Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration IPsec mithilfe der Zertifikatsauthentifizierung
Die folgenden Themen enthalten Anweisungen zur Konfiguration der IPsec Verschlüsselung mithilfe der Zertifikatsauthentifizierung auf einem ONTAP FOR-Dateisystem und einem FSx Client, auf dem IPsec Libreswan ausgeführt wird. Diese Lösung verwendet AWS Certificate Manager und AWS Private Certificate Authority , um eine private Zertifizierungsstelle zu erstellen und die Zertifikate zu generieren.
Die grundlegenden Schritte zur Konfiguration der IPsec Verschlüsselung mithilfe der Zertifikatsauthentifizierung FSx für ONTAP Dateisysteme und verbundene Clients lauten wie folgt:
Richten Sie eine Zertifizierungsstelle für die Ausstellung von Zertifikaten ein.
Generieren und exportieren Sie CA-Zertifikate für das Dateisystem und den Client.
Installieren Sie das Zertifikat und konfigurieren Sie es IPsec auf der Client-Instanz.
Installieren Sie das Zertifikat und konfigurieren Sie es IPsec auf Ihrem Dateisystem.
Definieren Sie die Sicherheitsrichtlinien-Datenbank (SPD).
Konfigurieren Sie IPsec für den Zugriff mehrerer Clients.
CA-Zertifikate erstellen und installieren
Für die Zertifikatsauthentifizierung müssen Sie Zertifikate von einer Zertifizierungsstelle auf Ihrem FSx ONTAP Dateisystem und den Clients, die auf die Daten in Ihrem Dateisystem zugreifen, generieren und installieren. Im folgenden Beispiel wird AWS Private Certificate Authority eine private Zertifizierungsstelle eingerichtet und die Zertifikate für die Installation im Dateisystem und auf dem Client generiert. Mit dieser AWS Private Certificate Authority Methode können Sie eine vollständig AWS gehostete Hierarchie von Stamm- und untergeordneten Zertifizierungsstellen (CAs) für den internen Gebrauch in Ihrer Organisation erstellen. Dieser Prozess besteht aus fünf Schritten:
Erstellen Sie eine private Zertifizierungsstelle (CA) mit AWS Private CA
Stellen Sie das Stammzertifikat auf der privaten CA aus und installieren Sie es
Fordern Sie ein privates Zertifikat AWS Certificate Manager für Ihr Dateisystem und Ihre Clients an
Exportieren Sie das Zertifikat für das Dateisystem und die Clients.
Weitere Informationen finden Sie unter Private CA-Administration im AWS Private Certificate Authority Benutzerhandbuch.
Um die private Root-CA zu erstellen
Wenn Sie eine Zertifizierungsstelle erstellen, müssen Sie die CA-Konfiguration in einer von Ihnen bereitgestellten Datei angeben. Der folgende Befehl verwendet den Nano-Texteditor, um die
ca_config.txt
Datei zu erstellen, in der die folgenden Informationen angegeben sind:Den Namen des Algorithmus
Der Signaturalgorithmus, den die CA zum Signieren verwendet
X.500-Themeninformationen
$ >
nano ca_config.txt
Der Texteditor wird angezeigt.
Bearbeiten Sie die Datei mit den Spezifikationen für Ihre CA.
{ "KeyAlgorithm":"RSA_2048", "SigningAlgorithm":"SHA256WITHRSA", "Subject":{ "Country":"US", "Organization":"Example Corp", "OrganizationalUnit":"Sales", "State":"WA", "Locality":"Seattle", "CommonName":"*.ec2.internal" } }
Speichern und schließen Sie die Datei und beenden Sie den Texteditor. Weitere Informationen finden Sie im AWS Private Certificate Authority Benutzerhandbuch unter Verfahren zum Erstellen einer Zertifizierungsstelle.
Verwenden Sie den create-certificate-authority AWS Private CA CLIBefehl, um eine private CA zu erstellen.
~/home >
aws acm-pca create-certificate-authority \ --certificate-authority-configuration file://ca_config.txt \ --certificate-authority-type "ROOT" \ --idempotency-token 01234567 --regionaws-region
Bei Erfolg gibt dieser Befehl den Amazon-Ressourcennamen (ARN) der Zertifizierungsstelle aus.
