本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 FSx ONTAP 存储虚拟机
在 FSx ONTAP 中,卷托管在称为存储虚拟机 (SVMs) 的虚拟文件服务器上。SVM 是独立的文件服务器,拥有自己的管理凭证和端点,用于管理和访问数据。当您访问 ONTAP 中的 FSx 数据时,您的客户端和工作站会使用 SVM 的终端节点(IP 地址)挂载由 SVM 托管的卷、SMB 共享或 iSCSI LUN。
当您使用创建文件系统时,Amazon FSx 会自动在您的文件系统上创建默认 SVM。 AWS 管理控制台您可以随时使用控制台、 AWS CLI或 Amazon FSx API 和在文件系统 SVMs 上创建其他内容 SDKs。您无法 SVMs 使用 ONTAP CLI 或 REST API 进行创建。
你可以加入 Microsoft 活动目录进行文件访问身份验证和授权。 SVMs 有关更多信息,请参阅 [在 FSx ONTAP 中使用微软 Active Directory](ad-integration-ontap.md)。
## SVMs 每个文件系统的最大数量
下表列出了您可以 SVMs 为文件系统创建的最大数量。[的最大数量 SVMs 取决于预配置的吞吐容量(以每秒兆字节为单位MBps),也取决于文件系统的网络类型。](manage-network-type.md)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/managing-svms.html)
**Topics**
+ [SVMs 每个文件系统的最大数量](#max-svms)
+ [创建存储虚拟机(SVM)](creating-svms.md)
+ [更新存储虚拟机(SVM)](updating-svms.md)
+ [管理 SVM Microsoft Active Directory 配置](manage-svm-ad-config-secrets-manager.md)
+ [审计文件访问](file-access-auditing.md)
+ [在工作组中设置 SMB 服务器](smb-server-workgroup-setup.md)
+ [监控存储虚拟机(SVM)配置详细信息](viewing-svms.md)
+ [删除存储虚拟机(SVM)](deleting-svms.md)
# 创建存储虚拟机(SVM)
您可以使用 AWS 管理控制台、 AWS CLI和 API 创建 FSx 适用于 ONTAP 的 SVM。
SVMs 您可以为文件系统创建的最大数量取决于您的文件系统的部署类型、网络类型和预配置的吞吐容量。有关更多信息,请参阅 [SVMs 每个文件系统的最大数量](managing-svms.md#max-svms)。
## SVM 属性
创建 SVM 时,需要定义以下属性:
+ 它 FSx 所属的 ONTAP 文件系统。
+ Microsoft Active Directory(AD)配置 – 您可以选择性将 SVM 加入自行管理的 AD,对 Windows 和 macOS 客户端进行身份验证和访问控制。有关更多信息,请参阅 [在 FSx ONTAP 中使用微软 Active Directory](ad-integration-ontap.md)。
+ 根卷安全风格:设置根卷安全风格(Unix 或 NTFS),与您在 SVM 中访问数据时使用的客户端类型保持一致。有关更多信息,请参阅 [卷安全风格](managing-volumes.md#volume-security-style)。
+ SVM 管理密码 – 您可以选择性地为 SVM 的 `vsadmin` 用户设置密码。有关更多信息,请参阅 [使用 ONTAP CLI 管理 SVM](managing-resources-ontap-apps.md#vsadmin-ontap-cli)。
**创建存储虚拟机(控制台)**
1. 打开亚马逊 FSx 控制台,网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。
1. 在左侧导航窗格中,选择**存储虚拟机**。
1. 选择**创建新的存储虚拟机**。
1. 在**文件系统**中,选择存储虚拟机创建时使用的文件系统。
1. 在**存储虚拟机名称**字段中,填写存储虚拟机的名称。最多可以使用 47 个字母数字字符,以及下划线(\$1)特殊字符。
1. 对于 **SVM 管理密码**,您可以选择**指定密码**并为 SVM 的 `vsadmin` 用户提供密码。您可以通过 ONTAP CLI 或 REST API,使用 `vsadmin` 用户来管理 SVM。有关 `vsadmin` 用户的更多信息,请参阅[使用 ONTAP CLI 管理 SVM](managing-resources-ontap-apps.md#vsadmin-ontap-cli)。
如果您选择**不指定密码**(默认),则仍然可以通过 ONTAP CLI 或 REST API 使用文件系统的 `fsxadmin` 用户来管理文件系统,但不能使用 SVM 的 `vsadmin` 用户来执行相同操作。
1. 对于 **Active Directory**,有以下选项:
+ 如果您不想将文件系统加入 Active Directory(AD),请选择**不加入 Active Directory**。
+ 如果您要将 SVM 加入自行管理的 Active Directory 域,请选择**加入 Active Directory**,然后提供 AD 的以下详细信息。有关更多信息,请参阅 [将 SVM 加入自行管理的 Microsoft AD 的先决条件](self-manage-prereqs.md)。
+ 为 SVM 创建的 Active Directory 计算机对象的 NetBIOS 名称。NetBIOS 名称不超过 15 个字符。这是 Active Directory 中此 SVM 的名称。
+ Active Directory 域的完全限定域名(FQDN)。FQDN 不能超过 255 个字符。
+ **DNS 服务器 IP 地址**-您的域的 DNS 服务器的 IPv4 或 IPv6 地址。
+ **服务账户凭证**:选择如何提供服务账户凭证:
+ **选项 1**: AWS Secrets Manager 秘密 ARN-包含您的 Active Directory 域上服务帐户的用户名和密码的密钥。有关更多信息,请参阅 [使用存储活动目录凭证 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager)。
+ **选项 2**:纯文本凭证
+ **服务账户用户名**:现有 Microsoft Active Directory 中服务账户的用户名。请勿包含域前缀或后缀。例如,对于 `EXAMPLE\ADMIN`,仅使用 `ADMIN`。
+ **服务账户密码** – 服务账户的密码。
+ **确认密码** – 服务账户的密码。
+ (可选)**组织单元(OU)**– 文件系统要加入的组织单元的可分辨路径名称。
+ **委托的文件系统管理员组** – AD 中可以管理文件系统的组的名称。
