Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Présentation de l'utilisation de TLS avec NFS pour une sécurité renforcée

Contributeurs

TLS permet des communications réseau chiffrées avec une sécurité équivalente et moins complexe que Kerberos et IPsec. En tant qu'administrateur, vous pouvez activer, configurer et désactiver TLS pour une sécurité renforcée avec les connexions NFSv3 et NFSv4.x via System Manager, l'interface de ligne de commande ONTAP ou l'API REST ONTAP.

Remarque NFS over TLS est disponible dans ONTAP 9.15.1 en tant que préversion publique. À titre de préversion, NFS over TLS n'est pas pris en charge pour les workloads de production dans ONTAP 9.15.1.

ONTAP utilise TLS 1.3 pour les connexions NFS sur TLS.

De formation

NFS sur TLS nécessite des certificats X.509. Vous pouvez soit créer un certificat de serveur d'installation signé par une autorité de certification sur le cluster ONTAP, soit installer un certificat que le service NFS utilise directement. Vos certificats doivent être conformes aux directives suivantes :

  • Chaque certificat doit être configuré avec le nom de domaine complet (FQDN) du serveur NFS (la LIF de données sur laquelle TLS sera activé/configuré) en tant que nom commun (CN).

  • Chaque certificat doit être configuré avec l'adresse IP ou le nom de domaine complet du serveur NFS (ou les deux) en tant que nom secondaire de l'objet (SAN). Si l'adresse IP et le nom de domaine complet sont configurés, les clients NFS peuvent se connecter à l'aide de l'adresse IP ou du nom de domaine complet.

  • Vous pouvez installer plusieurs certificats de service NFS pour la même LIF, mais un seul d'entre eux peut être utilisé à la fois dans le cadre de la configuration NFS TLS.