{ "CertificateAuthorityArn": "arn:aws:acm-pca:
aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012
" }
Um ein Zertifikat für Ihre private Root-CA (AWS CLI) zu erstellen und zu installieren
Generieren Sie mit dem
get-certificate-authority-csr
AWS CLIBefehl eine Zertifikatsignieranforderung (CSR).$
aws acm-pca get-certificate-authority-csr \ --certificate-authority-arn arn:aws:acm-pca:
aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \ --output text \ --endpoint https://acm-pca.aws-region
.amazonaws.com \ --region eu-west-1 > ca.csrDie resultierende Datei
ca.csr
, eine im Base64-Format kodierte PEM Datei, hat das folgende Aussehen.-----BEGIN CERTIFICATE----- MIICiTCCAfICCQD6m7oRw0uXOjANBgkqhkiG9w0BAQUFADCBiDELMAkGA1UEBhMC VVMxCzAJBgNVBAgTAldBMRAwDgYDVQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6 b24xFDASBgNVBAsTC0lBTSBDb25zb2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAd BgkqhkiG9w0BCQEWEG5vb25lQGFtYXpvbi5jb20wHhcNMTEwNDI1MjA0NTIxWhcN MTIwNDI0MjA0NTIxWjCBiDELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAldBMRAwDgYD VQQHEwdTZWF0dGxlMQ8wDQYDVQQKEwZBbWF6b24xFDASBgNVBAsTC0lBTSBDb25z b2xlMRIwEAYDVQQDEwlUZXN0Q2lsYWMxHzAdBgkqhkiG9w0BCQEWEG5vb25lQGFt YXpvbi5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMaK0dn+a4GmWIWJ 21uUSfwfEvySWtC2XADZ4nB+BLYgVIk60CpiwsZ3G93vUEIO3IyNoH/f0wYK8m9T rDHudUZg3qX4waLG5M43q7Wgc/MbQITxOUSQv7c7ugFFDzQGBzZswY6786m86gpE Ibb3OhjZnzcvQAaRHhdlQWIMm2nrAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEAtCu4 nUhVVxYUntneD9+h8Mg9q6q+auNKyExzyLwaxlAoo7TJHidbtS4J5iNmZgXL0Fkb FFBjvSfpJIlJ00zbhNYS5f6GuoEDmFJl0ZxBHjJnyp378OD8uTs7fLvjx79LjSTb NYiytVbZPQUQ5Yaxu2jXnimvw3rrszlaEXAMPLE= -----END CERTIFICATE-----
Weitere Informationen finden Sie im AWS Private Certificate Authority Benutzerhandbuch unter Installation eines Root-CA-Zertifikats.
Verwenden Sie den
issue-certificate
AWS CLI Befehl, um das Root-Zertifikat auszustellen und auf Ihrer privaten CA zu installieren.$
aws acm-pca issue-certificate \ --certificate-authority-arn arn:aws:acm-pca:
aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \ --csr file://ca.csr \ --signing-algorithm SHA256WITHRSA \ --template-arn arn:aws:acm-pca:::template/RootCACertificate/V1 \ --validity Value=3650,Type=DAYS --regionaws-region
-
Laden Sie das Stammzertifikat mit dem
get-certificate
AWS CLI Befehl herunter.$
aws acm-pca get-certificate \ --certificate-authority-arn arn:aws:acm-pca:aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate-arn arn:aws:acm-pca:aws-region
:486768734100:certificate-authority/12345678-1234-1234-1234-123456789012/certificate/abcdef0123456789abcdef0123456789 \ --output text --regionaws-region
> rootCA.pem Installieren Sie das Stammzertifikat mit dem
import-certificate-authority-certificate
AWS CLI Befehl auf Ihrer privaten CA.$
aws acm-pca import-certificate-authority-certificate \ --certificate-authority-arn arn:aws:acm-pca:
aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012 \ --certificate file://rootCA.pem --regionaws-region
Generieren und exportieren Sie das Dateisystem und das Client-Zertifikat
Verwenden Sie den
request-certificate
AWS CLI Befehl, um ein AWS Certificate Manager Zertifikat für Ihr Dateisystem und Ihre Clients anzufordern.$
aws acm request-certificate \ --domain-name *.ec2.internal \ --idempotency-token 12345 \ --region
aws-region
\ --certificate-authority-arn arn:aws:acm-pca:aws-region
:111122223333:certificate-authority/12345678-1234-1234-1234-123456789012Wenn die Anfrage erfolgreich ist, wird das ARN des ausgestellten Zertifikats zurückgegeben.
