Vytvoření svazku se dvěma protokoly pro Azure NetApp Files

Azure NetApp Files podporuje vytváření svazků pomocí systému souborů NFS (NFSv3 nebo NFSv4.1), SMB3 nebo duálního protokolu (NFSv3 a SMB nebo NFSv4.1 a SMB). V tomto článku se dozvíte, jak vytvořit svazek, který používá duální protokol s podporou mapování uživatelů LDAP.

Pokud chcete vytvořit svazky NFS, přečtěte si téma Vytvoření svazku NFS. Pokud chcete vytvořit svazky SMB, přečtěte si téma Vytvoření svazku SMB.

Než začnete

• Už musíte mít vytvořený fond kapacity.
  Viz Vytvoření fondu kapacity.
• Podsíť musí být delegovaná do služby Azure NetApp Files.
  Viz Delegování podsítě na službu Azure NetApp Files.
• Nepřístupné sdílené složky a funkce výčtu založené na přístupu jsou aktuálně ve verzi Preview. Než ji budete moct používat, musíte každou funkci zaregistrovat:

1. Zaregistrujte funkci:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Zkontrolujte stav registrace funkce:

   Poznámka:

   Stav registrace může být ve Registering stavu až 60 minut před změnou na Registered. Než budete pokračovat, počkejte, až se stav Zaregistruje .

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Můžete také použít příkazyaz feature register Azure CLI a az feature show zaregistrovat funkci a zobrazit stav registrace.

Důležité informace

• Ujistěte se, že splňujete požadavky na připojení služby Active Directory.

• Na serveru DNS vytvořte zónu zpětného vyhledávání a pak do této zóny zpětného vyhledávání přidejte záznam ukazatele (PTR) hostitelského počítače AD. Jinak vytvoření svazku se dvěma protokoly selže.

• Možnost Povolit místním uživatelům NFS s možností LDAP v připojeních služby Active Directory hodlá poskytnout příležitostný a dočasný přístup místním uživatelům. Pokud je tato možnost povolená, ověřování a vyhledávání uživatelů ze serveru LDAP přestanou fungovat a počet členství ve skupinách, které bude Služba Azure NetApp Files podporovat, bude omezena na 16. Proto byste měli tuto možnost ponechat zakázanou u připojení služby Active Directory, s výjimkou případů, kdy místní uživatel potřebuje přístup ke svazkům s povoleným protokolem LDAP. V takovém případě byste tuto možnost měli zakázat, jakmile se pro svazek už nevyžaduje přístup místního uživatele. Viz Možnost Povolit místním uživatelům NFS s PROTOKOLem LDAP přístup ke svazku se dvěma protokoly o správě přístupu místních uživatelů.

• Ujistěte se, že je klient NFS aktuální a že používá nejnovější aktualizace pro daný operační systém.

• Svazky se dvěma protokoly podporují službu Doména služby Active Directory Services (AD DS) i službu Microsoft Entra Domain Services.

• Svazky se dvěma protokoly nepodporují použití protokolu LDAP přes protokol TLS se službou Microsoft Entra Domain Services. Služba Doména služby Active Directory Services (AD DS) podporuje protokol LDAP přes protokol TLS. Přečtěte si informace o protokolu LDAP přes protokol TLS.

• Verze systému souborů NFS používaná svazkem se dvěma protokoly může být NFSv3 nebo NFSv4.1. Vezměte na vědomí následující:

  • Duální protokol nepodporuje rozšířené atributy set/get ACLS systému Windows z klientů NFS.

  • Klienti SYSTÉMU SOUBORŮ NFS nemůžou měnit oprávnění pro styl zabezpečení NTFS a klienti Systému Windows nemůžou měnit oprávnění pro svazky se dvěma protokoly ve stylu systém UNIX.

