Principy protokolů NAS ve službě Azure NetApp Files

Protokoly NAS jsou způsob, jakým probíhají konverzace mezi klienty a servery. NFS a SMB jsou protokoly NAS používané ve službě Azure NetApp Files. Každá nabízí své vlastní odlišné metody komunikace, ale v kořenovém adresáři pracují většinou stejným způsobem.

• Obě slouží jedné datové sadě mnoha různorodým síťovým připojeným klientům.
• Oba můžou pro sdílení dat používat šifrované metody ověřování.
• Obě možnosti se dají zamyšlovat pomocí oprávnění ke sdílené složce a souboru.
• Oba můžou šifrovat data v testovacím prostředí.
• Obojí může použít více připojení k paralelizaci výkonu.

Systém souborů NFS (Network File System)

Systém souborů NFS se primárně používá s klienty se systémem Linux/systém UNIX, jako jsou Red Hat, SUSE, Ubuntu, AIX, Solaris a Apple OS. Azure NetApp Files podporuje všechny klienty NFS, kteří pracují v standardech RFC. Systém Windows také může pro přístup používat systém souborů NFS, ale nefunguje pomocí standardů Request for Comments (RFC).

Standardy RFC pro protokoly NFS najdete tady:

• RFC-1813: NFSv3
• RFC 8881: NFSv4.1
• RFC 7862: NFSv4.2

NFSv3

NFSv3 je základní nabídka protokolu a má následující klíčové atributy:

• NFSv3 je bezstavový, což znamená, že server NFS neudržuje přehled o stavech připojení (včetně zámků).
• Zamykání se zpracovává mimo protokol NFS pomocí správce síťového zámku (NLM). Vzhledem k tomu, že zámky nejsou integrované do protokolu, můžou někdy nastat zastaralé zámky.
• Vzhledem k tomu, že NFSv3 je bezstavový, výkon s NFSv3 může být v některých úlohách podstatně lepší, zejména v úlohách s operacemi s vysokými metadaty, jako jsou OPEN, CLOSE, SETATTR a GETATTR. To je ten případ, protože existuje méně obecná práce, kterou je potřeba provést ke zpracování požadavků na serveru a klientovi.
• NFSv3 používá základní model oprávnění k souborům, kde může být kombinaci oprávnění ke čtení/zápisu/spuštění přiřazena pouze vlastníkovi souboru, skupině a všem ostatním.
• NFSv3 může používat seznamy ACL NFSv4.x, ale ke konfiguraci a správě seznamů ACL by se vyžadoval klient pro správu NFSv4.x. Azure NetApp Files nepodporuje použití nestandardních seznamů ACL konceptu POSIX.
• NFSv3 také vyžaduje použití dalších pomocných protokolů pro pravidelné operace, jako je zjišťování portů, připojení, uzamykání, monitorování stavu a kvóty. Každý pomocný protokol používá jedinečný síťový port, což znamená, že operace NFSv3 vyžadují větší expozici prostřednictvím bran firewall s dobře známými čísly portů.
• Azure NetApp Files používá pro operace NFSv3 následující čísla portů. Tato čísla portů není možné změnit:
  • Portmapper (111)
  • Montáž (635)
  • NFS (2049)
  • NLM (4045)
  • NSM (4046)
  • Rquota (4049)
• NFSv3 může používat vylepšení zabezpečení, jako je Kerberos, ale Kerberos má vliv pouze na část paketů NFS; doplňkové protokoly (například NLM, portmapper, mount) nejsou součástí konverzace Kerberos.
  • Azure NetApp Files podporuje pouze šifrování Kerberos NFSv4.1.
• NFSv3 používá pro ověřování uživatelů a skupin číselná ID. Uživatelská jména a názvy skupin nejsou vyžadovány pro komunikaci nebo oprávnění, což může usnadnit falšování identity uživatele, ale konfigurace a správa jsou jednodušší.
• NFSv3 může používat LDAP pro vyhledávání uživatelů a skupin.

Podpora verze služby NFSv3

NFSv3 v současné době podporuje následující verze každého doplňkového protokolu ve službě Azure NetApp Files:

Service	Podporované verze
Portmapper	4, 3, 2
NFS	4, 3*
Připojeno	3, 2, 1
Nlockmgr	4
Stav	0
Rquotas	0

* Verze podporované systémem souborů NFS se zobrazují na základě verze vybrané pro svazek Azure NetApp Files.

