Připojení sdílené složky SMB Azure v Linuxu

  • Článek

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a odpovídajícím způsobem naplánujte. Další informace najdete v doprovodných materiálech CentOS End Of Life. Služba Soubory Azure je snadno použitelný cloudový systém souborů od Microsoftu. Sdílené složky Azure je možné připojit v distribucích Linuxu pomocí klienta jádra SMB.

Doporučeným způsobem připojení sdílené složky Azure v Linuxu je použít protokol SMB 3.1.1. Služba Azure Files ve výchozím nastavení vyžaduje šifrování během přenosu, které podporuje protokol SMB 3.0 nebo novější. Služba Azure Files také podporuje protokol SMB 2.1, který nepodporuje šifrování během přenosu, ale z bezpečnostních důvodů nemůžete připojit sdílené složky Azure s protokolem SMB 2.1 z jiné oblasti Azure nebo místně. Pokud vaše aplikace výslovně nevyžaduje protokol SMB 2.1, použijte protokol SMB 3.1.1.

Distribuce SMB 3.1.1 (doporučeno) SMB 3.0
Verze jádra Linuxu
  • Základní podpora 3.1.1: 4.17
  • Výchozí připojení: 5.0
  • Šifrování AES-128-GCM: 5.3
  • Šifrování AES-256-GCM: 5.10
  • Základní podpora 3.0: 3.12
  • Šifrování AES-128-CCM: 4.11
Ubuntu Šifrování AES-128-GCM: 18.04.5 LTS nebo novější Šifrování AES-128-CCM: 16.04.4 LTS nebo novější
Red Hat Enterprise Linux (RHEL)
  • Základní: 8.0 nebo novější
  • Výchozí připojení: 8.2 nebo novější
  • Šifrování AES-128-GCM: 8.2 nebo novější
 7.5 nebo novější
Debian Základní: 10 nebo novější Šifrování AES-128-CCM: 10 nebo novější
SUSE Linux Enterprise Server Šifrování AES-128-GCM: 15 SP2 nebo novější Šifrování AES-128-CCM: 12 SP2 nebo novější

Pokud vaše distribuce Linuxu není uvedená v tabulce výše, můžete verzi jádra Linuxu zjistit pomocí příkazu uname:

uname -r

Poznámka:

Podpora protokolu SMB 2.1 se přidala do jádra Linuxu verze 3.7. Pokud používáte verzi jádra Linuxu po verzi 3.7, měla by podporovat protokol SMB 2.1.

Platí pro

Typ sdílené složky SMB NFS
Sdílené složky úrovně Standard (GPv2), LRS/ZRS Yes No
Sdílené složky úrovně Standard (GPv2), GRS/GZRS Yes No
Sdílené složky úrovně Premium (FileStorage), LRS/ZRS Yes No

Požadavky

  • Ujistěte se, že je nainstalovaný balíček cifs-utils. Balíček cifs-utils lze nainstalovat pomocí správce balíčků v distribuci Linuxu podle vašeho výběru.

V Ubuntu a Debianu apt použijte správce balíčků:

sudo apt update
sudo apt install cifs-utils

V jiných distribucích použijte odpovídajícího správce balíčků nebo zkompilujte ze zdroje.

  • Nejnovější verze rozhraní příkazového řádku Azure (CLI). Další informace o tom, jak nainstalovat Azure CLI, najdete v tématu Instalace Azure CLI a výběr operačního systému. Pokud dáváte přednost použití modulu Azure PowerShellu v PowerShellu 6 nebo novějším, můžete; pokyny v tomto článku jsou však určené pro Azure CLI.

