Sous VMware vSphere 6.7, vous pouvez utiliser des banques de données NFS 4.1 pour bénéficier de l'authentification Kerberos (krb5 ou krb5i).
Ce qui n'était pas le cas avec le NFS 3 qui n'était pas sécurisé et qui devait donc être utilisé sur un réseau séparé pour des raisons de sécurité.
Néanmoins, l'utilisation du NFS 4.1 nécessite quelques pré-requis par rapport au NFS 3.
Les principaux avantages du NFS 4.1 sont :
Les principaux inconvénients du NFS 4.1 sont que cela requiert plus de configuration et que certaines fonctionnalités de vSphere ne sont pas supportées qu'avec le NFS 3.
Le NFS 3 et le NFS 4.1 sont compatibles avec ces fonctionnalités VMware vSphere :
Par contre, ces fonctionnalités ne seront pas supportées si vous utilisez NFS 4.1 :
Attention : le système de verrouillage utilisé par NFS 3 n'est pas le même que sous NFS 4.1.
N'essayez donc pas de créer un partage NFS 3 sur votre serveur NFS pour le monter en NFS 4.1 sous VMware vSphere (ou inversement), car cela pourrait créer des problèmes et des corruptions de données.
Source : Protocoles NFS et ESXi - VMware Docs.
Pour utiliser le NFS 4.1 de façon sécurisée, vous avez besoin d'une authentification Kerberos.
Pour que cela soit possible, il faut d'abord que :
Sources :
Pour cela, sélectionnez l'hôte VMware ESXi souhaité et allez dans : Configurer -> Mise en réseau -> Configuration TCP/IP.
Ensuite, sélectionnez la pile TCP/IP "Par défaut" et cliquez sur : Modifier.
Dans la fenêtre "Par défaut - Modifier la configuration de la pile TCP/IP" qui s'affiche, assurez-vous que le serveur DNS favori corresponde à l'adresse IP de votre contrôleur de domaine Active Directory (ou votre serveur DNS local qui connait la zone DNS de votre domaine AD).
De préférence, indiquez aussi votre nom de domaine Active Directory dans les champs "Domaine" et "Domaines de recherche".
Faites de même sur les autres hôtes VMware ESXi sur lesquels vous souhaitez monter des banques de données NFS 4.1.
Pour que l'authentification Kerberos nécessaire au protocole NFS 4.1 puisse fonctionner correctement, il est primordial que l'horloge de votre hôte VMware ESXi soit synchronisée avec celle de votre contrôleur de domaine.
Pour cela, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Système -> Configuration de l'heure".
Ensuite, cliquez sur : Modifier.
Important : une différence de plus de 5 minutes entre les 2 horloges causera des problèmes d'authentification Kerberos et donc des problèmes lors de l'ajout ou de l'utilisation de vos banques de données NFS 4.1.
Dans la fenêtre "Modifier la configuration de temps" qui apparait, sélectionnez "Utiliser Protocole NTP (Activer client NTP)" et renseignez les champs proposés :
Votre hôte VMware ESXi est maintenant configuré pour synchroniser son horloge avec celle de votre contrôleur de domaine Active Directory.
Faites la même chose sur les autres hôtes où vous souhaitez utiliser des banques de données NFS 4.1.
Maintenant que les pré-requis précédents ont été configurés, vous pouvez joindre votre hôte VMware ESXi à votre domaine Active Directory.
Pour cela, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Système -> Services d'authentification" et cliquez sur : Joindre un domaine.
Indiquez le nom de domaine que vous souhaitez rejoindre, puis sélectionnez l'option "Utilisation des informations d'identification" et indiquez les identifiants possédant les droits nécessaires pour la jonction d'un ordinateur ou d'un serveur à votre domaine Active Directory.
Dans notre cas, nous utiliserons l'administrateur de notre domaine Active Directory.
Une fois votre hôte joint à votre domaine Active Directory, vous verrez que le type de service d'annuaire est "Active Directory" et vous verrez votre nom de domaine apparaitre dans la section "Paramètres domaine".
Faites la même chose sur vos autres hôtes VMware ESXi si besoin.
Pour l'authentification Kerberos utilisée par le protocole NFS 4.1, vous pouvez utiliser un compte existant ou créer un simple utilisateur sur votre contrôleur de domaine Active Directory.
Dans notre cas, nous avons créé un simple utilisateur nommé : ESXi_NFS_User.
Ensuite, dans le VMware vSphere Client, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Système -> Services d'authentification".
En bas de page, vous trouverez une section "Informations d'identification NFS Kerberos".
Cliquez sur le bouton "Modifier" situé à droite.
Dans la fenêtre "Modifier les informations d'identification NFS Kerberos" qui apparait, spécifiez :
Attention : comme c'est indiqué ici, les informations d'identification spécifiées ici ne seront pas testées.
Ces informations ne seront utilisées que lorsque vous tenterez d'ajouter une banque de données NFS 4.1 à votre hôte VMware ESXi en activant l'authentification Kerberos.
Comme vous pouvez le voir, l'état de l'authentification NFS Kerberos est maintenant activé et le nom d'utilisateur souhaité apparait.
A nouveau, faites cette même configuration sur les autres hôtes où vous souhaitez utiliser des banques de données NFS 4.1, le cas échéant.
En entreprise, vous utiliserez un NAS supportant le protocole NFS 4.1.
Néanmoins, dans un environnement de test, vous pourrez installer un serveur NFS sous Linux ou de préférence sous Windows Server (comme c'est le cas ici).
Dans notre cas, nous avons installé un serveur NFS sous Windows Server 2016.
Pour cela, ouvrez le gestionnaire de serveur, puis lancez l'assistant d'ajout de rôles et de fonctionnalités.
A l'étape "Rôles de serveurs", déployez le noeud "Services de fichiers et de stockage -> Services de fichiers et iSCSI" et cochez la case "Serveur pour NFS".
Une fois le serveur NFS installé, allez dans la section "Services de fichiers et de stockage" du gestionnaire de serveur.
Ensuite, dans la section "Serveurs", faites un clic droit "Paramètres NFS" sur le nom de votre serveur NFS.
Comme vous pouvez le voir dans la section "Versions de protocole", Windows Server 2016 supporte les versions 2, 3 et 4.1 de NFS.
VMware 7/4/2023
VMware 6/3/2024
VMware 4/10/2024
VMware 2/8/2024
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire