Бөлісу құралы:

Создание тома с двумя протоколами для Azure NetApp Files

  • Мақала

Azure NetApp Files поддерживает создание томов с помощью NFS (NFSv3 или NFSv4.1), SMB3 или двойного протокола (NFSv3 и SMB или NFSv4.1 и SMB). В этой статье описывается создание тома, использующего два протокола с поддержкой сопоставления пользователей LDAP.

Инструкции по созданию томов NFS см. в статье Создание тома NFS. Инструкции по созданию томов SMB см. в статье Создание тома SMB.

Подготовка к работе

Внимание

Если вы используете пользовательскую роль RBAC/IAM, у вас должно быть Microsoft.Network/virtualNetworks/subnets/read разрешение, настроенное для создания или обновления тома.

Дополнительные сведения о разрешениях и подтверждении конфигурации разрешений см. в статье "Создание или обновление пользовательских ролей Azure" с помощью портал Azure.

  • Перед началом необходимо, чтобы пул емкости уже был подготовлен.
    См. статью "Создание пула емкости".
  • Подсеть должна быть делегирована службе Azure NetApp Files.
    См. Делегирование подсети в Azure NetApp Files.
  • Возможность задать квоту тома в диапазоне от 50 до 100 ГиБ в настоящее время находится в предварительной версии. Перед созданием тома 50 ГиБ необходимо зарегистрировать эту функцию.

    1. Регистрация компонента.

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize

    2. Проверка состояния регистрации функции.

      Примечание.

      RegistrationState может находиться в состоянии Registering до 60 минут, прежде чем изменится на Registered. Подождите, пока состояние не станет Registered, прежде чем продолжить.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize

      Вы также можете использовать команды Azure CLI az feature register и az feature show, чтобы зарегистрировать эту функцию и отобразить состояние регистрации.

Рекомендации

  • Убедитесь, что соблюдены требования к подключениям Active Directory.

  • Создайте зону обратного поиска на DNS-сервере, а затем добавьте запись указателя (PTR) для хост-компьютера AD в эту зону обратного поиска. В противном случае создание тома с двойным протоколом завершается ошибкой.

  • Параметр Разрешить локальных пользователей NFS с LDAP в подключениях Active Directory предполагает предоставление случайного и временного доступа к локальным пользователям. Если этот параметр включен, проверка подлинности пользователей и поиск с сервера LDAP перестает работать, а количество членства в группах, поддерживаемых Azure NetApp Files, ограничено 16. В связи с этим данный параметр должен быть отключен в подключениях Active Directory, кроме случаев, когда локальному пользователю требуется доступ к томам с поддержкой LDAP. В этом случае данный параметр следует отключить, как только доступ локального пользователя к этому тому будет не нужен. См. раздел Разрешение локальным пользователям NFS с LDAP доступа к тому с двумя протоколами об управлении доступом локальных пользователей.

  • Убедитесь, что клиент NFS обновлен и на нем установлены последние обновления для операционной системы.

  • Тома двойного протокола поддерживают службы домен Active Directory (AD DS) и доменные службы Microsoft Entra.

  • Тома двойного протокола не поддерживают использование LDAP через TLS с доменными службами Microsoft Entra. Протокол LDAP по протоколу TLS поддерживается в службах домен Active Directory (AD DS). См. рекомендации по LDAP через TLS.

  • Версией NFS, используемой томом с двумя протоколами, может быть NFSv3 или NFSv4.1. Действуют следующие ограничения:

    • Сдвоенный протокол не поддерживает расширенные атрибуты списков ACL Windows set/get от клиентов NFS.

    • Клиенты NFS не могут изменять разрешения для стиля безопасности NTFS, а клиенты Windows не могут изменять разрешения для томов с двумя протоколами в стиле UNIX.

      В следующей таблице описаны стили безопасности и их действия:

      Стиль безопасности Клиенты, которые могут изменять разрешения Разрешения, которые могут использовать клиенты Итоговый действующий стиль безопасности Клиенты, у которых есть доступ к файлам
      Unix NFS Биты режима NFSv3 или NFSv4.1 UNIX NFS и Windows
      Ntfs Windows Списки ACL NTFS NTFS NFS и Windows

    • Направление сопоставления имен (от Windows к UNIX или от UNIX к Windows) зависит от того, какой протокол используется и какой стиль безопасности применяется к тому. Для клиента Windows всегда требуется сопоставление имен от Windows к UNIX. Применение пользователя к разрешениям на проверку зависит от стиля безопасности. И наоборот, клиенту NFS нужно использовать сопоставление имен от UNIX к Windows только в том случае, если используется стиль безопасности NTFS.

