Sous VMware vSphere 6.7, vous pouvez utiliser des banques de données NFS 4.1 pour bénéficier de l'authentification Kerberos (krb5 ou krb5i).
Ce qui n'était pas le cas avec le NFS 3 qui n'était pas sécurisé et qui devait donc être utilisé sur un réseau séparé pour des raisons de sécurité.

Néanmoins, l'utilisation du NFS 4.1 nécessite quelques pré-requis par rapport au NFS 3.

1. Avantages et inconvénients du NFS 4.1
   1. Avantages du NFS 4.1
   2. Inconvénients du NFS 4.1
   3. Compatibilité avec le NFS 4.1
2. Configuration DNS sur l'hôte VMware ESXi souhaité
3. Synchroniser l'horloge de votre hôte VMware ESXi avec celle de votre contrôleur de domaine
4. Joindre l'hôte VMware ESXi à votre domaine Active Directory (pour utiliser l'authentification Kerberos)
5. Configurer l'authentification Kerberos pour NFS 4.1
6. Installer un serveur NFS
7. Créer un partage NFS 4.1 sous Windows Server 2016
8. Créer une banque de données NFS 4.1 depuis le VMware vSphere Client
9. Monter une banque de données NFS 4.1 sur un 2ème hôte VMware ESXi
10. Démonter une banque de données NFS 4.1 depuis le VMware vSphere Client

1. Avantages et inconvénients du NFS 4.1

1.1. Avantages du NFS 4.1

Les principaux avantages du NFS 4.1 sont :

• l'authentification Kerberos (ce qui permet d'utiliser NFS de façon sécurisée) contrairement au NFS v3 où aucune authentification n'est nécessaire.
• le multipathing (ce qui permet d'augmenter les performances)

1.2. Inconvénients du NFS 4.1

Les principaux inconvénients du NFS 4.1 sont que cela requiert plus de configuration et que certaines fonctionnalités de vSphere ne sont pas supportées qu'avec le NFS 3.

1.3. Compatibilité avec le NFS 4.1

Le NFS 3 et le NFS 4.1 sont compatibles avec ces fonctionnalités VMware vSphere :

• vMotion et Storage vMotion : migration de machines virtuelles à chaud ou à froid (en résumé).
• High Availability (HA) : Haute disponibilité.
• Fault Tolerance (FT) : permet de faire de la tolérance de panne gardant une copie à jour de vos machines virtuelles pour pouvoir restaurer celle-ci en cas de plantage de l'hôte VMware ESXi source où s'exécutait votre VM.
• Distributed Resource Scheduler (DRS) : permet de distribuer la charge de travail en fonction des ressources disponibles.
• Host Profiles : permet de configurer plusieurs hôtes en une fois grâce à un profil d'hôte.
• Virtual Volumes : permet d'utiliser des conteneurs de disques virtuels pour le stockage (vSAN).
• vSphere Replication : permet de créer un environnement de secours en répliquant également toutes vos machines virtuelles.
• vRealize Operations Manager : permet de gérer votre infrastructure physique, virtuelle et cloud (y compris vos VMs, ...) de façon centralisée.

Par contre, ces fonctionnalités ne seront pas supportées si vous utilisez NFS 4.1 :

• Storage DRS : permet d'équilibrer la charge d'entrées/sorties sur les banques de données d'un cluster.
• Storage I/O Control : permet d'éviter la latence sur vos banques de données en limitant les entrées/sorties si le seul défini est dépassé.
• Site Recovery Manager : permet de créer un plan de reprise d'activité.

Attention : le système de verrouillage utilisé par NFS 3 n'est pas le même que sous NFS 4.1.
N'essayez donc pas de créer un partage NFS 3 sur votre serveur NFS pour le monter en NFS 4.1 sous VMware vSphere (ou inversement), car cela pourrait créer des problèmes et des corruptions de données.

Source : Protocoles NFS et ESXi - VMware Docs.

2. Configuration DNS sur l'hôte VMware ESXi souhaité

Pour utiliser le NFS 4.1 de façon sécurisée, vous avez besoin d'une authentification Kerberos.

Pour que cela soit possible, il faut d'abord que :

• l'hôte sur lequel vous souhaitez ajouter une banque de données NFS 4.1 soit lié à un domaine Active Directory.
• votre hôte VMware ESXi soit configuré pour utiliser votre serveur DNS local (sur lequel la zone DNS de votre domaine Active Directory se trouve).
• l'horloge de votre hôte soit synchronisée avec celle de votre contrôleur de domaine Active Directory.

Sources :

• Configurer les hôtes ESXi pour l'authentification Kerberos - VMware Docs
• Utilisation de Kerberos pour NFS 4.1 - VMware Docs

Pour cela, sélectionnez l'hôte VMware ESXi souhaité et allez dans : Configurer -> Mise en réseau -> Configuration TCP/IP.
Ensuite, sélectionnez la pile TCP/IP "Par défaut" et cliquez sur : Modifier.

Dans la fenêtre "Par défaut - Modifier la configuration de la pile TCP/IP" qui s'affiche, assurez-vous que le serveur DNS favori corresponde à l'adresse IP de votre contrôleur de domaine Active Directory (ou votre serveur DNS local qui connait la zone DNS de votre domaine AD).
De préférence, indiquez aussi votre nom de domaine Active Directory dans les champs "Domaine" et "Domaines de recherche".

