Sdílet prostřednictvím

Vytvoření svazku se dvěma protokoly pro Azure NetApp Files

  • Článek

Azure NetApp Files podporuje vytváření svazků pomocí systému souborů NFS (NFSv3 nebo NFSv4.1), SMB3 nebo duálního protokolu (NFSv3 a SMB nebo NFSv4.1 a SMB). V tomto článku se dozvíte, jak vytvořit svazek, který používá duální protokol s podporou mapování uživatelů LDAP.

Pokud chcete vytvořit svazky NFS, přečtěte si téma Vytvoření svazku NFS. Pokud chcete vytvořit svazky SMB, přečtěte si téma Vytvoření svazku SMB.

Než začnete

Důležité

Pokud používáte vlastní roli RBAC/IAM, musíte mít Microsoft.Network/virtualNetworks/subnets/read nakonfigurovaná oprávnění k vytvoření nebo aktualizaci svazku.

Další informace o oprávněních a potvrzení konfigurace oprávnění najdete v tématu Vytvoření nebo aktualizace vlastních rolí Azure pomocí webu Azure Portal.

  • Už musíte mít vytvořený fond kapacity.
    Viz Vytvoření fondu kapacity.
  • Podsíť musí být delegovaná do služby Azure NetApp Files.
    Viz Delegování podsítě na službu Azure NetApp Files.
  • Možnost nastavit kvótu svazku mezi 50 a 100 GiB je aktuálně ve verzi Preview. Před vytvořením svazku 50 GiB je nutné tuto funkci zaregistrovat.

    1. Zaregistrujte funkci:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize

    2. Zkontrolujte stav registrace funkce:

      Poznámka:

      Stav registrace může být ve Registering stavu až 60 minut před změnou na Registered. Než budete pokračovat, počkejte, až bude Registered stav.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize

      Můžete také použít příkazy az feature register Azure CLI a az feature show zaregistrovat funkci a zobrazit stav registrace.

Důležité informace

  • Ujistěte se, že splňujete požadavky na připojení služby Active Directory.

  • Na serveru DNS vytvořte zónu zpětného vyhledávání a pak do této zóny zpětného vyhledávání přidejte záznam ukazatele (PTR) hostitelského počítače AD. Jinak se vytvoření svazku se dvěma protokoly selže.

  • Možnost Povolit místním uživatelům NFS s možností LDAP v připojeních služby Active Directory hodlá poskytnout příležitostný a dočasný přístup místním uživatelům. Pokud je tato možnost povolená, ověřování a vyhledávání uživatelů ze serveru LDAP přestanou fungovat a počet členství ve skupinách, které podporuje Služba Azure NetApp Files, je omezená na 16. Proto byste měli tuto možnost ponechat zakázanou u připojení služby Active Directory, s výjimkou případů, kdy místní uživatel potřebuje přístup ke svazkům s povoleným protokolem LDAP. V takovém případě byste tuto možnost měli zakázat, jakmile se pro svazek už nevyžaduje přístup místního uživatele. Viz Možnost Povolit místním uživatelům NFS s PROTOKOLem LDAP přístup ke svazku se dvěma protokoly o správě přístupu místních uživatelů.

  • Ujistěte se, že je klient NFS aktuální a že používá nejnovější aktualizace pro daný operační systém.

  • Svazky se dvěma protokoly podporují službu Doména služby Active Directory Services (AD DS) i službu Microsoft Entra Domain Services.

  • Svazky se dvěma protokoly nepodporují použití protokolu LDAP přes protokol TLS se službou Microsoft Entra Domain Services. Služba Doména služby Active Directory Services (AD DS) podporuje protokol LDAP přes protokol TLS. Přečtěte si informace o protokolu LDAP přes protokol TLS.

  • Verze systému souborů NFS používaná svazkem se dvěma protokoly může být NFSv3 nebo NFSv4.1. Vezměte na vědomí následující:

    • Duální protokol nepodporuje rozšířené atributy set/get ACLS systému Windows z klientů NFS.

