Créer un volume double protocole pour Azure NetApp Files

  • Article

Azure NetApp Files prend en charge la création de volumes avec NFS (NFSv3 ou NFSv4.1), SMB3 ou le double protocole (NFSv3 et SMB ou NFSv4.1 et SMB). Cet article explique la procédure de création d’un volume qui utilise le double protocole avec prise en charge du mappage d’utilisateur LDAP.

Pour créer des volumes NFS, voir Créer un volume NFS. Pour créer des volumes SMB, voir Créer un volume SMB.

Avant de commencer

  1. Inscrivez la fonctionnalité :

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration

  2. Vérifiez l’état d’inscription de la fonctionnalité :

    Remarque

    RegistrationState peut rester à l’état Registering jusqu’à 60 minutes avant de passer à l’état Registered. Avant de continuer, attendez que l’état soit Inscrit.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration

Vous pouvez également utiliser les commandes Azure CLIaz feature register et az feature show pour inscrire la fonctionnalité et afficher l’état de l’inscription.

À propos de l’installation

  • Veillez à respecter la configuration requise pour les connexions Active Directory.

  • Créez une zone de recherche inversée sur le serveur DNS, puis ajoutez un enregistrement pointeur (PTR) de l’ordinateur hôte AD dans cette zone de recherche inversée. Sinon, la création du volume à deux protocoles échoue.

  • L’option Autoriser les utilisateurs NFS locaux avec LDAP dans les connexions Active Directory vise à fournir un accès occasionnel et temporaire aux utilisateurs locaux. Lorsque cette option est activée, l’authentification et la recherche d’utilisateurs à partir du serveur LDAP cessent de fonctionner et le nombre d’appartenances à des groupes pris en charge par Azure NetApp Files est limité à 16. Par conséquent, vous devez laisser cette option désactivée sur les connexions Active Directory, sauf lorsqu’un utilisateur local a besoin d’accéder à des volumes avec LDAP. Dans ce cas, vous devez désactiver cette option dès que l’accès de l’utilisateur local n’est plus nécessaire pour le volume. Consultez Autoriser les utilisateurs NFS locaux avec LDAP à accéder à un volume à deux protocoles pour gérer l’accès des utilisateurs locaux.

  • Vérifiez que le client NFS est à jour et qu’il exécute les mises à jour les plus récentes du système d’exploitation.

  • Les volumes à double protocole prennent en charge Active Directory Domain Services (AD DS) et Microsoft Entra Domain Services.

  • Les volumes à double protocole ne prennent pas en charge l’utilisation du protocole LDAP via TLS avec Microsoft Entra Domain Services. Le protocole LDAP via TLS est pris en charge avec Active Directory Domain Services (AD DS). Consultez Considérations relatives à LDAP sur TLS.

  • La version de NFS utilisée par un volume à deux protocoles est NFSv3 ou NFSv4.1. Les considérations suivantes s’appliquent :

    • Le double protocole ne prend pas en charge les attributs étendus des ACL Windows set/get provenant des clients NFS.

    • Les clients NFS ne peuvent pas modifier les autorisations pour le style de sécurité NTFS, et les clients Windows ne peuvent pas modifier les autorisations pour les volumes à deux protocoles de type UNIX.

      Le tableau suivant décrit les styles de sécurité et leurs effets :

      Style de sécurité Clients pouvant modifier des autorisations Autorisations que les clients peuvent utiliser Style de sécurité effectif obtenu Clients pouvant accéder aux fichiers
      Unix NFS Bits du mode NFSv3 ou NFSv4.1 UNIX NFS et Windows
      Ntfs Windows ACL NTFS NTFS NFS et Windows

    • La direction dans laquelle le mappage de noms se produit (Windows vers UNIX ou UNIX vers Windows) dépend du protocole utilisé et du style de sécurité appliqué au volume. Un client Windows nécessite toujours un mappage de noms Windows vers UNIX. L’attribution d’autorisations de révision à un utilisateur dépend du style de sécurité. Inversement, un client NFS doit uniquement utiliser un mappage de noms UNIX vers Windows si le style de sécurité NTFS est utilisé.

