O grupo de segurança de uma VPC afeta o SFS?
Um grupo de segurança é uma coleção de regras de controle de acesso para servidores que têm os mesmos requisitos de proteção de segurança e são mutuamente confiáveis em uma VPC. Depois da criação de um grupo de segurança, você pode criar diferentes regras de acesso para o grupo de segurança com o intuito de proteger os servidores adicionados a esse grupo de segurança. A regra de grupo de segurança padrão permite todos os pacotes de dados de saída. Servidores em um grupo de segurança podem acessar uns aos outros sem a necessidade de adicionar regras. O sistema cria um grupo de segurança para cada conta de nuvem por padrão. Os usuários também podem criar grupos de segurança personalizados sozinhos.
Depois que um sistema de arquivos do SFS Turbo é criado, o sistema ativa automaticamente a porta do grupo de segurança exigida pelo protocolo NFS. Isso garante que o sistema de arquivos do SFS Turbo possa ser acessado por seus servidores e evita falhas de montagem do sistema de arquivos. As portas de entrada exigidas pelo protocolo NFS são as portas 111, 2049, 2051, 2052 e 20048. Se você precisar alterar as portas habilitadas, escolha Access Control > Security Groups do console da VPC e localize o grupo de segurança de destino.
É aconselhável usar um grupo de segurança independente para um sistema de arquivos do SFS Turbo para isolá-lo dos nós de serviço.
Você precisa adicionar regras de entrada e saída para o grupo de segurança de um sistema de arquivos do SFS Capacity-Oriented. Para obter detalhes, consulte Adição de uma regra de grupo de segurança. Em um sistema de arquivos do SFS SFS Capacity-Oriented, as portas de entrada exigidas pelo protocolo NFS são as portas 111, 2049, 2051 e 2052. A porta de entrada exigida pelo servidor DNS é a porta 53 e a exigida pelo protocolo CIFS é a porta 445.
Exemplo de valor
- Regra de entrada
Direção
Protocolo
Intervalo da porta
Endereço IP de origem
Descrição
Entrada
TCP e UDP
111
Endereço IP
0.0.0.0/0 (configurável)
Uma porta corresponde a uma regra de acesso. Você precisa adicionar informações às portas uma por uma.
- Regra de saída
Direção
Protocolo
Intervalo da porta
Endereço IP de origem
Descrição
Saída
TCP e UDP
111
Endereço IP
0.0.0.0/0 (configurável)
Uma porta corresponde a uma regra de acesso. Você precisa adicionar informações às portas uma por uma.
A regra de acesso bidirecional deve ser configurada para a porta 111. A regra de entrada pode ser definida para o intervalo de IP de serviço front-end do SFS. Você pode obtê-lo executando o seguinte comando: ping Nome de domínio ou endereço IP do sistema de arquivos ou dig nome de domínio ou endereço IP do sistema de arquivos.
Para as portas 2049, 2050, 2051 e 2052, apenas a regra de saída precisa ser adicionada, que é a mesma que a regra de saída da porta 111.
Para o protocolo NFS, adicione uma regra de entrada para abrir a porta TCP&UDP 111, as portas TCP 2049, 2051 e 2052 e a porta UDP&TCP 20048. Para o protocolo SMB, adicione uma regra de entrada para abrir a porta TCP 445.
Para o protocolo NFS com porta UDP 20048 não aberta, o tempo necessário para a montagem pode tornar-se mais longo. Nesse caso, você pode usar a opção -o tcp em mount para evitar esse problema.