    • Klienti SYSTÉMU SOUBORŮ NFS nemohou změnit oprávnění pro styl zabezpečení systému NTFS a klienti systému Windows nemohou měnit oprávnění pro svazky se dvěma protokoly ve stylu UNIX.

      Následující tabulka popisuje styly zabezpečení a jejich efekty:

      Styl zabezpečení Klienti, kteří můžou upravovat oprávnění Oprávnění, která můžou klienti používat Výsledný efektivní styl zabezpečení Klienti, kteří mají přístup k souborům
      Unix NFS Bity režimu NFSv3 nebo NFSv4.1 UNIX NFS a Windows
      Ntfs Windows Seznamy ACL NTFS NTFS NFS a Windows

    • Směr mapování názvů (Windows na UNIX nebo UNIX na Windows) závisí na tom, který protokol se používá a který styl zabezpečení se použije u svazku. Klient Systému Windows vždy vyžaduje mapování názvů windows-to-UNIX. To, jestli se uživatel použije ke kontrole oprávnění, závisí na stylu zabezpečení. Klient systému souborů NFS naopak potřebuje pouze mapování názvů systému UNIX-to-Windows, pokud se používá styl zabezpečení SYSTÉMU NTFS.

      Následující tabulka popisuje mapování názvů a styly zabezpečení:

      Protokol Styl zabezpečení Směr mapování názvů Použitá oprávnění
      SMB Unix Windows do UNIX UNIX (bity režimu nebo seznamy ACL NFSv4.x)
      SMB Ntfs Windows do UNIX Seznamy ACL systému NTFS (založené na sdílené složce se systémem Windows SID)
      NFSv3 Unix Nic UNIX (bity režimu nebo seznamy ACL NFSv4.x)

      Seznamy ACL NFSv4.x lze použít pomocí klienta pro správu NFSv4.x a dodržovat je klienti NFSv3.
      NFS Ntfs UNIX do Windows Seznamy ACL systému NTFS (na základě mapovaného identifikátoru SID uživatele systému Windows)

  • Funkce LDAP s rozšířenými skupinami podporuje duální protokol [NFSv3 i SMB] i [NFSv4.1 a SMB] se stylem zabezpečení unixu. Další informace najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS.

  • Pokud máte velké topologie a používáte styl zabezpečení unixu se svazkem se dvěma protokoly nebo protokolem LDAP s rozšířenými skupinami, měli byste použít možnost Obor vyhledávání LDAP na stránce Připojení služby Active Directory, abyste se vyhnuli chybám odepření přístupu v klientech Linuxu pro Azure NetApp Files. Další informace najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS.

  • Pro vytvoření svazku se dvěma protokoly nepotřebujete certifikát kořenové certifikační autority serveru. Vyžaduje se pouze v případě, že je povolený protokol LDAP přes protokol TLS.

  • Informace o duálních protokolech Azure NetApp Files a souvisejících aspektech najdete v části Principy protokolů NAS ve službě Azure NetApp Files.

Vytvoření svazku se dvěma protokoly

  1. V okně Fondy kapacity vyberte okno Svazky. Vyberte + Přidat svazek a vytvořte svazek.

    Přechod na svazky

  2. V okně Vytvořit svazek vyberte Vytvořit a zadejte informace pro následující pole na kartě Základy:

    • Název svazku
      Zadejte název svazku, který vytváříte.

      Informace o zásadách vytváření názvů u svazků najdete v pravidlech a omezeních pro prostředky Azure. Kromě toho nemůžete použít default ani bin jako název svazku.

    • Fond kapacity
      Zadejte fond kapacity, do kterého chcete svazek vytvořit.

    • Kvóta
      Určuje velikost logického úložiště, které je přidělené svazku.

      Pole Dostupná kvóta zobrazuje množství nevyužitého místa ve zvoleném fondu kapacity, které můžete použít k vytvoření nového svazku. Velikost nového svazku nesmí překročit dostupnou kvótu.