  • Ujistěte se, že je otevřený port 445: Protokol SMB komunikuje přes port TCP 445 – ujistěte se, že brána firewall nebo isP neblokují port TCP 445 z klientského počítače. Nahraďte <your-resource-group> a <your-storage-account> spusťte následující skript:

    RESOURCE_GROUP_NAME="<your-resource-group>"
STORAGE_ACCOUNT_NAME="<your-storage-account>"

# This command assumes you have logged in with az login
HTTP_ENDPOINT=$(az storage account show \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $STORAGE_ACCOUNT_NAME \
    --query "primaryEndpoints.file" --output tsv | tr -d '"')
SMBPATH=$(echo $HTTP_ENDPOINT | cut -c7-${#HTTP_ENDPOINT})
FILE_HOST=$(echo $SMBPATH | tr -d "/")

nc -zvw3 $FILE_HOST 445

    Pokud bylo připojení úspěšné, měl by se zobrazit podobný následujícímu výstupu:

    Connection to <your-storage-account> 445 port [tcp/microsoft-ds] succeeded!

    Pokud v podnikové síti nemůžete otevřít port 445 nebo ho neblokuje isP, můžete k práci s portem 445 použít připojení VPN nebo ExpressRoute. Další informace najdete v tématu Důležité informace o sítích pro přímý přístup ke sdílené složce Azure.

Připojení sdílené složky Azure na vyžádání s připojením

Když připojíte sdílenou složku v operačním systému Linux, bude vzdálená sdílená složka reprezentována jako složka v místním systému souborů. Sdílené složky můžete připojit k libovolnému umístění v systému. Následující příklad připojí pod /media cestu. Můžete to změnit na upřednostňovanou cestu, kterou chcete změnit úpravou $MNT_ROOT proměnné.

Nahraďte a <storage-account-name><file-share-name> nahraďte <resource-group-name>odpovídajícími informacemi pro vaše prostředí:

RESOURCE_GROUP_NAME="<resource-group-name>"
STORAGE_ACCOUNT_NAME="<storage-account-name>"
FILE_SHARE_NAME="<file-share-name>"

MNT_ROOT="/media"
MNT_PATH="$MNT_ROOT/$STORAGE_ACCOUNT_NAME/$FILE_SHARE_NAME"

sudo mkdir -p $MNT_PATH

Dále pomocí příkazu připojte sdílenou mount složku. V následujícím příkladu $SMB_PATH se příkaz vyplní pomocí plně kvalifikovaného názvu domény pro koncový bod souboru účtu úložiště a $STORAGE_ACCOUNT_KEY naplní se klíčem účtu úložiště.

Poznámka:

Od jádra Linuxu verze 5.0 je výchozí vyjednaný protokol SMB 3.1.1. Pokud používáte verzi jádra Linuxu starší než 5.0, zadejte vers=3.1.1 v seznamu možností připojení.

# This command assumes you have logged in with az login
HTTP_ENDPOINT=$(az storage account show \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $STORAGE_ACCOUNT_NAME \
    --query "primaryEndpoints.file" --output tsv | tr -d '"')
SMB_PATH=$(echo $HTTP_ENDPOINT | cut -c7-${#HTTP_ENDPOINT})$FILE_SHARE_NAME

STORAGE_ACCOUNT_KEY=$(az storage account keys list \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "[0].value" --output tsv | tr -d '"')

sudo mount -t cifs $SMB_PATH $MNT_PATH -o username=$STORAGE_ACCOUNT_NAME,password=$STORAGE_ACCOUNT_KEY,serverino,nosharesock,actimeo=30,mfsymlinks

Můžete použít uid/gid nebo dir_mode a file_mode v možnostech připojení pro mount příkaz nastavit oprávnění. Další informace o tom, jak nastavit oprávnění, najdete v tématu systém UNIX číselný zápis.

V případě potřeby můžete také připojit stejnou sdílenou složku Azure k více přípojným bodům. Až budete hotovi se sdílenou složkou Azure, použijte sudo umount $mntPath ji k odpojení sdílené složky.

Automatické připojení sdílených složek

Když připojíte sdílenou složku v operačním systému Linux, bude vzdálená sdílená složka reprezentována jako složka v místním systému souborů. Sdílené složky můžete připojit k libovolnému umístění v systému. Následující příklad připojí pod /media cestu. Můžete to změnit na upřednostňovanou cestu, kterou chcete změnit úpravou $MNT_ROOT proměnné.