如果您正在使用 AWS Managed Microsoft AD,则必须指定一个群组,例如 AWS 委派 FSx 管理员、 AWS 授权管理员或具有向 OU 委派权限的自定义群组。
如果您要加入自行管理的 AD,请在 AD 中使用该组的名称。默认组为 `Domain Admins`。
1. 对于 **SVM 根卷安全风格**,请根据访问数据的客户端类型选择 SVM 的安全风格。如果您主要使用 Linux 客户端访问数据,请选择 **Unix(Linux)**;如果您主要使用 Windows 客户端访问数据,请选择 **NTFS**。有关更多信息,请参阅 [卷安全风格](managing-volumes.md#volume-security-style)。
1. 选择**确认**以创建存储虚拟机。
您可以访问**文件系统**详细信息页面,在**存储虚拟机**窗格的**状态**列中监控更新进度。当状态为**已创建**时,存储虚拟机可供使用。
## 创建存储虚拟机(CLI)
+ 要创建 FSx 适用于 ONTAP 存储的虚拟机 (SVM),请使用 C [create-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/create-storage-virtual-machine.html)LI 命令(或等效[CreateStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateStorageVirtualMachine.html)的 API 操作),如以下示例所示。
```
aws fsx create-storage-virtual-machine \
--file-system-id fs-0123456789abcdef0 \
--name svm1 \
--svm-admin-password password \
--active-directory-configuration SelfManagedActiveDirectoryConfiguration='{DomainName="corp.example.com", \
OrganizationalUnitDistinguishedName="OU=FileSystems,DC=corp,DC=example,DC=com",FileSystemAdministratorsGroup="FSxAdmins", \
UserName="FSxService",Password="password", \
DnsIps=["10.0.1.18"]}',NetBiosName=amznfsx12345
```
成功创建存储虚拟机后,Amazon 以 JSON 格式 FSx 返回其描述,如以下示例所示。
```
{
"StorageVirtualMachine": {
"CreationTime": 1625066825.306,
"Endpoints": {
"Management": {
"DnsName": "svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.4"]
},
"Nfs": {
"DnsName": "svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.4"]
},
"Smb": {
"DnsName": "amznfsx12345",
"IpAddressses": ["198.19.0.4"]
},
"SmbWindowsInterVpc": {
"IpAddressses": ["198.19.0.5", "198.19.0.6"]
},
"Iscsi": {
"DnsName": "iscsi.svm-abcdef0123456789a.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.7", "198.19.0.8"]
}
},
"FileSystemId": "fs-0123456789abcdef0",
"Lifecycle": "CREATING",
"Name": "vol1",
"ResourceARN": "arn:aws:fsx:us-east-1:123456789012:storage-virtual-machine/fs-0123456789abcdef0/svm-abcdef0123456789a",
"StorageVirtualMachineId": "svm-abcdef0123456789a",
"Subtype": "default",
"Tags": [],
"ActiveDirectoryConfiguration": {
"NetBiosName": "amznfsx12345",
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "Admin",
"DnsIps": [
"10.0.1.3",
"10.0.91.97"
],
"OrganizationalUnitDistinguishedName": "OU=Computers,OU=customer-ad,DC=customer-ad,DC=example,DC=com",
"DomainName": "customer-ad.example.com"
}
}
}
}
```
# 更新存储虚拟机(SVM)
您可以使用亚马逊 FSx 控制台和亚马逊 FSx API 更新以下存储虚拟机 (SVM) 配置属性: AWS CLI
+ SVM 管理账户密码。
+ SVM Active Directory(AD)配置 – 您可以将 SVM 加入 AD,也可以修改已加入 AD 的 SVM 的 AD 配置。有关更多信息,请参阅 [管理 SVM Microsoft Active Directory 配置](manage-svm-ad-config-secrets-manager.md)。
**更新 SVM 管理员账户凭证(控制台)**
1. 打开亚马逊 FSx 控制台,网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。
1. 按如下所示方法选择要更新的 SVM:
+ 在左侧导航窗格中,选择**文件系统**,然后选择要更新 SVM 的 ONTAP 文件系统。
+ 选择**存储虚拟机**选项卡。
–或–
+ 要显示当前版本中所有 SVMs 可用虚拟机的列表 AWS 区域,请 AWS 账户 展开 **ONTAP** 并选择**存储虚拟机**。
1. 选择要更新的存储虚拟机。
1. 选择**操作 > 更新管理员密码**。**更新 SVM 管理凭证**窗口会显示。
1. 输入 `vsadmin` 用户的新密码并进行确认。
1. 选择**更新凭证**以保存新密码。
**更新 SVM 管理员账户凭证(CLI)**
+ 要更新 FSx 适用于 ONTAP 的 SVM 的配置,请使用 CL [update-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-storage-virtual-machine.html)I 命令(或等效[UpdateStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_UpdateStorageVirtualMachine.html)的 API 操作),如以下示例所示。