      В следующей таблице представлены сопоставления имен и стили безопасности.

      Протокол Стиль безопасности Направление сопоставления имен Применяемые разрешения
      SMB Unix От Windows к UNIX UNIX (биты режима или списки управления доступом NFS 4.x)
      SMB Ntfs От Windows к UNIX Списки управления доступом NTFS (на основе идентификатора безопасности Windows с доступом к общей папке)
      NFSv3 Unix нет UNIX (биты режима или списки управления доступом NFSv4.x)

      Списки управления доступом NFSv4.x можно применять с помощью административного клиента NFSv4.x, который учитывается клиентами NFSv3.
      NFS Ntfs От UNIX к Windows Списки управления доступом NTFS (на основе сопоставленного идентификатора безопасности пользователя Windows)

  • Функция LDAP с расширенными группами поддерживает двойной протокол [NFSv3 и SMB] и [NFSv4.1 и SMB] с стилем безопасности Unix. Дополнительные сведения см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".

  • Если у вас есть большие топологии, и вы используете стиль безопасности Unix с томом с двумя протоколами или LDAP с расширенными группами, используйте параметр области поиска LDAP на странице подключений Active Directory, чтобы избежать ошибок "отказано в доступе" на клиентах Linux для Azure NetApp Files. Дополнительные сведения см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".

  • Для создания тома с двумя протоколами не требуется сертификат корневого ЦС сервера. Он необходим только в том случае, если включен протокол LDAP через TLS.

  • Сведения о двух протоколах и связанных протоколах Azure NetApp Files см . в разделе "Два протокола" статьи "Общие сведения о протоколах NAS" в Azure NetApp Files.

Создание тома с двумя протоколами

  1. Выберите колонку "Тома" в колонке "Пулы емкости ". Нажмите кнопку +Добавить том для создания тома.

    Переход к томам

  2. В окне "Создание тома" выберите "Создать" и укажите сведения для следующих полей на вкладке "Основные сведения".

    • Имя тома
      Укажите имя создаваемого тома.

      Ознакомьтесь с правилами именования и ограничениями для ресурсов Azure для соглашений об именовании томов. Кроме того, нельзя использовать default или bin в качестве имени тома.

    • Пул емкости
      Укажите пул емкости, в котором нужно создать том.

    • План продаж
      Укажите объем логического хранилища, выделенный для тома.

      В поле Доступная квота отображается объем неиспользуемого пространства выбранного пула емкости, которое можно использовать для создания нового тома. Размер нового тома не должен превышать доступную квоту.

    • Большой том

      Квоты регулярных томов находятся в диапазоне от 50 ГиБ до 100 ТиБ. Квоты больших объемов варьируются от 50 ТиБ до 1 PiB. Если вы планируете, чтобы квота тома упала в большом диапазоне томов, нажмите кнопку "Да". Квоты томов вводятся в ГиБ.

      Внимание

      Если вы впервые используете большие тома, необходимо сначала зарегистрировать функцию и запросить увеличение квоты региональной емкости.

      Обычные тома нельзя преобразовать в большие тома. Большие тома не могут изменяться до 50 ТиБ. Чтобы понять требования и рекомендации по большим объемам, ознакомьтесь с требованиями и рекомендациями по большим объемам. Сведения о других ограничениях см. в разделе "Ограничения ресурсов".

    • Пропускная способность (МиБ/с)
      Если том создается в пуле ресурсов ручного обслуживания, укажите необходимую пропускную способность для тома.

      Если том создается в пуле ресурсов автоматического качества обслуживания, в этом поле отображается значение (пропускная способность уровня обслуживания умноженная на квоту).

    • Включение холодного доступа, периода охлаждения и политики получения холодного доступа
      Эти поля настраивают хранилище Azure NetApp Files с холодным доступом. Описание см. в статье "Управление хранилищем Azure NetApp Files с холодным доступом".

    • Виртуальная сеть
      Укажите виртуальную сеть Azure, из которой будет осуществляться доступ к тому.