Tyto informace můžete shromáždit ze svazku Azure NetApp Files pomocí následujícího příkazu:

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x odkazuje na všechny verze systému souborů NFS nebo podverze, které jsou pod NFSv4, včetně NFSv4.0, NFSv4.1 a NFSv4.2. Azure NetApp Files aktuálně podporuje jenom NFSv4.1.

NFSv4.x má následující charakteristiky:

• NFSv4.x je stavový protokol, což znamená, že klient a server sledují stavy připojení NFS, včetně stavů uzamčení. Připojení systému souborů NFS používá ke sledování připojení koncept označovaný jako "ID stavu".
• Uzamykání je integrované do protokolu NFS a nevyžaduje doplňkové uzamykání protokolů pro sledování zámků NFS. Místo toho se zámky udělují na základě zapůjčení. Vyprší po určité době, pokud dojde ke ztrátě připojení klienta nebo serveru, a tím vrátí zámek zpět do systému pro použití s jinými klienty NFS.
• Stav NFSv4.x obsahuje určité nevýhody, jako jsou potenciální výpadky sítě nebo převzetí služeb při selhání úložiště a režijní náklady na výkon v určitých typech úloh (například vysoké úlohy metadat).
• NFSv4.x poskytuje mnoho významných výhod oproti NFSv3, včetně:
  • Lepší koncepty uzamykání (uzamykání založené na zapůjčení)
  • Lepší zabezpečení (méně potřebných portů brány firewall, standardní integrace s Protokolem Kerberos, podrobné řízení přístupu)
  • Další funkce
  • Složené operace NFS (více příkazů v jednom požadavku na pakety za účelem snížení počtu síťových chatovacích operací)
  • Pouze PROTOKOL TCP
• NFSv4.x může používat robustnější model oprávnění k souborům, který se podobá oprávněním systém Windows NT FS. Tyto podrobné seznamy ACL je možné použít u uživatelů nebo skupin a povolit nastavení oprávnění pro širší škálu operací než základní operace čtení/zápisu/spouštění. NFSv4.x může také používat standardní bity režimu POSIX, které NFSv3 využívá.
• Vzhledem k tomu, že NFSv4.x nepoužívá pomocné protokoly, použije se Protokol Kerberos na celou konverzaci NFS při použití.
• NFSv4.x používá kombinaci názvů uživatelů/skupin a řetězců domény k ověření informací o uživateli a skupině. Klient a server musí souhlasit s řetězci domény, aby se mohlo provést správné ověřování uživatelů a skupin. Pokud se řetězce domény neshodují, uživatel nebo skupina systému souborů NFS se přepne na zadaného uživatele v souboru /etc/idmapd.conf v klientovi NFS (například nikdo).
• I když NFSv4.x ve výchozím nastavení používá doménové řetězce, je možné nakonfigurovat klienta a server tak, aby se v případě použití AUTH_SYS vrátily na klasická číselná ID NFSv3.
• NFSv4.x má hlubokou integraci s řetězci názvů uživatelů a skupin a server a klienti musí souhlasit s těmito uživateli a skupinami. Proto zvažte použití názvového serveru pro ověřování uživatelů, jako je LDAP na klientech a serverech NFS.

Nejčastější dotazy týkající se systému souborů NFS ve službě Azure NetApp Files najdete v nejčastějších dotazech k souborům NFS služby Azure NetApp Files.

SMB (Server Message Block)

Protokol SMB se primárně používá s klienty Windows pro funkce NAS. Dá se ale použít také v linuxových operačních systémech, jako je AppleOS, RedHat atd. Toto nasazení se provádí pomocí aplikace s názvem Samba. Služba Azure NetApp Files má oficiální podporu pro smb pomocí Windows a macOS. Smb/Samba v linuxových operačních systémech může pracovat se službou Azure NetApp Files, ale neexistuje žádná oficiální podpora.

Azure NetApp Files podporuje pouze verze SMB 2.1 a SMB 3.1.

