Kettős protokollú kötet létrehozása az Azure NetApp Fileshoz
Az Azure NetApp Files támogatja a kötetek NFS (NFSv3 vagy NFSv4.1), SMB3 vagy kettős protokoll (NFSv3 és SMB, NFSv4.1 és SMB) használatával történő létrehozását. Ez a cikk bemutatja, hogyan hozhat létre kettős protokollt használó kötetet az LDAP-felhasználóleképezés támogatásával.
NFS-kötetek létrehozásához lásd : NFS-kötet létrehozása. SMB-kötetek létrehozásához lásd : SMB-kötet létrehozása.
Mielőtt elkezdené
Fontos
Ha egyéni RBAC-/IAM-szerepkört használ, rendelkeznie kell a Microsoft.Network/virtualNetworks/subnets/read
kötet létrehozásához vagy frissítéséhez konfigurált engedéllyel.
Az engedélyekről és az engedélyek konfigurálásának megerősítéséről további információt az Egyéni Azure-szerepkörök létrehozása vagy frissítése az Azure Portalon című témakörben talál.
- Már létrehozott egy kapacitáskészletet.
Lásd: Kapacitáskészlet létrehozása. - Egy alhálózatot delegálni kell az Azure NetApp Filesba.
Lásd: Alhálózat delegálása az Azure NetApp Fileshoz. - A mennyiségi kvóta 50 és 100 GiB közötti beállításának lehetősége jelenleg előzetes verzióban érhető el. 50 GiB-kötet létrehozása előtt regisztrálnia kell a szolgáltatásra.
A funkció regisztrálása:
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
Ellenőrizze a szolgáltatásregisztráció állapotát:
Feljegyzés
A RegistrationState legfeljebb 60 percig lehet állapotban
Registering
, mielőtt átváltana.Registered
Várjon, amíg az állapot folytatódikRegistered
.Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
Használhatja az Azure CLI-parancsokat
az feature register
is, ésaz feature show
regisztrálhatja a funkciót, és megjelenítheti a regisztrációs állapotot.
Megfontolások
Győződjön meg arról, hogy megfelel az Active Directory-kapcsolatokra vonatkozó követelményeknek.
Hozzon létre egy fordított keresési zónát a DNS-kiszolgálón, majd adja hozzá az AD-gazdagép mutatórekordját (PTR) az adott fordított keresési zónában. Ellenkező esetben a kétprotokollos kötet létrehozása meghiúsul.
Az Active Directory-kapcsolatokban LDAP-beállítással rendelkező helyi NFS-felhasználók engedélyezése alkalmi és ideiglenes hozzáférést kíván biztosítani a helyi felhasználók számára. Ha ez a beállítás engedélyezve van, az LDAP-kiszolgáló felhasználói hitelesítése és keresése leáll, és az Azure NetApp Files által támogatott csoporttagságok száma 16-ra korlátozódik. Ezért tiltsa le ezt a beállítást az Active Directory-kapcsolatokon, kivéve azt az esetet, amikor egy helyi felhasználónak hozzá kell férnie az LDAP-kompatibilis kötetekhez. Ebben az esetben le kell tiltania ezt a beállítást, amint már nincs szükség helyi felhasználói hozzáférésre a kötethez. Lásd: Az LDAP-val rendelkező helyi NFS-felhasználók hozzáférésének engedélyezése kétprotokollos kötethez a helyi felhasználói hozzáférés kezelésével kapcsolatban.
Ellenőrizze, hogy az NFS-ügyfél naprakész állapotban van-e, illetve hogy az operációs rendszer legfrissebb verziója fut-e rajta.
A kétprotokollos kötetek támogatják a Active Directory tartományi szolgáltatások (AD DS) és a Microsoft Entra Domain Services szolgáltatást is.
A kétprotokollos kötetek nem támogatják az LDAP használatát tLS-en keresztül a Microsoft Entra Domain Services szolgáltatással. A TLS-en keresztüli LDAP támogatott a Active Directory tartományi szolgáltatások (AD DS). Lásd: LDAP a TLS-hez kapcsolódó szempontok alapján.
A kettős protokollú kötet által használt NFS-verzió lehet NFSv3 vagy NFSv4.1. A következő szempontokat kell figyelembe venni:
A kettős protokoll nem támogatja a Windows ACLS kiterjesztett attribútumait
set/get
az NFS-ügyfelektől.Az NFS-ügyfelek nem módosíthatják az NTFS biztonsági stílus engedélyeit, a Windows-ügyfelek pedig nem módosíthatják a UNIX-stílusú kétprotokollos kötetek engedélyeit.
