你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure NetApp 文件配置 NFSv4.1 Kerberos 加密

Azure NetApp 文件支持使用 AES-256 加密在 Kerberos 模式(krb5、krb5i 和 krb5p)下加密 NFS 客户端。 本文介绍将 NFSv4.1 卷与 Kerberos 加密结合使用时所需的配置。

要求

NFSv4.1 客户端加密有以下要求:

  • Active Directory 域服务(AD DS)或 Microsoft Entra 域服务连接,以促进 Kerberos 票证
  • 同时为客户端和 Azure NetApp 文件 NFS 服务器 IP 地址创建 DNS A/PTR 记录
  • Linux 客户端:本文针对 RHEL 和 Ubuntu 客户端提供相关指导。 其他客户端的配置步骤与此类似。
  • NTP 服务器访问:可以使用其中一个常用的 Active Directory 域控制器 (AD DC)。
  • 若要利用域或 LDAP 用户身份验证,请确保为 LDAP 启用了 NFSv4.1 卷。 请参阅配置具有扩展组的 ADDS LDAP
  • 确保用户帐户的用户主体名称不以 $ 符号结尾(例如,user$@REALM.COM)
    对于组托管服务帐户 (gMSA),需要先删除用户主体名称中的 $ 后缀,帐户才能与 Azure NetApp 文件 Kerberos 功能一起使用。

创建 NFS Kerberos 卷

  1. 按照为 Azure NetApp 文件创建 NFS 卷中的步骤创建 NFSv4.1 卷。

    在“创建卷”页上,将 NFS 版本设置为“NFSv4.1”,将 Kerberos 设置为“已启用”

    重要

    创建卷后无法修改 Kerberos 启用选择。

    Create NFSv4.1 Kerberos volume

  2. 选择“导出策略”,使其与卷所需的访问和安全级别选项匹配(Kerberos 5、Kerberos 5i 或 Kerberos 5p)。

    有关 Kerberos 的性能影响,请参阅 Kerberos 对 NFSv4.1 卷的性能影响

    还可以单击 Azure NetApp 文件导航窗格中的“导出策略”,修改卷的 Kerberos 安全性方法。

  3. 单击“查看 + 创建”以创建 NFSv4.1 卷。

配置Azure 门户

  1. 按照创建 Active Directory 连接中的说明操作。

    Kerberos 要求在 Active Directory 中创建至少一个计算机帐户。 提供的帐户信息同时用于创建 SMB 和 NFSv4.1 Kerberos 卷的帐户。 创建卷时会自动创建此计算机帐户。

  2. 在“Kerberos 领域”下,输入“AD 服务器名称”和“KDC IP”地址。

    AD 服务器和 KDC IP 可以是同一服务器。 此信息用于创建Azure NetApp 文档使用的 SPN 计算机帐户。 创建计算机帐户后,Azure NetApp 文档将使用 DNS 服务器记录根据需要查找其他 KDC 服务器。

    Kerberos Realm

  3. 单击“联结”以保存配置。

配置 Active Directory 连接

配置 NFSv4.1 Kerberos 时会在 Active Directory 中创建两个计算机帐户:

  • 用于 SMB 共享的计算机帐户
  • 用于 NFSv4.1 的计算机帐户 - 可通过前缀 NFS- 来识别此帐户。

创建第一个 NFSv4.1 Kerberos 卷后,使用以下 PowerShell 命令设置计算机帐户的加密类型:

Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256

配置 NFS 客户端访问

按照为 Azure NetApp 文件配置 NFS 客户端中的说明配置 NFS 客户端。

装载 NFS Kerberos 卷

  1. 从“卷”页中,选择要装载的 NFS 卷。

  2. 从卷中选择“装入说明”以显示说明。

    例如:

    Mount instructions for Kerberos volumes

  3. 为新卷创建目录(装载点)。

  4. 将计算机帐户的默认加密类型设置为 AES 256:
    Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

    • 只需为每个计算机帐户运行一次此命令。
    • 可以从域控制器或安装了 RSAT 的 PC 上运行此命令。
    • $NFSCOMPUTERACCOUNT 变量是在部署 Kerberos 卷时在 Active Directory 中创建的计算机帐户。 这是前缀为 NFS- 的帐户。
    • $ANFSERVICEACCOUNT 变量是非特权 Active Directory 用户帐户,对计算机帐户创建时所在的组织单位具有委派的控制。
  5. 在主机上装载卷:

    sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

    • 变量 $ANFEXPORT 是装载说明中所述的路径 host:/export
    • 变量 $ANFMOUNTPOINT 是 Linux 主机上用户创建的文件夹。

NFSv 4.1 上的 Kerberos 对性能的影响

应了解适用于 NFSv4.1 卷的安全选项、经过测试的性能向量以及 kerberos 的预期性能影响。 有关详细信息,请参阅 Kerberos 对 NFSv4.1 卷的性能影响

后续步骤