Azure NetApp Files에 대한 NFSv4.1 Kerberos 암호화 구성

Azure NetApp Files는 AES-256 암호화를 사용하여 Kerberos 모드(krb5, krb5i 및 krb5p)에서 NFS 클라이언트 암호화를 지원합니다. 이 문서에서는 Kerberos 암호화와 함께 NFSv4.1 볼륨을 사용하는 데 필요한 구성에 대해 설명합니다.

요구 사항

다음 요구 사항은 NFSv4.1 클라이언트 암호화에 적용됩니다.

• Kerberos 티켓팅을 용이하게 하기 위해 Active Directory Domain Services(AD DS) 또는 Microsoft Entra Domain Services와 연결
• 클라이언트 및 Azure NetApp Files NFS 서버 IP 주소 모두에 대한 DNS A/PTR 레코드 만들기
• Linux 클라이언트: 이 문서에서는 RHEL 및 Ubuntu 클라이언트에 대한 지침을 제공합니다. 다른 클라이언트도 비슷한 구성 단계를 사용합니다.
• NTP 서버 액세스: 일반적으로 사용되는 AD DC(Active Directory 도메인 컨트롤러) 도메인 컨트롤러 중 하나를 사용할 수 있습니다.
• 도메인 또는 LDAP 사용자 인증을 활용하려면 NFSv4.1 볼륨이 LDAP에 대해 사용하도록 설정되어 있는지 확인합니다. 확장 그룹을 사용하여 ADDS LDAP 구성을 참조하세요.
• 사용자 계정의 사용자 계정 이름이 기호(예: )로 끝나지 $ 합니다.
  gMSA( 그룹 관리 서비스 계정 )의 경우 Azure NetApp Files Kerberos 기능과 함께 계정을 사용하려면 사용자 계정 이름에서 후행 $ 을 제거해야 합니다.

NFS Kerberos 볼륨 만들기

1. Azure NetApp Files에 대한 NFS 볼륨 만들기의 단계에 따라 NFSv4.1 볼륨을 만듭니다.

   볼륨 만들기 페이지에서 NFS 버전을 NFSv4.1 로 설정하고 Kerberos를 사용으로 설정합니다.

   중요합니다

   볼륨을 만든 후에는 Kerberos 사용 설정 선택을 수정할 수 없습니다.

   

2. 내보내기 정책을 선택하여 볼륨에 대한 액세스 및 보안 옵션(Kerberos 5, Kerberos 5i, 또는 Kerberos 5p)이 원하는 수준에 맞도록 합니다.

   Kerberos의 성능 영향은 NFSv4.1에 대한 Kerberos의 성능 영향을 참조하세요.

   Azure NetApp Files 탐색 창에서 정책 내보내기를 클릭하여 볼륨에 대한 Kerberos 보안 방법을 수정할 수도 있습니다.

3. 검토 + 만들기를 선택하여 NFSv4.1 볼륨을 만듭니다.

Azure Portal 구성

1. Active Directory 연결 만들기의 지침을 따릅니다.

   Kerberos를 사용하려면 Active Directory에서 하나 이상의 컴퓨터 계정을 만들어야 합니다. 제공하는 계정 정보는 SMB 및 NFSv4.1 Kerberos 볼륨 모두에 대한 계정을 만드는 데 사용됩니다. 이 컴퓨터 계정은 볼륨을 만드는 동안 자동으로 만들어집니다.

2. Kerberos 영역 아래에 AD 서버 이름 및 KDC IP 주소를 입력합니다.

   AD 서버와 KDC IP는 동일한 서버일 수 있습니다. 이 정보는 Azure NetApp Files에서 사용하는 SPN 컴퓨터 계정을 만드는 데 사용됩니다. 컴퓨터 계정을 만든 후 Azure NetApp Files는 DNS 서버 레코드를 사용하여 필요에 따라 추가 KDC 서버를 찾습니다.

   

3. Join을 선택하여 구성을 저장하세요.

Active Directory 연결 구성

NFSv4.1 Kerberos 구성은 Active Directory에 두 개의 컴퓨터 계정을 만듭니다.

• SMB 공유용 컴퓨터 계정
• NFSv4.1의 컴퓨터 계정 - 접두사를 NFS-사용하여 이 계정을 식별할 수 있습니다.

첫 번째 NFSv4.1 Kerberos 볼륨을 만든 후 PowerShell 명령을 Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256사용하여 컴퓨터 계정에 대한 암호화 유형을 설정합니다.

NFS 클라이언트 구성

NFS 클라이언트를 구성하려면 Azure NetApp Files에 대한 NFS 클라이언트 구성의 지침을 따르세요.

NFS Kerberos 볼륨 탑재

1. 볼륨 페이지에서 탑재할 NFS 볼륨을 선택합니다.

2. 볼륨에서 탑재 지침을 선택하여 지침을 표시합니다.

   다음은 그 예입니다.

   

3. 새 볼륨에 대한 디렉터리(탑재 지점)를 만듭니다.

4. 컴퓨터 계정에 대한 기본 암호화 유형을 AES 256으로 설정합니다.
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • 각 컴퓨터 계정에 대해 이 명령을 한 번만 실행해야 합니다.
   • 도메인 컨트롤러 또는 RSAT 가 설치된 PC에서 이 명령을 실행할 수 있습니다.
   • 변수는 $NFSCOMPUTERACCOUNT Kerberos 볼륨을 배포할 때 Active Directory에서 만든 컴퓨터 계정입니다. NFS-이 접두사로 붙어 있는 계정입니다.
   • $ANFSERVICEACCOUNT 변수는 권한이 없는 Active Directory 사용자 계정으로, 컴퓨터 계정이 만들어진 조직 구성 단위에 대한 위임된 제어 권한을 가지고 있습니다.

5. 호스트에 볼륨을 탑재합니다.

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • $ANFEXPORT 변수는 탑재 지침에 있는 host:/export 경로입니다.
   • 변수는 $ANFMOUNTPOINT Linux 호스트에서 사용자가 만든 폴더입니다.

NFSv4.1에서 Kerberos의 성능 영향

NFSv4.1 볼륨에 사용할 수 있는 보안 옵션, 테스트된 성능 벡터 및 kerberos의 예상 성능 영향을 이해해야 합니다. 자세한 내용은 NFSv4.1 볼륨에 대한 Kerberos의 성능 영향을 참조하세요.

다음 단계

• Kerberos가 NFSv4.1 볼륨에 미치는 성능 영향
• Azure NetApp Files의 볼륨 오류 문제 해결
• NFS FAQ
• 성능 FAQ
• Azure NetApp Files용 NFS 볼륨 생성
• Active Directory 연결 만들기
• Azure NetApp Files에 대한 NFS 클라이언트 구성
• NFS 볼륨 액세스에 대한 확장 그룹을 사용하여 ADDS LDAP 구성