Az alábbi táblázat a biztonsági stílusokat és azok hatásait ismerteti:
Biztonsági stílus Engedélyeket módosító ügyfelek Az ügyfelek által használható engedélyek Eredményként kapott hatékony biztonsági stílus Fájlok elérésére képes ügyfelek Unix
NFS NFSv3 vagy NFSv4.1 módú bitek UNIX NFS és Windows Ntfs
Windows NTFS ACL-ek NTFS NFS és Windows A névleképezés iránya (Windowsról UNIX vagy UNIX a Windowsra) attól függ, hogy melyik protokollt használja a rendszer, és milyen biztonsági stílust alkalmaz a kötetre. A Windows-ügyfeleknek mindig Windows–UNIX névleképezésre van szükség. A biztonsági stílustól függ, hogy egy felhasználó alkalmazva van-e a felülvizsgálati engedélyekre. Ezzel szemben az NFS-ügyfélnek csak UNIX–Windows névleképezést kell használnia, ha az NTFS biztonsági stílust használja.
Az alábbi táblázat a névleképezéseket és a biztonsági stílusokat ismerteti:
Protokoll Biztonsági stílus Névleképezés iránya Alkalmazott engedélyek SMB Unix
Windows–UNIX UNIX (módbitek vagy NFSv4.x ACL-ek) SMB Ntfs
Windows–UNIX NTFS ACL-ek (a Windows SID hozzáférési megosztás alapján) NFSv3 Unix
Egyik sem UNIX (módbitek vagy NFSv4.x ACL-ek)
Az NFSv4.x ACL-ek NFSv4.x felügyeleti ügyféllel alkalmazhatók, és az NFSv3-ügyfelek tiszteletben tartják.NFS Ntfs
UNIX–Windows NTFS ACL-ek (a Windows-felhasználó biztonsági azonosítója alapján)
A kiterjesztett csoportokkal rendelkező LDAP az [NFSv3 és az SMB] és az [NFSv4.1 és SMB] kettős protokollját is támogatja Unix biztonsági stílussal. További információ: Az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez .
Ha nagy topológiákkal rendelkezik, és a Unix biztonsági stílust kettős protokollú kötettel vagy kiterjesztett csoportokkal rendelkező LDAP-val használja, az Active Directory-kapcsolatok lapon az LDAP keresési hatókör beállításával elkerülheti az Azure NetApp Files linuxos ügyfeleinél jelentkező "hozzáférés megtagadva" hibákat. További információ: Az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez .
Kétprotokollos kötet létrehozásához nincs szükség kiszolgálói fő hitelesítésszolgáltatói tanúsítványra. Csak akkor szükséges, ha a TLS-en keresztüli LDAP engedélyezve van.
Az Azure NetApp Files kettős protokolljainak és a kapcsolódó szempontoknak a megismeréséhez tekintse meg az Azure NetApp Files NAS-protokolljainak ismertetése című szakaszát.
Kettős protokollú kötet létrehozása
Válassza a Kötetek panelt a Kapacitáskészletek panelen. Kötet létrehozásához válassza a + Kötet hozzáadása lehetőséget.
A Kötet létrehozása ablakban válassza a Létrehozás lehetőséget, és adja meg a következő mezők adatait az Alapismeretek lapon:
Kötet neve
Adja meg a létrehozni kívánt kötet nevét.Tekintse meg az Azure-erőforrások elnevezési szabályait és korlátozásait a kötetek elnevezési konvencióihoz. Emellett nem használhatja
default
vagybin
használhatja a kötet nevét.Kapacitáskészlet
Adja meg azt a kapacitáskészletet, amelyben létre szeretné hozni a kötetet.Kvóta
Adja meg a kötet számára kiosztott logikai tárterület mennyiségét.A Rendelkezésre álló kvóta mező a kiválasztott kapacitáskészletben fel nem használt terület mennyiségét mutatja, amely felhasználható egy új kötet létrehozása során. Az új kötet mérete nem haladhatja meg a rendelkezésre álló kvótát.
Nagy kötet
A normál mennyiségi kvóták 50 GiB és 100 TiB között vannak. A nagy kötetkvóták 50 TiB-tól 1 PiB-os méretig terjednek. Ha azt szeretné, hogy a kötetkvóta a nagy kötettartományba csökkenjen, válassza az Igen lehetőséget. A mennyiségi kvóták a GiB-ben vannak megadva.
