File Storage NAS (NAS) の汎用 NFS ファイルシステムは、転送中暗号化をサポートしています。この機能は、Transport Layer Security (TLS) を使用して、ご利用の Elastic Compute Service (ECS) インスタンスと NAS ファイルシステム間で転送されるデータを、傍受や改ざんから保護します。
重要: NAS クライアントが使用する TLS 証明書は、有効期限が切れる前に更新する必要があります。NAS は 1 か月前に通知メールを送信します。適時に aliyun-alinas-utils ツールを更新しないと、証明書の有効期限が切れた後にマウントされたファイルシステムは応答しなくなります。クイックスタート
経験豊富なユーザー向けに、転送中暗号化を有効にするための最も簡単な手順を以下に示します。
インストール:
sudo yum install aliyun-alinas-utils-*.rpmマウント:
sudo mount -t alinas -o tls,vers=3 <mount-target>:/ /mnt確認:
ps aux | grep stunnel
詳細な手順については、このまま読み進めてください。
前提条件
開始する前に、以下を確認してください。
ECS インスタンスと NAS ファイルシステムが同じリージョンにあること。
ECS インスタンスと NAS マウントポイントが同じ VPC にあること。異なる VPC にある場合は、ご利用の ECS インスタンスの VPC に新しいマウントポイントを作成してください。詳細については、「ファイルシステムの作成」をご参照ください。
汎用 NFS ファイルシステムが作成されていること。詳細については、「ファイルシステムの作成」をご参照ください。
注:NFS ファイルシステムがすでにマウントされている場合は、まずマウントを解除してから、暗号化を有効にして再マウントする必要があります。詳細については、「NAS コンソールでのファイルシステムのマウント解除」をご参照ください。
ご利用の ECS インスタンスにインターネットアクセスがあるか、Elastic IP アドレス (EIP) が関連付けられていること。詳細については、「ネットワーク帯域幅」をご参照ください。
パフォーマンスに関する考慮事項
転送中暗号化を有効にすると、パフォーマンスに影響します。
メトリック | 影響 |
レイテンシー | 約 10% 増加 |
IOPS | 約 10% 低下 |
NAS クライアントは、TLS 暗号化のために stunnel プロセスを使用します。高スループットのワークロードの場合、各マウント操作で暗号化/復号のために最大 1 つの CPU コアを消費する可能性があります。
サポートされる構成
オペレーティングシステム
オペレーティングシステム | サポートされるバージョン |
Alibaba Cloud Linux | 2.1903 64 ビット、3.2104 LTS 64 ビット |
Red Hat Enterprise Linux | 7.x 64 ビット、8.x 64 ビット |
CentOS | 7.x 64 ビット、8.x 64 ビット |
Ubuntu | 16.04、18.04、20.04 (64 ビット) |
Debian | 9.x、10.x (64 ビット) |
仕組み
NAS クライアントは、alinas というネットワークファイルシステムタイプを定義します。これは、標準の mount コマンドと互換性があります。tls パラメーターを指定すると、次のようになります。
NAS クライアントが
stunnelプロセスを開始します。stunnelが NAS サーバーへの暗号化された TLS 接続を確立します。ウォッチドッグプロセス (
aliyun-alinas-mount-watchdog) がstunnelを監視し、終了した場合は自動的に再起動します。
stunnel プロセスは、ローカルポート 12049 (設定可能) でリッスンします。マウントする前に、このポートが利用可能であることを確認してください。
ss -ant | grep -w 12049何も出力されなければ、ポートは利用可能です。
ステップ 1: NAS クライアントのインストール
Alibaba Cloud Linux / CentOS / Red Hat
# NAS クライアントのダウンロード
wget https://aliyun-encryption.oss-cn-beijing.aliyuncs.com/aliyun-alinas-utils-1.3-0.20241223174338.6bfadb.al7.noarch.rpm
# インストール
sudo yum install aliyun-alinas-utils-*.rpm
# インストールの確認
which mount.alinas出力に /sbin/mount.alinas が表示されれば、インストールは成功です。
Ubuntu / Debian
# NAS クライアントのダウンロード
wget https://aliyun-encryption.oss-cn-beijing.aliyuncs.com/aliyun-alinas-utils-1.3-0.20241223174338.6bfadb.deb
# インストール
sudo dpkg -i aliyun-alinas-utils-*.deb
# インストールの確認
which mount.alinasステップ 2: 暗号化を有効にしたマウント
マウントコマンド
NFSv3 プロトコル:
sudo mount -t alinas -o tls,vers=3 file-system-id.region.nas.aliyuncs.com:/ /mntNFSv4.0 プロトコル:
sudo mount -t alinas -o tls,vers=4.0 file-system-id.region.nas.aliyuncs.com:/ /mnt実際の値を使用した例:
sudo mount -t alinas -o tls,vers=3 1234abcd.ap-southeast-1.nas.aliyuncs.com:/ /mntマウントパラメーター
パラメーター | 説明 |
| マウントポイント。NAS コンソール > [ファイルシステムリスト] > [管理] > [マウントポイント] で確認できます。 詳細については、「マウントポイント情報の表示」をご参照ください。 |
| NFS プロトコルのバージョン:NFSv3 の場合は |
| TLS 暗号化を有効にします |
マウントの確認
# マウントステータスの確認
mount -l | grep alinas
# ファイルシステム容量の確認
df -h /mnt
# stunnel が実行中であることの確認
ps aux | grep stunnel暗号化がアクティブな場合、出力に stunnel プロセスが表示されます。
ステップ 3: 自動マウントの設定 (任意)
起動時にファイルシステムを自動的にマウントするには、/etc/fstab に次の行を追加します。
file-system-id.region.nas.aliyuncs.com:/ /mnt alinas _netdev,tls 0 0パラメーター | 説明 |
| ネットワークが利用可能になるまでマウントを遅延させます |
| バックアップフラグ (0 = バックアップなし) |
| fsck の順序 (0 = 起動時にチェックをスキップ) |
重要:自動マウントを設定する前に、手動でのマウントをテストしてください。設定が正しくないと、ECS インスタンスが起動に失敗する可能性があります。
/etc/fstab を編集した後、再起動して確認します。
sudo reboot
# 再起動後:
df -h /mntNAS クライアントのログ
ログの場所
ログディレクトリ:
/var/log/aliyun/alinas/設定ファイル:
/etc/aliyun/alinas/alinas-utils.conf
設定ファイルを変更した後、ウォッチドッグを再起動します。
sudo service aliyun-alinas-mount-watchdog restartログ設定パラメーター
パラメーター | デフォルト値 | 説明 |
| INFO | ログの詳細レベル |
| 1048576 | 最大ログファイルサイズ (1 MB) |
| 10 | 保持するログファイルの数 |
| false | 詳細な stunnel ログを有効にします (大量のストレージを消費します) |
| false | 証明書のホスト名を確認します |
| false | 証明書の有効性を確認します |
トラブルシューティング
ポート競合エラー
症状:ポート競合メッセージが表示され、マウントに失敗します。
原因:別のプロセスがポート 12049 を使用しています。
解決策:
競合しているプロセスを見つけて停止します。
ss -ant | grep -w 12049 # このポートを使用しているプロセスを特定して停止しますNAS クライアントのポートを変更します。
/etc/aliyun/alinas/alinas-utils.confを編集し、proxy_portの値を未使用のポート (12050 など) に変更してから、再度マウントを試みます。