화할 수 있습니다. 탑재 대상 네트워크 인터페이스의 인바운드 NFS 포트에 대한 보안 그룹 규칙의 소스는 파일 시스템 액세스 제어의 핵심 요소입니다. NFS 포트용 규칙 이외의 인바운드 규칙과 아웃바운드 규칙은 파일 시스템 탑재 대상의 네트워크 인터페이스에서 사용되지 않습니다.
-
탑재 인스턴스에는 파일 시스템의 탑재 대상 중 하나에 있는 NFS 포트에 대한 아웃바운드 연결을 활성화하는 보안 그룹 규칙이 있는 네트워크 인터페이스가 있어야 합니다. IP 주소(CIDR범위) 또는 보안 그룹을 기준으로 아웃바운드 연결을 활성화할 수 있습니다.
-
자세한 내용은 탑재 대상 생성 단원을 참조하십시오.
