Creare un volume a doppio protocollo per Azure NetApp Files

Azure NetApp Files supporta la creazione di volumi con NFS (NFSv3 o NFSv4.1), SMB3 o doppio protocollo (NFSv3 e SMB o NFSv4.1 e SMB). Questo articolo illustra come creare un volume che usa un protocollo doppio con il supporto per il mapping utente LDAP.

Per creare volumi NFS, vedere Creare un volume NFS. Per creare volumi SMB, vedere Creare un volume SMB.

Operazioni preliminari

Importante

Se si usa un ruolo RBAC/IAM personalizzato, è necessario disporre dell'autorizzazione Microsoft.Network/virtualNetworks/subnets/read configurata per creare o aggiornare un volume.

Per altre informazioni sulle autorizzazioni e per confermare la configurazione delle autorizzazioni, vedere Creare o aggiornare ruoli personalizzati di Azure usando il portale di Azure.

• È necessario aver già creato un pool di capacità.
  Vedere Creare un pool di capacità.
• È necessario delegare una subnet ad Azure NetApp Files.
  Vedere Delegare una subnet ad Azure NetApp Files.
• Le condivisioni non esplorabili e le funzionalità di enumerazione basata sull'accesso sono attualmente in anteprima. È necessario registrare ogni funzionalità prima di poterla usare:

1. Registrare la funzionalità :

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Controllare lo stato della registrazione delle funzionalità:

   Nota

   RegistrationState può trovarsi nello Registering stato per un massimo di 60 minuti prima di passare a Registered. Attendere che lo stato sia Registrato prima di continuare.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

È anche possibile usare iaz feature register comandi dell'interfaccia della riga di comando di Azure e az feature show per registrare la funzionalità e visualizzare lo stato di registrazione.

Considerazioni

• Assicurarsi di soddisfare i requisiti per le connessioni di Active Directory.

• Creare una zona di ricerca inversa nel server DNS e quindi aggiungere un record del puntatore (PTR) del computer host DI ACTIVE in tale zona di ricerca inversa. In caso contrario, la creazione del volume a doppio protocollo avrà esito negativo.

• L'opzione Consenti utenti NFS locali con LDAP nelle connessioni Active Directory prevede di fornire l'accesso occasionale e temporaneo agli utenti locali. Quando questa opzione è abilitata, l'autenticazione utente e la ricerca dal server LDAP smetteranno di funzionare e il numero di appartenenze a gruppi supportate da Azure NetApp Files sarà limitato a 16. Di conseguenza, è consigliabile mantenere questa opzione disabilitata nelle connessioni Active Directory, ad eccezione dell'occasione in cui un utente locale deve accedere ai volumi abilitati per LDAP. In tal caso, è consigliabile disabilitare questa opzione non appena l'accesso utente locale non è più necessario per il volume. Vedere Consentire agli utenti NFS locali con LDAP di accedere a un volume a doppio protocollo sulla gestione dell'accesso utente locale.

• Verificare che il client NFS sia aggiornato ed esegua gli aggiornamenti più recenti per il sistema operativo.

• I volumi a doppio protocollo supportano sia Dominio di Active Directory Services (AD DS) che Microsoft Entra Domain Services.

• I volumi a doppio protocollo non supportano l'uso di LDAP tramite TLS con Microsoft Entra Domain Services. LDAP su TLS è supportato con Dominio di Active Directory Services (AD DS). Vedere Considerazioni su LDAP su TLS.

• La versione NFS usata da un volume a doppio protocollo può essere NFSv3 o NFSv4.1. Tieni presente le considerazioni seguenti:

  • Il protocollo duale non supporta gli attributi set/get estesi ACLS di Windows dai client NFS.

  • I client NFS non possono modificare le autorizzazioni per lo stile di sicurezza NTFS e i client Windows non possono modificare le autorizzazioni per i volumi con doppio protocollo in stile UNIX.