```
aws fsx update-storage-virtual-machine \
--storage-virtual-machine-id svm-abcdef01234567890 \
--svm-admin-password new-svm-password \
```
成功创建存储虚拟机后,Amazon 以 JSON 格式 FSx 返回其描述,如以下示例所示。
```
{
"StorageVirtualMachine": {
"CreationTime": 1625066825.306,
"Endpoints": {
"Management": {
"DnsName": "svm-abcdef01234567890.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.4"]
},
"Nfs": {
"DnsName": "svm-abcdef01234567890.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.4"]
},
"Smb": {
"DnsName": "amznfsx12345",
"IpAddressses": ["198.19.0.4"]
},
"SmbWindowsInterVpc": {
"IpAddressses": ["198.19.0.5", "198.19.0.6"]
},
"Iscsi": {
"DnsName": "iscsi.svm-abcdef01234567890.fs-0123456789abcdef0.fsx.us-east-1.amazonaws.com",
"IpAddressses": ["198.19.0.7", "198.19.0.8"]
}
},
"FileSystemId": "fs-0123456789abcdef0",
"Lifecycle": "CREATING",
"Name": "vol1",
"ResourceARN": "arn:aws:fsx:us-east-1:123456789012:storage-virtual-machine/fs-0123456789abcdef0/svm-abcdef01234567890",
"StorageVirtualMachineId": "svm-abcdef01234567890",
"Subtype": "default",
"Tags": [],
"ActiveDirectoryConfiguration": {
"NetBiosName": "amznfsx12345",
"SelfManagedActiveDirectoryConfiguration": {
"UserName": "Admin",
"DnsIps": [
"10.0.1.3",
"10.0.91.97"
],
"OrganizationalUnitDistinguishedName": "OU=Computers,OU=customer-ad,DC=customer-ad,DC=example,DC=com",
"DomainName": "customer-ad.example.com"
}
}
}
}
```
# 管理 SVM Microsoft Active Directory 配置
你可以将 SVM 加入微软 Active Directory,也可以修改已经加入微软 Active Directory 的 SVM 的微软 Active Directory 配置。 FSx for ONTAP 与集成 AWS Secrets Manager ,可安全地管理您的域加入服务帐户凭据。
**更新 SVM Microsoft Active Directory 配置(控制台)**
1. 打开亚马逊 FSx 控制台,网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。
1. 按如下所示方法选择要更新的 SVM:
+ 在左侧导航窗格中,选择**文件系统**,然后选择要更新 SVM 的 ONTAP 文件系统。
+ 选择**存储虚拟机**选项卡。
–或–
+ 要显示当前版本中所有 SVMs 可用虚拟机的列表 AWS 区域,请 AWS 账户 展开**ONTAP**并选择**存储虚拟机**。
1. 选择要更新的存储虚拟机。
1. 选择**操作 > 更新 Microsoft Active Directory 配置**。此时将显示**更新 Microsoft Active Directory 配置**窗口。
1. 对于**域加入服务账户凭证**,选择**在 Secrets Manager 中托管**(建议),以使用 Secrets Manager 实现安全的凭证管理。
**注意**
使用 Secrets Manager,则无需存储纯文本凭证,并可提供集中式凭证管理。有关更多信息,请参阅 [使用存储活动目录凭证 AWS Secrets Manager](self-managed-AD-best-practices.md#bp-store-ad-creds-using-secret-manager)。
1. 对于**密钥**,从 Secrets Manager 中选择包含已更新域加入服务账户凭证的现有密钥,或者选择**创建新密钥**以创建密钥。
1. 根据您的环境需要更新其他 Microsoft Active Directory 配置字段。
1. 选择**更新配置**以保存更改。
**更新 SVM Microsoft Active Directory 配置(CLI)**
+ 要更新 FSx 适用于 ONTAP 的 SVM 的 Microsoft Active Directory 配置,请使用带有`--active-directory-configuration`参数的 [update-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/update-storage-virtual-machine.html)CLI 命令,如下例所示。
```
aws fsx update-storage-virtual-machine \
--storage-virtual-machine-id svm-abcdef01234567890 \
--active-directory-configuration DomainJoinServiceAccountSecret=secret-arn
```
# 审计文件访问
适用于 NetApp ONTAP 的 Amazon FSx 支持审计最终用户对虚拟存储机(SVM)中文件和目录的访问权限。
**Topics**
+ [文件访问审计概述](#auditing-overview)
+ [设置文件访问审计的任务概览](#auditing-tasks)
## 文件访问审计概述
文件访问审计能让您根据您定义的审计策略记录最终用户对单个文件和目录的访问权限。文件访问审计可以帮助您提高系统的安全性,降低未经授权访问系统数据的风险。文件访问审计可帮助您的组织遵守数据保护要求,尽早发现潜在威胁,并降低数据泄露的风险。
