Ativar ou desativar TLS para clientes NFS no ONTAP
Você pode ativar ou desativar o TLS em um data LIF para clientes NFS. Quando você ativa o NFS em TLS, o SVM usa o TLS para criptografar todos os dados enviados pela rede entre o cliente NFS e o ONTAP. Isso aumenta a segurança das conexões NFS.
O NFS em TLS está disponível no ONTAP 9.15,1 como prévia pública. Como oferta de prévia, o NFS em TLS não é compatível com workloads de produção no ONTAP 9.15,1. |
Ativar TLS
Você pode habilitar a criptografia TLS para clientes NFS para aumentar a segurança dos dados em trânsito.
-
Consulte "requisitos"o para NFS sobre TLS antes de começar.
-
Saiba mais sobre o "ativação da interface nfs tls do svm" comando na referência de comando ONTAP.
-
Escolha uma VM de armazenamento e uma interface lógica (LIF) na qual ativar o TLS.
-
Habilite o TLS para conexões NFS nessa VM e interface de storage. Substitua os valores entre parêntesis> por informações do seu ambiente:
vserver nfs tls interface enable -vserver <STORAGE_VM> -lif <LIF_NAME> -certificate-name <CERTIFICATE_NAME>
-
Use o
vserver nfs tls interface show
comando para visualizar os resultados:vserver nfs tls interface show
O comando a seguir habilita o NFS sobre TLS no data1
LIF da vs1
VM de storage:
vserver nfs tls interface enable -vserver vs1 -lif data1 -certificate-name cert_vs1
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 enabled cert_vs1 vs2 data2 10.0.1.2 disabled - 2 entries were displayed.
Desativar TLS
Você pode desativar o TLS para clientes NFS se não precisar mais da segurança aprimorada para dados em trânsito.
Quando você desativa o NFS em TLS, o certificado TLS usado para a conexão NFS é removido. Se você precisar habilitar o NFS em TLS no futuro, precisará especificar novamente um nome de certificado durante a capacitação. |
Saiba mais sobre o "desativação da interface nfs tls do svm" comando na referência de comando ONTAP.
-
Escolha uma VM de armazenamento e uma interface lógica (LIF) para desativar o TLS.
-
Desative TLS para conexões NFS nessa VM e interface de storage. Substitua os valores entre parêntesis> por informações do seu ambiente:
vserver nfs tls interface disable -vserver <STORAGE_VM> -lif <LIF_NAME>
-
Use o
vserver nfs tls interface show
comando para visualizar os resultados:vserver nfs tls interface show
O comando a seguir desativa NFS sobre TLS no data1
LIF da vs1
VM de armazenamento:
vserver nfs tls interface disable -vserver vs1 -lif data1
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 disabled - vs2 data2 10.0.1.2 disabled - 2 entries were displayed.
Editar uma configuração TLS
Você pode alterar as configurações de uma configuração NFS em TLS existente. Por exemplo, você pode usar este procedimento para atualizar o certificado TLS.
Saiba mais sobre o "modificação da interface tls nfs do svm" comando na referência de comando ONTAP.
-
Escolha uma VM de storage e uma interface lógica (LIF) para modificar a configuração TLS para clientes NFS.
-
Modificar a configuração. Se especificar um
status
deenable
, também terá de especificar ocertificate-name
parâmetro. Substitua os valores entre parêntesis> por informações do seu ambiente:vserver nfs tls interface modify -vserver <STORAGE_VM> -lif <LIF_NAME> -status <STATUS> -certificate-name <CERTIFICATE_NAME>
-
Use o
vserver nfs tls interface show
comando para visualizar os resultados:vserver nfs tls interface show
O comando a seguir modifica a configuração NFS sobre TLS no data2
LIF da vs2
VM de armazenamento:
vserver nfs tls interface modify -vserver vs2 -lif data2 -status enable -certificate-name new_cert
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 disabled - vs2 data2 10.0.1.2 enabled new_cert 2 entries were displayed.