Faites de même sur les autres hôtes VMware ESXi sur lesquels vous souhaitez monter des banques de données NFS 4.1.

3. Synchroniser l'horloge de votre hôte VMware ESXi avec celle de votre contrôleur de domaine

Pour que l'authentification Kerberos nécessaire au protocole NFS 4.1 puisse fonctionner correctement, il est primordial que l'horloge de votre hôte VMware ESXi soit synchronisée avec celle de votre contrôleur de domaine.
Pour cela, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Système -> Configuration de l'heure".
Ensuite, cliquez sur : Modifier.

Important : une différence de plus de 5 minutes entre les 2 horloges causera des problèmes d'authentification Kerberos et donc des problèmes lors de l'ajout ou de l'utilisation de vos banques de données NFS 4.1.

Dans la fenêtre "Modifier la configuration de temps" qui apparait, sélectionnez "Utiliser Protocole NTP (Activer client NTP)" et renseignez les champs proposés :

• Serveurs NTP : l'adresse IP de votre contrôleur de domaine Active Directory.
  Si vous avez plusieurs contrôleurs de domaine Active Directory, assurez-vous que celui indiqué soit celui possédant le rôle FSMO "Emulateur PDC (Emulateur de contrôleur de domaine principal)".
• Statut du service : cochez la case "Démarrer le service NTP".
• Règle de démarrage du service NTP : Démarrer et arrêter avec l'hôte.

Votre hôte VMware ESXi est maintenant configuré pour synchroniser son horloge avec celle de votre contrôleur de domaine Active Directory.

Faites la même chose sur les autres hôtes où vous souhaitez utiliser des banques de données NFS 4.1.

4. Joindre l'hôte VMware ESXi à votre domaine Active Directory (pour utiliser l'authentification Kerberos)

Maintenant que les pré-requis précédents ont été configurés, vous pouvez joindre votre hôte VMware ESXi à votre domaine Active Directory.
Pour cela, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Système -> Services d'authentification" et cliquez sur : Joindre un domaine.

Indiquez le nom de domaine que vous souhaitez rejoindre, puis sélectionnez l'option "Utilisation des informations d'identification" et indiquez les identifiants possédant les droits nécessaires pour la jonction d'un ordinateur ou d'un serveur à votre domaine Active Directory.
Dans notre cas, nous utiliserons l'administrateur de notre domaine Active Directory.

• Nom d'utilisateur : Administrateur@informatiweb.lan.
• Mot de passe : son mot de passe.

Une fois votre hôte joint à votre domaine Active Directory, vous verrez que le type de service d'annuaire est "Active Directory" et vous verrez votre nom de domaine apparaitre dans la section "Paramètres domaine".

Faites la même chose sur vos autres hôtes VMware ESXi si besoin.

5. Configurer l'authentification Kerberos pour NFS 4.1

Pour l'authentification Kerberos utilisée par le protocole NFS 4.1, vous pouvez utiliser un compte existant ou créer un simple utilisateur sur votre contrôleur de domaine Active Directory.
Dans notre cas, nous avons créé un simple utilisateur nommé : ESXi_NFS_User.

Ensuite, dans le VMware vSphere Client, sélectionnez votre hôte VMware ESXi et allez dans "Configurer -> Système -> Services d'authentification".
En bas de page, vous trouverez une section "Informations d'identification NFS Kerberos".
Cliquez sur le bouton "Modifier" situé à droite.

Dans la fenêtre "Modifier les informations d'identification NFS Kerberos" qui apparait, spécifiez :

• Nom d'utilisateur : un utilisateur de votre Active Directory qui possède aussi les droits nécessaires sur votre partage NFS.
  Note : nous créerons ce partage NFS plus tard dans ce tutoriel.
• Mot de passe : le mot de passe de cet utilisateur.
• Confirmer le mot de passe : idem.

Attention : comme c'est indiqué ici, les informations d'identification spécifiées ici ne seront pas testées.
Ces informations ne seront utilisées que lorsque vous tenterez d'ajouter une banque de données NFS 4.1 à votre hôte VMware ESXi en activant l'authentification Kerberos.

Comme vous pouvez le voir, l'état de l'authentification NFS Kerberos est maintenant activé et le nom d'utilisateur souhaité apparait.

A nouveau, faites cette même configuration sur les autres hôtes où vous souhaitez utiliser des banques de données NFS 4.1, le cas échéant.

6. Installer un serveur NFS

En entreprise, vous utiliserez un NAS supportant le protocole NFS 4.1.
Néanmoins, dans un environnement de test, vous pourrez installer un serveur NFS sous Linux ou de préférence sous Windows Server (comme c'est le cas ici).

Dans notre cas, nous avons installé un serveur NFS sous Windows Server 2016.
Pour cela, ouvrez le gestionnaire de serveur, puis lancez l'assistant d'ajout de rôles et de fonctionnalités.
A l'étape "Rôles de serveurs", déployez le noeud "Services de fichiers et de stockage -> Services de fichiers et iSCSI" et cochez la case "Serveur pour NFS".

Une fois le serveur NFS installé, allez dans la section "Services de fichiers et de stockage" du gestionnaire de serveur.

Ensuite, dans la section "Serveurs", faites un clic droit "Paramètres NFS" sur le nom de votre serveur NFS.

Comme vous pouvez le voir dans la section "Versions de protocole", Windows Server 2016 supporte les versions 2, 3 et 4.1 de NFS.