在文件和目录访问中,Amazon FSx 支持记录成功的尝试(例如拥有足够权限的用户成功访问文件)、失败的尝试或两者兼而有之。您还可以随时关闭文件访问审计。
默认情况下,审计事件日志以 `EVTX` 文件格式存储,允许您使用 Microsoft 事件查看器进行查看。
### 可以审计的 SMB 访问事件
下表列出了可以审计的 SMB 文件和文件夹访问事件。
****
| 事件 ID(EVT/EVTX) | 事件 | 描述 | 类别 |
| --- | --- | --- | --- |
| 560/4656 | 打开对象/创建对象 | OBJECT ACCESS:打开对象(文件或目录) | 文件访问 |
| 563/4659 | 打开要删除的对象 | OBJECT ACCESS:为了删除而请求对象(文件或目录)句柄 | 文件访问 |
| 564/4660 | 删除对象 | OBJECT ACCESS:删除对象(文件或目录) 当 Windows 客户端尝试删除对象(文件或目录)时,ONTAP 会生成此事件 | 文件访问 |
| 567/4663 | 读取对象/写入对象/获取对象属性/设置对象属性 | OBJECT ACCESS:对象访问尝试(读取、写入、获取属性、设置属性)。 对于此事件,ONTAP 仅审计对象上的第一个 SMB 读取和第一个 SMB 写入操作(成功或失败)。这样可以防止 ONTAP 在单个客户端打开对象并对同一对象执行多次连续读取或写入操作时创建过多的日志条目。 | 文件访问 |
| N/A/4664 | 硬链接 | OBJECT ACCESS:尝试创建硬链接 | 文件访问 |
| N/A/N/A ONTAP 事件 ID 9999 | 重命名对象 | OBJECT ACCESS:已重命名对象。这是一个 ONTAP 事件。Windows 目前不支持将其作为单一事件。 | 文件访问 |
| N/A/N/A ONTAP 事件 ID 9998 | 取消关联对象 | OBJECT ACCESS:对象已取消关联。这是一个 ONTAP 事件。Windows 目前不支持将其作为单一事件。 | 文件访问 |
### 可以审计的 NFS 访问事件
以下 NFS 文件和文件夹访问事件可以审计。
+ READ
+ OPEN
+ CLOSE
+ READDIR
+ WRITE
+ SETATTR
+ CREATE
+ LINK
+ OPENATTR
+ REMOVE
+ GETATTR
+ VERIFY
+ NVERIFY
+ RENAME
## 设置文件访问审计的任务概览
设置 FSx for ONTAP 以进行文件访问审计涉及以下高级任务:
1. [熟悉](#auditing-requirements)文件访问审计要求和注意事项。
1. 在特定 SVM 上[创建审计配置](#create-audit-config)。
1. 在该 SVM 上[启用审计](#enable-auditing)。
1. 对您的文件和目录[配置审计策略](#file-audit-policies)。
1. 在 FSx for ONTAP 发出审计事件日志后[查看审计事件日志](#view-audit-logs)。
任务详细信息可见于以下过程。
对文件系统上要为其启用文件访问审计的任何其他 SVM 重复这些任务。
### 审计要求
在 SVM 上配置和启用审计之前,您应了解以下要求和注意事项。
+ NFS 审计支持指定为 `u` 类型的审计访问控制条目(ACE),尝试访问对象时,这些条目会生成审计日志条目。对于 NFS 审计,模式位和审计 ACE 之间无映射。将 ACL 转换为模式位时,会跳过审计 ACE。将模式位转换为 ACL 时,不会生成审计 ACE。
+ 审计取决于暂存卷中的可用空间。(暂存卷是由 ONTAP 创建的用于存储暂存文件的专用卷,这些文件是单个节点上的中间二进制文件,审计记录在转换为 EVTX 或 XML 文件格式之前存储在这些节点上。) 您必须确保在包含已审计卷的聚合中有足够的空间容纳暂存卷。
+ 审计取决于存储转换后审计事件日志的目录所在的卷中是否有可用空间。必须确保卷中有足够的空间用于存储事件日志。您可以在创建审计配置时使用 `-rotate-limit` 参数来指定要在审计目录中保留的审计日志数量,这有助于确保卷中有足够的可用空间存放审计日志。
### 在 SVM 上创建审计配置
在开始审计文件和目录事件之前,必须先在存储虚拟机(SVM)上创建审计配置。创建审计配置之后,您必须在 SVM 上启用。
在使用 `vserver audit create` 命令创建审计配置之前,请确保已创建用作日志目标的目录,且该目录没有符号链接。您可以使用 `-destination` 参数指定目标目录。
您可以创建根据日志大小或计划轮换审计日志的审计配置,如下所示:
+ 要根据日志大小轮换审计日志,请使用以下命令:
```
vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]
```
以下示例为名为 `svm1` 的 SVM 创建审计配置,使用基于大小的轮换来审计文件操作以及 CIFS(SMB)登录和注销事件(默认)。日志格式为 `EVTX`(默认),日志存储在 `/audit_log` 目录中,每次只有一个日志文件(最大 200MB)。
```
vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB
```
+ 要根据计划轮换审计日志,请使用以下命令:
```
vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
[-rotate-limit integer] [-rotate-schedule-month chron_month]
[-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
[-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]
```
如果您要配置基于时间的审计日志轮换,则需要 `-rotate-schedule-minute` 参数。
以下示例使用基于时间的轮换为名为 `svm2` 的 SVM 创建审计配置。日志格式为 `EVTX`(默认),审计日志每月轮换,时间为每日中午 12:30。
```
vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
```
您可以使用 `-format` 参数来指定审计日志是以转换后的 `EVTX` 格式(默认)还是以 `XML` 文件格式创建。`EVTX` 格式允许您使用 Microsoft 事件查看器查看日志文件。
默认情况下,要审计的事件类别包括文件访问事件(SMB 和 NFS)、CIFS(SMB)登录和注销事件以及授权策略更改事件。您可以通过 `-events` 参数更好地控制要记录哪些事件,其格式如下:
```
-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}
```
例如,使用 `-events file-share` 可以对文件共享事件进行审计。