    Následující tabulka popisuje styly zabezpečení a jejich efekty:

    Styl zabezpečení	Klienti, kteří můžou upravovat oprávnění	Oprávnění, která můžou klienti používat	Výsledný efektivní styl zabezpečení	Klienti, kteří mají přístup k souborům
    Unix	NFS	Bity režimu NFSv3 nebo NFSv4.1	UNIX	NFS a Windows
    Ntfs	Windows	Seznamy ACL NTFS	NTFS	NFS a Windows

  • Směr mapování názvů (Windows na systém UNIX nebo systém UNIX do Windows) závisí na tom, který protokol se používá a který styl zabezpečení se použije na svazek. Klient Systému Windows vždy vyžaduje mapování názvů typu Windows-to-systém UNIX. To, jestli se uživatel použije ke kontrole oprávnění, závisí na stylu zabezpečení. Naopak klient systému souborů NFS musí používat mapování názvů systém UNIX-windows pouze v případě, že se používá styl zabezpečení systému souborů NTFS.

    Následující tabulka popisuje mapování názvů a styly zabezpečení:

    Protokol	Styl zabezpečení	Směr mapování názvů	Použitá oprávnění
    SMB	Unix	Windows do systém UNIX	systém UNIX (bity režimu nebo seznamy ACL NFSv4.x)
    SMB	Ntfs	Windows do systém UNIX	Seznamy ACL systému NTFS (založené na sdílené složce se systémem Windows SID)
    NFSv3	Unix	Nic	systém UNIX (bity režimu nebo seznamy ACL NFSv4.x) Seznamy ACL NFSv4.x lze použít pomocí klienta pro správu NFSv4.x a dodržovat je klienti NFSv3.
    NFS	Ntfs	systém UNIX do Windows	Seznamy ACL systému NTFS (na základě mapovaného identifikátoru SID uživatele systému Windows)

• Funkce LDAP s rozšířenými skupinami podporuje duální protokol [NFSv3 i SMB] i [NFSv4.1 a SMB] se stylem zabezpečení unixu. Další informace najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS.

• Pokud máte velké topologie a používáte styl zabezpečení unixu se svazkem se dvěma protokoly nebo protokolem LDAP s rozšířenými skupinami, měli byste použít možnost Obor vyhledávání LDAP na stránce Připojení ions služby Active Directory, abyste se vyhnuli chybám odepření přístupu v klientech Linuxu pro Azure NetApp Files. Další informace najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS.

• Pro vytvoření svazku se dvěma protokoly nepotřebujete certifikát kořenové certifikační autority serveru. Vyžaduje se pouze v případě, že je povolený protokol LDAP přes protokol TLS.

• Informace o duálních protokolech Azure NetApp Files a souvisejících aspektech najdete v části Principy protokolů NAS ve službě Azure NetApp Files.

Vytvoření svazku se dvěma protokoly

1. V okně Fondy kapacity klikněte na okno Svazky. Kliknutím na + Přidat svazek vytvořte svazek.

   

2. V okně Vytvořit svazek klepněte na tlačítko Vytvořit a zadejte informace pro následující pole na kartě Základy:

   • Název svazku
     Zadejte název svazku, který vytváříte.

     Informace o zásadách vytváření názvů u svazků najdete v pravidlech a omezeních pro prostředky Azure. Kromě toho nemůžete použít default ani bin jako název svazku.

   • Fond kapacity
     Zadejte fond kapacity, do kterého chcete svazek vytvořit.

   • Kvóta
     Určuje velikost logického úložiště, které je přidělené svazku.

     Pole Dostupná kvóta zobrazuje množství nevyužitého místa ve zvoleném fondu kapacity, které můžete použít k vytvoření nového svazku. Velikost nového svazku nesmí překročit dostupnou kvótu.

   • U svazků mezi 50 TiB a 500 TiB vyberte Ano. Pokud svazek nevyžaduje více než 100 TiB, vyberte Ne.

     Důležité

     Velké svazky jsou aktuálně ve verzi Preview. Pokud používáte velké objemy poprvé, musíte nejprve zaregistrovat funkci a požádat o navýšení kvóty regionální kapacity.

