Kettős protokollú kötet létrehozása az Azure NetApp Fileshoz

Az Azure NetApp Files támogatja a kötetek NFS (NFSv3 vagy NFSv4.1), SMB3 vagy kettős protokoll (NFSv3 és SMB, NFSv4.1 és SMB) használatával történő létrehozását. Ez a cikk bemutatja, hogyan hozhat létre kettős protokollt használó kötetet az LDAP-felhasználóleképezés támogatásával.

NFS-kötetek létrehozásához lásd : NFS-kötet létrehozása. SMB-kötetek létrehozásához lásd : SMB-kötet létrehozása.

Mielőtt elkezdené

• Már létrehozott egy kapacitáskészletet.
  Lásd: Kapacitáskészlet létrehozása.
• Egy alhálózatot delegálni kell az Azure NetApp Filesba.
  Lásd: Alhálózat delegálása az Azure NetApp Fileshoz.
• A nem böngészhető megosztások és a hozzáférés-alapú enumerálási funkciók jelenleg előzetes verzióban érhetők el. Használat előtt regisztrálnia kell az egyes funkciókat:

1. A funkció regisztrálása:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Ellenőrizze a szolgáltatásregisztráció állapotát:

   Feljegyzés

   A RegistrationState legfeljebb 60 percig lehet állapotbanRegistering, mielőtt átváltana.Registered A folytatás előtt várjon, amíg az állapot regisztrálva van.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Használhatja az Azure CLI-parancsokataz feature register is, és az feature show regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.

Megfontolások

• Győződjön meg arról, hogy megfelel az Active Directory-kapcsolatokra vonatkozó követelményeknek.

• Hozzon létre egy fordított keresési zónát a DNS-kiszolgálón, majd adja hozzá az AD-gazdagép mutatórekordját (PTR) az adott fordított keresési zónában. Ellenkező esetben a kétprotokollos kötet létrehozása sikertelen lesz.

• Az Active Directory-kapcsolatokban LDAP-beállítással rendelkező helyi NFS-felhasználók engedélyezése alkalmi és ideiglenes hozzáférést kíván biztosítani a helyi felhasználók számára. Ha ez a beállítás engedélyezve van, az LDAP-kiszolgáló felhasználói hitelesítése és keresése leáll, és az Azure NetApp Files által támogatott csoporttagságok száma 16-ra lesz korlátozva. Ezért tiltsa le ezt a beállítást az Active Directory-kapcsolatokon, kivéve azt az esetet, amikor egy helyi felhasználónak hozzá kell férnie az LDAP-kompatibilis kötetekhez. Ebben az esetben le kell tiltania ezt a beállítást, amint már nincs szükség helyi felhasználói hozzáférésre a kötethez. Lásd: Az LDAP-val rendelkező helyi NFS-felhasználók hozzáférésének engedélyezése kétprotokollos kötethez a helyi felhasználói hozzáférés kezelésével kapcsolatban.

• Ellenőrizze, hogy az NFS-ügyfél naprakész állapotban van-e, illetve hogy az operációs rendszer legfrissebb verziója fut-e rajta.

• A kétprotokollos kötetek támogatják a Active Directory tartományi szolgáltatások (AD DS) és a Microsoft Entra Domain Services szolgáltatást is.

• A kétprotokollos kötetek nem támogatják az LDAP használatát tLS-en keresztül a Microsoft Entra Domain Services szolgáltatással. A TLS-en keresztüli LDAP támogatott a Active Directory tartományi szolgáltatások (AD DS). Lásd: LDAP a TLS-hez kapcsolódó szempontok alapján.

• A kettős protokollú kötet által használt NFS-verzió lehet NFSv3 vagy NFSv4.1. A következő szempontokat kell figyelembe venni:

  • A kettős protokoll nem támogatja a Windows ACLS kiterjesztett attribútumait set/get az NFS-ügyfelektől.

  • Az NFS-ügyfelek nem módosíthatják az NTFS biztonsági stílus engedélyeit, a Windows-ügyfelek pedig nem módosíthatják a UNIX-stílusú kétprotokollos kötetek engedélyeit.

    Az alábbi táblázat a biztonsági stílusokat és azok hatásait ismerteti:

    Biztonsági stílus	Engedélyeket módosító ügyfelek	Az ügyfelek által használható engedélyek	Eredményként kapott hatékony biztonsági stílus	Fájlok elérésére képes ügyfelek
    Unix	NFS	NFSv3 vagy NFSv4.1 módú bitek	UNIX	NFS és Windows
    Ntfs	Windows	NTFS ACL-ek	NTFS	NFS és Windows

  • A névleképezés iránya (Windowsról UNIX vagy UNIX a Windowsra) attól függ, hogy melyik protokollt használja a rendszer, és milyen biztonsági stílust alkalmaz a kötetre. A Windows-ügyfeleknek mindig Windows–UNIX névleképezésre van szükség. A biztonsági stílustól függ, hogy egy felhasználó alkalmazva van-e a felülvizsgálati engedélyekre. Ezzel szemben az NFS-ügyfélnek csak UNIX–Windows névleképezést kell használnia, ha az NTFS biztonsági stílust használja.

    Az alábbi táblázat a névleképezéseket és a biztonsági stílusokat ismerteti:

    Protokoll	Biztonsági stílus	Névleképezés iránya	Alkalmazott engedélyek
    SMB	Unix	Windows–UNIX	UNIX (módbitek vagy NFSv4.x ACL-ek)
    SMB	Ntfs	Windows–UNIX	NTFS ACL-ek (a Windows SID hozzáférési megosztás alapján)
    NFSv3	Unix	Egyik sem	UNIX (módbitek vagy NFSv4.x ACL-ek) Az NFSv4.x ACL-ek NFSv4.x felügyeleti ügyféllel alkalmazhatók, és az NFSv3-ügyfelek tiszteletben tartják.
    NFS	Ntfs	UNIX–Windows	NTFS ACL-ek (a Windows-felhasználó biztonsági azonosítója alapján)

• A kiterjesztett csoportokkal rendelkező LDAP az [NFSv3 és az SMB] és az [NFSv4.1 és SMB] kettős protokollját is támogatja Unix biztonsági stílussal. További információ: Az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez .

• Ha nagy topológiákkal rendelkezik, és a Unix biztonsági stílust kétprotokollos kötettel vagy kiterjesztett csoportokkal rendelkező LDAP-val használja, az Active Directory Csatlakozás ions lapján az LDAP keresési hatókör beállításával elkerülheti az Azure NetApp Files linuxos ügyfeleinél jelentkező "hozzáférés megtagadva" hibákat. További információ: Az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez .

• Kétprotokollos kötet létrehozásához nincs szükség kiszolgálói fő hitelesítésszolgáltatói tanúsítványra. Csak akkor szükséges, ha a TLS-en keresztüli LDAP engedélyezve van.

• Az Azure NetApp Files kettős protokolljainak és a kapcsolódó szempontoknak a megismeréséhez tekintse meg az Azure NetApp Files NAS-protokolljainak ismertetése című szakaszát.

Kettős protokollú kötet létrehozása

1. Kattintson a Kötetek panelre a Kapacitáskészletek panelen. Kattintson a + Kötet létrehozása lehetőségre egy kötet létrehozásához.

   

2. A Kötet létrehozása ablakban kattintson a Létrehozás gombra, és adja meg az Alapismeretek lap alábbi mezőinek adatait:

   • Kötet neve
     Adja meg a létrehozni kívánt kötet nevét.

     Tekintse meg az Azure-erőforrások elnevezési szabályait és korlátozásait a kötetek elnevezési konvencióihoz. Emellett nem használhatja default vagy bin használhatja a kötet nevét.

   • Kapacitáskészlet
     Adja meg azt a kapacitáskészletet, amelyben létre szeretné hozni a kötetet.

   • Kvóta
     Adja meg a kötet számára kiosztott logikai tárterület mennyiségét.

     A Rendelkezésre álló kvóta mező a kiválasztott kapacitáskészletben fel nem használt terület mennyiségét mutatja, amely felhasználható egy új kötet létrehozása során. Az új kötet mérete nem haladhatja meg a rendelkezésre álló kvótát.

   • Nagy kötet 50 TiB és 500 TiB közötti kötetek esetén válassza az Igen lehetőséget. Ha a kötethez nem szükséges 100 TiB-nál több, válassza a Nem lehetőséget.

     Fontos

     A nagy kötetek jelenleg előzetes verzióban érhetők el. Ha most először használ nagy köteteket, először regisztrálnia kell a funkciót , és növelnie kell a regionális kapacitáskvótát.

     A kötetek akkor tekinthetők nagynak, ha 50 TiB és 500 TiB közötti méretűek. A normál kötetek nem konvertálhatók nagy kötetekké. A nagy kötetek nem méretezhetők át 50 TiB-nál kisebbre. A nagy kötetek követelményeinek és szempontjainak megismeréséhez tekintse meg a nagy kötetek követelményeit és szempontjait. További korlátokért lásd : Erőforráskorlátok.