有关 `vserver audit create` 命令的更多信息,请参阅[创建审计配置](https://docs.netapp.com/ontap-9/topic/com.netapp.doc.dot-cm-cmpr-9101/vserver__audit__create.html)。
### 在 SVM 上启用审计
设置审计配置之后,您必须在 SVM 上启用审计。为此,请使用以下命令:
```
vserver audit enable -vserver svm_name
```
例如,使用以下命令启用名为 `svm1` 的 SVM 的审计。
```
vserver audit enable -vserver svm1
```
您可以随时禁用访问审计。例如,使用以下命令禁用名为 `svm4` 的 SVM 的审计。
```
vserver audit disable -vserver svm4
```
禁用审计后,不会删除 SVM 上的审计配置,这意味着您可以随时在该 SVM 上重新启用审计。
### 配置文件和文件夹审计策略
您需要为要审计用户访问尝试的文件和文件夹配置审计策略。您可以配置审计策略来监控成功和失败的访问尝试。
SMB 和 NFS 两种审计策略均可配置。根据卷的安全样式,SMB 和 NFS 审计策略具有不同的配置要求和审计功能。
#### NTFS 安全样式文件和目录的审计策略
您可以使用“Windows 安全”选项卡或 ONTAP CLI 配置 NTFS 审计策略。
##### 要配置 NTFS 审计策略(“Windows 安全”选项卡),请执行以下操作:
您可以通过向 NTFS SACL 中添加与 NTFS 安全描述符关联的条目来配置 NTFS 审计策略。然后将安全描述符应用于 NTFS 文件和目录。这些任务由 Windows GUI 自动处理。安全描述符可以包含用于应用文件和文件夹访问权限的自主访问控制列表(DACL)、用于文件和文件夹审计的 SACL,或者同时包含 SACL 和 DACL。
1. 从 Windows 资源管理器的**工具**菜单中,选择**映射网络驱动器**。
1. 填写**映射网络驱动程序**框:
1. 选择**驱动器**号。
1. 在**文件夹**框中,键入包含共享的 SMB(CIFS)服务器名称,其中包含要审计的数据和共享的名称。
1. 选择**完成**。
您选择的驱动器已安装并准备就绪,Windows 资源管理器窗口显示共享中包含的文件和文件夹。
1. 选择要为其启用审计访问的文件或目录。
1. 右键单击文件或目录,然后选择**属性**。
1. 选择**安全性**选项卡。
1. 单击**高级**。
1. 选择**审计**选项卡。
1. 执行所需的操作:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/fsx/latest/ONTAPGuide/file-access-auditing.html)
如果要对用户或组设置审计,或者要更改对现有用户或组的审计,则打开***对象*的审计条目**框。
1. 在**应用于**框中,选择要如何应用此审计条目。
如果要对单个文件设置审计,则**应用于**框处于非活动状态,因为它默认为“仅限此对象”。
1. 在**访问权限**框中,选择要审计的内容,以及是要审计成功的事件、失败的事件还是两者兼而有之。
+ 要审计成功的事件,请选择**成功**框。
+ 要审计失败的事件,请选择**失败**框。
选择需要监控的操作以满足您的安全要求。有关这些可审计事件的更多信息,请参阅 Windows 文档。您可以审计以下事件:
+ 完全控制
+ 遍历文件夹/执行文件
+ 列出文件夹/读取数据
+ 读取属性
+ 读取扩展属性
+ 创建文件/写入数据
+ 创建文件夹/追加数据
+ 写入属性
+ 写入扩展属性
+ 删除子文件夹和文件
+ 删除
+ 读取权限
+ 更改权限
+ 获取所有权
1. 如果您不希望将审计设置传播到原始容器的后续文件和文件夹,请选择**仅将这些审计条目应用于此容器中的对象和/或容器**框。
1. 选择**应用**。
1. 添加、删除或编辑审计条目后,选择**确定**。
***对象*的审计条目**框关闭。
1. 在**审计**框中,选择此文件夹的继承设置。仅选择提供符合您安全要求的审计事件的最低级别。
您可以选择以下任一种密钥:
+ 选择**包括此对象父项中可继承的审计条目**框。
+ 选择**用此对象中的可继承审计条目替换所有子代上的现有可继承审计条目**框。
+ 两个都选。
+ 两个都不选。
如果您在单个文件上设置 SACL,则**审计**框中不会显示**用此对象中的可继承审计条目替换所有子代上的现有可继承审计条目**。
1. 选择**确定**。
##### 要配置 NTFS 审计策略(ONTAP CLI),请执行以下操作:
通过使用 ONTAP CLI,您可以配置 NTFS 审计策略,而无需在 Windows 客户端上使用 SMB 共享连接到数据。
+ 您可以使用 [vserver security file-directory ntfs sacl add](https://docs.netapp.com/us-en/ontap-cli-9101/vserver-security-file-directory-ntfs-sacl-add.html#description) 命令系列来配置 NTFS 审计策略。
例如,以下命令为名为 `vs0` 的 SVM创建名为 `p1` 的安全策略。
```
vserver security file-directory policy create -policy-name p1 -vserver vs0
```
然后,以下命令将 `p1` 安全策略应用于 `vs0` SVM。
```
vserver security file-directory apply -vserver vs0 -policy-name p1
```
#### UNIX 安全样式文件和目录的审计策略
您可以通过向 NFS v4.x ACL(访问控制列表)中添加审计 ACE(访问控制表达式)来配置对 UNIX 安全样式文件和目录的审计。出于安全考虑,这允许您监控某些 NFS 文件和目录访问事件。
**注意**
对于 NFS v4.x,自主 ACE 和系统 ACE 都存储在同一 ACL 中。因此,在向现有 ACL 中添加审计 ACE 时必须小心,以免覆盖和丢失现有 ACL。将审计 ACE 添加到现有 ACL 的顺序无关紧要。
##### 要配置 UNIX 审计策略,请执行以下操作:
1. 使用 `nfs4_getfacl` 或等效命令检索文件或目录的现有 ACL。
1. 附加所需的审计 ACE。
1. 使用 `nfs4_setfacl` 或等效命令将更新后的 ACL 应用于文件或目录。
此示例使用 `-a` 选项授予用户(名为 `testuser`)读取名为 `file1` 的文件的权限。
```
nfs4_setfacl -a "A::testuser@example.com:R" file1
```
### 查看审计事件日志
您可以查看以 `EVTX` 或 `XML` 文件格式保存的审计事件日志。
+ `EVTX` 文件格式 – 您可以使用 Microsoft 事件查看器将转换后的 `EVTX` 审计事件日志作为保存的文件打开。