      В указанной виртуальной сети должна быть подсеть, делегированная службе Azure NetApp Files. Доступ к Azure NetApp Files можно получить только из той же виртуальной сети или из виртуальной сети, которая находится в том же регионе, что и том через пиринг виртуальной сети. Доступ к тому также можно получить из локальной сети через Express Route.

    • Подсеть
      Укажите подсеть, которую нужно использовать для тома.
      Указанная подсеть должна быть делегирована службе Azure NetApp Files.

      Если вы не делегировали подсеть, на странице "Создание тома" можно выбрать команду "Создать". Затем на странице "Создание подсети" укажите сведения о подсети и выберите Microsoft.NetApp/volumes, чтобы делегировать подсеть службе Azure NetApp Files. В каждой виртуальной сети можно делегировать только одну подсеть для Azure NetApp Files.

      Создание подсети

    • Сетевые функции
      В поддерживаемых регионах можно указать, следует ли использовать функции сети "Базовый" или "Стандартный" для тома. Дополнительные сведения см. в статье "Настройка сетевых функций для тома и рекомендаций по планированию сети Azure NetApp Files".

    • Источник ключа шифрования можно выбрать Microsoft Managed Key или Customer Managed Key. Сведения об использовании этого поля см. в статье "Настройка управляемых клиентом ключей для шифрования томов Azure NetApp Files" и двойного шифрования Azure NetApp Files.

    • Зона доступности
      Этот параметр позволяет развернуть новый том в указанной логической зоне доступности. Выберите зону доступности, в которой присутствуют ресурсы Azure NetApp Files. Дополнительные сведения см. в разделе "Управление размещением томов зоны доступности".

    • Если вы хотите применить к тому существующую политику моментальных снимков, выберите "Показать расширенный раздел ", чтобы развернуть его, укажите, нужно ли скрыть путь моментального снимка и выбрать политику моментальных снимков в раскрывающемся меню.

      Дополнительные сведения о создании политики моментальных снимков см. в разделе Управление политиками моментальных снимков.

      Показать дополнительные параметры

  3. Перейдите на вкладку "Протокол" , а затем выполните следующие действия:

    • Выберите Dual-protocol (Два протокола) в качестве типа протокола для тома.

    • Задайте подключение Active Directory для использования.

    • Укажите уникальный путь к тому. Этот путь используется при создании целевых объектов подключения. Требования для пути:

      • Для томов, не находящихся в зоне доступности или томах в одной зоне доступности, путь тома должен быть уникальным в каждой подсети в регионе.
      • Для томов в зонах доступности путь тома должен быть уникальным в пределах каждой зоны доступности. Эта функция сейчас доступна в предварительной версии и требует регистрации функции. Дополнительные сведения см. в разделе "Управление размещением томов зоны доступности".
      • оно должно начинаться с буквы;
      • оно может содержать только буквы, цифры и дефисы (-);
      • его длина не должна превышать 80 знаков.

    • Задайте версии для использования двух протоколов: NFSv4.1 и SMB или NFSv3 и SMB.

    • Укажите используемый стиль безопасности: NTFS (по умолчанию) или UNIX.

    • Если вы хотите включить шифрование протокола SMB3 для тома с двумя протоколами, выберите Включить шифрование протокола SMB3.

      Эта функция позволяет включить шифрование только для активных данных SMB3. Она не шифрует данные NFS 3. Клиенты SMB, не использующие шифрование SMB3, не могут получить доступ к этому тому. Неактивные данные шифруются независимо от данного параметра. Дополнительные сведения см. в статье о шифровании SMB.

    • Если вы выбрали NFSv4.1 и SMB для версий томов с двумя протоколами, укажите, нужно ли включить шифрование Kerberos для тома.

      Для Kerberos требуются дополнительные настройки. Следуйте инструкциям в разделе Настройка шифрования Kerberos для NFSv4.1.

    • Если вы хотите включить перечисление на основе доступа, выберите "Включить перечисление на основе доступа".

      Перечисление на основе доступа скрывает каталоги и файлы, созданные в общей папке от пользователей, у которых нет разрешений на доступ. Вы по-прежнему можете просмотреть общую папку. Перечисление на основе доступа можно включить только в том случае, если том с двумя протоколами использует стиль безопасности NTFS.

    • Вы можете включить функцию общего доступа без просмотра.

      Эта функция запрещает клиенту Windows просматривать общую папку. Общая папка не отображается в браузере файлов Windows или в списке общих папок при выполнении net view \\server /all команды.

