Descripción de los protocolos NAS en Azure NetApp Files

Los protocolos NAS son cómo se producen las conversaciones entre clientes y servidores. NFS y SMB son los protocolos NAS que se usan en Azure NetApp Files. Cada uno ofrece sus propios métodos distintos para la comunicación, pero en su raíz, funcionan principalmente de la misma manera.

• Ambos sirven un único conjunto de datos a muchos clientes conectados en red dispares.
• Ambos pueden usar métodos de autenticación cifrados para compartir datos.
• Ambos se pueden gater con permisos de recurso compartido y de archivo.
• Ambos pueden cifrar los datos en curso.
• Ambos pueden usar varias conexiones para ayudar a paralelizar el rendimiento.

Network File System (NFS)

NFS se usa principalmente con clientes basados en Linux/UNIX, como Red Hat, SUSE, Ubuntu, AIX, Solaris y apple OS. Azure NetApp Files admite cualquier cliente NFS que funcione en los estándares RFC. Windows también puede usar NFS para el acceso, pero no funciona mediante estándares de solicitud de comentarios (RFC).

Los estándares RFC para protocolos NFS se pueden encontrar aquí:

• RFC-1813: NFSv3
• RFC 8881: NFSv4.1
• RFC 7862: NFSv4.2

NFSv3

NFSv3 es una oferta básica del protocolo y tiene los siguientes atributos clave:

• NFSv3 no tiene estado, lo que significa que el servidor NFS no realiza un seguimiento de los estados de las conexiones (incluidos los bloqueos).
• El bloqueo se controla fuera del protocolo NFS mediante network Lock Manager (NLM). Dado que los bloqueos no están integrados en el protocolo, a veces se pueden producir bloqueos obsoletos.
• Dado que NFSv3 no tiene estado, el rendimiento con NFSv3 puede mejorar considerablemente en algunas cargas de trabajo, especialmente en cargas de trabajo con operaciones de metadatos altos, como OPEN, CLOSE, SETATTR y GETATTR. Este es el caso porque hay menos trabajo general que debe realizarse para procesar las solicitudes en el servidor y el cliente.
• NFSv3 usa un modelo de permisos de archivo básico en el que solo se puede asignar al propietario del archivo un grupo y a todos los demás una combinación de permisos de lectura, escritura y ejecución.
• NFSv3 puede usar ACL nfSv4.x, pero se necesitaría un cliente de administración NFSv4.x para configurar y administrar las ACL. Azure NetApp Files no admite el uso de ACL de borrador POSIX no estándar.
• NFSv3 también requiere el uso de otros protocolos auxiliares para operaciones regulares, como la detección de puertos, el montaje, el bloqueo, la supervisión de estado y las cuotas. Cada protocolo auxiliar usa un puerto de red único, lo que significa que las operaciones NFSv3 requieren más exposición a través de firewalls con números de puerto conocidos.
• Azure NetApp Files usa los siguientes números de puerto para las operaciones NFSv3. No es posible cambiar estos números de puerto:
  • Portmapper (111)
  • Montaje (635)
  • NFS (2049)
  • NLM (4045)
  • NSM (4046)
  • Rquota (4049)
• NFSv3 puede usar mejoras de seguridad como Kerberos, pero Kerberos solo afecta a la parte NFS de los paquetes; Los protocolos auxiliares (como NLM, portmapper, mount) no se incluyen en la conversación kerberos.
  • Azure NetApp Files solo admite el cifrado Kerberos NFSv4.1
• NFSv3 usa identificadores numéricos para su autenticación de usuarios y grupos. Los nombres de usuario y los nombres de grupo no son necesarios para la comunicación o los permisos, lo que puede facilitar la suplantación de identidad de un usuario, pero la configuración y la administración son más sencillas.
• NFSv3 puede usar LDAP para búsquedas de usuarios y grupos.

Compatibilidad con la versión del servicio NFSv3

NFSv3 admite actualmente las siguientes versiones de cada protocolo auxiliar en Azure NetApp Files:

Service	Versiones admitidas
Portmapper	4, 3, 2
NFS	4, 3*
Mountd	3, 2, 1
Nlockmgr	4
Estado	1
Rquotas	1

* Las versiones admitidas de NFS se muestran en función de la versión seleccionada para el volumen de Azure NetApp Files.