    • Velký svazek

      Běžné kvóty svazků jsou mezi 50 GiB a 100 TiB. Velké kvóty svazků jsou v rozsahu od 50 TiB do 1 PiB. Pokud máte v úmyslu kvótu svazku spadat do velkého rozsahu svazků, vyberte Ano. Kvóty svazků se zadávají do GiB.

      Důležité

      Pokud používáte velké objemy poprvé, musíte nejprve zaregistrovat funkci a požádat o navýšení kvóty regionální kapacity.

      Běžné svazky nelze převést na velké svazky. Velké svazky nelze změnit na méně než 50 TiB. Informace o požadavcích a aspektech velkých svazků najdete v tématu Požadavky a důležité informace pro velké svazky. Další omezení najdete v tématu Omezení prostředků.

    • Propustnost (MiB/S)
      Pokud je svazek vytvořen v ručním fondu kapacity QoS, zadejte požadovanou propustnost svazku.

      Pokud je svazek vytvořen v automatickém fondu kapacity QoS, hodnota zobrazená v tomto poli je (kvóta x propustnost na úrovni služby).

    • Povolení zásad studeného přístupu, období chladnosti a studeného načtení přístupu
      Tato pole konfigurují úložiště Azure NetApp Files se studeným přístupem. Popisy najdete v tématu Správa úložiště Azure NetApp Files se studenou úrovní přístupu.

    • Virtuální síť
      Zadejte virtuální síť Azure, ze které chcete získat přístup ke svazku.

      Zadaná virtuální síť musí mít podsíť delegovanou do služby Azure NetApp Files. Ke službě Azure NetApp Files je možné přistupovat pouze ze stejné virtuální sítě nebo z virtuální sítě, která je ve stejné oblasti jako svazek prostřednictvím partnerského vztahu virtuálních sítí. Ke svazku můžete přistupovat také z místní sítě přes Express Route.

    • Podsíť
      Zadejte podsíť, kterou chcete pro svazek použít.
      Zadaná podsíť musí být delegována do služby Azure NetApp Files.

      Pokud nemáte delegovanou podsíť, můžete na stránce Vytvořit svazek vybrat Možnost Vytvořit nový . Potom na stránce Vytvořit podsíť zadejte informace o podsíti a vyberte Microsoft.NetApp/volumes , které delegují podsíť pro Azure NetApp Files. V každé virtuální síti je možné delegovat do služby Azure NetApp Files jenom jednu podsíť.

      Vytvoření podsítě

    • Síťové funkce
      V podporovaných oblastech můžete určit, jestli chcete pro svazek používat síťové funkce Basic nebo Standard . Podrobnosti najdete v tématu Konfigurace síťových funkcí pro svazek a pokyny pro plánování sítě Azure NetApp Files.

    • Zdroj šifrovacího klíče Můžete vybrat Microsoft Managed Key nebo Customer Managed Key. Informace o použití tohoto pole najdete v tématu Konfigurace klíčů spravovaných zákazníkem pro šifrování svazků Azure NetApp Files a dvojité šifrování služby Azure NetApp Files.

    • Zóna dostupnosti
      Tato možnost umožňuje nasadit nový svazek do zóny logické dostupnosti, kterou zadáte. Vyberte zónu dostupnosti, ve které se nacházejí prostředky Azure NetApp Files. Podrobnosti najdete v tématu Správa umístění svazku zóny dostupnosti.

    • Pokud chcete na svazek použít existující zásady snímků, vyberte Možnost Zobrazit rozšířený oddíl , abyste ho rozšířili, určete, jestli chcete skrýt cestu k snímku, a v rozevírací nabídce vyberte zásadu snímku.

      Informace o vytváření zásad snímků najdete v tématu Správa zásad snímků.

      Zobrazit rozšířený výběr

  3. Vyberte kartu Protokol a pak proveďte následující akce:

    • Jako typ protokolu pro svazek vyberte duální protokol .