   • Átviteli sebesség (MiB/S)
     Ha a kötet manuális QoS-kapacitáskészletben van létrehozva, adja meg a kötethez használni kívánt átviteli sebességet.

     Ha a kötet egy automatikus QoS-kapacitáskészletben jön létre, az ebben a mezőben megjelenő érték (kvóta x szolgáltatási szint átviteli sebessége).

   • Ritka elérésű hozzáférés, ritka elérésű időszakok és ritka elérésű hozzáférés beolvasási szabályzatának engedélyezése
     Ezek a mezők az Azure NetApp Filesban ritka elérésű standard tárterületet konfigurálnak. A leírásokért tekintse meg az Azure NetApp Files standard tárolójának kezelését ritka elérésű hozzáféréssel.

   • Virtuális hálózat
     Adja meg azt az Azure-beli virtuális hálózatot (VNet), amelyről hozzá szeretne férni a kötethez.

     A megadott virtuális hálózatnak rendelkeznie kell az Azure NetApp Fileshoz delegált alhálózattal. Az Azure NetApp Files csak ugyanabból a virtuális hálózatból vagy egy olyan virtuális hálózatból érhető el, amely ugyanabban a régióban található, mint a kötet, virtuális hálózatok közötti társviszony-létesítés révén. A kötetet a helyszíni hálózatról is elérheti az Express Route-on keresztül.

   • Alhálózat
     Adja meg a kötethez használni kívánt alhálózatot.
     A megadott alhálózatot delegálni kell az Azure NetApp Filesba.

     Ha még nem delegált alhálózatot, kattintson az Új létrehozása gombra a Kötet létrehozása lapon. Ezután az Alhálózat létrehozása lapon adja meg az alhálózat adatait, és válassza a Microsoft.NetApp/volumes elemet az Azure NetApp Files alhálózatának delegálásához. Minden virtuális hálózatban csak egy alhálózat delegálható az Azure NetApp Filesba.

     

   • Hálózati funkciók
     A támogatott régiókban megadhatja, hogy alapszintű vagy standard hálózati funkciókat szeretne-e használni a kötethez. Részletekért tekintse meg a kötet hálózati funkcióinak konfigurálását és az Azure NetApp Files hálózattervezési irányelveit.

   • Titkosítási kulcs forrása Kiválasztható Microsoft Managed Key vagy Customer Managed Key. A mező használatával kapcsolatban lásd: Ügyfél által felügyelt kulcsok konfigurálása az Azure NetApp Files kötettitkosításához és az Azure NetApp Files kettős titkosításának inaktív állapotban történő konfigurálásához.

   • A rendelkezésre állási zóna
     Ez a beállítás lehetővé teszi az új kötet üzembe helyezését a megadott logikai rendelkezésre állási zónában. Válasszon ki egy rendelkezésre állási zónát, ahol az Azure NetApp Files-erőforrások találhatók. További információ: Rendelkezésre állási zóna kötetelhelyezésének kezelése.

   • Ha meglévő pillanatkép-szabályzatot szeretne alkalmazni a kötetre, kattintson a Speciális szakasz megjelenítése gombra a kibontásához, adja meg, hogy el szeretné-e rejteni a pillanatkép elérési útját, és válasszon ki egy pillanatkép-szabályzatot a lekéréses menüben.

     A pillanatkép-szabályzatok létrehozásáról további információt a Pillanatkép-szabályzatok kezelése című témakörben talál.

     

3. Válassza a Protokoll lapot, majd hajtsa végre a következő műveleteket:

   • Válassza a kettős protokollt a kötet protokolltípusaként.

   • Adja meg a használni kívánt Active Directory-kapcsolatot .

   • Adjon meg egy egyedi kötet elérési útját. Ez az elérési út a csatlakoztatási célok létrehozásakor használatos. Az elérési út követelményei a következők:

     • Ha a kötetek nem egy rendelkezésre állási zónában vagy ugyanabban a rendelkezésre állási zónában lévő kötetekben találhatók, a kötet elérési útjának egyedinek kell lennie a régió minden alhálózatán belül.
     • A rendelkezésre állási zónákban lévő kötetek esetében a kötet elérési útjának egyedinek kell lennie az egyes rendelkezésre állási zónákban. Ez a funkció jelenleg előzetes verzióban érhető el, és regisztrálnia kell a funkciót. További információ: Rendelkezésre állási zóna kötetelhelyezésének kezelése.
     • Betűrendes karakterrel kell kezdődnie.
     • Csak betűket, számokat vagy kötőjeleket (-) tartalmazhat.
     • A hossz nem haladhatja meg a 80 karaktert.

