本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網路存取的安全性考量
NFS 4.1 版 (NFSv4.1) 用戶端只有在可以與其中一個檔案系統掛載目標的NFS連接埠 (TCP連接埠 2049) 建立網路連線時,才能掛載檔案系統。同樣地,只有在 NFSv4.1 用戶端可以建立此網路連線時,才能在存取檔案系統時宣告使用者和群組 ID。
您是否能夠進行此網路連線的能力,會同時受到以下項目的影響:
-
掛載目標提供的網路隔離 VPC- 檔案系統掛載目標不能具有與其相關聯的公有 IP 地址。唯一可以掛載檔案系統的目標如下所示:
-
本機 Amazon 中的 Amazon EC2執行個體 VPC
-
EC2 已連線 中的執行個體 VPCs
-
VPC 使用 AWS Direct Connect 和 AWS Virtual Private Network (VPN) 連線至 Amazon 的內部部署伺服器
-
-
用戶端和掛載目標VPC子網路的網路存取控制清單 (ACLs),用於掛載目標子網路外部的存取 – 若要掛載檔案系統,用戶端必須能夠與掛載目標的NFS連接埠建立TCP連線並接收傳回流量。
-
用戶端和掛載目標VPC安全群組的規則,針對所有存取 – 對於掛載檔案系統的EC2執行個體,下列安全群組規則必須有效:
-
檔案系統必須具有掛載目標,其網路介面具有安全群組,該群組具有規則,可在來自執行個體的NFS連接埠上啟用傳入連線。您可以依 IP 地址 (CIDR 範圍) 或安全群組啟用傳入連線。掛載目標網路介面上傳入NFS連接埠的安全群組規則來源是檔案系統存取控制的關鍵元素。除了NFS連接埠的傳入規則,以及任何傳出規則,網路介面不會用於檔案系統掛載目標。
-
掛載執行個體必須具有具有安全群組規則的網路介面,該安全群組規則允許對其中一個檔案系統掛載目標上的NFS連接埠進行傳出連線。您可以依 IP 地址 (CIDR 範圍) 或安全群組啟用傳出連線。
-
如需詳細資訊,請參閱管理掛載目標。
