Dela via

Kryptering under överföring för NFS Azure-filresurser (förhandsversion)

Den här artikeln beskriver hur du kan kryptera data under överföring för NFS Azure-filresurser.

Viktigt!

Azure Files NFS v4.1-volymer förbättrar nätverkssäkerheten genom att aktivera säkra TLS-anslutningar, skydda data under överföring från avlyssning, inklusive MITM-attacker.

Med Stunnel, en TLS-omslutning med öppen källkod, krypterar Azure Files TCP-strömmen mellan NFS-klienten och Azure Files med stark kryptering med hjälp av AES-GCM, utan att behöva Kerberos. Detta säkerställer datasekretess och eliminerar behovet av komplexa installationer eller externa autentiseringssystem som Active Directory.

AZNFS-verktygspaketet förenklar krypterade monteringar genom att installera och konfigurera Stunnel på klienten. AZNFS är tillgängligt på packages.microsoft.com och skapar en lokal säker slutpunkt som transparent vidarebefordrar NFS-klientbegäranden via en krypterad anslutning. De viktigaste arkitekturkomponenterna är:

  • AZNFS Mount Helper: Ett klientverktygspaket som sammanfattar komplexiteten med att upprätta säkra tunnlar för NFSv4.1-trafik.

  • Stunnelprocess: Klientprocess per lagringskonto som lyssnar efter NFS-klienttrafik på en lokal port och vidarebefordrar den säkert över TLS till Azure Files NFS-servern.

  • AZNFS-vakthund: AZNFS-paketet kör ett bakgrundsjobb som säkerställer att stunnelprocesser körs, automatiskt startar om avslutade tunnlar och rensar oanvända processer när alla associerade NFS-monteringar har demonterats.

Regioner som stöds

Alla regioner som stöder Azure Premium Files stöder nu kryptering under överföring.

Registrera dig för förhandsversionen

Om du vill aktivera kryptering under överföring för dina NFS-resurser måste du registrera dig för förhandsgranskningsfunktionen.

Registrera dig via Azure-portalen genom att söka efter "Kryptering under överföring för Azure NFS-filresurser" under Förhandsversionsfunktioner.

Diagram som visar skärmen i Azure-portalen för att testa om EiT används.

Mer information finns i Konfigurera förhandsversionsfunktioner i Azure-prenumeration.

Framtvinga kryptering under överföring

Genom att aktivera inställningen Säker överföring som krävs för lagringskontot kan du se till att alla monteringar till NFS-volymerna i lagringskontot är krypterade.

Skärmbild som visar hur du aktiverar säker överföring på ett lagringskonto.

Men för användare som föredrar att behålla flexibiliteten mellan TLS- och icke-TLS-anslutningar på samma lagringskonto måste inställningen Säker överföring förbli AV.

Så här krypterar du data under överföring för NFS-resurser (förhandsversion)

Följ dessa steg för att kryptera data under överföring:

  1. Kontrollera att det nödvändiga AZNFS-monteringshjälppaketet är installerat på klienten.
  2. Montera NFS-filresursen med TLS-kryptering.
  3. Kontrollera att krypteringen av data lyckades.

Steg 1: Kontrollera installationen av AZNFS-monteringshjälppaket

Kontrollera om AZNFS-monteringshjälppaketet är installerat på klienten genom att köra följande kommando:

systemctl is-active --quiet aznfswatchdog && echo -e "\nAZNFS mounthelper is installed! \n"

Om paketet är installerat visas meddelandet AZNFS mounthelper is installed!. Om den inte är installerad måste du använda rätt kommando för att installera AZNFS-monteringshjälppaketet på klienten.

curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/$VERSION_ID")/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb
sudo apt-get update
sudo apt-get install aznfs

Viktigt!

Linux-distributioner som stöds av AZNFS är:

  • Ubuntu (18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS)
  • Centos7, Centos8
  • RedHat7, RedHat8, RedHat9
  • Rocky8, Klippig9
  • SUSE (SLES 15)
  • Oracle Linux
  • Alma Linux

Steg 2: Montera NFS-filresursen

Montera NFS-fildelningen med TLS-kryptering:

  1. Skapa en katalog på klienten.
sudo mkdir -p /mount/<storage-account-name>/<share-name>
  1. Montera NFS-resursen med hjälp av följande cmdlet. Ersätt <storage-account-name> med namnet på ditt lagringskonto och ersätt <share-name> med namnet på filresursen.
sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4

Montera NFS-resursen utan TLS-kryptering:

sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4,notls

Om du vill att resursen ska monteras automatiskt vid omstart skapar du en post i /etc/fstab filen genom att lägga till följande rad:

<storage-account-name>.file.core.windows.net:/<storage-account-name>/<container-name> /nfsdata aznfs defaults,sec=sys,vers=4.1,nolock,proto=tcp,nofail,_netdev   0 2

Anmärkning

Kontrollera att miljövariabeln AZURE_ENDPOINT_OVERRIDE har angetts innan du kör monteringskommandot. Detta krävs när du monterar filresurser i icke-offentliga Azure-molnregioner eller när du använder anpassade DNS-konfigurationer. Till exempel för Azure China Cloud: export AZURE_ENDPOINT_OVERRIDE="chinacloudapi.cn"

Steg 3: Kontrollera att datakryptering under överföring lyckades

Kör kommandot df -Th.

Diagram som visar PowerShell-skärmen för att testa om EiT används.

Det anger att klienten är ansluten via den lokala porten 127.0.0.1, inte ett externt nätverk. Stunnelprocessen lyssnar på 127.0.0.1 (localhost) för inkommande NFS-trafik från NFS-klienten. Stunnel fångar sedan upp den här trafiken och vidarebefordrar den säkert via TLS till Azure Files NFS-servern i Azure.

Om du vill kontrollera om trafiken till NFS-servern är krypterad använder du tcpdump kommandot för att samla in paket på port 2049.

sudo tcpdump -i any port 2049 -w nfs_traffic.pcap

När du öppnar avbildningen i Wireshark visas nyttolasten som "Programdata" i stället för läsbar text.

Diagram som visar Wireshark-skärmen för att testa om EiT används.

Anmärkning

All trafik från en virtuell dator till samma serverslutpunkt använder en enda anslutning. AZNFS-monteringshjälpen ser till att du inte kan blanda TLS- och icke-TLS-konfigurationer när du monterar resurser på servern. Den här regeln gäller för resurser från samma lagringskonto och olika lagringskonton som matchar samma IP-adress.

Felsökning

En icke-TLS-monteringsåtgärd (notls) kan misslyckas om en tidigare TLS-krypterad montering till samma server avslutades innan den slutfördes. Även om aznfswatchdog-tjänsten automatiskt rensar inaktuella poster efter en timeout, kan försök med en ny icke-TLS-montering innan rensningen är klar misslyckas.

Lös problemet genom att återmontera delningen med hjälp av rensa-alternativet, vilket omedelbart rensar inaktuella poster.

sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4,notls,clean

Om monteringsproblemen fortsätter kontrollerar du loggfilerna för mer felsökningsinformation:

  • Monteringshjälp och övervakningsloggar: /opt/microsoft/aznfs/data/aznfs.log
  • Stunnelloggar: /etc/stunnel/microsoft/aznfs/nfsv4_fileShare/logs

Se även