ONTAPでのNFSクライアントに対するTLSの有効化または無効化
NFSクライアント用のデータLIFでTLSを有効または無効にすることができます。NFS over TLSを有効にすると、SVMはTLSを使用して、ネットワーク経由でNFSクライアントとONTAPの間で送信されるすべてのデータを暗号化します。これにより、NFS接続のセキュリティが向上します。
ONTAP 9では、TLS経由のNFSがパブリックプレビューとして提供されています。15.1プレビュー版として、ONTAP 9の本番ワークロードではNFS over TLSはサポートされていません。15.1 |
TLSを有効にする
NFSクライアントに対してTLS暗号化を有効にすると、転送中のデータのセキュリティを強化できます。
-
作業を開始する前に、『for NFS over TLS』を参照してください"要件"。
-
コマンドの詳細については "SVM NFS TLSインターフェイス有効"、ONTAPコマンドリファレンスを参照してください。
-
TLSを有効にするStorage VMと論理インターフェイス(LIF)を選択してください。
-
そのStorage VMおよびインターフェイスのNFS接続に対してTLSを有効にします。括弧<>の値は、環境の情報で置き換えます。
vserver nfs tls interface enable -vserver <STORAGE_VM> -lif <LIF_NAME> -certificate-name <CERTIFICATE_NAME>
-
コマンドを使用し `vserver nfs tls interface show`て結果を表示します。
vserver nfs tls interface show
次のコマンドは、Storage VMのLIF `vs1`でNFS over TLSを有効にし `data1`ます。
vserver nfs tls interface enable -vserver vs1 -lif data1 -certificate-name cert_vs1
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 enabled cert_vs1 vs2 data2 10.0.1.2 disabled - 2 entries were displayed.
TLSの無効化
転送中データのセキュリティ強化が必要なくなった場合は、NFSクライアントのTLSを無効にできます。
NFS over TLSを無効にすると、NFS接続に使用されているTLS証明書が削除されます。今後NFS over TLSを有効にする必要がある場合は、有効化時に証明書名を再度指定する必要があります。 |
コマンドの詳細については "SVM NFS TLSインターフェイスの無効化"、ONTAPコマンドリファレンスを参照してください。
-
TLSを無効にするStorage VMと論理インターフェイス(LIF)を選択してください。
-
そのStorage VMおよびインターフェイスのNFS接続に対するTLSを無効にします。括弧<>の値は、環境の情報で置き換えます。
vserver nfs tls interface disable -vserver <STORAGE_VM> -lif <LIF_NAME>
-
コマンドを使用し `vserver nfs tls interface show`て結果を表示します。
vserver nfs tls interface show
次のコマンドは、Storage VMのLIF `vs1`でNFS over TLSを無効にし `data1`ます。
vserver nfs tls interface disable -vserver vs1 -lif data1
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 disabled - vs2 data2 10.0.1.2 disabled - 2 entries were displayed.
TLS設定の編集
既存のNFS over TLS設定を変更できます。たとえば、この手順を使用してTLS証明書を更新できます。
コマンドの詳細については "vserver nfs tls interface modify"、ONTAPコマンドリファレンスを参照してください。
-
NFSクライアントのTLS設定を変更するStorage VMと論理インターフェイス(LIF)を選択してください。
-
設定を変更します。を指定する場合は
status
enable
、パラメータも指定する必要があり `certificate-name`ます。括弧<>の値は、環境の情報で置き換えます。vserver nfs tls interface modify -vserver <STORAGE_VM> -lif <LIF_NAME> -status <STATUS> -certificate-name <CERTIFICATE_NAME>
-
コマンドを使用し `vserver nfs tls interface show`て結果を表示します。
vserver nfs tls interface show
次のコマンドは、Storage VMのLIFの vs2`NFS over TLSの設定を変更します `data2
。
vserver nfs tls interface modify -vserver vs2 -lif data2 -status enable -certificate-name new_cert
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 disabled - vs2 data2 10.0.1.2 enabled new_cert 2 entries were displayed.