-
Aus Sicherheitsgründen müssen Sie dem privaten Schlüssel beim Export eine Passphrase zuweisen. Erstellen Sie eine Passphrase und speichern Sie sie in einer Datei mit dem Namen
passphrase.txt
-
Verwenden Sie den
export-certificate
AWS CLI Befehl, um das zuvor ausgestellte private Zertifikat zu exportieren. Die exportierte Datei enthält das Zertifikat, die Zertifikatskette und den verschlüsselten privaten RSA 2048-Bit-Schlüssel, der dem öffentlichen Schlüssel zugeordnet ist, der in das Zertifikat eingebettet ist. Aus Sicherheitsgründen müssen Sie dem privaten Schlüssel beim Exportieren eine Passphrase zuweisen. Das folgende Beispiel bezieht sich auf eine Linux-Instanz. EC2$
aws acm export-certificate \ --certificate-arn arn:aws:acm:
aws-region
:111122223333:certificate/12345678-1234-1234-1234-123456789012 \ --passphrase $(cat passphrase.txt | base64)) --regionaws-region
> exported_cert.json Verwenden Sie die folgenden
jq
Befehle, um den privaten Schlüssel und das Zertifikat aus der JSON Antwort zu extrahieren.$
cat exported_cert.json | jq -r .PrivateKey > prv.key cat exported_cert.json | jq -r .Certificate > cert.pem openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
-
Verwenden Sie den folgenden
openssl
Befehl, um den privaten Schlüssel aus der JSON Antwort zu entschlüsseln. Nach Eingabe des Befehls werden Sie zur Eingabe der Passphrase aufgefordert.$
openssl rsa -in prv.key -passin pass:$passphrase -out decrypted.key
Installation und Konfiguration von Libreswan IPsec auf einem Amazon Linux 2-Client
Die folgenden Abschnitte enthalten Anweisungen zur Installation und Konfiguration von Libreswan IPsec auf einer EC2 Amazon-Instance, auf der Amazon Linux 2 ausgeführt wird.
Um Libreswan zu installieren und zu konfigurieren
Stellen Sie mithilfe von Connect zu Ihrer EC2 Instance herSSH. Spezifische Anweisungen dazu finden Sie unter Herstellen einer Connect zu Ihrer Linux-Instance mithilfe eines SSH Clients im Amazon Elastic Compute Cloud-Benutzerhandbuch für Linux-Instances.
Führen Sie zur Installation den folgenden Befehl aus
libreswan
:$
sudo yum install libreswan
(Optional) Bei der Überprüfung IPsec in einem späteren Schritt werden diese Eigenschaften möglicherweise ohne diese Einstellungen gekennzeichnet. Wir empfehlen, Ihr Setup zunächst ohne diese Einstellungen zu testen. Wenn bei Ihrer Verbindung Probleme auftreten, kehren Sie zu diesem Schritt zurück und nehmen Sie die folgenden Änderungen vor.
Verwenden Sie nach Abschluss der Installation Ihren bevorzugten Texteditor, um der
/etc/sysctl.conf
Datei die folgenden Einträge hinzuzufügen.net.ipv4.ip_forward=1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.lo.accept_redirects = 0 net.ipv4.conf.lo.send_redirects = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.eth0.rp_filter = 0
Speichern Sie die Änderungen und beenden Sie den Texteditor.
Übernehmen Sie die Änderungen.
$
sudo sysctl -p
Überprüfen Sie die IPsec Konfiguration.
