本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立安全群組
Amazon EC2 執行個體和掛載目標都有相關聯的安全群組。做為虛擬防火牆的這些安全群組會控制其中的流量。如果您在建立掛載目標時未提供安全群組,Amazon EFS 會將該群組的預設安全群組VPC與該群組建立關聯。
無論如何,若要啟用EC2執行個體和掛載目標 (以及檔案系統) 之間的流量,您必須在這些安全性群組中設定下列規則:
-
與掛載目標相關聯的安全群組,必須允許NFS連接埠上所有要掛載檔案系統之EC2執行處理的TCP通訊協定輸入存取權。
-
每個掛載檔案系統的EC2執行個體都必須有一個安全性群組,以允許對NFS連接埠上的掛載目標進行輸出存取。
若要變更與EFS檔案系統掛載目標相關聯的安全群組,請參閱管理掛載目標。
如需有關安全群組的詳細資訊,請參閱 Amazon EC2使用者指南中的適用於 Linux 執行個體的 Amazon EC2 安全群組。
注意
以下部分是 Amazon 的特定部分EC2,討論如何建立安全群組,以便您可以使用安全殼層 (SSH) 連接到已掛載 Amazon EFS 檔案系統的任何執行個體。如果您不使用連接SSH到 Amazon EC2 執行個體,則可以略過本節。
您可以使用在中 AWS Management Console 建立安全性群組VPC。若要將 Amazon EFS 檔案系統連接到 Amazon EC2 執行個體,您必須建立兩個安全群組:一個用於 Amazon EC2 執行個體,另一個用於 Amazon EFS 掛載目標。
-
在您的VPC. 如需指示,請參閱 Amazon VPC 使用者指南中的建立安全群組。
-
在VPC主控台中,確認這些安全性群組的預設規則。兩個安全群組應該只有讓流量離開的傳出規則。
-
您需要如下對安全群組授予其他存取權:
-
將規則新增至EC2安全性群組,以允許SSH存取連接埠 22 上的執行個體,如下所示。如果您打算使用用戶端,例如透過終SSH端機介面連線PuTTY至執行個體並管理EC2執行個體,此功能就很有用。或者,您可以限制 Source (來源) 地址。
如需指示,請參閱 Amazon VPC 使用者指南中的將規則新增至安全群組。
-
將規則新增至裝載目標安全性群組,以允許TCP連接埠 2049 上的EC2安全性群組輸入存取。指派為來源的安全性群組是與EC2執行個體相關聯的安全性群組。
若要檢視與檔案系統掛載目標相關聯的安全群組,請在EFS主控台中選擇「檔案系統詳細資訊」頁面中的「網路」頁籤。如需詳細資訊,請參閱管理掛載目標。
注意
您不需要新增傳出規則,因為預設的傳出規則可讓所有流量離開。(如果您移除預設輸出規則,則必須新增輸出規則以開啟TCP連接NFS埠上的連線,並將裝載目標安全性群組識別為目的地。)
-
-
驗證現在兩個安全群組皆獲授權傳入和傳出存取,如此區段所述。
如需示範如何使用建立安全性群組的範例 AWS CLI,請參閱步驟 1:建立EC2資源。
