在ONTAP中为NFS客户端启用或禁用TLS
您可以通过将基于TLS的NFS配置为对通过网络在NFS客户端和ONTAP之间发送的所有数据进行加密来提高NFS连接的安全性。这样可以提高NFS连接的安全性。您可以在启用了NFS的现有Storage VM上配置此配置。
基于TLS的NFS在ONTAP 9.151中提供公开预览版。作为预览选项、ONTAP 9.15.1中的生产工作负载不支持基于TLS的NFS。 |
启用TLS
您可以为NFS客户端启用TLS加密、以提高传输中数据的安全性。
-
请参见 "要求" 适用于基于TLS的NFS。
-
有关此操作步骤中的命令的详细信息、请参见ONTAP手册页。
-
有关链接:https://docs NetApp.ONTAP-CLI/vserver-nfs-tls-interface-enable.html^的更多信息,请[`vserver nfs tls interface show`参阅ONTAP命令参考。
-
选择要启用TLS的Storage VM和逻辑接口(LIF)。
-
为该Storage VM和接口上的NFS连接启用TLS。
vserver nfs tls interface enable -vserver <STORAGE_VM> -lif <LIF_NAME> -certificate-name <CERTIFICATE_NAME>
-
使用
vserver nfs tls interface show
命令以查看结果:vserver nfs tls interface show
以下命令将在上启用基于TLS的NFS data1
的LIF vs1
Storage VM:
vserver nfs tls interface enable -vserver vs1 -lif data1 -certificate-name cert_vs1
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 enabled cert_vs1 vs2 data2 10.0.1.2 disabled - 2 entries were displayed.
禁用TLS
如果您不再需要增强传输中数据的安全性、则可以为NFS客户端禁用TLS。
有关链接:https://docs NetApp.ONTAP-CLI/vserver-nfs-tls-interface-disable.html^的更多信息,请[`vserver nfs tls interface disable`参阅ONTAP命令参考。
-
选择要禁用TLS的Storage VM和逻辑接口(LIF)。
-
对该Storage VM和接口上的NFS连接禁用TLS。
vserver nfs tls interface disable -vserver <STORAGE_VM> -lif <LIF_NAME>
-
使用
vserver nfs tls interface show
命令以查看结果:vserver nfs tls interface show
以下命令将在上禁用基于TLS的NFS data1
的LIF vs1
Storage VM:
vserver nfs tls interface disable -vserver vs1 -lif data1
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 disabled - vs2 data2 10.0.1.2 disabled - 2 entries were displayed.
编辑TLS配置
您可以更改基于TLS的现有NFS配置的设置。例如、您可以使用此操作步骤更新TLS证书。
有关链接:https://docs NetApp.ONTAP-CLI/vserver-nfs-tls-interface-modify.html^的更多信息,请[`vserver nfs tls interface modify`参阅ONTAP命令参考。
-
选择要修改NFS客户端的TLS配置的Storage VM和逻辑接口(LIF)。
-
修改配置。如果指定
status
的enable
,您还需要指定certificate-name
参数。将括号<>中的值替换为您环境中的信息:vserver nfs tls interface modify -vserver <STORAGE_VM> -lif <LIF_NAME> -status <STATUS> -certificate-name <CERTIFICATE_NAME>
-
使用
vserver nfs tls interface show
命令以查看结果:vserver nfs tls interface show
以下命令将在上修改基于TLS的NFS配置 data2
的LIF vs2
Storage VM:
vserver nfs tls interface modify -vserver vs2 -lif data2 -status enable -certificate-name new_cert
vserver nfs tls interface show
Logical Vserver Interface Address TLS Status TLS Certificate Name -------------- ------------- --------------- ---------- ----------------------- vs1 data1 10.0.1.1 disabled - vs2 data2 10.0.1.2 enabled new_cert 2 entries were displayed.