我在托管机架中建立了一个 NFS 服务器(实际上是一个 ZFS 池,其中包含通过 NFS 导出的任意数量的数据集)。我不需要或不希望任何外部系统具有 NFS 访问权限。
是否有任何理由不简单地使用服务器的 IPv6 链接本地地址并将 NFS 服务器限制为仅使用该地址?这似乎有助于保护 SAN。
AskOverflow.Dev
我在托管机架中建立了一个 NFS 服务器(实际上是一个 ZFS 池,其中包含通过 NFS 导出的任意数量的数据集)。我不需要或不希望任何外部系统具有 NFS 访问权限。
是否有任何理由不简单地使用服务器的 IPv6 链接本地地址并将 NFS 服务器限制为仅使用该地址?这似乎有助于保护 SAN。
技术上应该是可以的。配置可能有点困难,因为在每台设备上,您不仅需要配置服务器的 IPv6 地址,还需要配置用于访问它的网络接口。某些客户端软件可能不为此提供选项。当您希望多个网络访问您的存储时,它也可能会在以后产生问题,因为链路本地地址不可路由。
我个人只会使用全局地址来简化操作,并使用简单的防火墙规则来阻止对存储网络的访问。如果你真的想要私人地址,我建议为此目的使用 ULA 地址而不是本地链接。使用其中一个在线 ULA 生成器来获得几乎可以肯定是唯一的块,然后使用它。这样,您可以在需要时扩展网络数量、构建用于管理的 VPN 等。