Esta información se puede recopilar del volumen de Azure NetApp Files con el siguiente comando:

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x hace referencia a todas las versiones de NFS o versiones secundarias que están en NFSv4, incluidas NFSv4.0, NFSv4.1 y NFSv4.2. Azure NetApp Files solo admite NFSv4.1 actualmente.

NFSv4.x tiene las siguientes características:

• NFSv4.x es un protocolo con estado, lo que significa que el cliente y el servidor realizan un seguimiento de los estados de las conexiones NFS, incluidos los estados de bloqueo. El montaje NFS usa un concepto conocido como "id. de estado" para realizar un seguimiento de las conexiones.
• El bloqueo se integra en el protocolo NFS y no requiere protocolos de bloqueo auxiliares para realizar un seguimiento de los bloqueos NFS. En su lugar, se conceden bloqueos por concesión. Expiran después de una duración determinada si se pierde una conexión de cliente o servidor, devolviendo así el bloqueo al sistema para su uso con otros clientes NFS.
• El estado de NFSv4.x contiene algunas desventajas, como posibles interrupciones durante interrupciones de red o conmutaciones por error de almacenamiento, y sobrecarga de rendimiento en determinados tipos de carga de trabajo (como cargas de trabajo de metadatos elevadas).
• NFSv4.x proporciona muchas ventajas significativas sobre NFSv3, entre las que se incluyen:
  • Mejores conceptos de bloqueo (bloqueo basado en concesiones)
  • Mejor seguridad (menos puertos de firewall necesarios, integración estándar con Kerberos, controles de acceso pormenorizados)
  • Más características
  • Operaciones NFS compuestas (varios comandos en una sola solicitud de paquete para reducir el chatter de red)
  • Solo TCP
• NFSv4.x puede usar un modelo de permisos de archivo más sólido similar a los permisos NTFS de Windows. Estas ACL granulares se pueden aplicar a usuarios o grupos y permitir que los permisos se establezcan en una gama más amplia de operaciones que las operaciones básicas de lectura, escritura y ejecución. NFSv4.x también puede usar los bits de modo POSIX estándar que NFSv3 emplea.
• Dado que NFSv4.x no usa protocolos auxiliares, Kerberos se aplica a toda la conversación NFS cuando se usa.
• NFSv4.x usa una combinación de nombres de usuario/grupo y cadenas de dominio para comprobar la información de usuario y grupo. El cliente y el servidor deben aceptar las cadenas de dominio para que se produzca la autenticación de usuario y grupo adecuada. Si las cadenas de dominio no coinciden, el usuario o grupo NFS se aplasta al usuario especificado en el archivo /etc/idmapd.conf en el cliente NFS (por ejemplo, nadie).
• Aunque NFSv4.x usa cadenas de dominio de forma predeterminada, es posible configurar el cliente y el servidor para revertir los identificadores numéricos clásicos que se ven en NFSv3 cuando se usa AUTH_SYS.
• NFSv4.x tiene una integración profunda con cadenas de nombre de usuario y grupo, y el servidor y los clientes deben aceptar estos usuarios y grupos. Por lo tanto, considere la posibilidad de usar un servidor de servicio de nombres para la autenticación de usuarios, como LDAP en servidores y clientes NFS.

Para ver las preguntas más frecuentes sobre NFS en Azure NetApp Files, consulte las preguntas más frecuentes sobre NFS de Azure NetApp Files.

Bloque de mensajes del servidor (SMB)

SMB se usa principalmente con clientes de Windows para la funcionalidad nas. Sin embargo, también se puede usar en sistemas operativos basados en Linux, como AppleOS, RedHat, etc. Esta implementación se realiza mediante una aplicación denominada Samba. Azure NetApp Files admite SMB con Windows y macOS. SMB/Samba en sistemas operativos Linux puede funcionar con Azure NetApp Files, pero no hay soporte técnico oficial.

Azure NetApp Files solo admite versiones SMB 2.1 y SMB 3.1.