MNT_ROOT="/media"
sudo mkdir -p $MNT_ROOT

Pokud chcete připojit sdílenou složku Azure v Linuxu, použijte název účtu úložiště jako uživatelské jméno sdílené složky a klíč účtu úložiště jako heslo. Vzhledem k tomu, že se přihlašovací údaje účtu úložiště můžou v průběhu času měnit, měli byste přihlašovací údaje pro účet úložiště uložit odděleně od konfigurace připojení.

Následující příklad ukazuje, jak vytvořit soubor pro uložení přihlašovacích údajů. Nezapomeňte nahradit <resource-group-name> a <storage-account-name> nahradit odpovídajícími informacemi pro vaše prostředí.

RESOURCE_GROUP_NAME="<resource-group-name>"
STORAGE_ACCOUNT_NAME="<storage-account-name>"

# Create a folder to store the credentials for this storage account and
# any other that you might set up.
CREDENTIAL_ROOT="/etc/smbcredentials"
sudo mkdir -p "/etc/smbcredentials"

# Get the storage account key for the indicated storage account.
# You must be logged in with az login and your user identity must have
# permissions to list the storage account keys for this command to work.
STORAGE_ACCOUNT_KEY=$(az storage account keys list \
    --resource-group $RESOURCE_GROUP_NAME \
    --account-name $STORAGE_ACCOUNT_NAME \
    --query "[0].value" --output tsv | tr -d '"')

# Create the credential file for this individual storage account
SMB_CREDENTIAL_FILE="$CREDENTIAL_ROOT/$STORAGE_ACCOUNT_NAME.cred"
if [ ! -f $SMB_CREDENTIAL_FILE ]; then
    echo "username=$STORAGE_ACCOUNT_NAME" | sudo tee $SMB_CREDENTIAL_FILE > /dev/null
    echo "password=$STORAGE_ACCOUNT_KEY" | sudo tee -a $SMB_CREDENTIAL_FILE > /dev/null
else
    echo "The credential file $SMB_CREDENTIAL_FILE already exists, and was not modified."
fi

# Change permissions on the credential file so only root can read or modify the password file.
sudo chmod 600 $SMB_CREDENTIAL_FILE

Pokud chcete sdílenou složku automaticky připojit, máte možnost mezi použitím statického připojení přes /etc/fstab nástroj nebo pomocí dynamického připojení přes autofs nástroj.

Statické připojení pomocí /etc/fstab

Ve starším prostředí vytvořte složku pro účet úložiště nebo sdílenou složku v rámci připojené složky. Nahraďte <file-share-name> odpovídajícím názvem sdílené složky Azure.

FILE_SHARE_NAME="<file-share-name>"

MNT_PATH="$MNT_ROOT/$STORAGE_ACCOUNT_NAME/$FILE_SHARE_NAME"
sudo mkdir -p $MNT_PATH

Nakonec v souboru pro sdílenou složku Azure vytvořte záznam /etc/fstab . V následujícím příkazu se používají výchozí oprávnění k souborům a složce Linuxu 0755, což znamená čtení, zápis a spouštění pro vlastníka (na základě vlastníka souboru nebo adresáře Linux), čtení a spouštění pro uživatele ve skupině vlastníka a čtení a spouštění pro ostatní uživatele v systému. Podle potřeby můžete chtít nastavit alternativní uid připojení nebo dir_modegid oprávnění.file_mode Další informace o tom, jak nastavit oprávnění, najdete v tématu systém UNIX číselné notace na Wikipedii.

Tip

Pokud chcete, aby kontejnery Dockeru, na kterých běží aplikace .NET Core, mohly zapisovat do sdílené složky Azure, zahrňte do možností připojení SMB nobrl , aby se zabránilo odesílání požadavků na uzamčení rozsahu bajtů na server.