     Svazky jsou považovány za velké, pokud mají velikost mezi 50 TiB a 500 TiB. Běžné svazky nelze převést na velké svazky. Velké svazky nelze změnit na méně než 50 TiB. Pokud chcete porozumět požadavkům a aspektům velkých svazků, přečtěte si informace o používání požadavků a důležitých informací pro velké objemy. Další omezení najdete v tématu Omezení prostředků.

   • Propustnost (MiB/S)
     Pokud je svazek vytvořen v ručním fondu kapacity QoS, zadejte požadovanou propustnost svazku.

     Pokud je svazek vytvořen v automatickém fondu kapacity QoS, hodnota zobrazená v tomto poli je (kvóta x propustnost na úrovni služby).

   • Povolení zásad studeného přístupu, období chladnosti a studeného načtení přístupu
     Tato pole konfigurují standardní úložiště se studeným přístupem ve službě Azure NetApp Files. Popisy najdete v tématu Správa služby Azure NetApp Files úrovně Standard s využitím studeného přístupu.

   • Virtuální síť
     Zadejte virtuální síť Azure, ze které chcete získat přístup ke svazku.

     Zadaná virtuální síť musí mít podsíť delegovanou do služby Azure NetApp Files. Ke službě Azure NetApp Files je možné přistupovat pouze ze stejné virtuální sítě nebo z virtuální sítě, která je ve stejné oblasti jako svazek prostřednictvím partnerského vztahu virtuálních sítí. Ke svazku můžete přistupovat také z místní sítě přes Express Route.

   • Podsíť
     Zadejte podsíť, kterou chcete pro svazek použít.
     Zadaná podsíť musí být delegována do služby Azure NetApp Files.

     Pokud jste nedelegovali podsíť, můžete na stránce Vytvořit svazek kliknout na Vytvořit nový . Potom na stránce Vytvořit podsíť zadejte informace o podsíti a vyberte Microsoft.NetApp/volumes , které delegují podsíť pro Azure NetApp Files. V každé virtuální síti je možné delegovat do služby Azure NetApp Files jenom jednu podsíť.

     

   • Síťové funkce
     V podporovaných oblastech můžete určit, jestli chcete pro svazek používat síťové funkce Basic nebo Standard . Podrobnosti najdete v tématu Konfigurace síťových funkcí pro svazek a pokyny pro plánování sítě Azure NetApp Files.

   • Zdroj šifrovacího klíče Můžete vybrat Microsoft Managed Key nebo Customer Managed Key. Informace o použití tohoto pole najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro šifrování svazků Azure NetApp Files a dvojité šifrování služby Azure NetApp Files.

   • Zóna dostupnosti
     Tato možnost umožňuje nasadit nový svazek do zóny logické dostupnosti, kterou zadáte. Vyberte zónu dostupnosti, ve které se nacházejí prostředky Azure NetApp Files. Podrobnosti najdete v tématu Správa umístění svazku zóny dostupnosti.

   • Pokud chcete na svazek použít existující zásady snímků, kliknutím na Zobrazit rozšířený oddíl ho rozbalte, určete, jestli chcete skrýt cestu k snímku, a v rozevírací nabídce vyberte zásadu snímku.

     Informace o vytváření zásad snímků najdete v tématu Správa zásad snímků.

     

3. Vyberte kartu Protokol a pak proveďte následující akce:

   • Jako typ protokolu pro svazek vyberte duální protokol .

   • Zadejte připojení ke službě Active Directory , které se má použít.

   • Zadejte jedinečnou cestu ke svazku. Tato cesta se používá při vytváření cílů připojení. Požadavky na cestu jsou následující:

     • U svazků, které nejsou v zóně dostupnosti nebo ve stejné zóně dostupnosti, musí být cesta ke svazku jedinečná v rámci každé podsítě v dané oblasti.
     • U svazků v zónách dostupnosti musí být cesta ke svazku jedinečná v rámci každé zóny dostupnosti. Tato funkce je aktuálně ve verzi Preview a vyžaduje, abyste tuto funkci zaregistrovali. Další informace naleznete v tématu Správa umístění svazku zóny dostupnosti.
     • Musí začínat abecedním znakem.
     • Může obsahovat pouze písmena, číslice nebo pomlčky (-).
     • Délka nesmí překročit 80 znaků.

