設定 Azure NetApp Files 的 NFSv 4.1 Kerberos 加密

  • 發行項

Azure NetApp Files 支援使用 AES-256 加密的 Kerberos 模式 NFS 用戶端加密(krb5、krb5i 和 krb5p)。 本文說明搭配 Kerberos 加密使用 NFSv4.1 磁碟區的必要設定。

需求

下列需求適用於 NFSv4.1 用戶端加密:

  • Active Directory 網域服務 (AD DS) 或 Microsoft Entra Domain Services 連線,以協助 Kerberos 票證
  • 用戶端和 Azure NetApp Files NFS 伺服器 IP 位址的 DNS A/PTR 記錄建立
  • Linux 用戶端:本文提供 RHEL 和 Ubuntu 用戶端的指引。 其他用戶端會使用類似的設定步驟。
  • NTP 伺服器存取:您可以使用其中一個常用的 Active Directory 網域 控制器 (AD DC) 域控制器。
  • 若要利用網域或LDAP使用者驗證,請確定已針對LDAP啟用NFSv4.1磁碟區。 請參閱 使用擴充群組設定ADDS LDAP。
  • 確定使用者帳戶的用戶主體名稱不會$符號結尾(例如,user$@REALM.COM)。
    針對 群組受控服務帳戶 (gMSA),您必須先從用戶主體名稱中移除尾端 $ ,才能將帳戶與 Azure NetApp Files Kerberos 功能搭配使用。

建立 NFS Kerberos 磁碟區

  1. 請遵循建立 Azure NetApp Files 的 NFS 磁碟區中的步驟來建立 NFSv4.1 磁碟區。

    在 [建立磁碟區] 頁面上,將 NFS 版本設定為 NFSv4.1,並將 Kerberos 設定為 [已啟用]。

    重要

    建立磁碟區之後,您無法修改 Kerberos 啟用選取專案。

    Create NFSv4.1 Kerberos volume

  2. 選取 [導出原則 ] 以符合磁碟區所需的存取和安全性層級選項 (Kerberos 5、Kerberos 5i 或 Kerberos 5p)。

    如需 Kerberos 的效能影響,請參閱 Kerberos 對 NFSv4.1 的效能影響。

    您也可以按兩下 [Azure NetApp Files] 瀏覽窗格中的 [匯出原則],修改磁碟區的 Kerberos 安全性方法。

  3. 按兩下 [ 檢閱 + 建立 ] 以建立 NFSv4.1 磁碟區。

設定 Azure 入口網站

  1. 遵循建立Active Directory 線上中的指示。

    Kerberos 要求您在 Active Directory 中建立至少一個電腦帳戶。 您提供的帳戶資訊用於建立SMB NFSv4.1 Kerberos磁碟區的帳戶。 此電腦是帳戶會在磁碟區建立期間自動建立。

  2. 在 [Kerberos 領域] 下,輸入 AD 伺服器名稱和 KDC IP 位址。

    AD 伺服器和 KDC IP 可以是相同的伺服器。 此資訊可用來建立 Azure NetApp Files 所使用的 SPN 計算機帳戶。 建立電腦帳戶之後,Azure NetApp Files 會視需要使用 DNS 伺服器記錄來尋找其他 KDC 伺服器。

    Kerberos Realm

  3. 按兩下 [ 聯結 ] 以儲存組態。

設定 Active Directory 連線

設定 NFSv4.1 Kerberos 會在 Active Directory 中建立兩個電腦帳戶:

  • SMB 共用的電腦帳戶
  • NFSv4.1 的電腦帳戶--您可以透過前置詞 NFS-來識別此帳戶。

建立第一個 NFSv4.1 Kerberos 磁碟區之後,請使用下列 PowerShell 命令設定電腦帳戶的加密類型:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

設定 NFS 用戶端

請依照設定 Azure NetApp Files 的 NFS 用戶端中的指示來設定 NFS 用戶端。

掛接 NFS Kerberos 磁碟區

  1. 從 [ 磁碟區 ] 頁面中,選取您要掛接的 NFS 磁碟區。

  2. 從磁碟區選取 [掛接指示 ] 以顯示指示。

    例如:

    Mount instructions for Kerberos volumes

  3. 建立新磁碟區的目錄(裝入點)。

  4. 將電腦帳戶的預設加密類型設定為 AES 256:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • 您只需要針對每部電腦帳戶執行此命令一次。
    • 您可以從網域控制器或已安裝 RSAT 的電腦執行此命令。
    • $NFSCOMPUTERACCOUNT變數是當您部署 Kerberos 磁碟區時,在 Active Directory 中建立的電腦帳戶。 這是前面加上 NFS-的帳戶。
    • 變數 $ANFSERVICEACCOUNT 是非特殊許可權的 Active Directory 用戶帳戶,具有已建立電腦帳戶之組織單位的委派控制。

  5. 在主機上掛接磁碟區:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=1048576,wsize=1048576,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • 變數 $ANFEXPORThost:/export 掛接指示中找到的路徑。
    • 變數 $ANFMOUNTPOINT 是Linux主機上使用者建立的資料夾。

Kerberos 對 NFSv4.1 的效能影響

您應該瞭解 NFSv4.1 磁碟區可用的安全性選項、經過測試的效能向量,以及 Kerberos 的預期效能影響。 如需詳細資訊,請參閱 Kerberos 對 NFSv4.1 磁碟區的 效能影響。

下一步