$
sudo ipsec verify
Stellen Sie sicher, dass die von
Libreswan
Ihnen installierte Version ausgeführt wird.Initialisieren Sie die IPsec NSS Datenbank.
$
sudo ipsec checknss
Um das Zertifikat auf dem Client zu installieren
Kopieren Sie das Zertifikat, das Sie für den Client generiert haben, in das Arbeitsverzeichnis auf der EC2 Instanz. Sie
Exportieren Sie das zuvor generierte Zertifikat in ein Format, das mit kompatibel ist
libreswan
.$
openssl pkcs12 -export -in cert.pem -inkey decrypted.key \ -certfile rootCA.pem -out certkey.p12 -name fsx
Importieren Sie den neu formatierten Schlüssel und geben Sie die Passphrase an, wenn Sie dazu aufgefordert werden.
$
sudo ipsec import certkey.p12
Erstellen Sie eine IPsec Konfigurationsdatei mit dem bevorzugten Texteditor.
$
sudo cat /etc/ipsec.d/nfs.conf
Fügen Sie der Konfigurationsdatei die folgenden Einträge hinzu:
conn fsxn authby=rsasig left=172.31.77.6 right=198.19.254.13 auto=start type=transport ikev2=insist keyexchange=ike ike=aes256-sha2_384;dh20 esp=aes_gcm_c256 leftcert=fsx leftrsasigkey=%cert leftid=%fromcert rightid=%fromcert rightrsasigkey=%cert
Sie beginnen IPsec auf dem Client, nachdem Sie die Konfiguration IPsec auf Ihrem Dateisystem vorgenommen haben.
Konfiguration IPsec auf Ihrem Dateisystem
Dieser Abschnitt enthält Anweisungen zur Installation des Zertifikats auf Ihrem FSx ONTAP Dateisystem und zur KonfigurationIPsec.
So installieren Sie das Zertifikat auf Ihrem Dateisystem
Kopieren Sie das Stammzertifikat ()
rootCA.pem)
, das Client-Zertifikat (cert.pem
) und die entschlüsselten Schlüsseldateien (decrypted.key
) in Ihr Dateisystem. Sie müssen die Passphrase für das Zertifikat kennen.Um auf die zuzugreifen NetApp ONTAPCLI, richten Sie eine SSH Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP Dateisystems ein, indem Sie den folgenden Befehl ausführen.
Ersetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.management_endpoint_ip
[~]$
ssh fsxadmin@
management_endpoint_ip
Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit der ONTAP CLI.
Verwenden Sie es cat auf einem Client (nicht in Ihrem Dateisystem), um den Inhalt der
decrypted.key
Dateien aufzulistenrootCA.pem
,cert.pem
sodass Sie die Ausgabe jeder Datei kopieren und einfügen können, wenn Sie in den folgenden Schritten dazu aufgefordert werden.$ >
cat cert.pem
Kopieren Sie den Inhalt des Zertifikats.
Sie müssen alle CA-Zertifikate, die während der gegenseitigen Authentifizierung verwendet wurden, sowohl auf der Seite als auch auf der ONTAP ClientseiteCAs, in der ONTAP Zertifikatsverwaltung installieren, sofern sie nicht bereits installiert ist (wie es bei einer ONTAP selbstsignierten Root-CA der Fall ist).
Verwenden Sie den
security certificate install
NetApp CLI folgenden Befehl, um das Client-Zertifikat zu installieren:FSxID123:: >
security certificate install -vserver
dr
-type client -cert-name ipsec-client-certPlease enter Certificate: Press <Enter> when done
Fügen Sie den Inhalt der
cert.pem
Datei ein, die Sie zuvor kopiert haben, und drücken Sie die Eingabetaste.Please enter Private Key: Press <Enter> when done
Fügen Sie den Inhalt der
decrypted.key
Datei ein und drücken Sie die Eingabetaste.Do you want to continue entering root and/or intermediate certificates {y|n}:
Geben Sie
n
die Eingabetaste ein, um die Eingabe des Client-Zertifikats abzuschließen.Erstellen und installieren Sie ein Zertifikat für dieSVM. Die ausstellende Zertifizierungsstelle dieses Zertifikats muss bereits installiert ONTAP und hinzugefügt worden seinIPsec.
