Sistem file NFS tujuan umum di File Storage NAS (NAS) mendukung enkripsi dalam transit. Fitur ini menggunakan Transport Layer Security (TLS) untuk melindungi data yang ditransmisikan antara instans Elastic Compute Service (ECS) Anda dan sistem file NAS dari intersepsi atau perubahan.
Penting: Sertifikat TLS yang digunakan oleh klien NAS harus diperpanjang sebelum masa berlakunya habis. NAS mengirim email notifikasi satu bulan sebelumnya. Jika Anda tidak memperbarui tool aliyun-alinas-utils tepat waktu, sistem file yang telah dipasang akan berhenti merespons setelah sertifikat kedaluwarsa.Mulai cepat
Bagi pengguna berpengalaman, berikut cara tercepat untuk mengaktifkan enkripsi dalam transit:
Instal:
sudo yum install aliyun-alinas-utils-*.rpmMount:
sudo mount -t alinas -o tls,vers=3 <mount-target>:/ /mntVerifikasi:
ps aux | grep stunnel
Untuk petunjuk lengkap, lanjutkan membaca.
Prasyarat
Sebelum memulai, pastikan hal-hal berikut:
Instans ECS dan sistem file NAS berada di wilayah yang sama.
Instans ECS dan titik pemasangan NAS berada di VPC yang sama. Jika berada di VPC berbeda, buat titik pemasangan baru di VPC instans ECS Anda. Lihat Buat sistem file.
Sistem file NFS tujuan umum telah dibuat. Untuk informasi selengkapnya, lihat Buat sistem file.
Catatan: Jika sistem file NFS Anda sudah dipasang, Anda harus melepas pemasangannya terlebih dahulu, lalu memasang ulang dengan enkripsi diaktifkan. Lihat Lepaskan pemasangan sistem file di Konsol NAS.
Instans ECS Anda memiliki akses internet atau alamat IP elastis (EIP) yang terkait. Lihat Bandwidth jaringan.
Pertimbangan performa
Mengaktifkan enkripsi dalam transit berdampak pada performa:
Metrik | Dampak |
Latensi | ~10% lebih tinggi |
IOPS | ~10% lebih rendah |
Klien NAS menggunakan proses stunnel untuk enkripsi TLS. Pada beban kerja ber-throughput tinggi, setiap operasi pemasangan dapat mengonsumsi hingga satu core CPU untuk enkripsi dan dekripsi.
Konfigurasi yang didukung
Sistem operasi
Sistem operasi | Versi yang didukung |
Alibaba Cloud Linux | 2.1903 64-bit, 3.2104 LTS 64-bit |
Red Hat Enterprise Linux | 7.x 64-bit, 8.x 64-bit |
CentOS | 7.x 64-bit, 8.x 64-bit |
Ubuntu | 16.04, 18.04, 20.04 (64-bit) |
Debian | 9.x, 10.x (64-bit) |
Cara kerja
Klien NAS mendefinisikan tipe sistem file jaringan bernama alinas, yang kompatibel dengan perintah mount standar. Saat Anda menentukan parameter tls:
Klien NAS menjalankan proses
stunnel.stunnelmembuat koneksi TLS terenkripsi ke server NAS.Proses watchdog (
aliyun-alinas-mount-watchdog) memantaustunneldan secara otomatis menjalankannya ulang jika proses tersebut berhenti.
Proses stunnel mendengarkan pada port lokal 12049 (dapat dikonfigurasi). Sebelum memasang, pastikan port ini tersedia:
ss -ant | grep -w 12049Jika tidak ada output, berarti port tersebut tersedia.
Langkah 1: Instal klien NAS
Alibaba Cloud Linux / CentOS / Red Hat
# Unduh klien NAS
wget https://aliyun-encryption.oss-cn-beijing.aliyuncs.com/aliyun-alinas-utils-1.3-0.20241223174338.6bfadb.al7.noarch.rpm
# Instal
sudo yum install aliyun-alinas-utils-*.rpm
# Verifikasi instalasi
which mount.alinasJika output menampilkan /sbin/mount.alinas, berarti instalasi berhasil.
Ubuntu / Debian
# Unduh klien NAS
wget https://aliyun-encryption.oss-cn-beijing.aliyuncs.com/aliyun-alinas-utils-1.3-0.20241223174338.6bfadb.deb
# Instal
sudo dpkg -i aliyun-alinas-utils-*.deb
# Verifikasi instalasi
which mount.alinasLangkah 2: Pasang dengan enkripsi diaktifkan
Perintah mount
Protokol NFSv3:
sudo mount -t alinas -o tls,vers=3 file-system-id.region.nas.aliyuncs.com:/ /mntProtokol NFSv4.0:
sudo mount -t alinas -o tls,vers=4.0 file-system-id.region.nas.aliyuncs.com:/ /mntContoh dengan Nilai Aktual:
sudo mount -t alinas -o tls,vers=3 1234abcd.ap-southeast-1.nas.aliyuncs.com:/ /mntParameter mount
Parameter | Deskripsi |
| Titik pemasangan. Temukan di Konsol NAS > Daftar Sistem File > Kelola > Titik Pemasangan. Untuk informasi selengkapnya, lihat Lihat informasi titik pemasangan. |
| Versi protokol NFS: |
| Mengaktifkan enkripsi TLS |
Verifikasi pemasangan
# Periksa status pemasangan
mount -l | grep alinas
# Periksa kapasitas sistem file
df -h /mnt
# Verifikasi stunnel sedang berjalan
ps aux | grep stunnelJika enkripsi aktif, Anda akan melihat proses stunnel dalam output.
Langkah 3: Konfigurasi pemasangan otomatis (opsional)
Untuk memasang sistem file secara otomatis saat startup, tambahkan baris berikut ke /etc/fstab:
file-system-id.region.nas.aliyuncs.com:/ /mnt alinas _netdev,tls 0 0Parameter | Deskripsi |
| Menunda pemasangan hingga jaringan tersedia |
| Flag backup (0 = tanpa backup) |
| Urutan fsck (0 = lewati pemeriksaan saat startup) |
Penting: Uji pemasangan manual terlebih dahulu sebelum mengonfigurasi pemasangan otomatis. Jika konfigurasinya salah, instans ECS mungkin gagal memulai.
Setelah mengedit /etc/fstab, lakukan reboot dan verifikasi:
sudo reboot
# Setelah restart:
df -h /mntLog klien NAS
Lokasi log
Direktori log:
/var/log/aliyun/alinas/File konfigurasi:
/etc/aliyun/alinas/alinas-utils.conf
Setelah mengubah file konfigurasi, restart watchdog:
sudo service aliyun-alinas-mount-watchdog restartParameter konfigurasi log
Parameter | Bawaan | Deskripsi |
| INFO | Tingkat detail log |
| 1048576 | Ukuran maksimum file log (1 MB) |
| 10 | Jumlah file log yang disimpan |
| false | Aktifkan log stunnel detail (menggunakan ruang penyimpanan signifikan) |
| false | Verifikasi hostname sertifikat |
| false | Verifikasi validitas sertifikat |
Pemecahan masalah
Error konflik port
Gejala: Pemasangan gagal dengan pesan konflik port.
Penyebab: Proses lain sedang menggunakan port 12049.
Solusi:
Temukan dan hentikan proses yang bertentangan:
ss -ant | grep -w 12049 # Identifikasi dan hentikan proses yang menggunakan port iniUbah port klien NAS:
Edit
/etc/aliyun/alinas/alinas-utils.confdan ubah nilaiproxy_portke port yang tidak digunakan (misalnya 12050), lalu coba pasang kembali.