Ativar ou desativar TLS para clientes NFS no ONTAP
Você pode melhorar a segurança das conexões NFS configurando o NFS em TLS para criptografar todos os dados enviados pela rede entre o cliente NFS e o ONTAP. Isso aumenta a segurança das conexões NFS. Você pode configurar isso em uma VM de storage existente habilitada para NFS.
O NFS em TLS está disponível no ONTAP 9.15,1 como prévia pública. Como oferta de prévia, o NFS em TLS não é compatível com workloads de produção no ONTAP 9.15,1. |
Ativar TLS
Você pode habilitar a criptografia TLS para clientes NFS para aumentar a segurança dos dados em trânsito.
-
Consulte "requisitos"o para NFS sobre TLS antes de começar.
-
Consulte as páginas do manual do ONTAP para obter mais informações sobre o comando neste procedimento.
-
Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/vserver-nfs-tls-interface-enable.html[
vserver nfs tls interface show
em referência de comando ONTAP.
-
Escolha uma VM de armazenamento e uma interface lógica (LIF) na qual ativar o TLS.
-
Habilite o TLS para conexões NFS nessa VM e interface de storage.
vserver nfs tls interface enable -vserver <STORAGE_VM> -lif <LIF_NAME> -certificate-name <CERTIFICATE_NAME>
-
Use o
vserver nfs tls interface show
comando para visualizar os resultados:vserver nfs tls interface show
O comando a seguir habilita o NFS sobre TLS no data1
LIF da vs1
VM de storage:
vserver nfs tls interface enable -vserver vs1 -lif data1 -certificate-name cert_vs1
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 enabled cert_vs1 vs2 data2 10.0.1.2 disabled - 2 entries were displayed.
Desativar TLS
Você pode desativar o TLS para clientes NFS se não precisar mais da segurança aprimorada para dados em trânsito.
Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/vserver-nfs-tls-interface-disable.html[vserver nfs tls interface disable
em referência de comando ONTAP.
-
Escolha uma VM de armazenamento e uma interface lógica (LIF) para desativar o TLS.
-
Desative TLS para conexões NFS nessa VM e interface de storage.
vserver nfs tls interface disable -vserver <STORAGE_VM> -lif <LIF_NAME>
-
Use o
vserver nfs tls interface show
comando para visualizar os resultados:vserver nfs tls interface show
O comando a seguir desativa NFS sobre TLS no data1
LIF da vs1
VM de armazenamento:
vserver nfs tls interface disable -vserver vs1 -lif data1
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 disabled - vs2 data2 10.0.1.2 disabled - 2 entries were displayed.
Editar uma configuração TLS
Você pode alterar as configurações de uma configuração NFS em TLS existente. Por exemplo, você pode usar este procedimento para atualizar o certificado TLS.
Saiba mais sobre o comando link:https://docs.NetApp.com/US-en/ONTAP-cli/vserver-nfs-tls-interface-modify.html[vserver nfs tls interface modify
em referência de comando ONTAP.
-
Escolha uma VM de storage e uma interface lógica (LIF) para modificar a configuração TLS para clientes NFS.
-
Modificar a configuração. Se especificar um
status
deenable
, também terá de especificar ocertificate-name
parâmetro. Substitua os valores entre parêntesis> por informações do seu ambiente:vserver nfs tls interface modify -vserver <STORAGE_VM> -lif <LIF_NAME> -status <STATUS> -certificate-name <CERTIFICATE_NAME>
-
Use o
vserver nfs tls interface show
comando para visualizar os resultados:vserver nfs tls interface show
O comando a seguir modifica a configuração NFS sobre TLS no data2
LIF da vs2
VM de armazenamento:
vserver nfs tls interface modify -vserver vs2 -lif data2 -status enable -certificate-name new_cert
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 disabled - vs2 data2 10.0.1.2 enabled new_cert 2 entries were displayed.