我正在主机托管机架中启动 NFS 服务器(实际上是一个 ZFS 池,其中包含使用 NFS 导出的任意数量的数据集)。我不需要或不希望任何外部系统具有 NFS 访问权限。
是否有任何理由不简单地将 IPv6 链接本地地址用于服务器并将 NFS 服务器限制为仅使用该地址?这似乎有助于保护 SAN。
从技术上讲应该是可能的。配置可能有点困难,因为在每台设备上,您不仅需要配置服务器的 IPv6 地址,还需要配置用于访问它的网络接口。某些客户端软件可能不会为此提供选项。当您希望多个网络访问您的存储时,它也可能会在以后产生问题,因为本地链接地址不可路由。
我个人只会使用全局地址来让事情变得简单,并使用简单的防火墙规则来阻止对存储网络的访问。如果你真的想要私人地址,我建议为此目的使用本地链接上的 ULA 地址。使用其中一个在线 ULA 生成器来获得一个几乎可以肯定是唯一的块,然后使用它。这样,您可以在需要时扩展网络数量、构建 VPN 进行管理等。