    Nella tabella seguente vengono descritti gli stili di sicurezza e i relativi effetti:

    Stile di sicurezza	Client che possono modificare le autorizzazioni	Autorizzazioni che i client possono usare	Stile di sicurezza efficace risultante	Client che possono accedere ai file
    Unix	NFS	Bit in modalità NFSv3 o NFSv4.1	UNIX	NFS e Windows
    Ntfs	Windows	ACL NTFS	NTFS	NFS e Windows

  • La direzione in cui si verifica il mapping dei nomi (Da Windows a UNIX o UNIX a Windows) dipende dal protocollo usato e dallo stile di sicurezza applicato a un volume. Un client Windows richiede sempre un mapping dei nomi da Windows a UNIX. L'applicazione di un utente alle autorizzazioni di revisione dipende dallo stile di sicurezza. Al contrario, un client NFS deve usare solo un mapping dei nomi DA UNIX a Windows se lo stile di sicurezza NTFS è in uso.

    Nella tabella seguente vengono descritti i mapping dei nomi e gli stili di sicurezza:

    Protocollo	Stile di sicurezza	Direzione del mapping dei nomi	Autorizzazioni applicate
    SMB	Unix	Da Windows a UNIX	UNIX (bit in modalità o ACL NFSv4.x)
    SMB	Ntfs	Da Windows a UNIX	ACL NTFS (in base al SID di Windows che accede alla condivisione)
    NFSv3	Unix	None	UNIX (bit in modalità o ACL NFSv4.x) Gli ACL NFSv4.x possono essere applicati usando un client amministrativo NFSv4.x e rispettato dai client NFSv3.
    NFS	Ntfs	Da UNIX a Windows	ACL NTFS (in base al SID utente di Windows mappato)

• La funzionalità LDAP con gruppi estesi supporta il doppio protocollo di [NFSv3 e SMB] e [NFSv4.1 e SMB] con lo stile di sicurezza Unix. Per altre informazioni, vedere Configurare LDAP di Active Directory Domain Services con gruppi estesi per l'accesso al volume NFS.

• Se si dispone di topologie di grandi dimensioni e si usa lo stile di sicurezza Unix con un volume a doppio protocollo o LDAP con gruppi estesi, è consigliabile usare l'opzione Ambito di ricerca LDAP nella pagina Connessioni Active Directory per evitare errori di accesso negato nei client Linux per Azure NetApp Files. Per altre informazioni, vedere Configurare LDAP di Active Directory Domain Services con gruppi estesi per l'accesso al volume NFS.

• Non è necessario un certificato CA radice del server per la creazione di un volume a doppio protocollo. È necessario solo se LDAP su TLS è abilitato.

• Per informazioni sui protocolli duali di Azure NetApp Files e sulle considerazioni correlate, vedere la sezione Dual Protocols in Informazioni sui protocolli NAS in Azure NetApp Files.

Creare un volume con doppio protocollo

1. Scegliere il pannello Volumi nel pannello Pool di capacità. Fare clic su + Aggiungi volume per creare un volume.

   

2. Nella finestra Crea un volume fare clic su Crea e specificare le informazioni per i campi seguenti nella scheda Informazioni di base:

   • Nome del volume
     Specificare il nome per il volume che si sta creando.

     Per le convenzioni di denominazione sui volumi, vedere Regole di denominazione e restrizioni per le risorse di Azure. Inoltre, non è possibile usare default o bin come nome del volume.

   • Pool di capacità
     Specificare il pool di capacità in cui si vuole creare il volume.

   • Quota
     Specificare la quantità di spazio di archiviazione logico allocato al volume.

     Il campo Quota disponibile mostra la quantità di spazio inutilizzato nel pool di capacità scelto che è possibile usare per la creazione di un nuovo volume. Le dimensioni del nuovo volume non devono superare la quota disponibile.

   • Volume di grandi dimensioni

     Le quote regolari dei volumi sono comprese tra 100 GiB e 100 TiB. Le quote di volume di grandi dimensioni vanno da 50 TiB a 500 TiB. Se si prevede che la quota del volume cada nell'intervallo di volumi di grandi dimensioni, selezionare Sì.

