我正在一个共置机架中启动一个 NFS 服务器(实际上是一个 ZFS 池,其中包含使用 NFS 导出的任意数量的数据集)。我不需要也不希望任何外部系统具有 NFS 访问权限。
有什么理由不简单地使用服务器的 IPv6 链路本地地址并限制 NFS 服务器仅使用该地址?这似乎有助于保护 SAN。
答案1
从技术上来说,这应该是可行的。配置可能会稍微困难一些,因为在每个设备上,您不仅需要配置服务器的 IPv6 地址,还需要配置用于访问服务器的网络接口。某些客户端软件可能不提供此选项。当您希望多个网络访问您的存储时,这也可能会造成问题,因为链路本地地址不可路由。
我个人会使用全局地址来简化操作,并使用简单的防火墙规则来阻止对存储网络的访问。如果您真的想要私有地址,我建议为此使用 ULA 地址而不是本地链接地址。使用其中一个在线 ULA 生成器来获取几乎肯定唯一的块,然后使用它。这样,您就可以扩展网络数量,在需要时构建用于管理的 VPN 等。