      Le tableau suivant décrit les mappages de noms et les styles de sécurité :

      Protocol Style de sécurité Direction du mappage de noms Autorisations appliquées
      PME Unix Windows vers UNIX UNIX (listes de contrôle d’accès en mode bits ou NFSv4.x)
      PME Ntfs Windows vers UNIX Listes de contrôle d’accès NTFS (basées sur l’accès de l’identificateur de sécurité Windows au partage)
      NFSv3 Unix Aucun UNIX (listes de contrôle d’accès en mode bits ou NFSv4.x)

      Les listes de contrôle d’accès NFSv4.x peuvent être appliquées à l’aide d’un client d’administration NFSv4.x et honorées par les clients NFSv3.
      NFS Ntfs UNIX vers Windows Listes de contrôle d’accès NTFS (basées sur l’identificateur de sécurité de l’utilisateur Windows mappé)

  • La fonctionnalité LDAP avec groupes étendus prend en charge le double protocole [NFSv3 et SMB] et [NFSv4.1 et SMB] avec le style de sécurité UNIX. Pour plus d’informations, consultez Configurer le protocole LDAP AD DS avec des groupes étendus pour l’accès à un volume NFS.

  • Si vous disposez de topologies de grande taille et que vous utilisez le style de sécurité UNIX avec un volume double protocole ou le protocole LDAP avec des groupes étendus, servez-vous de l’option Étendue de la recherche LDAP sur la page Connexions Active Directory pour éviter les erreurs de type « accès refusé » sur les clients Linux pour Azure NetApp Files. Pour plus d’informations, consultez Configurer le protocole LDAP AD DS avec des groupes étendus pour l’accès à un volume NFS.

  • Vous n’avez pas besoin d’un certificat d’autorité de certification racine de serveur pour créer un volume à deux protocoles. Il n’est obligatoire que si le protocole LDAP sur TLS est activé.

  • Pour comprendre les protocoles doubles Azure NetApp Files et les considérations qui y sont associées, consultez la section Protocoles doubles dans Comprendre les protocoles NAS dans Azure NetApp Files.

Créer un volume à deux protocoles

  1. Cliquez sur le panneau Volumes à partir du panneau Pools de capacités. Cliquez sur + Ajouter un volume pour créer un volume.

    Accédez à Volumes

  2. Dans la fenêtre Créer un volume, cliquez sur Créer et fournissez les informations pour les champs suivants sous l’onglet De base :

    • Nom du volume
      Spécifiez le nom du volume que vous créez.

      Reportez-vous aux règles et restrictions de nommage pour les ressources Azure pour connaître les conventions de nommage applicables aux volumes. De plus, vous ne pouvez pas utiliser default ou bin comme nom de volume.

    • Pool de capacités
      Spécifiez le pool de capacité dans lequel vous souhaitez que le volume soit créé.

    • Quota
      Spécifiez la quantité de stockage logique allouée au volume.

      Le champ Quota disponible indique la quantité d’espace inutilisé dans le pool de capacités choisi, que vous pouvez utiliser pour créer un volume. La taille du nouveau volume ne doit pas dépasser le quota disponible.

    • Grand volume Pour des volumes compris entre 50 Tio et 500 Tio, sélectionnez Oui. Si le volume n’a pas besoin de plus de 100 Tio, sélectionnez Non.

      Important

      Les grands volumes sont actuellement en préversion. Si c’est la première fois que vous utilisez des grands volumes, vous devez d’abord inscrire la fonctionnalité et demander une augmentation du quota de capacité régional.

      Les volumes sont considérés comme grands si leur taille est comprise entre 50 et 500 Tio. Les volumes réguliers ne peuvent pas être convertis en volumes volumineux. Les volumes volumineux ne peuvent pas être redimensionnés sur moins de 50 Tio. Pour comprendre les exigences et les considérations relatives aux grands volumes, reportez-vous à Exigences et considérations relatives aux grands volumes. Pour d’autres limites, consultez les limites des ressources.