Fontos
Ha most először használ nagy köteteket, először regisztrálnia kell a funkciót , és növelnie kell a regionális kapacitáskvótát.
A normál kötetek nem konvertálhatók nagy kötetekké. A nagy kötetek nem méretezhetők át 50 TiB-nál kisebbre. A nagy kötetek követelményeinek és szempontjainak megismeréséhez tekintse meg a nagy kötetekre vonatkozó követelményeket és szempontokat. További korlátokért lásd : Erőforráskorlátok.
Átviteli sebesség (MiB/S)
Ha a kötet manuális QoS-kapacitáskészletben van létrehozva, adja meg a kötethez használni kívánt átviteli sebességet.Ha a kötet egy automatikus QoS-kapacitáskészletben jön létre, az ebben a mezőben megjelenő érték (kvóta x szolgáltatási szint átviteli sebessége).
Ritka elérésű hozzáférés, ritka elérésű időszakok és ritka elérésű hozzáférés beolvasási szabályzatának engedélyezése
Ezek a mezők az Azure NetApp Files-tárolót menő hozzáféréssel konfigurálják. A leírásokat az Azure NetApp Files storage ritka elérésű kezelése című témakörben talál.Virtuális hálózat
Adja meg azt az Azure-beli virtuális hálózatot (VNet), amelyről hozzá szeretne férni a kötethez.A megadott virtuális hálózatnak rendelkeznie kell az Azure NetApp Fileshoz delegált alhálózattal. Az Azure NetApp Files csak ugyanabból a virtuális hálózatból vagy egy olyan virtuális hálózatból érhető el, amely ugyanabban a régióban található, mint a kötet, virtuális hálózatok közötti társviszony-létesítés révén. A kötetet a helyszíni hálózatról is elérheti az Express Route-on keresztül.
Alhálózat
Adja meg a kötethez használni kívánt alhálózatot.
A megadott alhálózatot delegálni kell az Azure NetApp Filesba.Ha még nem delegált alhálózatot, válassza az Új létrehozása lehetőséget a Kötet létrehozása lapon. Ezután az Alhálózat létrehozása lapon adja meg az alhálózat adatait, és válassza a Microsoft.NetApp/volumes elemet az Azure NetApp Files alhálózatának delegálásához. Minden virtuális hálózatban csak egy alhálózat delegálható az Azure NetApp Filesba.
Hálózati funkciók
A támogatott régiókban megadhatja, hogy alapszintű vagy standard hálózati funkciókat szeretne-e használni a kötethez. Részletekért tekintse meg a kötet hálózati funkcióinak konfigurálását és az Azure NetApp Files hálózattervezési irányelveit.Titkosítási kulcs forrása Kiválasztható
Microsoft Managed Key
vagyCustomer Managed Key
. A mező használatával kapcsolatban lásd: Ügyfél által felügyelt kulcsok konfigurálása az Azure NetApp Files kötettitkosításához és az Azure NetApp Files kettős titkosításának inaktív állapotban történő konfigurálásához.A rendelkezésre állási zóna
Ez a beállítás lehetővé teszi az új kötet üzembe helyezését a megadott logikai rendelkezésre állási zónában. Válasszon ki egy rendelkezésre állási zónát, ahol az Azure NetApp Files-erőforrások találhatók. További információ: Rendelkezésre állási zóna kötetelhelyezésének kezelése.Ha meglévő pillanatkép-szabályzatot szeretne alkalmazni a kötetre, válassza a Speciális szakasz megjelenítése lehetőséget a kibontásához, adja meg, hogy el szeretné-e rejteni a pillanatkép elérési útját, és válasszon ki egy pillanatkép-szabályzatot a lekéréses menüben.
A pillanatkép-szabályzatok létrehozásáról további információt a Pillanatkép-szabályzatok kezelése című témakörben talál.
Válassza a Protokoll lapot, majd hajtsa végre a következő műveleteket:
Válassza a kettős protokollt a kötet protokolltípusaként.
Adja meg a használni kívánt Active Directory-kapcsolatot .
Adjon meg egy egyedi kötet elérési útját. Ez az elérési út a csatlakoztatási célok létrehozásakor használatos. Az elérési út követelményei a következők:
- Ha a kötetek nem egy rendelkezésre állási zónában vagy ugyanabban a rendelkezésre állási zónában lévő kötetekben találhatók, a kötet elérési útjának egyedinek kell lennie a régió minden alhálózatán belül.
