Configurar a encriptação NFSv4.1 Kerberos para o Azure NetApp Files

Os Arquivos NetApp do Azure dão suporte à criptografia de cliente NFS nos modos Kerberos (krb5, krb5i e krb5p) com criptografia AES-256. Este artigo descreve as configurações necessárias para usar um volume NFSv4.1 com criptografia Kerberos.

Requisitos

Os seguintes requisitos se aplicam à criptografia de cliente NFSv4.1:

• Conexão dos Serviços de Domínio Ative Directory (AD DS) ou Serviços de Domínio Microsoft Entra para facilitar a emissão de tíquetes Kerberos
• Criação de registro DNS A/PTR para o cliente e os endereços IP do servidor NFS do Azure NetApp Files
• Um cliente Linux: Este artigo fornece orientação para clientes RHEL e Ubuntu. Outros clientes trabalharão com etapas de configuração semelhantes.
• Acesso ao servidor NTP: você pode usar um dos controladores de domínio do Controlador de Domínio Ative Directory (AD DC) comumente usados.
• Para aproveitar a autenticação de usuário de domínio ou LDAP, verifique se os volumes NFSv4.1 estão habilitados para LDAP. Consulte Configurar ADDS LDAP com grupos estendidos.
• Certifique-se de que os Nomes Principais de Usuário para contas de usuário não terminem com um $ símbolo (por exemplo, user$@REALM.COM).
  Para contas de serviço gerenciado de grupo (gMSA), você precisa remover o trailing $ do Nome Principal do Usuário antes que a conta possa ser usada com o recurso Kerberos de Arquivos NetApp do Azure.

Criar um volume Kerberos NFS

1. Siga as etapas em Criar um volume NFS para Arquivos NetApp do Azure para criar o volume NFSv4.1.

   Na página Criar um Volume, defina a versão NFS como NFSv4.1 e Kerberos como Habilitado.

   Importante

   Não é possível modificar a seleção de ativação Kerberos após a criação do volume.

   

2. Selecione Exportar política para corresponder ao nível desejado de opção de acesso e segurança (Kerberos 5, Kerberos 5i ou Kerberos 5p) para o volume.

   Para obter informações sobre o impacto no desempenho do Kerberos, consulte Impacto no desempenho do Kerberos no NFSv4.1.

   Você também pode modificar os métodos de segurança Kerberos para o volume clicando em Exportar Política no painel de navegação Arquivos NetApp do Azure.

3. Clique em Revisão + Criar para criar o volume NFSv4.1.

Configurar o portal do Azure

1. Siga as instruções em Criar uma conexão com o Ative Directory.

   Kerberos requer que você crie pelo menos uma conta de computador no Ative Directory. As informações de conta fornecidas são usadas para criar as contas para volumes Kerberos SMB e NFSv4.1. Esta máquina é conta é criada automaticamente durante a criação do volume.

2. Em Kerberos Realm, insira o Nome do Servidor AD e o endereço IP do KDC.

   O Servidor AD e o IP KDC podem ser o mesmo servidor. Essas informações são usadas para criar a conta de computador SPN usada pelos Arquivos NetApp do Azure. Depois que a conta de computador for criada, os Arquivos NetApp do Azure usarão registros do Servidor DNS para localizar servidores KDC adicionais, conforme necessário.

   

3. Clique em Ingressar para salvar a configuração.

Configurar conexão com o Ative Directory

Configuração do NFSv4.1 Kerberos cria duas contas de computador no Ative Directory:

• Uma conta de computador para compartilhamentos SMB
• Uma conta de computador para NFSv4.1--Você pode identificar essa conta por meio do prefixo NFS-.

Depois de criar o primeiro volume Kerberos NFSv4.1, defina o tipo de criptografia para a conta de computador usando o seguinte comando do PowerShell:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

Configurar o cliente NFS

Siga as instruções em Configurar um cliente NFS para Arquivos NetApp do Azure para configurar o cliente NFS.

Monte o volume Kerberos NFS

1. Na página Volumes, selecione o volume NFS que deseja montar.

2. Selecione Instruções de montagem no volume para exibir as instruções.

   Por exemplo:

   

3. Crie o diretório (ponto de montagem) para o novo volume.

4. Defina o tipo de criptografia padrão como AES 256 para a conta do computador:
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • Você precisa executar esse comando apenas uma vez para cada conta de computador.
   • Pode executar este comando a partir de um controlador de domínio ou de um PC com o RSAT instalado.
   • A $NFSCOMPUTERACCOUNT variável é a conta de computador criada no Ative Directory quando você implanta o volume Kerberos. Esta é a conta prefixada com NFS-.
   • A $ANFSERVICEACCOUNT variável é uma conta de usuário do Ative Directory não privilegiada com controles delegados sobre a Unidade Organizacional onde a conta de computador foi criada.

5. Monte o volume no host:

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • A $ANFEXPORT variável é o host:/export caminho encontrado nas instruções de montagem.
   • A $ANFMOUNTPOINT variável é a pasta criada pelo usuário no host Linux.

Impacto no desempenho do Kerberos no NFSv4.1

Você deve entender as opções de segurança disponíveis para volumes NFSv4.1, os vetores de desempenho testados e o impacto esperado no desempenho do kerberos. Consulte Impacto no desempenho do Kerberos em volumes NFSv4.1 para obter detalhes.

Próximos passos

• Impacto no desempenho do Kerberos nos volumes NFSv4.1
• Resolver erros de volume do Azure NetApp Files
• FAQ sobre NFS
• FAQs de Desempenho
• Criar um volume NFS para o Azure NetApp Files
• Criar uma conexão com o Ative Directory
• Configurar um cliente NFS para o Azure NetApp Files
• Configurar ADDS LDAP com grupos estendidos para acesso ao volume NFS