   • Adja meg a kettős protokollhoz használandó verziókat : NFSv4.1 és SMB, vagy NFSv3 és SMB.

   • Adja meg a használni kívánt biztonsági stílust : NTFS (alapértelmezett) vagy UNIX.

   • Ha engedélyezni szeretné az SMB3 protokolltitkosítást a kettős protokollú kötethez, válassza az SMB3 protokolltitkosítás engedélyezése lehetőséget.

     Ez a funkció csak a repülés közbeni SMB3-adatok titkosítását teszi lehetővé. Nem titkosítja az NFSv3 fedélzeti adatait. Az SMB3 titkosítást nem használó SMB-ügyfelek nem fogják tudni elérni ezt a kötetet. Az inaktív adatok titkosítása ettől a beállítástól függetlenül történik. További információ: SMB-titkosítás .

   • Ha az NFSv4.1 és az SMB protokollt választotta a kétprotokollos kötetverziókhoz, adja meg, hogy engedélyezni szeretné-e a Kerberos-titkosítást a kötethez.

     A Kerberoshoz további konfigurációk szükségesek. Kövesse az NFSv4.1 Kerberos-titkosítás konfigurálására vonatkozó utasításokat.

   • Ha engedélyezni szeretné a hozzáférés-alapú enumerálást, válassza az Access-alapú számbavétel engedélyezése lehetőséget.

     Ez a funkció elrejti a megosztások alatt létrehozott könyvtárakat és fájlokat azoktól a felhasználóktól, akik nem rendelkeznek hozzáférési engedélyekkel. A felhasználók továbbra is megtekinthetik a megosztást. Csak akkor engedélyezheti a hozzáférés-alapú számbavételt, ha a kettős protokollú kötet NTFS biztonsági stílust használ.

   • Engedélyezheti a nem böngészhető megosztás funkciót.

     Ez a funkció megakadályozza, hogy a Windows-ügyfél a megosztást tallózással böngészje. A megosztás nem jelenik meg a Windows Fájlböngészőben vagy a megosztások listájában a net view \\server /all parancs futtatásakor.

   Fontos

   A hozzáférés-alapú enumerálási és a nem böngészhető megosztási funkciók jelenleg előzetes verzióban érhetők el. Ha első alkalommal használja valamelyiket, tekintse meg a Funkciók regisztrálása előtt című témakör lépéseit.

   • Szükség szerint testre szabhatja a Unix-engedélyeket a csatlakoztatási útvonalhoz tartozó módosítási engedélyek megadásához. A beállítás nem vonatkozik a csatlakoztatási útvonal alatti fájlokra. Az alapértelmezett beállítás: 0770. Ez az alapértelmezett beállítás olvasási, írási és végrehajtási engedélyeket biztosít a tulajdonosnak és a csoportnak, de más felhasználóknak nem adnak engedélyeket.
     A Unix-engedélyek beállításához regisztrációs követelmény és szempontok vonatkoznak. Kövesse a Unix-engedélyek konfigurálásához és a tulajdonosi mód módosításához szükséges utasításokat.

   • Igény szerint konfigurálja a kötet exportálási szabályzatát.

   

4. Kattintson a Véleményezés + Létrehozás gombra a kötet részleteinek áttekintéséhez. Ezután kattintson a Létrehozás gombra a kötet létrehozásához.

   A létrehozott kötet megjelenik a Kötetek lapon.

   A kötetek a kapacitáskészletről öröklik az előfizetésre, az erőforráscsoportra és a helyre vonatkozó attribútumokat. A kötet üzembe helyezésének állapotát az Értesítések lapon követheti nyomon.

Kétprotokollos kötet elérésének engedélyezése az LDAP-val rendelkező helyi NFS-felhasználók számára

Az Active Directory-kapcsolatokban LDAP-beállítással rendelkező helyi NFS-felhasználók engedélyezése lehetővé teszi, hogy a Windows LDAP-kiszolgálón nem található helyi NFS-ügyfélfelhasználók hozzáférjenek egy olyan kettős protokollal rendelkező kötethez, amelyen engedélyezve van az LDAP kiterjesztett csoportokkal.