Protokol SMB má následující charakteristiky:

• SMB je stavový protokol: Klienti a server udržují stav pro připojení sdílených složek SMB pro lepší zabezpečení a uzamykání.
• Zamykání v protokolu SMB je považováno za povinné. Když je soubor uzamčený, nemůže do souboru zapisovat žádný jiný klient, dokud se zámek neuvolní.
• SMBv2.x a novější používají složená volání k provádění operací.
• Protokol SMB podporuje úplnou integraci protokolu Kerberos. S tím, jak jsou klienti Windows nakonfigurovaní, se Kerberos často používá bez toho, aby koncoví uživatelé někdy věděli.
• Pokud se protokol Kerberos nedá použít k ověřování, může být systém Windows NT LAN Manager (NTLM) použit jako záložní. Pokud je v prostředí služby Active Directory zakázaný protokol NTLM, požadavky na ověření, které nemůžou používat protokol Kerberos, selžou.
• SMBv3.0 a novější podporuje komplexní šifrování sdílených složek SMB.
• SMBv3.x podporuje multichannel pro zvýšení výkonu v určitých úlohách.
• PROTOKOL SMB k ověřování používá uživatelská jména a názvy skupin (prostřednictvím překladu SID). Informace o uživateli a skupině poskytuje řadič domény služby Active Directory.
• Protokol SMB v Azure NetApp Files používá standardní seznamy ACL systému souborů a složek systému Windows New Technology (NTFS) pro oprávnění k souborům a složkě.

Nejčastější dotazy týkající se protokolu SMB v Azure NetApp Files najdete v nejčastějších dotazech k protokolu SMB služby Azure NetApp Files.

Duální protokoly

Některé organizace mají čistě windows nebo čistě systém UNIX prostředí (homogenní), ve kterých jsou všechna data přístupná pouze jedním z následujících přístupů:

• Zabezpečení souborů SMB a NTFS
• Systém souborů NFS a systém UNIX zabezpečení souborů – bity režimu nebo seznamy řízení přístupu NFSv4.x (seznamy ACL)

Mnoho lokalit ale musí povolit přístup k datovým sadám z klientů windows i klientů systém UNIX (heterogenních). Pro prostředí s těmito požadavky má Služba Azure NetApp Files nativní podporu NAS se dvěma protokoly. Jakmile se uživatel ověří v síti a má příslušná oprávnění ke sdílené složce nebo exportu i potřebná oprávnění na úrovni souborů, může uživatel přistupovat k datům z systém UNIX hostitelů pomocí systému souborů NFS nebo z hostitelů s Windows pomocí protokolu SMB.

Důvody použití svazků se dvěma protokoly

Použití svazků se dvěma protokoly se službou Azure NetApp Files přináší několik různých výhod. Pokud se k datovým sadám dá bezproblémově a současně přistupovat klienty pomocí různých protokolů NAS, můžete dosáhnout následujících výhod:

• Snižte celkové úlohy správy správce úložiště.
• Vyžadovat, aby se pro přístup k NAS z více typů klientů ukládaly jenom jedna kopie dat.
• NaS nezávislé na protokolu umožňuje správcům úložiště řídit styl seznamu ACL a řízení přístupu, které se prezentuje koncovým uživatelům.
• Centralizace operací správy identit v prostředí NAS

Běžné aspekty prostředí se dvěma protokoly

Přístup k NAS se dvěma protokoly je žádoucí v mnoha organizacích kvůli své flexibilitě. Existuje však vnímání obtížnosti, které vytváří sadu aspektů jedinečných pro koncept sdílení napříč protokoly. Mezi tyto aspekty patří mimo jiné:

• Požadavek na znalosti napříč několika protokoly, operačními systémy a úložnými systémy.
• Pracovní znalost názvových serverů, jako je DNS, LDAP atd.

Kromě toho mohou přijít do hry externí faktory, například:

• Práce s několika odděleními a skupinami IT (například skupinami Windows a skupinami systém UNIX)
• Akvizice společnosti
• Konsolidace domén
• Změna uspořádání

Navzdory těmto aspektům může být nastavení, konfigurace a přístup NAS se dvěma protokoly jednoduché a bezproblémově integrované do libovolného prostředí.

Jak Azure NetApp Files zjednodušuje použití duálního protokolu

Azure NetApp Files konsoliduje infrastrukturu potřebnou pro úspěšná prostředí NAS se dvěma protokoly do jedné roviny správy, včetně služeb pro správu úložiště a identit.

Konfigurace se dvěma protokoly je jednoduchá a většina úloh je chráněná architekturou pro správu prostředků Azure NetApp Files, aby se zjednodušily operace pro cloudové operátory.

Po navázání připojení služby Active Directory se službou Azure NetApp Files můžou svazky se dvěma protokoly používat ke zpracování správy identit windows i systém UNIX potřebných pro správné ověřování uživatelů a skupin pomocí svazků Azure NetApp Files bez dalších kroků konfigurace mimo normální správu uživatelů a skupin v rámci služeb Active Directory nebo LDAP.

Odebráním dodatečných kroků orientovaných na úložiště pro konfigurace se dvěma protokoly zjednodušuje Azure NetApp Files celkové nasazení s duálním protokolem pro organizace, které chtějí přejít do Azure.