- A rendelkezésre állási zónákban lévő kötetek esetében a kötet elérési útjának egyedinek kell lennie az egyes rendelkezésre állási zónákban. Ez a funkció jelenleg előzetes verzióban érhető el, és regisztrálnia kell a funkciót. További információ: Rendelkezésre állási zóna kötetelhelyezésének kezelése.
- Betűrendes karakterrel kell kezdődnie.
- Csak betűket, számokat vagy kötőjeleket (
-
) tartalmazhat. - A hossz nem haladhatja meg a 80 karaktert.
Adja meg a kettős protokollhoz használandó verziókat : NFSv4.1 és SMB, vagy NFSv3 és SMB.
Adja meg a használni kívánt biztonsági stílust : NTFS (alapértelmezett) vagy UNIX.
Ha engedélyezni szeretné az SMB3 protokolltitkosítást a kettős protokollú kötethez, válassza az SMB3 protokolltitkosítás engedélyezése lehetőséget.
Ez a funkció csak a repülés közbeni SMB3-adatok titkosítását teszi lehetővé. Nem titkosítja az NFSv3 fedélzeti adatait. Az SMB3 titkosítást nem használó SMB-ügyfelek nem tudják elérni ezt a kötetet. Az inaktív adatok titkosítása ettől a beállítástól függetlenül történik. További információ: SMB-titkosítás .
Ha az NFSv4.1 és az SMB protokollt választotta a kétprotokollos kötetverziókhoz, adja meg, hogy engedélyezni szeretné-e a Kerberos-titkosítást a kötethez.
A Kerberoshoz további konfigurációk szükségesek. Kövesse az NFSv4.1 Kerberos-titkosítás konfigurálására vonatkozó utasításokat.
Ha engedélyezni szeretné a hozzáférés-alapú enumerálást, válassza az Access-alapú számbavétel engedélyezése lehetőséget.
A hozzáférés-alapú számbavétel elrejti a megosztás alatt létrehozott könyvtárakat és fájlokat azoktól a felhasználóktól, akik nem rendelkeznek hozzáférési engedélyekkel. Továbbra is megtekintheti a megosztást. Csak akkor engedélyezheti a hozzáférés-alapú számbavételt, ha a kettős protokollú kötet NTFS biztonsági stílust használ.
Engedélyezheti a nem böngészhető megosztás funkciót.
Ez a funkció megakadályozza, hogy a Windows-ügyfél a megosztást tallózással böngészje. A megosztás nem jelenik meg a Windows Fájlböngészőben vagy a megosztások listájában a
net view \\server /all
parancs futtatásakor.Szükség szerint testre szabhatja a Unix-engedélyeket a csatlakoztatási útvonalhoz tartozó módosítási engedélyek megadásához. A beállítás nem vonatkozik a csatlakoztatási útvonal alatti fájlokra. Az alapértelmezett beállítás:
0770
. Ez az alapértelmezett beállítás olvasási, írási és végrehajtási engedélyeket biztosít a tulajdonosnak és a csoportnak, de más felhasználóknak nem adnak engedélyeket.
A Unix-engedélyek beállításához regisztrációs követelmény és szempontok vonatkoznak. Kövesse a Unix-engedélyek konfigurálásához és a tulajdonosi mód módosításához szükséges utasításokat.Igény szerint konfigurálja a kötet exportálási szabályzatát.
Válassza a Véleményezés + Létrehozás lehetőséget a kötet részleteinek áttekintéséhez. Ezután válassza a Létrehozás lehetőséget a kötet létrehozásához.
A létrehozott kötet megjelenik a Kötetek lapon.
A kötetek a kapacitáskészletről öröklik az előfizetésre, az erőforráscsoportra és a helyre vonatkozó attribútumokat. A kötet üzembe helyezésének állapotát az Értesítések lapon követheti nyomon.
Kétprotokollos kötet elérésének engedélyezése az LDAP-val rendelkező helyi NFS-felhasználók számára
Az Active Directory-kapcsolatokban LDAP-beállítással rendelkező helyi NFS-felhasználók engedélyezése lehetővé teszi, hogy a Windows LDAP-kiszolgálón nem található helyi NFS-ügyfélfelhasználók hozzáférjenek egy olyan kettős protokollal rendelkező kötethez, amelyen engedélyezve van az LDAP kiterjesztett csoportokkal.
Feljegyzés
A beállítás engedélyezése előtt ismernie kell a szempontokat.
