Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用 TLS 搭配 NFS 以增強安全性的總覽

貢獻者
PDF

相較於 Kerberos 和 IPsec 、 TLS 能以同等安全性和較低複雜度來實現加密網路通訊。身為系統管理員、您可以使用系統管理員、 ONTAP CLI 或 ONTAP REST API 、啟用、設定及停用 TLS 、以增強 NFSv3 和 NFSv4.x 連線的安全性。

註 9.15.1 提供 ONTAP over TLS 的公開預覽功能。ONTAP 9.15.1 的正式作業工作負載不支援 NFS over TLS 作為預覽產品。

ONTAP 使用 TLS 1.3 for NFS over TLS 連線。

需求

NFS over TLS 需要 X.509 憑證。您可以在 ONTAP 叢集上建立安裝 CA 簽署的伺服器憑證、也可以安裝 NFS 服務直接使用的憑證。您的憑證應符合下列準則:

  • 每個憑證都必須以 NFS 伺服器的完整網域名稱( FQDN )(將啟用 / 設定 TLS 的資料 LIF )做為一般名稱( CN )進行設定。

  • 每個憑證都必須以 NFS 伺服器(或兩者)的 IP 位址或 FQDN 做為主體替代名稱( SAN )。如果同時設定 IP 位址和 FQDN 、 NFS 用戶端就可以使用 IP 位址或 FQDN 進行連線。

  • 您可以為同一個 LIF 安裝多個 NFS 服務憑證、但一次只能使用其中一個憑證作為 NFS TLS 組態的一部分。