使用事件查看器查看事件日志时,有两个选项可供选择:
+ **一般视图**:显示事件记录中所有事件的通用信息。不显示事件记录中特定于事件的数据。您可以使用详细视图来显示特定事件的数据。
+ **详细视图**:提供友好视图和 XML 视图。友好视图和 XML 视图既显示所有事件的通用信息,也显示事件记录中特定事件的数据。
+ `XML` 文件格式 – 您可以查看和处理支持 XML 文件格式的第三方应用程序上的 XML 审计事件日志。只要您具有 XML 架构和有关 XML 字段定义的信息,就可以使用 XML 查看工具来查看审计日志。
# 在工作组中设置 SMB 服务器
如果 Microsoft Active Directory 域基础设施不可用,可在 SVM 的工作组中配置服务器消息块(SMB)服务器,作为[将 SVM 加入 Microsoft Active Directory](ad-integration-ontap.md) 的替代方案。工作组是使用 SMB 协议的对等联网,且仅包含本地账户和本地组。
将 SMB 服务器设置为工作组成员的过程包括:
+ 在存储虚拟机(SVM)上创建 SMB 服务器。
+ 创建本地用户和组。
+ 将本地用户或组添加为工作组的成员。
请记住,工作组模式下的 SMB 服务器不支持以下 SMB 功能:
+ SMB3 见证协议
+ SMB3 CA 共享
+ 通过 SMB 的 SQL
+ 文件夹重定向
+ 漫游配置文件
+ 组策略对象(GPO)
+ 卷快照服务(VSS)
此外,工作组模式下的 SMB 服务器仅支持 NTLM 身份验证,而不支持 Kerberos 身份验证。
以下流程将引导您完成在工作组的 SVM 上设置 SMB 服务器、创建本地账户,以及将这些账户添加到工作组成员资格。您将使用文件系统或 SVM 管理界面中的 NetApp ONTAP CLI 以实施这些流程。有关更多信息,请参阅 [使用 NetApp ONTAP CLI](managing-resources-ontap-apps.md#netapp-ontap-cli)。
**Topics**
+ [在工作组中创建 SMB 服务器](create-smb-server-workgroup.md)
+ [在 SMB 服务器上创建本地用户账户](smb-workgroup-create-local-accounts.md)
+ [在 SMB 服务器上创建本地组](smb-workgroup-create-local-groups.md)
+ [将本地用户添加到本地组](smb-workgroup-add-users-to-group.md)
# 在工作组中创建 SMB 服务器
您可以使用 [https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-create.html](https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-create.html)ONTAP CLI 命令在 SVM 上创建 SMB 服务器,并指定该服务器所属的工作组。
## 开始前的准备工作
用于提供数据的 SVM 及卷(和接口)必须已配置为允许 SMB 协议。
LIF 必须能够连接到 SVM 上配置的 DNS 服务器。文件系统可能需要 CIFS 许可证,但如果 SMB 服务器仅用于身份验证,则不需要 CIFS 许可证。
**在工作组中创建 SMB 服务器**
1. 要访问 ONTAP CLI,请运行以下命令,在适用于 NetApp ONTAP 的 Amazon FSx 文件系统或 SVM 的管理端口上建立 SSH 会话。将 `management_endpoint_ip` 替换为文件系统管理端口的 IP 地址。
```
[~]$ ssh fsxadmin@management_endpoint_ip
```
有关更多信息,请参阅 [使用 ONTAP CLI 管理文件系统](managing-resources-ontap-apps.md#fsxadmin-ontap-cli)。
1. 在工作组中创建 SMB 服务器:
```
FSxIdabcde123456::> vserver cifs create -vserver vserver_name -cifs-server cifs_server_name -workgroup workgroup_name [-comment workgroup_description]
```
以下命令在工作组 `workgroup01` 中创建 SMB 服务器 `smb_server01`:
```
FSxIdabcde123456::> vserver cifs create -vserver svm1 -cifs-server SMB_SERVER01 -workgroup workgroup01
```
如果已连接到 SVM 的管理端口,则无需指定 `-vserver`。
1. 使用 `vserver cifs show` 命令验证 SMB 服务器配置。
在以下示例中,命令输出显示在工作组 `workgroup01` 的 SVM `svm1` 上创建了名为 `smb_server01` 的 SMB 服务器:
```
FSxIdabcde123456::> vserver cifs show -vserver svm1
Vserver: svm1
CIFS Server NetBIOS Name: SMB_SERVER01
NetBIOS Domain/Workgroup Name: workgroup01
Fully Qualified Domain Name: -
Organizational Unit: -
Default Site Used by LIFs Without Site Membership: -
Workgroup Name: workgroup01
Authentication Style: workgroup
CIFS Server Administrative Status: up
CIFS Server Description:
List of NetBIOS Aliases: -
```
# 在 SMB 服务器上创建本地用户账户
您可以创建本地用户账户,用于授权通过 SMB 连接访问 SVM 中包含的数据。创建 SMB 会话时,也可使用本地用户账户进行身份验证。创建 SVM 时,默认启用本地用户功能。创建本地用户账户时,必须指定用户名,还必须指定要与该账户关联的 SVM。
**在 SMB 服务器上创建本地用户账户**
1. 使用 [https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-users-and-groups-local-user-create.html](https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-users-and-groups-local-user-create.html) ONTAP CLI 命令创建本地用户:
```
vserver cifs users-and-groups local-user create -vserver svm_name -user-name user_name optional_parameters