    • Zadejte připojení ke službě Active Directory , které se má použít.

    • Zadejte jedinečnou cestu ke svazku. Tato cesta se používá při vytváření cílů připojení. Požadavky na cestu jsou následující:

      • U svazků, které nejsou v zóně dostupnosti nebo ve stejné zóně dostupnosti, musí být cesta ke svazku jedinečná v rámci každé podsítě v dané oblasti.
      • U svazků v zónách dostupnosti musí být cesta ke svazku jedinečná v rámci každé zóny dostupnosti. Tato funkce je aktuálně ve verzi Preview a vyžaduje, abyste tuto funkci zaregistrovali. Další informace naleznete v tématu Správa umístění svazku zóny dostupnosti.
      • Musí začínat abecedním znakem.
      • Může obsahovat pouze písmena, číslice nebo pomlčky (-).
      • Délka nesmí překročit 80 znaků.

    • Zadejte verze, které se mají použít pro duální protokol: NFSv4.1 a SMB, nebo NFSv3 a SMB.

    • Zadejte styl zabezpečení, který se má použít: NTFS (výchozí) nebo UNIX.

    • Pokud chcete povolit šifrování protokolu SMB3 pro svazek se dvěma protokoly, vyberte Povolit šifrování protokolu SMB3.

      Tato funkce umožňuje šifrování pouze pro testovací data PROTOKOLU SMB3. Nešifruje data NFSv3 v letu. Klienti SMB, kteří nepoužívají šifrování SMB3, nemají přístup k tomuto svazku. Neaktivní uložená data se šifrují bez ohledu na toto nastavení. Další informace najdete v tématu Šifrování SMB.

    • Pokud jste pro verze svazků se dvěma protokoly vybrali protokol NFSv4.1 a SMB, určete, jestli chcete pro svazek povolit šifrování Kerberos .

      Pro Kerberos jsou vyžadovány další konfigurace. Postupujte podle pokynů v tématu Konfigurace šifrování Kerberos NFSv4.1.

    • Pokud chcete povolit výčet na základě přístupu, vyberte Povolit výčet na základě přístupu.

      Výčet na základě přístupu skryje adresáře a soubory vytvořené ve sdílené složce od uživatelů, kteří nemají přístupová oprávnění. Sdílenou složku si stále můžete prohlédnout. Výčet na základě přístupu můžete povolit pouze v případě, že svazek se dvěma protokoly používá styl zabezpečení NTFS.

    • Funkci sdílení, která není k dispozici, můžete povolit.

      Tato funkce brání klientovi Windows v procházení sdílené složky. Sdílená složka se při spuštění net view \\server /all příkazu nezobrazí v prohlížeči souborů systému Windows ani v seznamu sdílených složek.

    • Podle potřeby upravte oprávnění unixu a určete oprávnění ke změně cesty připojení. Nastavení se nevztahuje na soubory v cestě k připojení. Výchozí nastavení je 0770. Toto výchozí nastavení uděluje oprávnění ke čtení, zápisu a spouštění vlastníkovi a skupině, ale ostatním uživatelům nejsou udělena žádná oprávnění.
      Požadavky na registraci a požadavky na nastavení oprávnění unixu. Postupujte podle pokynů v části Konfigurace oprávnění unixu a změňte režim vlastnictví.

    • Volitelně můžete nakonfigurovat zásady exportu pro svazek.

    Zadání duálního protokolu

  4. Výběrem možnosti Zkontrolovat a vytvořit zkontrolujte podrobnosti o svazku. Potom vyberte Vytvořit a vytvořte svazek.

    Svazek, který jste vytvořili, se zobrazí na stránce Svazky.

    Svazek dědí atributy předplatného, skupiny prostředků a umístění z fondu kapacity. Stav nasazení svazku můžete monitorovat na kartě Oznámení.