     Importante

     Se questa è la prima volta che si usano volumi di grandi dimensioni, è prima necessario registrare la funzionalità e richiedere un aumento della quota di capacità a livello di area.

     I volumi regolari non possono essere convertiti in volumi di grandi dimensioni. Non è possibile ridimensionare volumi di grandi dimensioni a meno di 50 TiB. Per comprendere i requisiti e le considerazioni dei volumi di grandi dimensioni, vedere Requisiti e considerazioni per volumi di grandi dimensioni. Per altri limiti, vedere Limiti delle risorse.

   • Velocità effettiva (MiB/S)
     Se il volume viene creato in un pool di capacità QoS manuale, specificare la velocità effettiva desiderata per il volume.

     Se il volume viene creato in un pool di capacità QoS automatico, il valore visualizzato in questo campo è (quota x velocità effettiva a livello di servizio).

   • Abilitare l'accesso sporadico, il periodo di accesso sporadico e i criteri di recupero accesso sporadico
     Questi campi configurano l'archiviazione standard con accesso sporadico in Azure NetApp Files. Per le descrizioni, vedere Gestire l'archiviazione standard di Azure NetApp Files con accesso sporadico.

   • Rete virtuale
     Specificare la rete virtuale di Azure da cui si vuole accedere al volume.

     Per la rete virtuale specificata è necessario delegare una subnet ad Azure NetApp Files. È possibile accedere ad Azure NetApp Files solo dalla stessa rete virtuale o da una rete virtuale che si trova nella stessa area del volume tramite peering reti virtuali. È anche possibile accedere al volume dalla rete locale tramite ExpressRoute.

   • Subnet
     Specificare la subnet desiderata per il volume.
     La subnet specificata deve essere delegata ad Azure NetApp Files.

     Se non è stata delegata una subnet, fare clic su Crea nuovo nella pagina di creazione di un volume. Nella pagina di creazione della subnet, specificare le informazioni relative alla stessa e selezionare Microsoft.NetApp/volumi per delegarla ad Azure NetApp Files. In ogni rete virtuale è possibile delegare una sola subnet ad Azure NetApp Files.

     

   • Funzionalità di rete
     Nelle aree supportate è possibile specificare se si desidera utilizzare le funzionalità di rete Basic o Standard per il volume. Per informazioni dettagliate, vedere Configurare le funzionalità di rete per un volume e linee guida per la pianificazione di rete di Azure NetApp Files.

   • Origine chiave di crittografia È possibile selezionare Microsoft Managed Key o Customer Managed Key. Vedere Configurare le chiavi gestite dal cliente per la crittografia del volume di Azure NetApp Files e la doppia crittografia dei dati inattivi di Azure NetApp Files sull'uso di questo campo.

   • Zona di disponibilità
     Questa opzione consente di distribuire il nuovo volume nella zona di disponibilità logica specificata. Selezionare una zona di disponibilità in cui sono presenti le risorse di Azure NetApp Files. Per informazioni dettagliate, vedere Gestire il posizionamento del volume della zona di disponibilità.

   • Se si desidera applicare un criterio di snapshot esistente al volume, fare clic su Mostra sezione avanzata per espanderla, specificare se si vuole nascondere il percorso dello snapshot e selezionare un criterio di snapshot nel menu a discesa.

     Per informazioni sulla creazione di criteri di snapshot, vedere Gestire i criteri di snapshot.

     

3. Selezionare la scheda Protocollo e quindi completare le azioni seguenti:

   • Selezionare Dual-protocol come tipo di protocollo per il volume.

   • Specificare la connessione Active Directory da usare.

