Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I volumi NFS v4.1 di File di Azure supportano la crittografia in transito tramite TLS che fornisce sicurezza di livello aziendale crittografando tutto il traffico tra client e server, senza compromettere le prestazioni. Con NFS di File di Azure è possibile crittografare i dati end-to-end: inattivi, in transito e in rete.
Per altre informazioni, vedere il documento seguente: Crittografia in transito per condivisioni file di Azure NFS.
Distribuzione della crittografia in transito (EiT) per le condivisioni NFS di File di Azure
Per SAP nell'ambiente Azure, montare condivisioni NFS di File di Azure dall'interno della macchina virtuale con due metodi.
- File system configurati in /etc/fstab
- File system configurati come agente risorse pacemaker
I passaggi per la configurazione della crittografia NFS di File di Azure in transito per questi due scenari sono descritti in questo documento.
Importante
Per gli ambienti SAP in Azure nella configurazione a disponibilità elevata e nel file system gestito da Pacemaker, il supporto per Crittografia NFS di File di Azure in transito (EiT) è limitato a:
- SLES per SAP 15 SP 4 e versioni successive
- RHEL per SAP 8.8, 8.10, 9.x e versioni successive
Vedere Nota SAP 1928533 per il supporto del sistema operativo per SAP nei sistemi Azure.
Preparazione della crittografia NFS di File di Azure nella distribuzione di transito
Configurare un account di archiviazione file di Azure, una condivisione file NFS e un endpoint privato come descritto in Creare una condivisione file di Azure NFS
Annotazioni
Per applicare crittografia in transito per tutte le condivisioni file nell'account di archiviazione di Azure, abilitare l'opzione trasferimento sicuro obbligatorio nella scheda di configurazione dell'account di archiviazione.
Distribuire il pacchetto helper di montaggio (AZNFS) nella macchina virtuale Linux.
Seguire i passaggi di installazione del pacchetto helper di montaggio AZNFS in base al sistema operativo.
curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/${VERSION_ID%%.*}")/packages-microsoft-prod.rpm sudo rpm -i packages-microsoft-prod.rpm rm packages-microsoft-prod.rpm sudo zypper refresh sudo zypper install aznfsScegliere
Nodi aggiornare automaticamente il pacchetto durante l'installazione. È anche possibile disattivare o attivare l'aggiornamento automatico in qualsiasi momento modificando il valore diAUTO_UPDATE_AZNFSrispettivamente su false/true nel file/opt/microsoft/aznfs/data/config.Per altre informazioni, vedere la sezione relativa all'installazione del pacchetto.
Creare le directory per montare le condivisioni file.
mkdir -p <full path of the directory>
Montare la condivisione file NFS da /etc/fstab
Per montare la condivisione file in modo permanente aggiungendo i comandi di montaggio in ''/etc/fstab''.
vi /etc/fstab
sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/sapmntNW1 /sapmnt/NW1 aznfs noresvport,vers=4,minorversion=1,sec=sys,_netdev 0 0
# Mount the file systems
mount -a
Per altre informazioni, vedere la sezione del montaggio delle condivisioni file NFS per il montaggio della crittografia NFS di File di Azure nella condivisione file di transito nelle macchine virtuali Linux.
- Il file system menzionato è un esempio per spiegare la sintassi del comando di montaggio.
- Per usare l'helper di montaggio AZNFS e la crittografia in transito, usare fstype come
aznfs. È consigliabile aggiungere sempre l'_netdevopzione alle voci /etc/fstab per assicurarsi che le condivisioni file vengano montate al riavvio solo dopo che i servizi necessari sono attivi. - Non è consigliabile usare crittografia in transito e metodi non di crittografia in transito per montare file system diversi usando NFS di File di Azure nella stessa macchina virtuale di Azure. I comandi di montaggio potrebbero non riuscire a montare i file system se i metodi Crittografia in transito e non crittografia in transito vengono usati nella stessa macchina virtuale.