Verwenden Sie den folgenden Befehl, um das Stammzertifikat zu installieren.
FSxID123:: >
security certificate install -vserver
dr
-type server-ca -cert-name ipsec-ca-certPlease enter Certificate: Press <Enter> when done
Fügen Sie den Inhalt der
rootCA.pem
Datei ein und drücken Sie die Eingabetaste.Um sicherzustellen, dass sich die installierte CA während der Authentifizierung innerhalb des IPsec CA-Suchpfads befindet, fügen Sie dem IPsec Modul die ONTAP Zertifikatsverwaltung CAs mit dem Befehl „security ipsec ca-certificate add“ hinzu.
Geben Sie den folgenden Befehl ein, um das Stammzertifikat hinzuzufügen.
FSxID123:: >
security ipsec ca-certificate add -vserver
dr
-ca-certs ipsec-ca-certGeben Sie den folgenden Befehl ein, um die erforderliche IPsec Richtlinie in der Sicherheitsrichtlinien-Datenbank zu erstellen (SPD).
security ipsec policy create -vserver
dr
-namepolicy-name
-local-ip-subnets198.19.254.13/32
-remote-ip-subnets172.31.0.0/16
-auth-method PKI -action ESP_TRA -cipher-suite SUITEB_GCM256 -cert-name ipsec-client-cert -local-identity "CN=*.ec2.internal" -remote-identity "CN=*.ec2.internal"Verwenden Sie den folgenden Befehl, um die IPsec Richtlinie für das zu bestätigende Dateisystem anzuzeigen.
FSxID123:: >
security ipsec policy show -vserver
dr
-instanceVserver: dr Policy Name: promise Local IP Subnets: 198.19.254.13/32 Remote IP Subnets: 172.31.0.0/16 Local Ports: 0-0 Remote Ports: 0-0 Protocols: any Action: ESP_TRA Cipher Suite: SUITEB_GCM256 IKE Security Association Lifetime: 86400 IPsec Security Association Lifetime: 28800 IPsec Security Association Lifetime (bytes): 0 Is Policy Enabled: true Local Identity: CN=*.ec2.internal Remote Identity: CN=*.ec2.internal Authentication Method: PKI Certificate for Local Identity: ipsec-client-cert
Starten Sie IPsec auf dem Client
Jetzt IPsec ist es sowohl auf dem FSx für ONTAP Dateisystem als auch auf dem Client konfiguriert, Sie können IPsec auf dem Client starten.
Connect zu Ihrem Clientsystem her mitSSH.
Fangen Sie anIPsec.
$
sudo ipsec start
Überprüfen Sie den Status vonIPsec.
$
sudo ipsec status
Hängen Sie ein Volume in Ihrem Dateisystem ein.
$
sudo mount -t nfs
198.19.254.13:/benchmark
/home/ec2-user/acm/dr
Überprüfen Sie die IPsec Einrichtung, indem Sie die verschlüsselte Verbindung auf Ihrem FSx ONTAP Dateisystem anzeigen.
FSxID123:: >
security ipsec show-ikesa -node FsxId
123
FsxId08ac16c7ec2781a58::> security ipsec show-ikesa -node FsxId08ac16c7ec2781a58-01 Policy Local Remote Vserver Name Address Address Initator-SPI State ----------- ------ --------------- --------------- ---------------- ----------- dr
policy-name
198.19.254.13 172.31.77.6 551c55de57fe8976 ESTABLISHED fsxpolicy-name
198.19.254.38 172.31.65.193 4fd3f22c993e60c5 ESTABLISHED 2 entries were displayed.
Einrichtung IPsec für mehrere Clients
Wenn eine kleine Anzahl von Kunden die Hebelwirkung nutzen mussIPsec, reicht es aus, für jeden Kunden einen einzigen SPD Eintrag zu verwenden. Wenn jedoch Hunderte oder sogar Tausende von Kunden die Nutzung nutzen müssenIPsec, empfehlen wir, die Konfiguration mit IPsec mehreren Clients zu verwenden.
