操作场景
文件存储(Cloud File Storage,CFS)支持传输加密及存储加密功能。您可以在创建文件系统时启用存储加密,在挂载文件系统时启用传输加密。体验文件存储加密功能,请您填写 文件存储加密功能申请表 申请使用。本文将为您详细介绍如何使用文件存储加密功能。
事项 | 限制 | 说明 |
地域限制 | 中国香港 | 目前仅中国香港地区支持传输加密及静态存储加密 |
传输加密-文件访问协议 | 目前仅支持 NFS v4.0 | 若需启用传输加密,需要使用 NFS v4.0 协议挂载文件系统,其他版本及协议暂不支持 |
传输加密-客户端限制 | 目前仅支持 Linux、 Unix 内核的操作系统上配置传输加密 | 暂不支持 Window 客户端配置传输加密 |
前提条件
操作步骤
加密传输中数据
由于协议特性,使用 NFS 协议访问文件系统中的通信信息,均为明文传输。在特殊场景下,业务要求对客户端与文件系统交互的信息进行加密。 针对此业务需求,CFS 提供了在挂载文件系统时启用传输层安全性(TLS)的方式,实现数据传输的加密。
本案例以在 CentOS 上使用 Stunnel (Stunnel 是一种开源多用途网络中继服务)启用传输加密为例,您也可以采用其他提供 TLS/SSL 功能的应用自行配置传输加密,启用传输加密的步骤如下:
1. 下载并安装 Stunnel。
yum install -y stunnel
2. 修改 Stunnel 权限,在 /var/run/ 目录下创建一个名为 stunnel 的目录,设置所有用户拥有可执行权限,执行命令如下。
chmod 777 stunnel
3. 在 /etc/stunnel 目录下创建 stunnel.conf 文件,并将下列内容复制到 stunnel.conf 文件。
root = /var/run/stunnel/pid = /stunnel.pidclient = yes[nfs]accept = 2049connect = cfs_ip:22049
4. 将上述中的 cfs_ip 替换为欲挂载的 CFS 实例的 IP 地址,如下所示。
connect = 10.0.0.1:22049
5. 启动 stunnel 服务。
/usr/bin/stunnel /etc/stunnel/stunnel.conf
6. 挂载文件系统,实现传输加密。
// 以下 localhost 为云服务器的 localhost, localfolder 为目标挂载路径。mount -t nfs -o vers=4.0,rw,sync localhost:/ /localfolder
加密静态数据
除了在传输过程中加密,某些业务场景还要求对存储的数据进行加密。文件存储 CFS 提供静态存储数据加密功能,以保障数据的私密性。n文件存储 CFS 使用腾讯云 密钥管理服务 提供的密钥,并使用 AES-256 算法进行数据的静态加密。启用文件系统的加密功能后,您无需关心加解密程序,存储加密过程对于您的业务系统来说完全透明。
您可以在创建文件系统时,选择是否要加密文件系统。
1. 登录 CFS 控制台。
2. 单击创建,弹出“创建文件系统”配置窗口。
3. 选择中国香港地区、填入其他参数后,单击下一步。
4. 勾选启用数据加密。 首次使用时,需要您授权 CFS 服务可以访问 KMS。授权的同时,系统会为每个用户默认生成一个唯一的、供 CFS 服务使用的密钥,您新建的文件系统将默认使用该密钥进行加密。
5. 授权完成后,回到 CFS 控制台,单击完成,即可创建加密的文件系统。
说明
存储在 CFS 上的数据,目前仅支持使用默认密钥进行加密。
6. 创建好加密的文件系统后, 即可像使用其他文件系统一样挂载并使用。挂载方法请参见 在 Linux 客户端上使用 CFS 文件系统。
注意
在创建文件系统时设置加密选项,后续将无法更改文件系统加密属性(含加密状态及所使用密钥)。
