共用方式為

設定 Azure NetApp Files 的 NFSv 4.1 Kerberos 加密

  • 發行項

Azure NetApp Files 支援 Kerberos 模式 (krb5、krb5i 和 krb5p) 下的 NFS 用戶端加密與 AES-256 加密。 本文描述搭配 Kerberos 加密使用 NFSv4.1 磁碟區的必要設定。

需求

下列需求適用於 NFSv4.1 用戶端加密:

  • 協助 Kerberos 票證的 Active Directory Domain Services (AD DS) 或 Microsoft Entra Domain Services 連線
  • 同時針對用戶端和 Azure NetApp Files NFS 伺服器 IP 位址建立 DNS A/PTR 記錄
  • Linux 用戶端:本文提供 RHEL 和 Ubuntu 用戶端的指引。 其他用戶端將會使用類似的設定步驟。
  • NTP 伺服器存取:您可以使用其中一個常用的 Active Directory 網域控制站 (AD DC)。
  • 若要利用網域或 LDAP 使用者驗證,請確定已針對 LDAP 啟用 NFSv4.1 磁碟區。 請參閱具有擴充群組設定 ADDS LDAP
  • 確定使用者帳戶的使用者主體名稱不會以 $ 符號結尾 (例如,user$@REALM.COM)。
    針對群組受管理的服務帳戶 (gMSA),您必須先從使用者主體名稱中移除尾端 $,然後才能將帳戶與 Azure NetApp Files Kerberos 功能搭配使用。

建立 NFS Kerberos 磁碟區

  1. 遵循建立適用於 Azure NetApp Files 的 NFS 磁碟區中的步驟來建立 NFS4.1 磁碟區。

    在 [建立磁碟區] 頁面上,將 NFS 版本設定為 [NFSv4.1],並將 Kerberos 設定為 [已啟用]

    重要

    建立磁碟區之後,您無法修改 Kerberos 啟用選項。

    Create NFSv4.1 Kerberos volume

  2. 選取 [匯出原則] 以符合磁碟區所需的存取層級和安全性選項 (Kerberos 5、Kerberos 5i 或 Kerberos 5p)。

    如需 Kerberos 的效能影響,請參閱 Kerberos 對 NFSv4.1 的效能影響

    您也可以按一下 Azure NetApp Files 瀏覽窗格中的 [匯出原則],修改磁碟區的 Kerberos 安全性方法。

  3. 按一下 [檢閱 + 建立] 以建立 NFSv4.1 磁碟區。

設定 Azure 入口網站

  1. 遵循建立 Active Directory 連線中的指示。

    Kerberos 需要您在 Active Directory 中建立至少一個電腦帳戶。 您提供的帳戶資訊用於建立 SMB 和 NFSv4.1 Kerberos 磁碟區的帳戶。 此電腦帳戶是在磁碟區建立期間自動建立的。

  2. 在 [Kerberos 領域] 下,輸入 [AD 伺服器名稱] 和 [KDC IP] 位址。

    AD 伺服器和 KDC IP 可以是相同的伺服器。 此資訊用來建立 Azure NetApp Files 所使用的 SPN 電腦帳戶。 在建立電腦帳戶之後,Azure NetApp Files 會視需要使用 DNS 伺服器記錄來尋找其他 KDC 伺服器。

    Kerberos Realm

  3. 按一下 [加入] 以儲存設定。

設定 Active Directory 連線

NFSv4.1 Kerberos 的設定會在 Active Directory 中建立兩個電腦帳戶:

  • SMB 共用的電腦帳戶
  • NFSv4.1 的電腦帳戶--您可以透過前置詞 NFS- 的方式來識別此帳戶。

在建立第一個 NFSv4.1 Kerberos 磁碟區之後,請使用下列 PowerShell 命令,設定電腦帳戶的加密類型:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

設定 NFS 用戶端

請遵循設定 Azure NetApp Files 的 NFS 用戶端中的指示來設定 NFS 用戶端。

掛接 NFS Kerberos 磁碟區

  1. 從 [磁碟區] 頁面中,選取您要掛接的 NFS 磁碟區。

  2. 從磁碟區中選取 [掛接指示] 以顯示指示。

    例如:

    Mount instructions for Kerberos volumes

  3. 建立新磁碟區的目錄 (掛接點)。

  4. 將電腦帳戶的預設加密類型設定為 AES 256:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • 您只需針對每個電腦帳戶執行一次此命令。
    • 您可以從網域控制站或從已安裝 RSAT 的電腦執行此命令。
    • $NFSCOMPUTERACCOUNT 變數是您部署 Kerberos 磁碟區時,在 Active Directory 中建立的電腦帳戶。 這是前面加上 NFS- 的帳戶。
    • $ANFSERVICEACCOUNT 變數是非特殊權限的 Active Directory 使用者帳戶,對電腦帳戶建立所在的組織單位具有委派控制權。

  5. 在主機上掛接磁碟區:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • $ANFEXPORT 變數是掛接指示中找到的 host:/export 路徑。
    • $ANFMOUNTPOINT 變數是 Linux 主機上使用者建立的資料夾。

Kerberos 在NFS 4.1 版的效能影響

您應該了解 NFSv4.1 磁碟區可用的安全性選項、測試的效能向量,以及預期的 Kerberos 效能影響。 如需詳細資料,請參閱 Kerberos 在 NFSv4.1 磁碟區上的效能影響

下一步