SMB tiene las siguientes características:

• SMB es un protocolo con estado: los clientes y el servidor mantienen un "estado" para las conexiones de recursos compartidos SMB para mejorar la seguridad y el bloqueo.
• El bloqueo en SMB se considera obligatorio. Cuando un archivo está bloqueado, ningún otro cliente puede escribir en ese archivo hasta que se libere el bloqueo.
• SMBv2.x y versiones posteriores usan llamadas compuestas para realizar operaciones.
• SMB admite la integración completa de Kerberos. Con la forma en que se configuran los clientes de Windows, Kerberos suele usarse sin que los usuarios finales conozcan nunca.
• Cuando Kerberos no se puede usar para la autenticación, se puede usar Windows NT LAN Manager (NTLM) como reserva. Si NTLM está deshabilitado en el entorno de Active Directory, se producirá un error en las solicitudes de autenticación que no pueden usar Kerberos.
• SMBv3.0 y versiones posteriores admiten el cifrado de un extremo a otro para recursos compartidos SMB.
• SMBv3.x admite multicanal para mejorar el rendimiento en determinadas cargas de trabajo.
• SMB usa nombres de usuario y grupo (a través de la traducción de SID) para la autenticación. Un controlador de dominio de Active Directory proporciona información de usuario y grupo.
• SMB en Azure NetApp Files usa ACL estándar del sistema de archivos de nueva tecnología (NTFS) de Windows para los permisos de archivo y carpeta.

Para ver las preguntas más frecuentes sobre SMB en Azure NetApp Files, consulte las preguntas más frecuentes sobre SMB de Azure NetApp Files.

Protocolos duales

Algunas organizaciones tienen entornos puros de Windows o UNIX puros (homogéneos) en los que solo se accede a todos los datos mediante uno de los métodos siguientes:

• Seguridad de archivos SMB y NTFS
• Seguridad de archivos NFS y UNIX: bits de modo o listas de control de acceso (ACL) NFSv4.x

Sin embargo, muchos sitios deben permitir el acceso a conjuntos de datos desde clientes Windows y UNIX (heterogéneos). Para entornos con estos requisitos, Azure NetApp Files tiene compatibilidad nativa con NAS de protocolo dual. Una vez que el usuario se autentica en la red y tiene los permisos de uso compartido o exportación adecuados y los permisos de nivel de archivo necesarios, el usuario puede acceder a los datos de hosts UNIX mediante NFS o desde hosts de Windows mediante SMB.

Motivos para usar volúmenes de protocolo dual

El uso de volúmenes de protocolo dual con Azure NetApp Files ofrece varias ventajas distintas. Cuando los conjuntos de datos se pueden acceder sin problemas y simultáneamente a los clientes mediante distintos protocolos NAS, se pueden lograr las siguientes ventajas:

• Reduzca las tareas generales de administración del administrador de almacenamiento.
• Requerir que solo se almacene una sola copia de datos para el acceso NAS desde varios tipos de cliente.
• El NAS independiente del protocolo permite a los administradores de almacenamiento controlar el estilo de la ACL y el control de acceso que se presentan a los usuarios finales.
• Centralice las operaciones de administración de identidades en un entorno NAS.

Consideraciones comunes con entornos de protocolo dual

El acceso nas de protocolo dual es deseable para muchas organizaciones por su flexibilidad. Sin embargo, existe una percepción de dificultad que crea un conjunto de consideraciones únicas para el concepto de uso compartido entre protocolos. Estas consideraciones incluyen, pero no se limitan a:

• Requisito de conocimientos en varios protocolos, sistemas operativos y sistemas de almacenamiento.
• Conocimientos prácticos de los servidores de servicio de nombres, como DNS, LDAP, etc.

Además, los factores externos pueden entrar en juego, como:

• Tratar con varios departamentos y grupos de TI (como grupos de Windows y grupos UNIX)
• Adquisiciones de la empresa
• Consolidacións de dominios
• Reorganizaciones

A pesar de estas consideraciones, la configuración, la configuración y el acceso de NAS de protocolo dual pueden integrarse de forma sencilla y sin problemas en cualquier entorno.

Cómo Azure NetApp Files simplifica el uso de protocolo dual

Azure NetApp Files consolida la infraestructura necesaria para los entornos NAS de protocolo dual correctos en un único plano de administración, incluidos los servicios de administración de almacenamiento e identidades.

La configuración de protocolo dual es sencilla y la mayoría de las tareas están blindadas por el marco de administración de recursos de Azure NetApp Files para simplificar las operaciones de los operadores en la nube.

Después de establecer una conexión de Active Directory con Azure NetApp Files, los volúmenes de protocolo dual pueden usar la conexión para controlar la administración de identidades de Windows y UNIX necesaria para la autenticación adecuada de usuarios y grupos con volúmenes de Azure NetApp Files sin pasos de configuración adicionales fuera de la administración normal de usuarios y grupos dentro de los servicios Active Directory o LDAP.

