我已经因为设置这个 Kerberos 而损失了不少头发。有没有办法保护 NFS v4 设置没有在公共云上使用 Kerberos,即:
- 所有服务器都有公共 IP(没有内部 IP 或没有 VPC)
- 通过适当设置 iptables,只有已知的服务器才被允许连接到 NFS 端口
- 服务器之间的 NFS 流量最好加密
- 所有 NFS 客户端均受信任
- 任何网络错误都不应导致客户端崩溃或挂起
- 所有服务器都运行 Ubuntu 18.04.1
服务器配置:
# cat /etc/lsb-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=18.04
DISTRIB_CODENAME=bionic
DISTRIB_DESCRIPTION="Ubuntu 18.04.1 LTS"
# uname -a
Linux prod-backoffice 4.15.0-42-generic #45-Ubuntu SMP Thu Nov 15 19:32:57 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux
答案1
有一篇文章Linux杂志如何使用 stunnel 在 nfs 客户端和服务器之间提供安全连接。由于 NFSv4 仅使用单个端口,因此您只需执行一次。
本文在 NFSv4 IETF 工作组中引发了一项新活动,现在正在尝试标准化此类部署。但这需要一些时间来实现、测试并在客户端和服务器上部署。