```
以下可选参数可能有所助益:
+ `-full-name`:用户的全名。
+ `-description`:对本地用户的描述。
+ `-is-account-disabled {true|false}`:指定启用还是禁用用户账户。如果未指定此参数,则默认启用用户账户。
该命令提示输入本地用户的密码。
1. 输入本地用户的密码,然后确认该密码。
1. 验证用户是否已成功创建:
```
vserver cifs users-and-groups local-user show -vserver svm_name
```
以下示例创建本地用户 `SMB_SERVER01\sue`,其全名为 `Sue Chang`,且与 SVM `svm1` 关联:
```
FSxIdabcde123456::> vserver cifs users-and-groups local-user create -vserver svm1 ‑user-name SMB_SERVER01\sue -full-name "Sue Chang"
Enter the password:
Confirm the password:
```
```
FSxIdabcde123456::> vserver cifs users-and-groups local-user show
Vserver User Name Full Name Description
-------- -------------------------- ---------- -------------
svm1 SMB_SERVER01\Administrator Built-in administrator account
svm1 SMB_SERVER01\sue Sue Chang
```
# 在 SMB 服务器上创建本地组
您可以创建本地组,用于授权通过 SMB 连接访问与 SVM 相关联的数据。您还可以分配权限,以定义组成员拥有的用户权限或功能。
创建 SVM 时,默认启用本地组功能。创建本地组时,必须指定组的名称,还必须指定要与该组关联的 SVM。您可以指定包含或不包含本地域名的组名,也可以选择性地为本地组指定描述。您无法将一个本地组添加到另一个本地组。
**在 SMB 服务器上创建本地组**
1. 使用 [https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-users-and-groups-local-group-create.html](https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-users-and-groups-local-group-create.html) ONTAP CLI 命令创建本地组。
```
vserver cifs users-and-groups local-group create -vserver svm_name -group-name group_name [-description local_group_description
```
为本地组添加描述会有所助益。
1. 验证组是否已成功创建:
```
vserver cifs users-and-groups local-group show -vserver svm_name
```
以下示例创建与 SVM `svm1` 关联的本地组 `SMB_SERVER01\engineering`:
```
FSxIdabcde123456::> vserver cifs users-and-groups local-group create -vserver svm1 -group-name SMB_SERVER01\engineering
```
```
FSxIdabcde123456::> vserver cifs users-and-groups local-group show -vserver svm1
Vserver Group Name Description
---------------- ---------------------------- ----------------------------
svm1 BUILTIN\Administrators Built-in Administrators group
svm1 BUILTIN\Backup Operators Backup Operators group
svm1 BUILTIN\Guests Built-in Guests group
svm1 BUILTIN\Power Users Restricted administrative privileges
svm1 BUILTIN\Users All users
svm1 SMB_SERVER01\engineering
```
# 将本地用户添加到本地组
您可以通过添加和删除本地或域用户,或添加和删除域组来管理本地组成员资格。如果您需要根据对组设置的访问控制来控制对数据的访问权限,或者您希望用户拥有与该组关联的权限,则此功能非常有用。如果您不再希望本地用户、域用户或域组基于其所属组的成员资格享有访问权限或特权,可将其从该组中移除。
向本地组添加成员时,请注意以下事项:
+ 您无法向特殊的*所有人*组添加用户。
+ 您无法将一个本地组添加到另一个本地组。
+ 要将域用户或组添加到本地组,ONTAP 必须能够将名称解析为 SID。
从本地组中移除成员时,请注意以下事项:
+ 您无法从特殊的*所有人*组中移除成员。
+ 要从本地组中移除成员,ONTAP 必须能够将其名称解析为 SID。
您需要具备 `fsxadmin` 角色才能运行此过程中使用的命令。有关更多信息,请参阅 [ONTAP 用户和角色](roles-and-users.md)。
**管理本地组成员资格**
+ 使用 [https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-users-and-groups-local-group-add-members.html](https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-users-and-groups-local-group-add-members.html) 和 [vserver cifs users-and-groups local-group remove-members](https://docs.netapp.com/us-en/ontap-cli/vserver-cifs-users-and-groups-local-group-remove-members.html) ONTAP CLI 命令,向组添加成员或从组中移除成员。
+ 要向工作组添加成员,请执行以下操作:
```
vserver cifs users-and-groups local-group add-members ‑vserver svm_name -group-name group_name ‑member-names name[,...]