    • Débit (Mio/s)
      Si le volume est créé dans un pool de capacité avec Qualité de service manuelle, spécifiez le débit souhaité pour le volume.

      Si le volume est créé dans un pool de capacité avec Qualité de service automatique, la valeur affichée dans ce champ est (quota x débit du niveau de service).

    • Activer l’accès froid, Période de refroidissement et Stratégie de récupération d’accès froid
      Ces champs permettent de configurer le stockage standard avec un accès froid dans Azure NetApp Files. Pour obtenir des descriptions, consultez Gérer le stockage standard Azure NetApp Files avec un accès froid.

    • Réseau virtuel
      Spécifiez le réseau virtuel Azure (VNet) à partir duquel vous voulez accéder au volume.

      Le réseau virtuel que vous spécifiez doit avoir un sous-réseau délégué à Azure NetApp Files. Le service Azure NetApp Files n’est accessible qu’à partir du même réseau virtuel ou d’un réseau virtuel qui se trouve dans la même région que le volume par peering de réseau virtuel. Vous pouvez également accéder au volume à partir de votre réseau local via Express Route.

    • Sous-réseau
      Spécifiez le sous-réseau que vous souhaitez utiliser pour le volume.
      Le sous-réseau que vous spécifiez doit être délégué à Azure NetApp Files.

      Si vous n’avez pas délégué un sous-réseau, vous pouvez cliquer sur Créer sur la page Créer un volume. Ensuite, dans la page Créer un sous-réseau, fournissez les informations sur le sous-réseau, puis sélectionnez Microsoft.NetApp/volumes pour déléguer le sous-réseau à Azure NetApp Files. Dans chaque réseau virtuel, un seul sous-réseau peut être délégué à Azure NetApp Files.

      Créer un sous-réseau

    • Fonctionnalités réseau
      Dans les régions prises en charge, vous pouvez préciser si vous souhaitez utiliser les fonctionnalités réseau De base ou Standard pour le volume. Consultez Configurer les fonctionnalités réseau d’un volume et Consignes pour planifier un réseau Azure NetApp Files pour plus de détails.

    • Source de clé de chiffrement Vous pouvez sélectionner Microsoft Managed Key ou Customer Managed Key. Pour plus d’informations sur l’utilisation de ce champ, consultez Configurer des clés gérées par le client pour le chiffrement de volume Azure NetApp Files et Chiffrement double Azure NetApp Files au repos.

    • Zone de disponibilité
      Cette option vous permet de déployer le nouveau volume dans la zone de disponibilité logique que vous spécifiez. Sélectionnez une zone de disponibilité où les ressources Azure NetApp Files sont présentes. Pour plus d’informations, consultez Gérer le placement des volumes de zone de disponibilité.

    • Si vous souhaitez appliquer une stratégie d’instantané existante au volume, cliquez sur Afficher la section avancée pour la développer, indiquez si vous souhaitez masquer le chemin d'accès de l’instantané, puis sélectionnez une stratégie d’instantané dans le menu déroulant.

      Pour plus d’informations sur la création d’une stratégie d’instantané, consultez Gérer les stratégies de capture instantanée.

      Afficher la sélection avancée

  3. Sélectionnez l’onglet Protocole, puis effectuez les actions suivantes :

    • Sélectionnez le type de protocole Double protocole pour le volume.

    • Spécifiez la connexion Active Directory à utiliser.

    • Spécifiez un chemin d’accès au volume unique. Ce chemin est utilisé lorsque vous créez des cibles de montage. Les exigences concernant ce chemin sont les suivantes :

      • Pour les volumes qui ne se trouvent pas dans une zone de disponibilité ou des volumes dans la même zone de disponibilité, le chemin d’accès au volume doit être unique dans chaque sous-réseau de la région.
      • Pour les volumes dans des zones de disponibilité, le chemin d’accès au volume doit être unique dans chaque zone de disponibilité. Actuellement, cette fonctionnalité est disponible en préversion et doit être inscrite. Pour plus d’informations, consultez Gérer le placement des volumes de zone de disponibilité pour Azure NetApp Files.
      • Il doit commencer par un caractère alphabétique.
      • Il doit contenir uniquement des lettres, des chiffres ou des tirets (-).
      • La longueur totale ne doit pas dépasser 80 caractères.

