通过

为 Azure NetApp 文件配置 NFSv4.1 Kerberos 加密

Azure NetApp 文件支持 NFS 客户端加密,在 Kerberos 模式(krb5、krb5i 和 krb5p)下采用 AES-256 加密。 本文介绍将 NFSv4.1 卷与 Kerberos 加密配合使用所需的配置。

要求

以下要求适用于 NFSv4.1 客户端加密:

  • 连接 Active Directory 域服务 (AD DS) 或 Microsoft Entra 域服务,以便使用 Kerberos 票证
  • 同时为客户端和 Azure NetApp 文件 NFS 服务器 IP 地址创建 DNS A/PTR 记录
  • Linux 客户端: 本文提供有关 RHEL 和 Ubuntu 客户端的指导。 其他客户端也通过类似的配置步骤工作。
  • NTP 服务器访问: 可以使用其中一个常用的 Active Directory 域控制器(AD DC)域控制器。
  • 要利用域或 LDAP 用户身份验证,请确保为 LDAP 启用了 NFSv4.1 卷。 请参阅 配置包含扩展组的 ADDS LDAP
  • 确保用户帐户的用户主体名称不以 $ 符号结尾(例如,user$@REALM.COM)
    对于 组托管服务帐户 (gMSA),您需要先从用户主体名中删除尾随 $ ,然后才能将该帐户与 Azure NetApp Files 的 Kerberos 功能一起使用。

创建 NFS Kerberos 卷

  1. 按照为 Azure NetApp 文件创建 NFS 卷中的步骤创建 NFSv4.1 卷。

    在“创建卷”页上,将 NFS 版本设置为 NFSv4.1 ,并将 Kerberos 设置为 “已启用”。

    重要

    创建卷后无法修改 Kerberos 启用选择。

    创建 NFSv4.1 Kerberos 卷

  2. 选择“导出策略”,以匹配所选的访问级别与卷的安全选项(Kerberos 5、Kerberos 5i 或 Kerberos 5p)。

    有关 Kerberos 的性能影响,请参阅 Kerberos 对 NFSv4.1 的性能影响

    还可以单击 Azure NetApp 文件导航窗格中的“导出策略”,修改卷的 Kerberos 安全性方法。

  3. 选择“查看 + 创建”以创建 NFSv4.1 卷。

配置 Azure 门户

  1. 按照 “创建 Active Directory 连接”中的说明作。

    Kerberos 要求在 Active Directory 中创建至少一个计算机帐户。 提供的帐户信息同时用于创建 SMB 和 NFSv4.1 Kerberos 卷的帐户。 创建卷时会自动创建此计算机帐户。

  2. Kerberos 领域下,输入 AD 服务器名称和KDC IP 地址。

    AD 服务器和 KDC IP 可以是同一服务器。 此信息用于创建 Azure NetApp 文件使用的 SPN 计算机帐户。 创建计算机帐户后,Azure NetApp Files 会根据需要使用 DNS 服务器记录查找其他 KDC 服务器。

    Kerberos 领域

  3. 选择 “加入 ”以保存配置。

配置 Active Directory 连接

配置 NFSv4.1 Kerberos 会在 Active Directory 中创建两个计算机帐户:

  • 用于 SMB 共享的计算机帐户
  • NFSv4.1 的计算机帐户-可以使用前缀 NFS-标识此帐户。

创建第一个 NFSv4.1 Kerberos 卷后,使用 PowerShell 命令 Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256设置计算机帐户的加密类型。

配置 NFS 客户端

按照为 Azure NetApp 文件配置 NFS 客户端中的说明配置 NFS 客户端。

装载 NFS Kerberos 卷

  1. 从“卷”页中选择要装载的 NFS 卷。

  2. 从卷中选择“装载说明”以显示说明。

    例如:

    Kerberos 卷的装载说明

  3. 为新卷创建目录(装入点)。

  4. 将计算机帐户的默认加密类型设置为 AES 256:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • 对于每台计算机帐户,只需运行此命令一次。
    • 可以从域控制器或安装了 RSAT 的电脑运行此命令。
    • 变量 $NFSCOMPUTERACCOUNT 是在部署 Kerberos 卷时在 Active Directory 中创建的计算机帐户。 这是以NFS-为前缀的账户。
    • $ANFSERVICEACCOUNT 变量是一个非特权 Active Directory 用户帐户,其中包含对创建计算机帐户的组织单位的委派控制。

  5. 在主机上装载卷:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • 变量 $ANFEXPORT 是在 host:/export 装载指令中找到的路径。
    • 变量 $ANFMOUNTPOINT 是 Linux 主机上的用户创建文件夹。

NFSv4.1 上的 Kerberos 对性能的影响

应了解适用于 NFSv4.1 卷的安全选项、经过测试的性能向量以及 kerberos 的预期性能影响。 有关详细信息,请参阅 Kerberos 对 NFSv4.1 卷的性能影响

后续步骤