Povolit místním uživatelům NFS s LDAP přístup ke svazku se dvěma protokoly

Možnost Povolit místním uživatelům systému souborů NFS s možností LDAP v připojeních služby Active Directory umožňuje uživatelům místního systému souborů NFS, kteří nejsou na serveru Windows LDAP, přístup ke svazku se dvěma protokoly, který má povolený protokol LDAP s rozšířenými skupinami.

Poznámka:

Před povolením této možnosti byste měli porozumět aspektům.
Možnost Povolit místním uživatelům systému souborů NFS s protokolem LDAP je součástí funkce LDAP s rozšířenými skupinami a vyžaduje registraci. Podrobnosti najdete v tématu Konfigurace protokolu LDAP služby AD DS s rozšířenými skupinami pro přístup ke svazku NFS.

  1. Vyberte připojení služby Active Directory. V existujícím připojení služby Active Directory vyberte místní nabídku (tři tečky ) a pak upravte.

  2. V okně Upravit nastavení služby Active Directory, které se zobrazí, vyberte možnost Povolit místním uživatelům NFS možnost LDAP .

    Snímek obrazovky znázorňující možnost Povolit místním uživatelům NFS s možností LDAP

Správa atributů LDAP POSIX

Atributy POSIX, jako je UID, Home Directory a další hodnoty, můžete spravovat pomocí modulu snap-in Uživatelé a počítače služby Active Directory MMC. Následující příklad ukazuje Editor atributů služby Active Directory:

Editor atributů služby Active Directory

Pro uživatele LDAP a skupiny LDAP je potřeba nastavit následující atributy:

  • Požadované atributy pro uživatele LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Požadované atributy pro skupiny LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Všichni uživatelé a skupiny musí mít jedinečné uidNumber a gidNumberv uvedeném pořadí.

Hodnoty zadané pro objectClass jsou samostatné položky. Například v Editoru objectClass řetězců s více hodnotami by měly samostatné hodnoty (user a posixAccount) zadané následujícím způsobem pro uživatele LDAP:

Snímek obrazovky s vícehodnotovým editorem řetězců, který zobrazuje více hodnot zadaných pro třídu objektů

Služba Microsoft Entra Domain Services neumožňuje upravovat atribut objectClass POSIX pro uživatele a skupiny vytvořené v organizační organizační organizaci. Jako alternativní řešení můžete vytvořit vlastní organizační jednotky a vytvořit uživatele a skupiny ve vlastní organizační jednotky.

Pokud synchronizujete uživatele a skupiny v tenantovi Microsoft Entra s uživateli a skupinami v organizační jednotce AADDC Users, nemůžete uživatele a skupiny přesunout do vlastní organizační jednotky. Uživatelé a skupiny vytvořené ve vlastní organizační jednotce se nesynchronují s tenanty AD. Další informace najdete v tématu Microsoft Entra Domain Services – vlastní aspekty a omezení organizační jednotky.

Přístup k Editoru atributů služby Active Directory

V systému Windows můžete k Editoru atributů služby Active Directory přistupovat následujícím způsobem:

  1. Vyberte Start, přejděte na Nástroje pro správu systému Windows. Potom výběrem Uživatelé a počítače služby Active Directory otevřete okno Uživatelé a počítače služby Active Directory.
  2. Vyberte název domény, který chcete zobrazit, a rozbalte jeho obsah.
  3. Chcete-li zobrazit rozšířený editor atributů, povolte možnost Rozšířené funkce v nabídce Zobrazení počítače uživatelů služby Active Directory.
    Snímek obrazovky, který ukazuje, jak získat přístup k nabídce Rozšířené funkce editoru atributů
  4. Výběrem možnosti Uživatelé v levém podokně zobrazíte seznam uživatelů.
  5. Vyberte konkrétního uživatele, aby se zobrazila karta Editor atributů.

Konfigurace klienta NFS

Postupujte podle pokynů v tématu Konfigurace klienta NFS pro Azure NetApp Files a nakonfigurujte klienta NFS.

Další kroky