Azure 系统上 SAP 传输中的 Azure 文件 NFS 加密

Azure 文件 NFS v4.1 卷支持通过 TLS 加密 传输中加密 ，通过加密客户端和服务器之间的所有流量，从而提供企业级安全性，而不会降低性能。 使用 Azure 文件 NFS，可以端到端加密数据：静态、传输中和跨网络。

有关详细信息，请参阅以下文档： NFS Azure 文件共享的传输中加密。

为 Azure 文件 NFS 共享部署传输中加密 （EiT）

对于 Azure 上的 SAP 环境，请使用两种方法从 VM 中装载 Azure 文件 NFS 共享。

• 在 /etc/fstab 中配置的文件系统
• 配置为 pacemaker 资源代理的文件系统

本文档介绍了为这两种方案设置传输中的 Azure 文件 NFS 加密的步骤。

在传输中部署中准备 Azure 文件 NFS 加密

• 配置 Azure 文件存储存储帐户、NFS 文件共享和专用终结点，如创建 NFS Azure 文件共享中所述

  注释

  若要对 Azure 存储帐户中的所有文件共享强制实施传输中加密，请启用存储帐户配置选项卡中 的安全传输所需的 选项。

• 在 Linux VM 上部署装载帮助程序 （AZNFS） 包。

  按照基于作系统的 AZNFS 装载帮助程序包安装步骤进行作。

  • SLES
  • RHEL

  curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/${VERSION_ID%%.*}")/packages-microsoft-prod.rpm
  sudo rpm -i packages-microsoft-prod.rpm
  rm packages-microsoft-prod.rpm
  sudo zypper refresh
  sudo zypper install aznfs
  

  选择 No 在安装过程中自动更新包。 还可以通过在文件中AUTO_UPDATE_AZNFS分别将值/opt/microsoft/aznfs/data/config更改为 false/true 来随时关闭/打开自动更新。

  有关详细信息，请参阅 包安装 部分。

• 创建目录以装载文件共享。

  mkdir -p <full path of the directory>
  

从 /etc/fstab 装载 NFS 文件共享

通过在“/etc/fstab”中添加装载命令来永久装载文件共享。

vi /etc/fstab
sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/sapmntNW1 /sapmnt/NW1  aznfs noresvport,vers=4,minorversion=1,sec=sys,_netdev  0  0

# Mount the file systems
mount -a

有关详细信息，请参阅 装载 NFS 文件共享部分 ，了解如何在 Linux VM 中装载传输文件共享中的 Azure 文件 NFS 加密。

• 提到的文件系统是说明装载命令语法的示例。
• 若要在传输中使用 AZNFS 装载帮助器和加密，请使用 fstype 作为 aznfs。 应始终将选项添加到 _netdev 其 /etc/fstab 条目，以确保仅在所需服务处于活动状态后才在重新启动时装载文件共享。
• 不建议在同一 Azure VM 中使用传输中的加密和非传输中加密方法，以便使用 Azure 文件 NFS 装载不同的文件系统。 如果传输中的加密和非传输中加密方法用于同一 VM，装载命令可能无法装载文件系统。
• 装载帮助程序支持基于专用终结点的连接，用于传输中的 Azure 文件 NFS 加密。
• 如果 SAP VM 已 加入自定义域，则使用“/etc/fstab”中文件共享的自定义 DNS FQDN 或短名称作为 DNS 中定义的名称。 若要验证主机名解析，请使用nslookup <hostname> 和 getent host <hostname> 命令进行检查。

将 NFS 文件共享装载为 pacemaker 群集资源

若要在 Azure 上设置 SAP 的高可用性，如果选择将 Azure 文件 NFS 文件系统用作 pacemaker 群集中的资源，则需要使用 pacemaker 群集命令装载它。 在 pacemaker 命令中，若要将文件系统设置为群集资源，请将装载类型从aznfs中更改为 。nfs 此外，在“选项”部分添加 _netdev 。

SLES 和 RHEL 的命令示例。

sudo crm configure primitive fs_NW1_ASCS Filesystem device='sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/usrsapNW1ascs' directory='/usr/sap/NW1/ASCS00' fstype='aznfs' options='noresvport,vers=4,minorversion=1,sec=sys,_netdev' \
op start timeout=60s interval=0 \
op stop timeout=60s interval=0 \
op monitor interval=20s timeout=40s

sudo pcs resource create fs_NW1_ASCS Filesystem device='sapnfs.file.core.windows.net:/sapnfsafs/sapnw1/usrsapNW1ascs' \
directory='/usr/sap/NW1/ASCS00' fstype='aznfs' force_unmount=safe options='noresvport,vers=4,minorversion=1,sec=sys,_netdev' \
fast_stop=no op start interval=0 timeout=60 op stop interval=0 timeout=120 op monitor interval=200 timeout=40 \
--group g-NW1_ASCS

验证 Azure 文件 NFS 的传输中数据加密

检查 VM 中装载的文件系统。

eite10app1:~ # df -Th --type nfs4
Filesystem                                  Type  Size  Used Avail Use% Mounted on
127.0.0.1:/eite10sapinst00/sapinst          nfs4  512G  224G  289G  44% /sapinstall
127.0.0.1:/eite10sapapps00/e10-usrsap-d01   nfs4  256G  7.1G  249G   3% /usr/sap
127.0.0.1:/eite10sapapps00/e10-sapmnt-app   nfs4  1.0T  439G  586G  43% /sapmnt/E10
127.0.0.1:/eite10sapapps00/e10-usrsap-temp  nfs4  2.0T  640G  1.4T  32% /usr/sap/temp
127.0.0.1:/eite10sapapps00/e10-usrsap-trans nfs4  256G  3.0G  254G   2% /usr/sap/trans
eite10app1:~ #

这些装载详细信息指示客户端（VM）通过本地端口 127.0.0.1（而不是外部网络）进行连接。 stunnel 进程侦听 127.0.0.1（localhost）从 NFS 客户端（VM）传入的 NFS 流量。 然后，Stunnel 截获此流量，并通过 TLS 安全地将其转发到 Azure 上的 Azure 文件 NFS 服务器。

有关详细信息，请参阅“ 验证传输中的数据加密是否成功 ”部分进行进一步检查。

后续步骤

• 在 Azure 上规划和实施 SAP 部署
• 适用于 SAP NetWeaver 的 Azure 虚拟机部署
• 将 Azure 高级文件 NFS 和 SMB 用于 SAP 工作负荷
• SAP NetWeaver 的高可用性体系结构和方案
• 在 SLES 上为 SAP 应用程序 VM 提供简单装载和 NFS 的高可用性 SAP NetWeaver
• 使用 Azure 文件上的 NFS 在 RHEL 上的 VM 上实现 SAP NetWeaver 的高可用性