   • Zadejte verze, které se mají použít pro duální protokol: NFSv4.1 a SMB, nebo NFSv3 a SMB.

   • Zadejte styl zabezpečení, který se má použít: NTFS (výchozí) nebo systém UNIX.

   • Pokud chcete povolit šifrování protokolu SMB3 pro svazek se dvěma protokoly, vyberte Povolit šifrování protokolu SMB3.

     Tato funkce umožňuje šifrování pouze pro testovací data PROTOKOLU SMB3. Nešifruje data NFSv3 v letu. Klienti SMB, kteří nepoužívají šifrování SMB3, nebudou mít k tomuto svazku přístup. Neaktivní uložená data se šifrují bez ohledu na toto nastavení. Další informace najdete v tématu Šifrování SMB.

   • Pokud jste pro verze svazků se dvěma protokoly vybrali protokol NFSv4.1 a SMB, určete, jestli chcete pro svazek povolit šifrování Kerberos .

     Pro Kerberos jsou vyžadovány další konfigurace. Postupujte podle pokynů v tématu Konfigurace šifrování Kerberos NFSv4.1.

   • Pokud chcete povolit výčet na základě přístupu, vyberte Povolit výčet na základě přístupu.

     Tato funkce skryje adresáře a soubory vytvořené ve sdílené složce uživatelům, kteří nemají přístupová oprávnění. Uživatelé budou moct sdílenou složku stále zobrazit. Výčet na základě přístupu můžete povolit pouze v případě, že svazek se dvěma protokoly používá styl zabezpečení NTFS.

   • Funkci sdílení, která není k dispozici, můžete povolit.

     Tato funkce brání klientovi Windows v procházení sdílené složky. Sdílená složka se při spuštění net view \\server /all příkazu nezobrazí v prohlížeči souborů systému Windows ani v seznamu sdílených složek.

   Důležité

   Funkce výčtu založené na přístupu a nesdílitelné sdílené složky jsou aktuálně ve verzi Preview. Pokud používáte některou z těchto funkcí poprvé, projděte si kroky v části Před zahájením registrace funkcí.

   • Podle potřeby upravte oprávnění unixu a určete oprávnění ke změně cesty připojení. Nastavení se nevztahuje na soubory v cestě k připojení. Výchozí nastavení je 0770. Toto výchozí nastavení uděluje oprávnění ke čtení, zápisu a spouštění vlastníkovi a skupině, ale ostatním uživatelům nejsou udělena žádná oprávnění.
     Požadavky na registraci a požadavky na nastavení oprávnění unixu. Postupujte podle pokynů v části Konfigurace oprávnění unixu a změňte režim vlastnictví.

   • Volitelně můžete nakonfigurovat zásady exportu pro svazek.

   

4. Kliknutím na Zkontrolovat a vytvořit zkontrolujte podrobnosti svazku. Potom kliknutím na Vytvořit vytvořte svazek.

   Svazek, který jste vytvořili, se zobrazí na stránce Svazky.

   Svazek dědí atributy předplatného, skupiny prostředků a umístění z fondu kapacity. Stav nasazení svazku můžete monitorovat na kartě Oznámení.

Povolit místním uživatelům NFS s LDAP přístup ke svazku se dvěma protokoly

Možnost Povolit místním uživatelům systému souborů NFS s možností LDAP v připojeních služby Active Directory umožňuje uživatelům místního systému souborů NFS, kteří nejsou na serveru Windows LDAP, přístup ke svazku se dvěma protokoly, který má povolený protokol LDAP s rozšířenými skupinami.

