Memahami protokol NAS di Azure NetApp Files

Protokol NAS adalah bagaimana percakapan terjadi antara klien dan server. NFS dan SMB adalah protokol NAS yang digunakan dalam Azure NetApp Files. Masing-masing menawarkan metode berbeda mereka sendiri untuk komunikasi, tetapi pada akarnya, mereka beroperasi sebagian besar dengan cara yang sama.

• Keduanya melayani satu himpunan data ke banyak klien terlampir jaringan yang berbeda.
• Keduanya dapat menggunakan metode autentikasi terenkripsi untuk berbagi data.
• Keduanya dapat dijaga dengan izin berbagi dan file.
• Keduanya dapat mengenkripsi data dalam penerbangan.
• Keduanya dapat menggunakan beberapa koneksi untuk membantu menyejajarkan performa.

Sistem File Jaringan (NFS)

NFS terutama digunakan dengan klien berbasis Linux/UNIX seperti Red Hat, SUSE, Ubuntu, AIX, Solaris, dan Apple OS. Azure NetApp Files mendukung klien NFS apa pun yang beroperasi dalam standar RFC. Windows juga dapat menggunakan NFS untuk akses, tetapi tidak beroperasi menggunakan standar Request for Comments (RFC).

Standar RFC untuk protokol NFS dapat ditemukan di sini:

• RFC-1813: NFSv3
• RFC 8881: NFSv4.1
• RFC 7862: NFSv4.2

NFSv3

NFSv3 adalah penawaran dasar protokol dan memiliki atribut utama berikut:

• NFSv3 tidak memiliki status, yang berarti bahwa server NFS tidak melacak status koneksi (termasuk kunci).
• Penguncian ditangani di luar protokol NFS, menggunakan Network Lock Manager (NLM). Karena kunci tidak diintegrasikan ke dalam protokol, kunci basi terkadang dapat terjadi.
• Karena NFSv3 tanpa status, performa dengan NFSv3 dapat secara substansial lebih baik dalam beberapa beban kerja, terutama dalam beban kerja dengan operasi metadata tinggi seperti OPEN, CLOSE, SETATTR, dan GETATTR. Ini terjadi karena ada lebih sedikit pekerjaan umum yang perlu dilakukan untuk memproses permintaan di server dan klien.
• NFSv3 menggunakan model izin file dasar di mana hanya pemilik file, grup, dan orang lain yang dapat diberi kombinasi izin baca/tulis/jalankan.
• NFSv3 dapat menggunakan ACL NFSv4.x, tetapi klien manajemen NFSv4.x akan diperlukan untuk mengonfigurasi dan mengelola ACL. Azure NetApp Files tidak mendukung penggunaan ACL draf POSIX nonstandar.
• NFSv3 juga memerlukan penggunaan protokol tambahan lainnya untuk operasi reguler seperti penemuan port, pemasangan, penguncian, pemantauan status, dan kuota. Setiap protokol tambahan menggunakan port jaringan unik, yang berarti operasi NFSv3 memerlukan lebih banyak paparan melalui firewall dengan nomor port terkenal.
• Azure NetApp Files menggunakan nomor port berikut untuk operasi NFSv3. Tidak dimungkinkan untuk mengubah nomor port ini:
  • Portmapper (111)
  • Pemasangan (635)
  • NFS (2049)
  • NLM (4045)
  • NSM (4046)
  • Rquota (4049)
• NFSv3 dapat menggunakan peningkatan keamanan seperti Kerberos, tetapi Kerberos hanya memengaruhi bagian NFS dari paket; protokol tambahan (seperti NLM, portmapper, mount) tidak disertakan dalam percakapan Kerberos.
  • Azure NetApp Files hanya mendukung enkripsi NFSv4.1 Kerberos
• NFSv3 menggunakan ID numerik untuk autentikasi pengguna dan grupnya. Nama pengguna dan nama grup tidak diperlukan untuk komunikasi atau izin, yang dapat membuat spoofing pengguna lebih mudah, tetapi konfigurasi dan manajemen lebih sederhana.
• NFSv3 dapat menggunakan LDAP untuk pencarian pengguna dan grup.

Dukungan versi layanan NFSv3

NFSv3 saat ini mendukung versi berikut dari setiap protokol tambahan di Azure NetApp Files:

Service	Versi yang didukung
Portmapper	4, 3, 2
NFS	4, 3*
Terpasang	3, 2, 1
Nlockmgr	4
Status	1
Rquotas	1

* Versi yang didukung NFS ditampilkan berdasarkan versi yang dipilih untuk volume Azure NetApp Files.

