启用传输中数据 SMB 加密 - FSx for ONTAP
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用传输中数据 SMB 加密

默认情况下,创建 SVM 时,SMB 加密处于关闭状态。您可以对单个共享或 SVM 启用需要 SMB 加密,后者会为该 SVM 上的所有共享启用 SMB 加密。

注意

在 SVM 或共享上启用“需要 SMB 加密”时,不支持加密的 SMB 客户端将无法连接到该 SVM 或共享。

要求对 SVM 上传入的 SMB 流量进行 SMB 加密

按照以下步骤使用 NetApp ONTAP CLI 要求对 SVM 进行 SMB 加密。

  1. 要通过 SSH 连接到 SVM 管理端点,请使用创建 SVM 时设置的用户名 vsadmin 和 vsadmin 密码。如果您没有设置 vsadmin 密码,请使用用户名 fsxadmin 和 fsxadmin 密码。您可以使用管理端点 IP 地址或 DNS 名称,从与文件系统位于同一 VPC 的客户端通过 SSH 连接到 SVM。

    ssh vsadmin@svm-management-endpoint-ip-address

    带有示例值的命令:

    ssh vsadmin@198.51.100.10

    使用管理端点 DNS 名称的 SSH 命令:

    ssh vsadmin@svm-management-endpoint-dns-name

    使用示例 DNS 名称的 SSH 命令:

    ssh vsadmin@management.svm-abcdef01234567892fs-08fc3405e03933af0.fsx.us-east-2.aws.com
    Password: vsadmin-password

This is your first recorded login.
FsxIdabcdef01234567892::>

  2. 使用 vserver cifs security modifyNetApp ONTAPCLI 命令要求对传入 SVM 的 SMB 流量进行 SMB 加密。

    vserver cifs security modify -vserver vserver_name -is-smb-encryption-required true

  3. 使用以下命令,停止对传入 SMB 流量进行 SMB 加密。

    vserver cifs security modify -vserver vserver_name -is-smb-encryption-required false

  4. 要查看 SVM 上的当前is-smb-encryption-required设置,请使用 vserver cifs security showNetApp ONTAPCLI 命令:

    vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
         
vserver  is-smb-encryption-required
-------- -------------------------
vs1      true

有关在 SVM 上管理 SMB 加密的更多信息,请参阅 NetApp ONTAP 文档中心中的在 SMB 服务器上为 SMB 数据传输配置需要 SMB 加密

在卷上启用 SMB 加密

按照以下步骤使用 NetApp ONTAP CLI 对共享启用 SMB 加密。

  1. 按照 使用 CLI 管理 SVM ONTAP 中所述,建立与 SVM 管理端点的 Secure Shell(SSH)连接。

  2. 使用以下 NetApp ONTAP CLI 命令创建新的 SMB 共享,并要求在访问此共享时进行 SMB 加密。

    vserver cifs share create -vserver vserver_name -share-name share_name -path share_path -share-properties encrypt-data

    有关更多信息,请参阅《NetApp ONTAP CLI 命令手册》中的 vserver cifs share create

  3. 如需要求对现有 SMB 共享进行 SMB 加密,请使用以下命令。

    vserver cifs share properties add -vserver vserver_name -share-name share_name -share-properties encrypt-data

    有关更多信息,请参阅《NetApp ONTAP CLI 命令手册》中的 vserver cifs share create

  4. 如需关闭对现有 SMB 共享进行 SMB 加密,请使用以下命令。

    vserver cifs share properties remove -vserver vserver_name -share-name share_name -share-properties encrypt-data

    有关更多信息,请参阅《NetApp ONTAP CLI 命令手册》中的 vserver cifs share properties remove

  5. 要查看 SMB 共享上的当前 is-smb-encryption-required 设置,请使用以下 NetApp ONTAP CLI 命令:

    vserver cifs share properties show -vserver vserver_name -share-name share_name -fields share-properties

    如果命令返回的属性之一是 encrypt-data 属性,则该属性指定访问此共享时必须使用 SMB 加密。

    有关更多信息,请参阅《NetApp ONTAP CLI 命令手册》中的 vserver cifs share properties show