    • Настройте разрешения Unix по мере необходимости, чтобы задать разрешения изменения для пути подключения. Параметр не применяется к файлам в пути подключения. Значение по умолчанию равно 0770. Этот параметр, используемый по умолчанию, предоставляет разрешения на чтение, запись и выполнение владельцу и группе, но не предоставляет разрешения другим пользователям.
      Требования к регистрации и рекомендации применяются к параметру Unix Permissions (Разрешения Unix). Следуйте инструкциям из статьи Настройка разрешений UNIX и режима изменения владельца.

    • При необходимости Настройте политику экспорта для тома.

    Указание двух протоколов

  4. Выберите "Просмотр и создание ", чтобы просмотреть сведения о томе. Затем нажмите кнопку "Создать" , чтобы создать том.

    Созданный том появится на странице "Тома".

    От пула емкости том наследует атрибуты подписки, группы ресурсов и расположения. Состояние развертывания можно отслеживать на вкладке уведомлений.

Разрешить локальным пользователям NFS доступ LDAP к тому с двумя протоколами

Параметр Разрешить локальных пользователей NFS с LDAP в подключениях Active Directory позволяет использовать локальных пользователей клиента NFS, отсутствующих на сервере Windows LDAP, для доступа к тому с двумя протоколами, включая LDAP с поддержкой расширенных групп.

Примечание.

Перед включением этого параметра изучите рекомендации.
Параметр Allow local NFS users with LDAP (Разрешить локальных пользователей NFS с помощью LDAP) является частью функции LDAP с расширенными группами и требует регистрации. Дополнительные сведения см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".

  1. Выберите подключения Active Directory. В существующем подключении Active Directory выберите контекстное меню (три точки ) и измените его.

  2. В появившемся окне Изменение параметров Active Directory выберите параметр Разрешить локальных пользователей NFS с LDAP.

    На снимке экрана показан параметр

Управление атрибутами POSIX для LDAP

Управлять атрибутами POSIX, например UID, домашним каталогом и другими значениями, можно с помощью оснастки MMC пользователям и компьютерам Active Directory. В следующем примере показан редактор атрибутов Active Directory:

Редактор атрибутов Active Directory

Необходимо задать следующие атрибуты для пользователей LDAP и групп LDAP:

  • Обязательные атрибуты для пользователей LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Обязательные атрибуты для групп LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Все пользователи и группы должны иметь уникальный параметр uidNumber или gidNumber соответственно.

Значения, указанные для objectClass отдельных записей. Например, в редакторе objectClass строк с несколькими значениями (user и posixAccount) указаны следующие значения для пользователей LDAP:

Снимок экрана: редактор строк с несколькими значениями, указанными для класса объектов.

Доменные службы Microsoft Entra не позволяют изменять атрибут objectClass POSIX для пользователей и групп, созданных в подразделении AADDC Users. В качестве обходного решения можно создать пользовательское подразделение и создать пользователей и группы в настраиваемом подразделении.

Если вы синхронизируете пользователей и группы в клиенте Microsoft Entra с пользователями и группами в подразделении пользователей AADDC, вы не можете переместить пользователей и группы в настраиваемую подразделение. Пользователи и группы, созданные в пользовательском подразделении, не синхронизируются с клиентом AD. Дополнительные сведения см. в рекомендациях и ограничениях пользовательских подразделений для доменных служб Microsoft Entra.

Доступ к редактору атрибутов Active Directory

В системе Windows доступ для получения доступа к редактору атрибутов Active Directory выполните следующие действия.

  1. Нажмите кнопку "Пуск", перейдите к средствам администрирования Windows. Затем выберите Пользователи и компьютеры Active Directory, чтобы открыть окно Пользователи и компьютеры Active Directory.
  2. Выберите доменное имя, которое вы хотите просмотреть, а затем разверните содержимое.
  3. Чтобы открыть расширенный редактор атрибутов, включите параметр Дополнительные компоненты в меню Вид окна "Пользователи и компьютеры Active Directory".
    Снимок экрана: получение доступа к меню
  4. Выберите "Пользователи " в левой области, чтобы просмотреть список пользователей.
  5. Выберите конкретного пользователя, чтобы просмотреть вкладку "Редактор атрибутов".

Настройка клиента NFS

Следуйте инструкциям в разделе Настройка клиента NFS для Azure NetApp Files, чтобы настроить клиент NFS.

Следующие шаги