Informasi ini dapat dikumpulkan dari volume Azure NetApp Files Anda dengan perintah berikut:

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x mengacu pada semua versi NFS atau versi minor yang berada di bawah NFSv4, termasuk NFSv4.0, NFSv4.1, dan NFSv4.2. Azure NetApp Files saat ini hanya mendukung NFSv4.1.

NFSv4.x memiliki karakteristik berikut:

• NFSv4.x adalah protokol stateful, yang berarti klien dan server melacak status koneksi NFS, termasuk status kunci. Pemasangan NFS menggunakan konsep yang dikenal sebagai "ID status" untuk melacak koneksi.
• Penguncian diintegrasikan ke dalam protokol NFS dan tidak memerlukan protokol penguncian tambahan untuk melacak kunci NFS. Sebaliknya, kunci diberikan berdasarkan sewa. Mereka kedaluwarsa setelah durasi tertentu jika koneksi klien atau server hilang, sehingga mengembalikan kunci kembali ke sistem untuk digunakan dengan klien NFS lainnya.
• Statefulness NFSv4.x memang berisi beberapa kelemahan, seperti potensi gangguan selama pemadaman jaringan atau failover penyimpanan, dan overhead performa dalam jenis beban kerja tertentu (seperti beban kerja metadata tinggi).
• NFSv4.x memberikan banyak keuntungan signifikan daripada NFSv3, termasuk:
  • Konsep penguncian yang lebih baik (penguncian berbasis sewa)
  • Keamanan yang lebih baik (lebih sedikit port firewall yang diperlukan, integrasi standar dengan Kerberos, kontrol akses terperinci)
  • Fitur lainnya
  • Operasi NFS gabungan (beberapa perintah dalam satu permintaan paket untuk mengurangi obrolan jaringan)
  • Khusus TCP
• NFSv4.x dapat menggunakan model izin file yang lebih kuat yang mirip dengan izin Windows NTFS. ACL terperinci ini dapat diterapkan ke pengguna atau grup dan memungkinkan izin diatur pada berbagai operasi yang lebih luas daripada operasi baca/tulis/jalankan dasar. NFSv4.x juga dapat menggunakan bit mode POSIX standar yang digunakan NFSv3.
• Karena NFSv4.x tidak menggunakan protokol tambahan, Kerberos diterapkan ke seluruh percakapan NFS saat digunakan.
• NFSv4.x menggunakan kombinasi nama pengguna/grup dan string domain untuk memverifikasi informasi pengguna dan grup. Klien dan server harus menyetujui string domain untuk terjadinya autentikasi pengguna dan grup yang tepat. Jika string domain tidak cocok, maka pengguna atau grup NFS akan dipencet ke pengguna yang ditentukan dalam file /etc/idmapd.conf pada klien NFS (misalnya, tidak ada).
• Meskipun NFSv4.x melakukan default untuk menggunakan string domain, dimungkinkan untuk mengonfigurasi klien dan server untuk kembali pada ID numerik klasik yang terlihat di NFSv3 saat AUTH_SYS digunakan.
• NFSv4.x memiliki integrasi mendalam dengan string nama pengguna dan grup, dan server dan klien harus menyetujui pengguna dan grup ini. Dengan demikian, pertimbangkan untuk menggunakan server layanan nama untuk autentikasi pengguna seperti LDAP pada klien dan server NFS.

Untuk tanya jawab umum mengenai NFS di Azure NetApp Files, lihat FAQ NFS Azure NetApp Files.

Server Message Block (SMB)

SMB terutama digunakan dengan klien Windows untuk fungsionalitas NAS. Namun, ini juga dapat digunakan pada sistem operasi berbasis Linux seperti AppleOS, RedHat, dll. Penyebaran ini dicapai menggunakan aplikasi bernama Samba. Azure NetApp Files memiliki dukungan resmi untuk SMB menggunakan Windows dan macOS. SMB/Samba pada sistem operasi Linux dapat bekerja dengan Azure NetApp Files, tetapi tidak ada dukungan resmi.

Azure NetApp Files hanya mendukung versi SMB 2.1 dan SMB 3.1.