Feljegyzés

A beállítás engedélyezése előtt ismernie kell a szempontokat.
Az LDAP-beállítással rendelkező helyi NFS-felhasználók engedélyezése az LDAP része kiterjesztett csoportok funkcióval, és regisztrációt igényel. Részletekért lásd: Az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez .

1. Válassza ki az Active Directory-kapcsolatokat. Egy meglévő Active Directory-kapcsolaton kattintson a helyi menüre (a három pontra …), és válassza a Szerkesztés lehetőséget.

2. A megjelenő Active Directory-beállítások szerkesztése ablakban válassza a Helyi NFS-felhasználók engedélyezése LDAP-beállítással lehetőséget.

   

LDAP POSIX-attribútumok kezelése

A POSIX-attribútumokat( például UID, Home Directory és egyéb értékek) az MMC Active Directory - felhasználók és számítógépek beépülő modullal kezelheti. Az alábbi példa az Active Directory attribútumszerkesztőt mutatja be:

Az LDAP-felhasználók és LDAP-csoportok esetében a következő attribútumokat kell megadnia:

• LdAP-felhasználók számára szükséges attribútumok:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• LDAP-csoportokhoz szükséges attribútumok:
  objectClass: group, posixGroup,
  gidNumber: 555
• Minden felhasználónak és csoportnak egyedinek uidNumber és gidNumberegyedinek kell lennie.

A megadott objectClass értékek külön bejegyzések. A többértékű sztringszerkesztőben objectClass például az LDAP-felhasználók számára az alábbiak szerint külön értékek (user és posixAccount) vannak megadva:

A Microsoft Entra Domain Services nem teszi lehetővé az objectClass POSIX attribútum módosítását a szervezeti AADDC-felhasználók szervezeti egységében létrehozott felhasználókon és csoportokon. Áthidaló megoldásként létrehozhat egy egyéni szervezeti egységet, és létrehozhat felhasználókat és csoportokat az egyéni szervezeti egységben.

Ha szinkronizálja a Microsoft Entra-bérlőben lévő felhasználókat és csoportokat az AADDC-felhasználók szervezeti egységében lévő felhasználókhoz és csoportokhoz, nem helyezhet át felhasználókat és csoportokat egyéni szervezeti egységbe. Az egyéni szervezeti egységben létrehozott felhasználók és csoportok nem lesznek szinkronizálva az AD-bérlővel. További információkért tekintse meg a Microsoft Entra Domain Services egyéni szervezeti egységével kapcsolatos szempontokat és korlátozásokat.

Az Active Directory attribútumszerkesztőjének elérése

Windows rendszeren az Alábbiak szerint érheti el az Active Directory attribútumszerkesztőt:

1. Kattintson a Start gombra, lépjen a Windows Rendszergazda istrative Tools elemre, majd a Active Directory - felhasználók és számítógépek gombra a Active Directory - felhasználók és számítógépek ablak megnyitásához.
2. Kattintson a megtekinteni kívánt tartománynévre, majd bontsa ki a tartalmat.
3. A speciális attribútumszerkesztő megjelenítéséhez engedélyezze a Speciális szolgáltatások lehetőséget az Active Directory felhasználók számítógépeinek nézet menüjében.
   
4. Kattintson duplán a felhasználók listájának megtekintéséhez a bal oldali panelEn a Felhasználók elemre.
5. Kattintson duplán egy adott felhasználóra az Attribútumszerkesztő lap megjelenítéséhez.

Az NFS-ügyfél konfigurálása

Kövesse az NFS-ügyfél Konfigurálása az Azure NetApp Fileshoz című témakör utasításait az NFS-ügyfél konfigurálásához.

Következő lépések

• Az Azure NetApp Files kétprotokollos köteteinek szempontjai
• A rendelkezésre állási zóna kötetelhelyezésének kezelése az Azure NetApp Fileshoz
• A nagyméretű kötetekre vonatkozó követelmények és szempontok
• NFSv4.1 Kerberos-titkosítás konfigurálása
• NFS-ügyfél konfigurálása az Azure NetApp Fileshoz
• Konfigurálja a Unix-engedélyeket, és módosítsa a tulajdonosi módot.
• Az AD DS LDAP konfigurálása TLS-en keresztül az Azure NetApp Fileshoz
• Az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez
• Az Azure NetApp Files-kötetek hibaelhárítása
• Az alkalmazások rugalmasságával kapcsolatos gyakori kérdések az Azure NetApp Files esetében