```
您可以指定以逗号分隔的本地用户、域用户或域组列表,以添加至指定的本地组。
+ 要查看工作组的成员,请执行以下操作:
```
vserver cifs users-and-groups local-group show-members -vserver svm_name -group-name group_name
```
+ 要从工作组中移除成员,请执行以下操作:
```
vserver cifs users-and-groups local-group remove-members ‑vserver svm_name -group-name group_name ‑member-names name[,...]
```
您可以指定以逗号分隔的本地用户、域用户或域组列表,以从指定的本地组中移除。
以下示例将本地用户 `SMB_SERVER01\sue` 添加到 SVM `svm1` 上的本地组 `SMB_SERVER01\engineering`:
```
FSxIdabcde123456::> vserver cifs users-and-groups local-group add-members -vserver svm1 -group-name SMB_SERVER01\engineering -member-names SMB_SERVER01\sue
```
以下示例将本地用户 `SMB_SERVER01\sue` 和 `SMB_SERVER01\james` 从 SVM `svm1` 上的本地组 `SMB_SERVER01\engineering` 中移除:
```
FSxIdabcde123456::> vserver cifs users-and-groups local-group remove-members -vserver svm1 -group-name SMB_SERVER01\engineering -member-names SMB_SERVER01\sue,SMB_SERVER01\james
```
以下示例列出本地组 `SMB_SERVER01\engineering` 的成员:
```
FsxIdabcdef01234::> vserver cifs users-and-groups local-group show-members -vserver svm_name -group-name group_name
Vserver: svm1
Domain Name: SMB_SERVER01
Group Name: SMB_SERVER01\engineering
Member Name: SMB_SERVER01\anita
SMB_SERVER01\james
SMB_SERVER01\liang
```
# 监控存储虚拟机(SVM)配置详细信息
您可以使用亚马逊 FSx 控制台、和 Amazon FSx API 查看当前位于文件系统中的 ONTAP 存储虚拟机。 FSx AWS CLI
**要查看文件系统上的存储虚拟机,请执行以下操作:**
+ **使用控制台** – 选择一个文件系统,查看其**文件系统**详细信息页面。要列出文件系统上的所有存储虚拟机,请选择**存储虚拟机**选项卡,然后选择要查看的存储虚拟机。
+ **使用 CLI 或 API**-使用 [describe-storage-virtual-machines](https://docs.aws.amazon.com/cli/latest/reference/fsx/describe-storage-virtual-machines.html)CLI 命令或 [DescribeStorageVirtualMachines](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeStorageVirtualMachines.html)API 操作。
系统响应是您账户 SVMs 中所有内容的完整描述列表 AWS 区域。
# 删除存储虚拟机(SVM)
您只能使用亚马逊 FSx 控制台、和 API 删除 FSx 适用于 ONTAP 的 AWS CLI SVM。在删除 SVM 之前,您必须先删除 SVM 上附加的所有非根卷。
**重要**
您无法使用 NetApp ONTAP CLI 或 API 删除 SVM。
**注意**
在删除存储虚拟机之前,请确保没有应用程序正在访问 SVM 中的数据,并且已删除 SVM 上附加的所有非根卷。
**删除存储虚拟机(控制台)**
1. 打开亚马逊 FSx 控制台,网址为[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)。
1. 按以下方式选择要删除的 SVM:
+ 在左侧导航窗格中,选择**文件系统**,然后选择要删除 SVM 的 ONTAP 文件系统。
+ 选择**存储虚拟机**选项卡。
–或–
+ 要显示所有 SVMs 可用虚拟机的列表,请展开 **ONTAP** 并选择**存储虚拟机**。
从列表中选择要删除的 SVM。
1. 在**卷**选项卡中,查看 SVM 上附加的卷的列表。在删除 SVM 之前,您必须先删除 SVM 上附加的所有非根卷(如果有)。请参阅 [删除卷](deleting-volumes.md) 以了解更多信息。
1. 从**操作**菜单中选择**删除存储虚拟机**。
1. 在“删除确认”对话框中,请选择**删除存储虚拟机**。
**删除存储虚拟机(CLI)**
+ 要删除 FSx 适用于 ONTAP 存储的虚拟机,请使用 [delete-storage-virtual-machine](https://docs.aws.amazon.com/cli/latest/reference/fsx/delete-storage-virtual-machine.html)CLI 命令(或等效[DeleteStorageVirtualMachine](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DeleteStorageVirtualMachine.html)的 API 操作),如以下示例所示。
```
aws fsx delete-storage-virtual-machine --storage-virtual-machine-id svm-abcdef0123456789d
```