SMB memiliki karakteristik berikut:

• SMB adalah protokol stateful: klien dan server mempertahankan "status" untuk koneksi berbagi SMB untuk keamanan dan penguncian yang lebih baik.
• Penguncian di SMB dianggap wajib. Ketika file dikunci, tidak ada klien lain yang dapat menulis ke file tersebut sampai kunci dilepaskan.
• SMBv2.x dan yang lebih baru menggunakan panggilan gabungan untuk melakukan operasi.
• SMB mendukung integrasi Kerberos penuh. Dengan cara klien Windows dikonfigurasi, Kerberos sering digunakan tanpa pengguna akhir yang pernah mengetahuinya.
• Ketika Kerberos tidak dapat digunakan untuk autentikasi, Windows NT LAN Manager (NTLM) dapat digunakan sebagai fallback. Jika NTLM dinonaktifkan di lingkungan Direktori Aktif, permintaan autentikasi yang tidak dapat menggunakan Kerberos gagal.
• SMBv3.0 dan yang lebih baru mendukung enkripsi end-to-end untuk berbagi SMB.
• SMBv3.x mendukung multisaluran untuk perolehan performa dalam beban kerja tertentu.
• SMB menggunakan nama pengguna dan grup (melalui terjemahan SID) untuk autentikasi. Informasi pengguna dan grup disediakan oleh pengendali domain Direktori Aktif.
• SMB di Azure NetApp Files menggunakan ACL Windows New Technology File System (NTFS) standar untuk izin file dan folder.

Untuk tanya jawab umum mengenai SMB di Azure NetApp Files, lihat Tanya Jawab Umum Azure NetApp Files SMB.

Protokol ganda

Beberapa organisasi memiliki lingkungan Windows murni atau UNIX murni (homogen) di mana semua data diakses hanya menggunakan salah satu pendekatan berikut:

• Keamanan file SMB dan NTFS
• Keamanan file NFS dan UNIX - bit mode atau daftar kontrol akses NFSv4.x (ACL)

Namun, banyak situs harus memungkinkan himpunan data diakses dari klien Windows dan UNIX (heterogen). Untuk lingkungan dengan persyaratan ini, Azure NetApp Files memiliki dukungan NAS protokol ganda asli. Setelah pengguna diautentikasi di jaringan dan memiliki izin berbagi atau ekspor yang sesuai dan izin tingkat file yang diperlukan, pengguna dapat mengakses data dari host UNIX menggunakan NFS atau dari host Windows menggunakan SMB.

Alasan untuk menggunakan volume protokol ganda

Menggunakan volume protokol ganda dengan Azure NetApp Files memberikan beberapa keuntungan yang berbeda. Ketika himpunan data dapat diakses dengan mulus dan bersamaan oleh klien menggunakan protokol NAS yang berbeda, manfaat berikut dapat dicapai:

• Kurangi tugas manajemen administrator penyimpanan secara keseluruhan.
• Hanya memerlukan satu salinan data untuk disimpan untuk akses NAS dari beberapa jenis klien.
• PROTOKOL Agnostik NAS memungkinkan administrator penyimpanan untuk mengontrol gaya ACL dan kontrol akses yang disajikan kepada pengguna akhir.
• Mempusatkan operasi manajemen identitas di lingkungan NAS.

Pertimbangan umum dengan lingkungan protokol ganda

Akses NAS protokol ganda diinginkan oleh banyak organisasi karena fleksibilitasnya. Namun, ada persepsi kesulitan yang menciptakan serangkaian pertimbangan yang unik untuk konsep berbagi di seluruh protokol. Pertimbangan ini termasuk, tetapi tidak terbatas pada:

• Persyaratan pengetahuan di beberapa protokol, sistem operasi, dan sistem penyimpanan.
• Pengetahuan kerja tentang server layanan nama, seperti DNS, LDAP, dan sebagainya.

Selain itu, faktor eksternal dapat mulai bermain, seperti:

• Berurusan dengan beberapa departemen dan grup TI (seperti grup Windows dan grup UNIX)
• Akuisisi perusahaan
• Konsolidasi domain
• Reorganisasi

Terlepas dari pertimbangan ini, penyiapan, konfigurasi, dan akses NAS protokol ganda dapat diintegrasikan dengan sederhana dan mulus ke lingkungan apa pun.

Cara Azure NetApp Files menyederhanakan penggunaan protokol ganda

Azure NetApp Files mengonsolidasikan infrastruktur yang diperlukan untuk keberhasilan lingkungan NAS protokol ganda ke dalam satu bidang manajemen, termasuk layanan manajemen penyimpanan dan identitas.

Konfigurasi protokol ganda sangat mudah, dan sebagian besar tugas dilindungi oleh kerangka kerja manajemen sumber daya Azure NetApp Files untuk menyederhanakan operasi bagi operator cloud.

Setelah koneksi Direktori Aktif dibuat dengan Azure NetApp Files, volume protokol ganda dapat menggunakan koneksi untuk menangani manajemen identitas Windows dan UNIX yang diperlukan untuk autentikasi pengguna dan grup yang tepat dengan volume Azure NetApp Files tanpa langkah konfigurasi tambahan di luar manajemen pengguna dan grup normal dalam layanan Direktori Aktif atau LDAP.