- L'helper di montaggio supporta connessioni basate su endpoint privato per crittografia NFS di File di Azure in transito.
- Se la macchina virtuale SAP è aggiunta a un dominio personalizzato, usare nomi brevi O FQDN DNS personalizzati per la condivisione file in ''/etc/fstab"' come definito nel DNS. Per verificare la risoluzione del nome host, controllare l'uso dei comandi
nslookup <hostname>egetent host <hostname>.
Montare la condivisione file NFS come risorsa cluster pacemaker
Per la configurazione a disponibilità elevata di SAP in Azure, se si sceglie l'opzione per usare il file system NFS di File di Azure come risorsa nel cluster pacemaker, è necessario montarla usando il comando del cluster pacemaker. Nei comandi pacemaker, per configurare il file system come risorsa cluster, modificare il tipo di montaggio in aznfs da nfs. Aggiungere anche _netdev nella sezione delle opzioni.
Esempio di comando per SLES e RHEL.
sudo crm configure primitive fs_NW1_ASCS Filesystem device='sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/usrsapNW1ascs' directory='/usr/sap/NW1/ASCS00' fstype='aznfs' options='noresvport,vers=4,minorversion=1,sec=sys,_netdev' \
op start timeout=60s interval=0 \
op stop timeout=60s interval=0 \
op monitor interval=20s timeout=40s
Importante
Per usare aznfs come tipo di file system nell'agente risorse cluster pacemaker, mantenere la versione richiesta del pacchetto resource-agents in base alla versione del sistema operativo.
- SLES 15 SP4:
resource-agents-4.10.0+git40.0f4de473-150400.3.34.2o versione successiva - SLES 15 SP5:
resource-agents-4.12.0+git30.7fd7c8fa-150500.3.15.3o versione successiva - SLES 15 SP6 e più recenti:
resource-agents-4.13.0+git6.ae50f94f-150600.4.9.2o versioni successive
Convalida della crittografia dei dati in transito per file di Azure NFS
Controllare i file system montati nella macchina virtuale.
eite10app1:~ # df -Th --type nfs4
Filesystem Type Size Used Avail Use% Mounted on
127.0.0.1:/eite10sapinst00/sapinst nfs4 512G 224G 289G 44% /sapinstall
127.0.0.1:/eite10sapapps00/e10-usrsap-d01 nfs4 256G 7.1G 249G 3% /usr/sap
127.0.0.1:/eite10sapapps00/e10-sapmnt-app nfs4 1.0T 439G 586G 43% /sapmnt/E10
127.0.0.1:/eite10sapapps00/e10-usrsap-temp nfs4 2.0T 640G 1.4T 32% /usr/sap/temp
127.0.0.1:/eite10sapapps00/e10-usrsap-trans nfs4 256G 3.0G 254G 2% /usr/sap/trans
eite10app1:~ #
Questi dettagli di montaggio indicano che il client (VM) è connesso tramite la porta locale 127.0.0.1, non una rete esterna. Il processo stunnel è in ascolto sulla versione 127.0.0.1 (localhost) per il traffico NFS in ingresso dal client NFS (la macchina virtuale). Stunnel intercetta quindi questo traffico e lo inoltra in modo sicuro tramite TLS al server NFS di File di Azure in Azure.
Per altre informazioni, vedere la sezione Verificare che la crittografia dei dati in transito abbia avuto esito positivo per ulteriori controlli.
Passaggi successivi
- Pianificare e implementare una distribuzione SAP in Azure
- Distribuzione di Macchine virtuali di Azure per SAP NetWeaver
- Uso di File Premium di Azure NFS e SMB per il carico di lavoro SAP
- Architettura e scenari di disponibilità elevata per SAP NetWeaver
- SAP NetWeaver a disponibilità elevata con montaggio semplice ed NFS in macchine virtuali SLES per applicazioni SAP
- Disponibilità elevata per SAP NetWeaver in macchine virtuali in RHEL con NFS in File di Azure