Šifrování SOUBORŮ NFS služby Azure Files při přenosu pro SAP v systémech Azure

Svazky NFS služby Azure Files verze 4.1 podporují šifrování během přenosu přes protokol TLS, který zajišťuje zabezpečení na podnikové úrovni šifrováním veškerého provozu mezi klienty a servery, aniž by došlo k narušení výkonu. Pomocí systému souborů NFS služby Azure Files můžete šifrovat kompletní data: neaktivní uložená, přenášená a přes síť.

Další informace najdete v následujícím dokumentu: Šifrování přenášených sdílených složek Azure NFS.

Nasazení šifrování během přenosu (EiT) pro sdílené složky NFS služby Azure Files

Pro SAP v prostředí Azure připojte sdílené složky NFS služby Azure Files z virtuálního počítače pomocí dvou metod.

• Systémy souborů nakonfigurované v /etc/fstab
• Systémy souborů nakonfigurované jako agent prostředků pacemaker

Postup nastavení služby Azure Files NFS Encryption při přenosu pro tyto dva scénáře jsou popsány v tomto dokumentu.

Důležité

Pro prostředí SAP v prostředích Azure v konfiguraci vysoké dostupnosti (HA) a systému souborů spravovaném nástrojem Pacemaker je podpora šifrování souborů NFS služby Azure Files při přenosu (EiT) omezená na:

• SLES pro SAP 15 SP 4 a vyšší
• RHEL pro SAP 8.8, 8.10, 9.x a vyšší

Informace o podpoře operačního systému pro systémy SAP v systémech Azure najdete v 1928533 SAP Note .

Příprava pro šifrování SOUBORŮ NFS služby Azure Files při nasazení přenosu

• Konfigurace účtu úložiště Azure Files, sdílené složky NFS a privátního koncového bodu, jak je popsáno v tématu Vytvoření sdílené složky Azure NFS

  Poznámka:

  Pokud chcete vynutit šifrování během přenosu u všech sdílených složek v účtu Azure Storage, povolte na kartě konfigurace účtu úložiště požadovanou možnost zabezpečeného přenosu .

• Nasaďte balíček pomocné rutiny pro připojení (AZNFS) na virtuálním počítači s Linuxem.

  Postupujte podle pokynů k instalaci pomocného balíčku pro připojení AZNFS na základě operačního systému.

  SLES

  curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/${VERSION_ID%%.*}")/packages-microsoft-prod.rpm
  sudo rpm -i packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm
  sudo zypper refresh
  sudo zypper install aznfs
  

  Zvolte No , jestli chcete balíček během instalace automaticky aktualizovat. Automatické aktualizace můžete kdykoli vypnout nebo zapnout tak, že v souboru AUTO_UPDATE_AZNFSzměníte hodnotu /opt/microsoft/aznfs/data/config na false/true .

  Další informace najdete v části instalace balíčku .

  RHEL

  curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/${VERSION_ID%%.*}")/packages-microsoft-prod.rpm
  sudo rpm -i packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm
  sudo yum update
  sudo yum install aznfs
  

  Zvolte No , jestli chcete balíček během instalace automaticky aktualizovat. Automatické aktualizace můžete kdykoli vypnout nebo zapnout tak, že v souboru AUTO_UPDATE_AZNFSzměníte hodnotu /opt/microsoft/aznfs/data/config na false/true .

  Další informace najdete v části instalace balíčku .

---

• Vytvořte adresáře pro připojení sdílených složek.

  mkdir -p <full path of the directory>
  

Připojení sdílené složky NFS z /etc/fstab

Pokud chcete sdílenou složku trvale připojit přidáním příkazů pro připojení v /etc/fstab.

vi /etc/fstab
sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/sapmntNW1 /sapmnt/NW1  aznfs noresvport,vers=4,minorversion=1,sec=sys,_netdev  0  0

# Mount the file systems
mount -a

Další informace najdete v části Připojení sdílených složek NFS pro připojení služby Azure Files NFS Encryption ve sdílené složce přenosu na virtuálních počítačích s Linuxem.

• Uvedený systém souborů je příkladem vysvětlení syntaxe příkazu mount.
• Chcete-li použít pomocné rutiny a šifrování AZNFS při přenosu, použijte fstype jako aznfs. Ke svým položkám /etc/fstab byste měli vždy přidat _netdev možnost, abyste měli jistotu, že jsou sdílené složky připojené při restartování až po aktivních požadovaných službách.
• Pro připojení různých systémů souborů pomocí systému souborů NFS služby Azure Na stejném virtuálním počítači Azure se nedoporučuje používat šifrování při přenosu a nešifrování. Příkazy pro připojení se nemusí podařit připojit systémy souborů, pokud se ve stejném virtuálním počítači používají metody Šifrování při přenosu a nešifrované metody přenosu.
• Pomocná rutina připojení podporuje připojení založená na privátních koncových bodech pro službu Azure Files NFS Encryption při přenosu.
• Pokud je virtuální počítač SAP připojený k vlastní doméně, použijte vlastní plně kvalifikovaný název domény DNS NEBO krátké názvy pro sdílenou složku v souboru /etc/fstab, jak je definováno v DNS. Pokud chcete ověřit překlad názvu hostitele, zkontrolujte použití nslookup <hostname> a getent host <hostname> příkazy.

