기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
네트워크 액세스에 대한 보안 고려 사항
NFS 버전 4.1(NFSv4.1) 클라이언트는 파일 시스템의 탑재 대상 중 하나의 NFS 포트(TCP 포트 2049)에 네트워크 연결을 구성할 수 있는 경우에만 파일 시스템을 탑재할 수 있습니다. 유사하게 NFSv4.1 클라이언트는 이러한 네트워크 연결을 구성할 수 있는 경우에만 파일 시스템에 액세스할 때 사용자 및 그룹 ID를 확인할 수 있습니다.
이러한 네트워크 연결을 수행할 수 있는지 여부는 다음 조합에 따라 관리됩니다.
-
탑재 대상의 VPC에서 제공하는 네트워크 격리 – 파일 시스템 탑재 대상에는 해당 탑재 대상과 연결된 퍼블릭 IP 주소가 있을 수 없습니다. 파일 시스템을 탑재할 수 있는 유일한 대상은 다음과 같습니다.
-
로컬 Amazon VPC 및 Amazon EC2 인스턴스
-
연결된 VPC의 EC2 인스턴스
-
및 AWS Virtual Private Network (VPN) 을 AWS Direct Connect 사용하여 Amazon VPC에 연결된 온프레미스 서버
-
-
클라이언트 및 탑재 대상의 VPC 서브넷에 대한 네트워크 액세스 제어 목록(ACL) (탑재 대상 서브넷 외부에서의 액세스용) – 파일 시스템을 탑재하려면 클라이언트가 탑재 대상의 NFS 포트에 TCP 연결을 수행하고 반송 트래픽을 수신할 수 있어야 합니다.
-
클라이언트 및 탑재 대상의 VPC 보안 그룹 규칙(모든 액세스에 해당) – 파일 시스템을 탑재하기 위한 EC2 인스턴스는 다음 보안 그룹 규칙이 유효해야 합니다.
-
파일 시스템에는 인스턴스의 NFS 포트에 대한 인바운드 연결을 활성화하는 규칙과 함께 네트워크 인터페이스에 보안 그룹이 있는 탑재 대상이 있어야 합니다. IP 주소(CIDR 범위)나 보안 그룹을 사용해 인바운드 연결을 활성화할 수 있습니다. 탑재 대상 네트워크 인터페이스에 대한 인바운드 NFS 포트 보안 그룹의 소스는 파일 시스템 액세스 제어의 핵심 요소입니다. NFS 포트 이외의 인바운드 규칙과 모든 아웃바운드 규칙은 파일 시스템 탑재 대상 네트워크 인터페이스에 사용할 수 없습니다.
-
탑재 인스턴스에는 파일 시스템의 탑재 대상 중 하나의 NFS 포트에 대해 아웃바운드 연결을 활성화시키는 보안 그룹 규칙이 있는 네트워크 인터페이스가 있어야 합니다. IP 주소(CIDR 범위)나 보안 그룹을 사용해 아웃바운드 연결을 활성화할 수 있습니다.
-
자세한 설명은 탑재 대상 및 보안 그룹 생성 및 관리 섹션을 참조하세요.