    • Spécifiez les versions à utiliser pour le double protocole : NFSv4.1 et SMB ou NFSv3 et SMB.

    • Spécifiez le Style de sécurité à utiliser : NTFS (par défaut) ou UNIX.

    • Si vous souhaitez activer le chiffrement du protocole SMB3 pour le volume à double protocole, sélectionnez Activer le chiffrement du protocole SMB3.

      Cette fonctionnalité active le chiffrement pour les données SMB3 à la volée uniquement. Elle ne chiffre pas les données NFSv3 à la volée. Les clients SMB n’utilisant pas le chiffrement SMB3 ne seront pas en mesure d’accéder à ce volume. Les données au repos sont chiffrées, indépendamment de ce paramètre. Pour plus d’informations, consultez Chiffrement SMB.

    • Si vous avez sélectionné NFSv 4.1 et SMB pour les versions de volume à deux protocoles, indiquez si vous souhaitez activer le chiffrement Kerberos pour le volume.

      Des configurations supplémentaires sont requises pour Kerberos. Suivez les instructions fournies dans Configurer le chiffrement Kerberos NFSv4.1.

    • Si vous souhaitez activer l’énumération basée sur l’accès, sélectionnez Activer l’énumération basée sur l’accès.

      Cette fonctionnalité masque les répertoires et les fichiers créés sous un partage pour les utilisateurs qui n’ont pas les autorisations d’accès. Les utilisateurs peuvent toujours afficher le partage. Vous pouvez uniquement activer l’énumération basée sur l’accès si le volume à double protocole utilise le style de sécurité NTFS.

    • Vous pouvez activer la fonctionnalité de partage non consultable.

      Cette fonctionnalité empêche le client Windows de parcourir le partage. Le partage ne s’affiche ni dans l’Explorateur de fichiers Windows ni dans la liste des partages lorsque vous exécutez la commande net view \\server /all.

    Important

    Les fonctionnalités d’énumération basée sur l’accès et de partage non consultable sont actuellement disponibles en préversion. Si vous utilisez l’une ou l’autre de ces fonctionnalités pour la première fois, reportez-vous aux étapes décrites dans la section Avant de commencer pour inscrire les fonctionnalités.

    • Personnalisez les autorisations Unix si nécessaire pour spécifier les autorisations du chemin d’accès de montage. Ce paramètre ne s’applique pas aux fichiers sous le chemin d’accès de montage. La valeur par défaut est 0770. Ce paramètre par défaut accorde des autorisations de lecture, d’écriture et d’exécution au propriétaire et au groupe, mais aucune autorisation n’est accordée aux autres utilisateurs.
      La spécification et les considérations relatives à l’inscription s’appliquent à la définition des autorisations UNIX. Suivez les instructions dans Configurer des autorisations Unix et modifier le mode de propriété.

    • En option, configurez une stratégie d’exportation pour le volume.

    Spécifier le double protocole

  4. Cliquez sur Vérifier et créer pour passer en revue les informations du volume. Cliquez ensuite sur Créer pour créer le volume.

    Le volume créé s’affiche dans la page Volumes.

    Un volume hérite de l’abonnement, du groupe de ressources et des attributs d’emplacement de son pool de capacité. Vous pouvez suivre l’état du déploiement du volume dans le volet des notifications.

Autoriser les utilisateurs NFS locaux avec LDAP à accéder à un volume à deux protocoles

L’option Autoriser les utilisateurs NFS locaux avec LDAP dans les connexions Active Directory permet aux utilisateurs locaux du client NFS qui ne sont pas présents sur le serveur LDAP de Windows d’accéder à un volume à deux protocoles dont le protocole LDAP avec groupes étendus est activé.

