本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
NFS 4.1 (NFSv4.1) 版本的客户机只有在能够与文件系统挂载目标之一的 NFS 端口(TCP 端口 2049)建立网络连接时才能装载文件系统。同样, NFSv4.1 客户端只有在能够建立网络连接的情况下才能在访问文件系统时声明用户和组 ID。
能否使此网络连接由以下各因素共同决定:
-
由挂载目标的 VPC 提供的网络隔离 – 文件系统挂载目标不能具有关联的公有 IP 地址。可挂载文件系统的唯一目标包括:
-
本地 Amazon VPC 中的亚马逊 EC2 实例
-
EC2 已连接的实例 VPCs
-
使用 AWS Direct Connect 和 AWS Virtual Private Network (VPN) 连接到 Amazon VPC 的本地服务器
-
-
客户端和挂载目标的 VPC 子网的网络访问控制列表 (ACLs),用于从挂载目标子网外部进行访问 — 要挂载文件系统,客户端必须能够与挂载目标的 NFS 端口建立 TCP 连接并接收返回流量。
-
所有访问权限的客户端和挂载目标的 VPC 安全组规则 — 要使 EC2 实例挂载文件系统,以下安全组规则必须生效:
-
文件系统必须具有一个挂载目标,其网络接口具有的安全组的规则允许在 NFS 端口上具有来自实例的入站连接。您可以按 IP 地址(CIDR 范围)或安全组启用入站连接。挂载目标网络接口上的入站 NFS 端口的安全组规则来源是文件系统访问控制的关键要素。文件系统挂载目标的网络接口不使用 NFS 端口以外的入站规则以及任何出站规则。
-
挂载实例必须具有一个网络接口,其安全组规则允许建立到文件系统的某个挂载目标上的 NFS 端口的出站连接。您可以按 IP 地址(CIDR 范围)或安全组启用出站连接。
-
有关更多信息,请参阅 管理挂载目标。