HTTP_ENDPOINT=$(az storage account show \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $STORAGE_ACCOUNT_NAME \
    --query "primaryEndpoints.file" --output tsv | tr -d '"')
SMB_PATH=$(echo $HTTP_ENDPOINT | cut -c7-${#HTTP_ENDPOINT})$FILE_SHARE_NAME

if [ -z "$(grep $SMB_PATH\ $MNT_PATH /etc/fstab)" ]; then
    echo "$SMB_PATH $MNT_PATH cifs _netdev,nofail,credentials=$SMB_CREDENTIAL_FILE,serverino,nosharesock,actimeo=30" | sudo tee -a /etc/fstab > /dev/null
else
    echo "/etc/fstab was not modified to avoid conflicting entries as this Azure file share was already present. You may want to double check /etc/fstab to ensure the configuration is as desired."
fi

sudo mount -a

Poznámka:

Od jádra Linuxu verze 5.0 je výchozí vyjednaný protokol SMB 3.1.1. Alternativní verze protokolu můžete zadat pomocí vers možnosti připojení (verze protokolu jsou 3.1.1, 3.0a 2.1).

Dynamické připojení s automatickými soubory

Pokud chcete dynamicky připojit sdílenou složku s autofs nástrojem, nainstalujte ji pomocí správce balíčků do distribuce Linuxu podle vašeho výběru.

V distribucích Ubuntu a Debian použijte apt správce balíčků:

sudo apt update
sudo apt install autofs

Dále aktualizujte autofs konfigurační soubory.

FILE_SHARE_NAME="<file-share-name>"

HTTP_ENDPOINT=$(az storage account show \
    --resource-group $RESOURCE_GROUP_NAME \
    --name $STORAGE_ACCOUNT_NAME \
    --query "primaryEndpoints.file" --output tsv | tr -d '"')
SMB_PATH=$(echo $HTTP_ENDPOINT | cut -c7-$(expr length $HTTP_ENDPOINT))$FILE_SHARE_NAME

echo "$FILE_SHARE_NAME -fstype=cifs,credentials=$SMB_CREDENTIAL_FILE :$SMB_PATH" > /etc/auto.fileshares

echo "/fileshares /etc/auto.fileshares --timeout=60" > /etc/auto.master

Posledním krokem je restartování autofs služby.

sudo systemctl restart autofs

Připojení snímku sdílené složky

Pokud chcete připojit konkrétní snímek sdílené složky Azure SMB, musíte zadat snapshot možnost jako součást mount příkazu, kde snapshot je čas vytvoření konkrétního snímku ve formátu, například @GMT-2023.01.05-00.08.20. Možnost snapshot byla podporována v jádru Linuxu od verze 4.19.

Po vytvoření snímku sdílené složky ho připojte podle těchto pokynů.

  1. Na webu Azure Portal přejděte k účtu úložiště, který obsahuje sdílenou složku, kterou chcete připojit ke snímku.

  2. Vyberte sdílené složky úložiště > dat a vyberte sdílenou složku.

  3. Vyberte Snímky operací > a poznamenejte si název snímku, který chcete připojit. Název snímku bude časové razítko GMT, například na následujícím snímku obrazovky.

    Snímek obrazovky znázorňující, jak najít název snímku sdílené složky a časové razítko na webu Azure Portal

  4. Převeďte časové razítko na formát očekávaný příkazem mount , což je @GMT-year.month.day-hour.minutes.seconds. V tomto příkladu byste převedli 2023-01-05T00:08:20.000000Z na @GMT-2023.01.05-00.08.20.

  5. mount Spusťte příkaz pomocí času GMT a zadejte snapshot hodnotu. Nezapomeňte nahradit <storage-account-name>hodnoty <file-share-name>a časové razítko GMT. Soubor .cred obsahuje přihlašovací údaje, které se mají použít k připojení sdílené složky (viz automatické připojení sdílených složek).

    sudo mount -t cifs //<storage-account-name>.file.core.windows.net/<file-share-name> /media/<file-share-name>/snapshot1 -o credentials=/etc/smbcredentials/snapshottestlinux.cred,snapshot=@GMT-2023.01.05-00.08.20

  6. Pokud můžete procházet snímek pod cestou /media/<file-share-name>/snapshot1, připojení bylo úspěšné.

Pokud připojení selže, přečtěte si téma Řešení potíží s připojením ke službě Azure Files a přístupem (SMB).

Další kroky

Další informace o službě Soubory Azure najdete na těchto odkazech: