Я поднимаю сервер NFS (фактически пул ZFS с любым количеством наборов данных, экспортированных с помощью NFS) в стойке совместного размещения. Мне не нужно и не хочу, чтобы какие-либо внешние системы имели доступ по NFS.
Есть ли причина не просто использовать локальный адрес IPv6 для сервера и ограничить сервер NFS использованием только этого? Похоже, это поможет защитить SAN.
Технически это должно быть возможно. Конфигурация может быть немного сложнее, потому что на каждом устройстве вам нужно будет настроить не только IPv6-адрес сервера, но также какой сетевой интерфейс использовать для доступа к нему. Некоторое клиентское программное обеспечение может не предоставлять такую возможность. Это также может создать проблемы позже, когда вы захотите, чтобы несколько сетей достигли вашего хранилища, потому что локальные адреса канала не маршрутизируются.
Лично я бы просто использовал глобальные адреса, чтобы упростить задачу, и простые правила брандмауэра, чтобы заблокировать доступ к сети хранения. Если вам действительно нужен частный адрес, я бы рекомендовал для этой цели использовать адреса ULA поверх локальной ссылки. Используйте один из онлайн-генераторов ULA, чтобы получить почти наверняка уникальный блок, и используйте его. Таким образом, вы можете расширить количество сетей, создать VPN для управления и т.д., если / когда они вам понадобятся.