Poznámka:

Před povolením této možnosti byste měli porozumět aspektům.
Možnost Povolit místním uživatelům systému souborů NFS s protokolem LDAP je součástí funkce LDAP s rozšířenými skupinami a vyžaduje registraci. Podrobnosti najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS.

1. Vyberte připojení služby Active Directory. V existujícím připojení služby Active Directory klikněte na místní nabídku (tři tečky …) a vyberte Upravit.

2. V okně Upravit nastavení služby Active Directory, které se zobrazí, vyberte možnost Povolit místním uživatelům NFS možnost LDAP .

   

Správa atributů LDAP POSIX

Atributy POSIX, jako je UID, Home Directory a další hodnoty, můžete spravovat pomocí modulu snap-in Uživatelé a počítače služby Active Directory MMC. Následující příklad ukazuje Editor atributů služby Active Directory:

Pro uživatele LDAP a skupiny LDAP je potřeba nastavit následující atributy:

• Požadované atributy pro uživatele LDAP:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• Požadované atributy pro skupiny LDAP:
  objectClass: group, posixGroup,
  gidNumber: 555
• Všichni uživatelé a skupiny musí mít jedinečné uidNumber a gidNumberv uvedeném pořadí.

Hodnoty zadané pro objectClass jsou samostatné položky. Například v Editoru objectClass řetězců s více hodnotami by měly samostatné hodnoty (user a posixAccount) zadané následujícím způsobem pro uživatele LDAP:

Služba Microsoft Entra Domain Services neumožňuje upravovat atribut objectClass POSIX pro uživatele a skupiny vytvořené v organizační organizační organizaci. Jako alternativní řešení můžete vytvořit vlastní organizační jednotky a vytvořit uživatele a skupiny ve vlastní organizační jednotky.

Pokud synchronizujete uživatele a skupiny ve vaší tenantské službě Microsoft Entra s uživateli a skupinami v organizační jednotce AADDC Users, nemůžete uživatele a skupiny přesunout do vlastní organizační jednotky. Uživatelé a skupiny vytvořené ve vlastní organizační jednotce se nebudou synchronizovat s tenanty AD. Další informace najdete v tématu Microsoft Entra Domain Services – vlastní aspekty a omezení organizační jednotky.

Přístup k Editoru atributů služby Active Directory

V systému Windows můžete k Editoru atributů služby Active Directory přistupovat následujícím způsobem:

1. Klepněte na tlačítko Start, přejděte do části Windows Správa istrative Tools a poté klepněte na tlačítko Uživatelé a počítače služby Active Directory otevřete okno Uživatelé a počítače služby Active Directory.
2. Klikněte na název domény, který chcete zobrazit, a rozbalte jeho obsah.
3. Chcete-li zobrazit rozšířený editor atributů, povolte možnost Rozšířené funkce v nabídce Zobrazení počítače uživatelů služby Active Directory.
   
4. Poklikáním na Položku Uživatelé v levém podokně zobrazte seznam uživatelů.
5. Poklikáním na konkrétního uživatele zobrazíte kartu Editor atributů.

Konfigurace klienta NFS

Postupujte podle pokynů v tématu Konfigurace klienta NFS pro Azure NetApp Files a nakonfigurujte klienta NFS.

Další kroky

• Důležité informace o svazcích se dvěma protokoly služby Azure NetApp Files
• Správa umístění svazku zóny dostupnosti pro Azure NetApp Files
• Požadavky a aspekty pro velké objemy
• Konfigurace šifrování Kerberos NFSv4.1
• Konfigurace klienta NFS pro Azure NetApp Files
• Nakonfigurujte oprávnění unixu a změňte režim vlastnictví.
• Konfigurace protokolu LDAP AD DS přes TLS pro Azure NetApp Files
• Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazkům NFS
• Řešení chyb svazků ve službě Azure NetApp Files
• Nejčastější dotazy k odolnosti aplikací pro službu Azure NetApp Files