Al quitar los pasos adicionales centrados en el almacenamiento para las configuraciones de protocolo dual, Azure NetApp Files simplifica la implementación general de protocolo dual para las organizaciones que buscan moverse a Azure.

Funcionamiento de los volúmenes de protocolo dual de Azure NetApp Files

En un nivel alto, los volúmenes de protocolo dual de Azure NetApp Files usan una combinación de estilos de asignación de nombres y permisos para proporcionar acceso a datos coherente independientemente del protocolo en uso. Esto significa que si tiene acceso a un archivo desde NFS o SMB, puede estar seguro de que los usuarios con acceso a esos archivos pueden acceder a ellos y los usuarios sin acceso a esos archivos no pueden acceder a ellos.

Cuando un cliente NAS solicita acceso a un volumen de protocolo dual en Azure NetApp Files, se producen las siguientes operaciones para proporcionar una experiencia transparente al usuario final.

1. Un cliente NAS realiza una conexión NAS con el volumen de protocolo dual de Azure NetApp Files.
2. El cliente NAS pasa información de identidad de usuario a Azure NetApp Files.
3. Azure NetApp Files comprueba que el cliente o usuario nas tenga acceso al recurso compartido de NAS.
4. Azure NetApp Files toma ese usuario y lo asigna a un usuario válido que se encuentra en los servicios de nombres.
5. Azure NetApp Files compara ese usuario con los permisos de nivel de archivo del sistema.
6. Los permisos de archivo controlan el nivel de acceso que tiene el usuario.

En la ilustración siguiente, user1 se autentica en Azure NetApp Files para acceder a un volumen de protocolo dual a través de SMB o NFS. Azure NetApp Files busca la información de Windows y UNIX del usuario en microsoft Entra ID y, a continuación, asigna las identidades de Windows y UNIX del usuario uno a uno. El usuario se comprueba como user1 y obtiene user1las credenciales de acceso.

En esta instancia, user1 obtiene el control total en su propia carpeta (user1-dir) y no tiene acceso a la HR carpeta. Esta configuración se basa en las ACL de seguridad especificadas en el sistema de archivos y user1 obtendrá el acceso esperado independientemente del protocolo desde el que accedan a los volúmenes.

Consideraciones para volúmenes de protocolo dual de Azure NetApp Files

Al usar volúmenes de Azure NetApp Files para acceder a SMB y NFS, se aplican algunas consideraciones:

• Necesita una conexión de Active Directory. Por lo tanto, debe cumplir los requisitos de las conexiones de Active Directory.
• Los volúmenes de protocolo dual requieren una zona de búsqueda inversa en DNS con un registro de puntero asociado (PTR) del equipo host de AD para evitar errores de creación de volúmenes de protocolo dual.
• El cliente NFS y los paquetes asociados (como nfs-utils) deben estar actualizados para obtener la mejor seguridad, confiabilidad y compatibilidad con características.
• Los volúmenes de protocolo dual admiten tanto Servicios de dominio de Active Directory (AD DS) como Microsoft Entra Domain Services.
• Los volúmenes de protocolo dual no admiten el uso de LDAP a través de TLS con Microsoft Entra Domain Services. Consulte las consideraciones de LDAP sobre TLS.
• Las versiones NFS admitidas incluyen: NFSv3 y NFSv4.1.
• Las características de NFSv4.1, como el sistema de archivos de red paralelo (pNFS), el tronco de sesión y las referencias no se admiten actualmente con volúmenes de Azure NetApp Files.
• Los atributos extendidos set/get de Windows no se admiten en volúmenes de protocolo dual.
• Consulte consideraciones adicionales para crear un volumen de protocolo dual para Azure NetApp Files.

Pasos siguientes

• Descripción de los comportamientos de permisos y estilo de seguridad de protocolo dual en Azure NetApp Files
• Descripción del uso de LDAP con Azure NetApp Files
• Descripción de las pertenencias a grupos NFS y grupos complementarios
• Descripción de los tipos de bloqueo y bloqueo de archivos en Azure NetApp Files
• Creación de un volumen de NFS para Azure NetApp Files
• Cree un volumen SMB para Azure NetApp Files
• Creación de un volumen de dos protocolos para Azure NetApp Files
• Preguntas más frecuentes sobre NFS de Azure NetApp Files
• Preguntas más frecuentes sobre SMB de Azure NetApp Files