   • Specificare un percorso di volume univoco. Questo percorso viene usato quando si creano destinazioni di montaggio. I requisiti per il percorso sono i seguenti:

     • Per i volumi non presenti in una zona di disponibilità o in volumi nella stessa zona di disponibilità, il percorso del volume deve essere univoco all'interno di ogni subnet nell'area.
     • Per i volumi nelle zone di disponibilità, il percorso del volume deve essere univoco all'interno di ogni zona di disponibilità. Questa funzionalità è attualmente in anteprima e richiede di registrare la funzionalità. Per altre informazioni, vedere Gestire il posizionamento del volume della zona di disponibilità.
     • Deve iniziare con un carattere alfabetico.
     • Può contenere solo lettere, numeri o trattini (-).
     • La lunghezza non deve superare 80 caratteri.

   • Specificare le versioni da usare per il doppio protocollo: NFSv4.1 e SMB o NFSv3 e SMB.

   • Specificare lo stile di sicurezza da usare: NTFS (impostazione predefinita) o UNIX.

   • Se si vuole abilitare la crittografia del protocollo SMB3 per il volume a doppio protocollo, selezionare Abilita crittografia protocollo SMB3.

     Questa funzionalità abilita la crittografia solo per i dati SMB3 in anteprima. Non crittografa i dati in anteprima di NFSv3. I client SMB che non usano la crittografia SMB3 non saranno in grado di accedere a questo volume. I dati inattivi vengono crittografati indipendentemente da questa impostazione. Per altre informazioni, vedere Crittografia SMB.

   • Se è stato selezionato NFSv4.1 e SMB per le versioni del volume a doppio protocollo, indicare se si vuole abilitare la crittografia Kerberos per il volume.

     Sono necessarie configurazioni aggiuntive per Kerberos. Seguire le istruzioni in Configurare la crittografia Kerberos NFSv4.1.

   • Per abilitare l'enumerazione basata sull'accesso, selezionare Abilita enumerazione basata su accesso.

     Questa funzionalità nasconde le directory e i file creati in una condivisione dagli utenti che non dispongono delle autorizzazioni di accesso. Gli utenti potranno comunque visualizzare la condivisione. È possibile abilitare l'enumerazione basata sull'accesso solo se il volume a doppio protocollo usa lo stile di sicurezza NTFS.

   • È possibile abilitare la funzionalità di condivisione non esplorabile.

     Questa funzionalità impedisce al client Windows di esplorare la condivisione. La condivisione non viene visualizzata nel Visualizzatore file di Windows o nell'elenco di condivisioni quando si esegue il net view \\server /all comando .

   Importante

   Le funzionalità di enumerazione basata sull'accesso e condivisioni non esplorabili sono attualmente in anteprima. Se è la prima volta che si usa uno dei due, fare riferimento ai passaggi descritti in Prima di iniziare a registrare le funzionalità.

   • Personalizzare le autorizzazioni Unix in base alle esigenze per specificare le autorizzazioni di modifica per il percorso di montaggio. L'impostazione non si applica ai file nel percorso di montaggio. L'impostazione predefinita è 0770. Questa impostazione predefinita concede autorizzazioni di lettura, scrittura ed esecuzione al proprietario e al gruppo, ma nessuna autorizzazione viene concessa ad altri utenti.
     I requisiti di registrazione e le considerazioni si applicano per l'impostazione delle autorizzazioni Unix. Seguire le istruzioni in Configurare le autorizzazioni Unix e modificare la modalità di proprietà.

   • Facoltativamente, configurare i criteri di esportazione per il volume.

   

4. Fare clic su Rivedi e crea per esaminare i dettagli del volume. Fare quindi clic su Crea per creare il volume.

   Il volume creato viene visualizzato nella pagina Volumi.

   Un volume eredita sottoscrizione, gruppo di risorse e attributi di posizione dal relativo pool di capacità. Per monitorare lo stato di distribuzione del volume, è possibile usare la scheda Notifiche.

Consentire agli utenti NFS locali con LDAP di accedere a un volume a doppio protocollo

L'opzione Consenti agli utenti NFS locali con LDAP nelle connessioni Active Directory consente agli utenti client NFS locali non presenti nel server LDAP di Windows di accedere a un volume a doppio protocollo con LDAP con gruppi estesi abilitati.

