啟用傳輸中資料的 SMB 加密 - FSx for OnTAP

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用傳輸中資料的 SMB 加密

根據預設,當您建立 SVM 時,SMB 加密會關閉。您可以啟用個別共用所需的 SMB 加密,或在 SVM 上啟用該 SVM 上所有共用所需的 SMB 加密。

注意

在 SVM 或共用上啟用所需的 SMB 加密時,不支援加密的 SMB 用戶端無法連線至該 SVM 或共用。

要求 SVM 上傳入 SMB 流量的 SMB 加密

使用下列程序來要求使用 CLI 對 SVM 進行 SMB NetApp ONTAP 加密。

  1. 若要使用 SSH 連線至 SVM 管理端點,請使用您建立 SVM 時設定的使用者名稱vsadmin和 vsadmin 密碼。如果您未設定 vsadmin 密碼,請使用使用者名稱fsxadmin和 fsxadmin 密碼。您可以使用管理端點 IP 地址或 DNS 名稱,從與檔案系統位於相同 VPC 的用戶端 SSH 進入 SVM。

    ssh vsadmin@svm-management-endpoint-ip-address

    具有範例值的命令:

    ssh vsadmin@198.51.100.10

    使用管理端點 DNS 名稱的 SSH 命令:

    ssh vsadmin@svm-management-endpoint-dns-name

    使用範例 DNS 名稱的 SSH 命令:

    ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
    Password: vsadmin-password

This is your first recorded login.
FsxIdabcdef01234567892::>

  2. 使用 vserver cifs security modify NetApp ONTAP CLI 命令來要求 SMB 加密傳入 SMB 流量到 SVM。

    vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true

  3. 若要停止對傳入 SMB 流量要求 SMB 加密,請使用下列命令。

    vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false

  4. 若要查看 SVM 上的目前is-smb-encryption-required設定,請使用 CLI vserver cifs security show NetApp ONTAP 命令:

    vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
         
vserver  is-smb-encryption-required
-------- -------------------------
vs1      true

如需在 SVM 上管理 SMB 加密的詳細資訊,請參閱 NetApp ONTAP 文件中心中的在 SMB 伺服器上設定必要的 SMB 加密,以透過 SMB 進行資料傳輸

在磁碟區上啟用 SMB 加密

使用下列程序,使用 CLI 在共享上啟用 SMB NetApp ONTAP 加密。

  1. 如 中所述,建立 SVM 管理端點的安全 shell (SSH) 連線使用 CLI 管理 SVM ONTAP

  2. 使用下列 NetApp ONTAP CLI 命令建立新的 SMB 共享,並在存取此共享時需要 SMB 加密。

    vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data

    如需詳細資訊,請參閱 CLI NetApp ONTAP 命令手冊頁面vserver cifs share create中的 。

  3. 若要在現有的 SMB 共享上要求 SMB 加密,請使用下列命令。

    vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data

    如需詳細資訊,請參閱 CLI NetApp ONTAP 命令手冊頁面vserver cifs share create中的 。

  4. 若要關閉現有 SMB 共享上的 SMB 加密,請使用下列命令。

    vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data

    如需詳細資訊,請參閱 CLI 命令手冊頁面vserver cifs share properties remove中的 NetApp ONTAP 。

  5. 若要查看 SMB 共享上的目前is-smb-encryption-required設定,請使用下列 CLI NetApp ONTAP 命令:

    vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties

    如果命令傳回的其中一個屬性是 encrypt-data 屬性,則該屬性會指定存取此共用時必須使用 SMB 加密。

    如需詳細資訊,請參閱 CLI 命令手冊頁面vserver cifs share properties show中的 NetApp ONTAP 。