Dengan menghapus langkah-langkah tambahan yang ber sentris penyimpanan untuk konfigurasi protokol ganda, Azure NetApp Files menyederhanakan penyebaran protokol ganda keseluruhan untuk organisasi yang ingin pindah ke Azure.

Cara kerja volume protokol ganda Azure NetApp Files

Pada tingkat tinggi, volume protokol ganda Azure NetApp Files menggunakan kombinasi gaya pemetaan nama dan izin untuk memberikan akses data yang konsisten terlepas dari protokol yang digunakan. Itu berarti apakah Anda mengakses file dari NFS atau SMB, Anda dapat yakin bahwa pengguna dengan akses ke file tersebut dapat mengaksesnya, dan pengguna tanpa akses ke file tersebut tidak dapat mengaksesnya.

Ketika klien NAS meminta akses ke volume protokol ganda di Azure NetApp Files, operasi berikut terjadi untuk memberikan pengalaman transparan kepada pengguna akhir.

1. Klien NAS membuat koneksi NAS ke volume protokol ganda Azure NetApp Files.
2. Klien NAS meneruskan informasi identitas pengguna ke Azure NetApp Files.
3. Azure NetApp Files memeriksa untuk memastikan klien/pengguna NAS memiliki akses ke berbagi NAS.
4. Azure NetApp Files membawa pengguna tersebut dan memetakannya ke pengguna yang valid yang ditemukan di layanan nama.
5. Azure NetApp Files membandingkan pengguna tersebut dengan izin tingkat file dalam sistem.
6. Izin file mengontrol tingkat akses yang dimiliki pengguna.

Dalam ilustrasi berikut, user1 autentikasi ke Azure NetApp Files untuk mengakses volume protokol ganda melalui SMB atau NFS. Azure NetApp Files menemukan informasi Windows dan UNIX pengguna di ID Microsoft Entra lalu memetakan identitas Windows dan UNIX pengguna satu-ke-satu. Pengguna diverifikasi sebagai user1 dan mendapatkan user1kredensial akses.

Dalam hal ini, user1 mendapatkan kontrol penuh pada folder mereka sendiri (user1-dir) dan tidak ada akses ke HR folder. Pengaturan ini didasarkan pada ACL keamanan yang ditentukan dalam sistem file, dan user1 akan mendapatkan akses yang diharapkan terlepas dari protokol mana mereka mengakses volume.

Pertimbangan untuk volume protokol ganda Azure NetApp Files

Saat Anda menggunakan volume Azure NetApp Files untuk akses ke SMB dan NFS, beberapa pertimbangan berlaku:

• Anda memerlukan koneksi Direktori Aktif. Dengan demikian, Anda perlu memenuhi Persyaratan untuk koneksi Direktori Aktif.
• Volume protokol ganda memerlukan zona pencarian terbalik di DNS dengan catatan pointer (PTR) terkait dari komputer host AD untuk mencegah kegagalan pembuatan volume protokol ganda.
• Klien NFS dan paket terkait Anda (seperti nfs-utils) harus diperbarui untuk keamanan, keandalan, dan dukungan fitur terbaik.
• Volume protokol ganda mendukung Active Directory Domain Services (AD DS) dan Microsoft Entra Domain Services.
• Volume protokol ganda tidak mendukung penggunaan LDAP melalui TLS dengan Microsoft Entra Domain Services. Lihat LDAP melalui pertimbangan TLS.
• Versi NFS yang didukung meliputi: NFSv3 dan NFSv4.1.
• Fitur NFSv4.1 seperti sistem file jaringan paralel (pNFS), penggugusan sesi, dan rujukan saat ini tidak didukung dengan volume Azure NetApp Files.
• Atribut set/get yang diperluas Windows tidak didukung dalam volume protokol ganda.
• Lihat pertimbangan tambahan untuk membuat volume protokol ganda untuk Azure NetApp Files.

Langkah berikutnya

• Memahami gaya keamanan protokol ganda dan perilaku izin di Azure NetApp Files
• Memahami penggunaan LDAP dengan Azure NetApp Files
• Memahami keanggotaan grup NFS dan grup tambahan
• Memahami jenis penguncian dan penguncian file di Azure NetApp Files
• Membuat volume NFS untuk File Azure NetApp
• Membuat volume SMB untuk File Azure NetApp
• Buat volume protokol ganda untuk Azure NetApp Files
• Tanya Jawab Umum NFS Azure NetApp Files
• Tanya Jawab Umum Azure NetApp Files SMB