Nota

Prima di abilitare questa opzione, è necessario comprendere le considerazioni.
L'opzione Consenti utenti NFS locali con LDAP fa parte della funzionalità LDAP con gruppi estesi e richiede la registrazione. Per informazioni dettagliate, vedere Configurare LDAP di Active Directory Domain Services con gruppi estesi per l'accesso al volume NFS.

1. Selezionare Connessioni Active Directory. In una connessione Active Directory esistente fare clic sul menu di scelta rapida (i tre puntini …) e selezionare Modifica.

2. Nella finestra Modifica impostazioni di Active Directory visualizzata selezionare l'opzione Consenti utenti NFS locali con LDAP .

   

Gestire gli attributi POSIX LDAP

È possibile gestire attributi POSIX, ad esempio UID, Home Directory e altri valori usando lo snap-in MMC Utenti e computer di Active Directory. L'esempio seguente mostra l'editor di attributi di Active Directory:

È necessario impostare gli attributi seguenti per gli utenti LDAP e i gruppi LDAP:

• Attributi obbligatori per gli utenti LDAP:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• Attributi obbligatori per i gruppi LDAP:
  objectClass: group, posixGroup,
  gidNumber: 555
• Tutti gli utenti e i gruppi devono avere rispettivamente univoci uidNumber e gidNumber.

I valori specificati per objectClass sono voci separate. Ad esempio, nell'editor di stringhe multivalore, objectClass i valori separati (user e posixAccount) specificati come indicato di seguito per gli utenti LDAP:

Microsoft Entra Domain Services non consente di modificare l'attributo OBJECTClass POSIX per utenti e gruppi creati nell'unità organizzativa AADDC Users. Come soluzione alternativa, è possibile creare un'unità organizzativa personalizzata e creare utenti e gruppi nell'unità organizzativa personalizzata.

Se si sincronizzano gli utenti e i gruppi nella tenancy di Microsoft Entra con utenti e gruppi nell'unità organizzativa AADDC Users, non è possibile spostare utenti e gruppi in un'unità organizzativa personalizzata. Gli utenti e i gruppi creati nell'unità organizzativa personalizzata non verranno sincronizzati con la tenancy di AD. Per altre informazioni, vedere Le considerazioni e le limitazioni dell'unità organizzativa personalizzata di Microsoft Entra Domain Services.

Accedere all'editor di attributi di Active Directory

In un sistema Windows è possibile accedere all'Editor attributi di Active Directory come indicato di seguito:

1. Fare clic su Start, passare a Strumenti di amministrazione di Windows e quindi fare clic su Utenti e computer di Active Directory per aprire la finestra Utenti e computer di Active Directory.
2. Fare clic sul nome di dominio che si desidera visualizzare e quindi espandere il contenuto.
3. Per visualizzare l'editor di attributi avanzato, abilitare l'opzione Funzionalità avanzate nel menu Visualizzazione computer utenti di Active Directory.
   
4. Fare doppio clic su Utenti nel riquadro sinistro per visualizzare l'elenco degli utenti.
5. Fare doppio clic su un determinato utente per visualizzare la scheda Editor attributi.

Configurare il client NFS

Seguire le istruzioni in Configurare un client NFS per Azure NetApp Files per configurare il client NFS.

Passaggi successivi

• Considerazioni per i volumi a doppio protocollo di Azure NetApp Files
• Gestire il posizionamento del volume della zona di disponibilità per Azure NetApp Files
• Requisiti e considerazioni per volumi di grandi dimensioni
• Configurare la crittografia Kerberos NFSv4.1
• Configurare un client NFS per Azure NetApp Files
• Configurare le autorizzazioni Unix e modificare la modalità di proprietà.
• Configurare LDAP di Active Directory Domain Services tramite TLS per Azure NetApp Files
• Configurare LDAP di Active Directory Domain Services con gruppi estesi per l'accesso al volume NFS
• Risolvere i problemi di volume di Azure NetApp Files
• Domande frequenti sulla resilienza delle applicazioni per Azure NetApp Files