Az LDAP-beállítással rendelkező helyi NFS-felhasználók engedélyezése az LDAP része kiterjesztett csoportok funkcióval, és regisztrációt igényel. Részletekért lásd: Az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez .
Válassza ki az Active Directory-kapcsolatokat. Egy meglévő Active Directory-kapcsolaton válassza a helyi menüt (a három pont), majd a Szerkesztés parancsot
…
.A megjelenő Active Directory-beállítások szerkesztése ablakban válassza a Helyi NFS-felhasználók engedélyezése LDAP-beállítással lehetőséget.
LDAP POSIX-attribútumok kezelése
A POSIX-attribútumokat( például UID, Home Directory és egyéb értékek) az MMC Active Directory - felhasználók és számítógépek beépülő modullal kezelheti. Az alábbi példa az Active Directory attribútumszerkesztőt mutatja be:
Az LDAP-felhasználók és LDAP-csoportok esetében a következő attribútumokat kell megadnia:
- LdAP-felhasználók számára szükséges attribútumok:
uid: Alice
,
uidNumber: 139
,
gidNumber: 555
,
objectClass: user, posixAccount
- LDAP-csoportokhoz szükséges attribútumok:
objectClass: group, posixGroup
,
gidNumber: 555
- Minden felhasználónak és csoportnak egyedinek
uidNumber
ésgidNumber
egyedinek kell lennie.
A megadott objectClass
értékek külön bejegyzések. A többértékű sztringszerkesztőben objectClass
például az LDAP-felhasználók számára az alábbiak szerint külön értékek (user
és posixAccount
) vannak megadva:
A Microsoft Entra Domain Services nem teszi lehetővé az objectClass POSIX attribútum módosítását a szervezeti AADDC-felhasználók szervezeti egységében létrehozott felhasználókon és csoportokon. Áthidaló megoldásként létrehozhat egy egyéni szervezeti egységet, és létrehozhat felhasználókat és csoportokat az egyéni szervezeti egységben.
Ha szinkronizálja a Microsoft Entra-bérlőben lévő felhasználókat és csoportokat az AADDC-felhasználók szervezeti egységében lévő felhasználókhoz és csoportokhoz, nem helyezhet át felhasználókat és csoportokat egyéni szervezeti egységbe. Az egyéni szervezeti egységben létrehozott felhasználók és csoportok nincsenek szinkronizálva az AD-bérlővel. További információkért tekintse meg a Microsoft Entra Domain Services egyéni szervezeti egységével kapcsolatos szempontokat és korlátozásokat.
Az Active Directory attribútumszerkesztőjének elérése
Windows rendszeren az Alábbiak szerint érheti el az Active Directory attribútumszerkesztőt:
- Válassza a Start elemet, és keresse meg a Windows felügyeleti eszközeit. Ezután válassza a Active Directory - felhasználók és számítógépek a Active Directory - felhasználók és számítógépek ablak megnyitásához.
- Jelölje ki a megtekinteni kívánt tartománynevet, majd bontsa ki a tartalmat.
- A speciális attribútumszerkesztő megjelenítéséhez engedélyezze a Speciális szolgáltatások lehetőséget az Active Directory felhasználók számítógépeinek nézet menüjében.
- A felhasználók listájának megtekintéséhez válassza a bal oldali panelEn a Felhasználók lehetőséget.
- Válasszon ki egy adott felhasználót az Attribútumszerkesztő lap megjelenítéséhez.
Az NFS-ügyfél konfigurálása
Kövesse az NFS-ügyfél Konfigurálása az Azure NetApp Fileshoz című témakör utasításait az NFS-ügyfél konfigurálásához.
Következő lépések
- Az Azure NetApp Files kétprotokollos köteteinek szempontjai
- A rendelkezésre állási zóna kötetelhelyezésének kezelése az Azure NetApp Fileshoz
- A nagyméretű kötetekre vonatkozó követelmények és szempontok
- NFSv4.1 Kerberos-titkosítás konfigurálása
- NFS-ügyfél konfigurálása az Azure NetApp Fileshoz
- Konfigurálja a Unix-engedélyeket, és módosítsa a tulajdonosi módot.
- Az AD DS LDAP konfigurálása TLS-en keresztül az Azure NetApp Fileshoz
- Az AD DS LDAP konfigurálása kiterjesztett csoportokkal az NFS-kötethozzáféréshez
- Az Azure NetApp Files-kötetek hibaelhárítása
- Az alkalmazások rugalmasságával kapcsolatos gyakori kérdések az Azure NetApp Files esetében