Remarque

Avant d’activer cette option, vous devez comprendre les considérations.
L’option Autoriser les utilisateurs NFS locaux avec LDAP fait partie de la fonctionnalité LDAP avec groupes étendu et nécessite une inscription. Pour plus de détails, consultez Configurer AD DS LDAP avec des groupes étendus pour l’accès au volume NFS.

  1. Sélectionnez Connexions Active Directory. Sur une connexion Active Directory existante, cliquez sur le menu contextuel (les points de suspension ), puis sélectionnez Modifier.

  2. Dans la fenêtre Modifier les paramètres Active Directory qui s’affiche, sélectionnez l’option Autoriser les utilisateurs NFS locaux avec LDAP.

    Capture d’écran montrant l’option Autoriser les utilisateurs NFS locaux avec LDAP

Gérer les attributs LDAP POSIX

Vous pouvez gérer les attributs POSIX, tels que l’identificateur d’utilisateur, le répertoire de base et d’autres valeurs à l’aide du composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory. L'exemple suivant illustre l’Éditeur d’attributs Active Directory :

Éditeur d’attributs Active Directory

Vous devez définir les attributs suivants pour les utilisateurs LDAP et les groupes LDAP :

  • Attributs requis pour les utilisateurs LDAP :
    uid: Alice
    uidNumber: 139
    gidNumber: 555
    objectClass: user, posixAccount
  • Attributs requis pour les groupes LDAP :
    objectClass: group, posixGroup
    gidNumber: 555
  • Tous les utilisateurs et groupes doivent avoir un numéro d’identification unique, respectivement uidNumber et gidNumber.

Les valeurs spécifiées pour objectClass sont des entrées distinctes. Par exemple, dans l’éditeur de chaînes à valeurs multiples, objectClass aurait des valeurs distinctes (user et posixAccount) spécifiées comme suit pour les utilisateurs LDAP :

Capture d’écran de l’éditeur de chaînes à valeurs multiples qui montre plusieurs valeurs spécifiées pour Object Class.

Microsoft Entra Domain Services ne vous permet pas de modifier l’attribut objectClass POSIX sur les utilisateurs et les groupes créés dans l’unité d’organisation utilisateurs AADDC de l’organisation. Pour contourner ce problème, vous pouvez créer une unité d’organisation personnalisée et créer des utilisateurs et des groupes dans l’unité d’organisation personnalisée.

Si vous synchronisez les utilisateurs et les groupes de votre location Microsoft Entra avec les utilisateurs et les groupes de l’unité d’organisation des utilisateurs AADDC, vous ne pouvez pas déplacer les utilisateurs et les groupes dans une unité d’organisation personnalisée. Les utilisateurs et les groupes créés dans l’unité d’organisation personnalisée ne seront pas synchronisés avec votre location AD. Pour plus d’informations, consultez Considérations et limitations relatives à l’unité d’organisation personnalisée Microsoft Entra Domain Services.

Accéder à l’éditeur d’attributs Active Directory

Sur un système Windows, vous pouvez accéder à l’éditeur d’attributs Active Directory comme suit :

  1. Cliquez sur Démarrer, accédez à Outils d’administration Windows, puis cliquez sur Utilisateurs et ordinateurs Active Directory pour ouvrir la fenêtre Utilisateurs et ordinateurs Active Directory.
  2. Cliquez sur le nom de domaine que vous souhaitez afficher, puis développez son contenu.
  3. Pour afficher l’éditeur d’attributs avancé, activez l’option Fonctionnalités avancées dans le menu Affichage de la fenêtre Utilisateurs et ordinateurs Active Directory.
    Capture d’écran montrant comment accéder au menu des fonctionnalités avancées de l’éditeur d’attributs.
  4. Double-cliquez sur Utilisateurs dans le volet gauche pour voir la liste des utilisateurs.
  5. Double-cliquez sur un utilisateur particulier pour voir son onglet Éditeur d’attributs.

Configurer le client NFS

Suivez les instructions de Configurer un client NFS pour Azure NetApp Files pour configurer le client NFS.

Étapes suivantes