FSxfür ONTAP unterstützt die Verbindung mehrerer Clients über viele Netzwerke mit einer einzigen SVM IP-Adresse, wenn IPsec aktiviert. Sie können dies entweder mithilfe der subnet
Konfiguration oder der Allow all clients
Konfiguration erreichen, die in den folgenden Verfahren erläutert werden:
So konfigurieren Sie mithilfe einer Subnetzkonfiguration IPsec für mehrere Clients
Damit alle Clients in einem bestimmten Subnetz (z. B. 192.168.134.0/24) mithilfe eines einzigen SPD Richtlinieneintrags eine Verbindung zu einer einzigen SVM IP-Adresse herstellen können, müssen Sie das in Subnetzform angeben. remote-ip-subnets
Darüber hinaus müssen Sie das remote-identity
Feld mit der richtigen clientseitigen Identität angeben.
Wichtig
Bei Verwendung der Zertifikatsauthentifizierung kann jeder Client entweder sein eigenes eindeutiges Zertifikat oder ein gemeinsames Zertifikat zur Authentifizierung verwenden. FSxfor ONTAP IPsec überprüft die Gültigkeit des Zertifikats anhand des auf seinem lokalen Vertrauensspeicher CAs installierten Zertifikats. FSxfor unterstützt ONTAP auch die Überprüfung von Zertifikatssperrlisten (CRL).
Um auf die zuzugreifen NetApp ONTAPCLI, richten Sie eine SSH Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP Dateisystems ein, indem Sie den folgenden Befehl ausführen.
Ersetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.management_endpoint_ip
[~]$
ssh fsxadmin@
management_endpoint_ip
Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit der ONTAP CLI.
Verwenden Sie den
security ipsec policy create
NetApp ONTAP CLI Befehl wie folgt und ersetzen Siesample
Werte durch Ihre spezifischen Werte.FsxId123456::>
security ipsec policy create -vserver
svm_name
-namepolicy_name
\ -local-ip-subnets192.168.134.34/32
-remote-ip-subnets192.168.134.0/24
\ -local-ports2049
-protocolstcp
-auth-method PSK \ -cert-namemy_nfs_server_cert
-local-identityontap_side_identity
\ -remote-identityclient_side_identity
Um die Konfiguration IPsec für mehrere Clients mithilfe der Konfiguration „Alle Clients zulassen“ zu konfigurieren
Um jedem Client unabhängig von seiner Quell-IP-Adresse zu ermöglichen, eine Verbindung mit der SVM IPsec -aktivierten IP-Adresse herzustellen, verwenden Sie bei der 0.0.0.0/0
Angabe des remote-ip-subnets
Felds den Platzhalter.
Darüber hinaus müssen Sie das remote-identity
Feld mit der richtigen clientseitigen Identität angeben. Für die Zertifikatsauthentifizierung können Sie Folgendes eingebenANYTHING
.
Wenn der Platzhalter 0.0.0.0/0 verwendet wird, müssen Sie außerdem eine bestimmte lokale oder Remote-Portnummer konfigurieren, die verwendet werden soll. Zum Beispiel Port 2049NFS.
Um auf die zuzugreifen NetApp ONTAPCLI, richten Sie eine SSH Sitzung auf dem Management-Port des Amazon FSx for NetApp ONTAP Dateisystems ein, indem Sie den folgenden Befehl ausführen.
Ersetzen Sie es durch die IP-Adresse des Management-Ports des Dateisystems.management_endpoint_ip
[~]$
ssh fsxadmin@
management_endpoint_ip
Weitere Informationen finden Sie unter Verwaltung von Dateisystemen mit der ONTAP CLI.
Verwenden Sie den
security ipsec policy create
NetApp ONTAP CLI Befehl wie folgt und ersetzen Siesample
Werte durch Ihre spezifischen Werte.FsxId123456::>
security ipsec policy create -vserver
svm_name
-namepolicy_name
\ -local-ip-subnets192.168.134.34/32
-remote-ip-subnets 0.0.0.0/0 \ -local-ports2049
-protocolstcp
-auth-method PSK \ -cert-namemy_nfs_server_cert
-local-identityontap_side_identity
\ -local-ports2049
-remote-identityclient_side_identity