Připojení sdílené složky NFS jako prostředku clusteru pacemaker

Pokud pro nastavení systému SAP v Azure v Azure zvolíte možnost použít systém souborů NFS služby Soubory Azure jako prostředek v clusteru pacemaker, je potřeba ho připojit pomocí příkazu clusteru pacemaker. V příkazech pacemaker pro nastavení systému souborů jako prostředku clusteru změňte typ připojení z aznfsnfs. _netdev Přidejte také část možností.

Příklad příkazu pro SLES a RHEL

SLES

sudo crm configure primitive fs_NW1_ASCS Filesystem device='sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/usrsapNW1ascs' directory='/usr/sap/NW1/ASCS00' fstype='aznfs' options='noresvport,vers=4,minorversion=1,sec=sys,_netdev' \
op start timeout=60s interval=0 \
op stop timeout=60s interval=0 \
op monitor interval=20s timeout=40s

Důležité

Pokud chcete použít aznfs jako typ systému souborů v agentovi prostředků klastru Pacemaker, udržujte požadovanou verzi balíčku resource-agents na základě verze operačního systému.

• SLES 15 SP4: resource-agents-4.10.0+git40.0f4de473-150400.3.34.2 nebo novější
• SLES 15 SP5: resource-agents-4.12.0+git30.7fd7c8fa-150500.3.15.3 nebo novější
• SLES 15 SP6 nebo novější: resource-agents-4.13.0+git6.ae50f94f-150600.4.9.2 nebo novější

RHEL

sudo pcs resource create fs_NW1_ASCS Filesystem device='sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/usrsapNW1ascs' \
directory='/usr/sap/NW1/ASCS00' fstype='aznfs' force_unmount=safe options='noresvport,vers=4,minorversion=1,sec=sys,_netdev' \
fast_stop=no op start interval=0 timeout=60 op stop interval=0 timeout=120 op monitor interval=200 timeout=40 \
--group g-NW1_ASCS

Důležité

Pokud chcete použít aznfs jako typ systému souborů v agentovi prostředků klastru Pacemaker, udržujte požadovanou verzi balíčku resource-agents na základě verze operačního systému.

Pro RHEL 8

• RHEL 8.8 : resource-agents-4.9.0-40.el8_8.10 nebo novější
• RHEL 8.10: resource-agents-4.9.0-54.el8_10.13 nebo novější

Pro RHEL 9

• RHEL 9.0: resource-agents-4.10.0-9.el9_0.13 nebo novější
• RHEL 9.2: resource-agents-4.10.0-34.el9_2.10 nebo novější
• RHEL 9.4: resource-agents-4.10.0-52.el9_4.8 nebo novější
• RHEL 9.6: resource-agents-4.10.0-71.el9_6.5 nebo novější

Ověření šifrování přenášených dat pro soubory Azure NFS

Zkontrolujte připojené systémy souborů na virtuálním počítači.

eite10app1:~ # df -Th --type nfs4
Filesystem                                  Type  Size  Used Avail Use% Mounted on
127.0.0.1:/eite10sapinst00/sapinst          nfs4  512G  224G  289G  44% /sapinstall
127.0.0.1:/eite10sapapps00/e10-usrsap-d01   nfs4  256G  7.1G  249G   3% /usr/sap
127.0.0.1:/eite10sapapps00/e10-sapmnt-app   nfs4  1.0T  439G  586G  43% /sapmnt/E10
127.0.0.1:/eite10sapapps00/e10-usrsap-temp  nfs4  2.0T  640G  1.4T  32% /usr/sap/temp
127.0.0.1:/eite10sapapps00/e10-usrsap-trans nfs4  256G  3.0G  254G   2% /usr/sap/trans
eite10app1:~ #

Tyto podrobnosti o připojení označují, že klient (virtuální počítač) je připojený přes místní port 127.0.0.1, nikoli externí síť. Proces stunnel naslouchá příchozímu provozu NFS z klienta NFS (virtuální počítač) na 127.0.0.1 (localhost). Stunnel pak tento provoz zachytí a bezpečně ho předá přes protokol TLS na server NFS služby Azure Files v Azure.

Další informace najdete v části Ověření úspěšného šifrování přenášených dat , kde najdete další kontroly.

Další kroky

• Plánování a implementace nasazení SAP v Azure
• Nasazení virtuálních počítačů Azure pro SAP NetWeaver
• Použití souborů NFS a SMB služby Azure Premium Files pro úlohy SAP
• Architektura a scénáře s vysokou dostupností pro SAP NetWeaver
• Sap NetWeaver s vysokou dostupností s jednoduchým připojením a systémem souborů NFS na SLES pro virtuální počítače SAP Applications
• Vysoká dostupnost pro SAP NetWeaver na virtuálních počítačích v RHEL s NFS ve službě Azure Files