Jak fungují svazky se dvěma protokoly služby Azure NetApp Files

Svazky se dvěma protokoly služby Azure NetApp Files na vysoké úrovni používají kombinaci mapování názvů a stylů oprávnění k poskytování konzistentního přístupu k datům bez ohledu na použitý protokol. To znamená, že bez ohledu na to, jestli přistupujete k souboru ze systému souborů NFS nebo SMB, můžete mít jistotu, že uživatelé s přístupem k těmto souborům mají přístup a uživatelé bez přístupu k těmto souborům k nim nemají přístup.

Když klient NAS požádá o přístup ke svazku se dvěma protokoly ve službě Azure NetApp Files, dojde k následujícím operacím, které koncovým uživatelům poskytnou transparentní prostředí.

1. Klient NAS vytvoří připojení NAS ke svazku azure NetApp Files se dvěma protokoly.
2. Klient NAS předává službě Azure NetApp Files informace o identitě uživatele.
3. Azure NetApp Files kontroluje, jestli má klient nebo uživatel NAS přístup ke sdílené složce NAS.
4. Azure NetApp Files vezme daného uživatele a namapuje ho na platného uživatele nalezeného v názvových službách.
5. Azure NetApp Files porovnává uživatele s oprávněními na úrovni souboru v systému.
6. Oprávnění k souborům řídí úroveň přístupu, která má uživatel.

Na následujícím obrázku se ověří ve službě Azure NetApp Files pro user1 přístup ke svazku se dvěma protokoly prostřednictvím protokolu SMB nebo NFS. Azure NetApp Files najde informace o Windows a systém UNIX uživatele v MICROSOFT Entra ID a pak mapuje windows a systém UNIX identity uživatele 1:1. Uživatel se ověří tak, jak user1 získá user1přístupové přihlašovací údaje.

V tomto případě user1 získá úplnou kontrolu nad vlastní složkou (user1-dir) a nemá k této HR složce přístup. Toto nastavení je založené na seznamech ACL zabezpečení zadaných v systému souborů a user1 získá očekávaný přístup bez ohledu na protokol, ze kterého ke svazkům přistupují.

Důležité informace o svazcích se dvěma protokoly služby Azure NetApp Files

Při použití svazků Azure NetApp Files pro přístup k protokolu SMB i systému souborů NFS platí některé aspekty:

• Potřebujete připojení ke službě Active Directory. Proto je potřeba splnit požadavky na připojení služby Active Directory.
• Svazky se dvěma protokoly vyžadují zónu zpětného vyhledávání v DNS s přidruženým záznamem ukazatele (PTR) hostitelského počítače AD, aby se zabránilo selhání vytváření svazků se dvěma protokoly.
• Pro zajištění nejlepší podpory zabezpečení, spolehlivosti a funkcí by měl být váš klient NFS a přidružené balíčky (například nfs-utils) aktuální.
• Svazky se dvěma protokoly podporují službu Doména služby Active Directory Services (AD DS) i službu Microsoft Entra Domain Services.
• Svazky se dvěma protokoly nepodporují použití protokolu LDAP přes protokol TLS se službou Microsoft Entra Domain Services. Přečtěte si informace o protokolu LDAP přes protokol TLS.
• Mezi podporované verze NFS patří: NFSv3 a NFSv4.1.
• Funkce NFSv4.1, jako jsou paralelní síťový systém souborů (pNFS), kmenové relace a referenční seznamy, se v současné době nepodporují u svazků Azure NetApp Files.
• Rozšířené atributy Windows nejsou podporovány set/get ve svazcích se dvěma protokoly.
• Další důležité informace o vytvoření svazku se dvěma protokoly pro Azure NetApp Files

Další kroky

• Principy stylu zabezpečení se dvěma protokoly a chování oprávnění ve službě Azure NetApp Files
• Vysvětlení použití protokolu LDAP se službou Azure NetApp Files
• Vysvětlení členství ve skupinách NFS a doplňkových skupin
• Vysvětlení typů uzamčení a uzamčení souborů ve službě Azure NetApp Files
• Vytvoření svazku NFS pro službu Azure NetApp Files
• Vytvoření svazku SMB pro službu Azure NetApp Files
• Vytvoření svazku se dvěma protokoly pro Azure NetApp Files
• Nejčastější dotazy ke službě Azure NetApp Files NFS
• Nejčastější dotazy k protokolu SMB pro Azure NetApp Files