为 Azure NetApp 文件配置 NFSv4.1 Kerberos 加密

Azure NetApp 文件支持 NFS 客户端加密，在 Kerberos 模式（krb5、krb5i 和 krb5p）下采用 AES-256 加密。 本文介绍将 NFSv4.1 卷与 Kerberos 加密配合使用所需的配置。

要求

以下要求适用于 NFSv4.1 客户端加密：

• 连接 Active Directory 域服务 (AD DS) 或 Microsoft Entra 域服务，以便使用 Kerberos 票证
• 同时为客户端和 Azure NetApp 文件 NFS 服务器 IP 地址创建 DNS A/PTR 记录
• Linux 客户端： 本文提供有关 RHEL 和 Ubuntu 客户端的指导。 其他客户端也通过类似的配置步骤工作。
• NTP 服务器访问： 可以使用其中一个常用的 Active Directory 域控制器（AD DC）域控制器。
• 要利用域或 LDAP 用户身份验证，请确保为 LDAP 启用了 NFSv4.1 卷。 请参阅 配置包含扩展组的 ADDS LDAP。
• 确保用户帐户的用户主体名称不以 符号结尾（例如，user$@REALM.COM）$。
  对于 组托管服务帐户 （gMSA），您需要先从用户主体名中删除尾随 $ ，然后才能将该帐户与 Azure NetApp Files 的 Kerberos 功能一起使用。

创建 NFS Kerberos 卷

1. 按照为 Azure NetApp 文件创建 NFS 卷中的步骤创建 NFSv4.1 卷。

   在“创建卷”页上，将 NFS 版本设置为 NFSv4.1 ，并将 Kerberos 设置为 “已启用”。

   重要

   创建卷后无法修改 Kerberos 启用选择。

   

2. 选择“导出策略”，以匹配所选的访问级别与卷的安全选项（Kerberos 5、Kerberos 5i 或 Kerberos 5p）。

   有关 Kerberos 的性能影响，请参阅 Kerberos 对 NFSv4.1 的性能影响。

   还可以单击 Azure NetApp 文件导航窗格中的“导出策略”，修改卷的 Kerberos 安全性方法。

3. 选择“查看 + 创建”以创建 NFSv4.1 卷。

配置 Azure 门户

1. 按照 “创建 Active Directory 连接”中的说明作。

   Kerberos 要求在 Active Directory 中创建至少一个计算机帐户。 提供的帐户信息同时用于创建 SMB 和 NFSv4.1 Kerberos 卷的帐户。 创建卷时会自动创建此计算机帐户。

2. 在 Kerberos 领域下，输入 AD 服务器名称和KDC IP 地址。

   AD 服务器和 KDC IP 可以是同一服务器。 此信息用于创建 Azure NetApp 文件使用的 SPN 计算机帐户。 创建计算机帐户后，Azure NetApp Files 会根据需要使用 DNS 服务器记录查找其他 KDC 服务器。 在 AD 服务器名称中，提供计算机的主机名，而无需追加域。

   

3. 选择 “加入 ”以保存配置。

配置 Active Directory 连接

配置 NFSv4.1 Kerberos 会在 Active Directory 中创建两个计算机帐户：

• 用于 SMB 共享的计算机帐户
• NFSv4.1 的计算机帐户-可以使用前缀 NFS-标识此帐户。

创建第一个 NFSv4.1 Kerberos 卷后，使用 PowerShell 命令 Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256设置计算机帐户的加密类型。

配置 NFS 客户端

按照为 Azure NetApp 文件配置 NFS 客户端中的说明配置 NFS 客户端。

装载 NFS Kerberos 卷

1. 从“卷”页中选择要装载的 NFS 卷。

2. 从卷中选择“装载说明”以显示说明。

   例如：

   

3. 为新卷创建目录（装入点）。

4. 将计算机帐户的默认加密类型设置为 AES 256：
   Set-ADComputer $NFSCOMPUTERACCOUNT -KerberosEncryptionType AES256 -Credential $ANFSERVICEACCOUNT

   • 对于每台计算机帐户，只需运行此命令一次。
   • 可以从域控制器或安装了 RSAT 的电脑运行此命令。
   • 变量 $NFSCOMPUTERACCOUNT 是在部署 Kerberos 卷时在 Active Directory 中创建的计算机帐户。 这是以NFS-为前缀的账户。
   • 该 $ANFSERVICEACCOUNT 变量是一个非特权 Active Directory 用户帐户，其中包含对创建计算机帐户的组织单位的委派控制。

5. 在主机上装载卷：

   sudo mount -t nfs -o sec=krb5p,rw,hard,rsize=262144,wsize=262144,vers=4.1,tcp $ANFEXPORT $ANFMOUNTPOINT

   • 变量 $ANFEXPORT 是在 host:/export 装载指令中找到的路径。
   • 变量 $ANFMOUNTPOINT 是 Linux 主机上的用户创建文件夹。

NFSv4.1 上的 Kerberos 对性能的影响

应了解适用于 NFSv4.1 卷的安全选项、经过测试的性能向量以及 kerberos 的预期性能影响。 有关详细信息，请参阅 Kerberos 对 NFSv4.1 卷的性能影响。

后续步骤

• Kerberos 对 NFSv4.1 卷的性能影响
• 排除 Azure NetApp 文件的卷错误
• NFS 常见问题解答
• 性能常见问题解答
• 创建用于 Azure NetApp 文件的 NFS 卷
• 创建 Active Directory 连接
• 为 Azure NetApp 文件配置 NFS 客户端
• 为 NFS 卷访问配置具有扩展组的 ADDS LDAP