Tworzenie woluminu z podwójnym protokołem dla usługi Azure NetApp Files

Usługa Azure NetApp Files obsługuje tworzenie woluminów przy użyciu systemu plików NFS (NFSv3 lub NFSv4.1), protokołu SMB3 lub podwójnego (NFSv3 i SMB lub NFSv4.1 i SMB). W tym artykule pokazano, jak utworzyć wolumin używający podwójnego protokołu z obsługą mapowania użytkowników LDAP.

Aby utworzyć woluminy NFS, zobacz Tworzenie woluminu NFS. Aby utworzyć woluminy SMB, zobacz Tworzenie woluminu SMB.

Zanim rozpoczniesz

• Musisz już utworzyć pulę pojemności.
  Zobacz Tworzenie puli pojemności.
• Podsieć musi być delegowana do usługi Azure NetApp Files.
  Zobacz Delegowanie podsieci do usługi Azure NetApp Files.
• Udziały bez przeglądania i funkcje wyliczania oparte na dostępie są obecnie dostępne w wersji zapoznawczej. Musisz zarejestrować każdą funkcję, zanim będzie można jej używać:

1. Zarejestruj funkcję:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Sprawdź stan rejestracji funkcji:

   Uwaga

   Stan RegistrationState może być w stanie do 60 minut przed zmianą Registering na Registered. Przed kontynuowaniem poczekaj na zarejestrowanie stanu.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Możesz również użyć poleceń interfejsu wiersza polecenia platformyaz feature register Azure i az feature show zarejestrować funkcję i wyświetlić stan rejestracji.

Kwestie wymagające rozważenia

• Upewnij się, że spełniasz wymagania dotyczące połączeń usługi Active Directory.

• Utwórz strefę wyszukiwania wstecznego na serwerze DNS, a następnie dodaj rekord wskaźnika (PTR) maszyny hosta usługi AD w tej strefie wyszukiwania wstecznego. W przeciwnym razie tworzenie woluminu z dwoma protokołami zakończy się niepowodzeniem.

• Opcja Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP w połączeniach usługi Active Directory ma na celu zapewnienie okazjonalnego i tymczasowego dostępu do użytkowników lokalnych. Po włączeniu tej opcji uwierzytelnianie użytkowników i wyszukiwanie z serwera LDAP przestaną działać, a liczba członkostw w grupach, które będą obsługiwane przez usługę Azure NetApp Files, będzie ograniczona do 16. W związku z tym należy zachować tę opcję wyłączoną na połączeniach usługi Active Directory, z wyjątkiem sytuacji, gdy użytkownik lokalny musi uzyskać dostęp do woluminów z obsługą protokołu LDAP. W takim przypadku należy wyłączyć tę opcję, gdy tylko dostęp użytkownika lokalnego nie jest już wymagany dla woluminu. Zobacz Zezwalanie lokalnym użytkownikom systemu plików NFS z protokołem LDAP na dostęp do woluminu z dwoma protokołami na temat zarządzania dostępem użytkowników lokalnych.

• Upewnij się, że klient sieciowego systemu plików jest aktualny i ma najnowsze aktualizacje systemu operacyjnego.

• Woluminy z podwójnym protokołem obsługują usługi domena usługi Active Directory Services (AD DS) i Microsoft Entra Domain Services.

• Woluminy z podwójnym protokołem nie obsługują używania protokołu LDAP za pośrednictwem protokołu TLS z usługami Microsoft Entra Domain Services. Protokół LDAP za pośrednictwem protokołu TLS jest obsługiwany w usługach domena usługi Active Directory (AD DS). Zobacz Zagadnienia dotyczące protokołu LDAP za pośrednictwem protokołu TLS.

• Wersja systemu plików NFS używana przez wolumin z podwójnym protokołem może być NFSv3 lub NFSv4.1. Obowiązują następujące zastrzeżenia:

  • Protokół podwójny nie obsługuje atrybutów set/get rozszerzonych list ACLS systemu Windows z klientów NFS.

  • Klienci systemu plików NFS nie mogą zmieniać uprawnień dla stylu zabezpieczeń SYSTEMU PLIKÓW NTFS, a klienci systemu Windows nie mogą zmieniać uprawnień dla woluminów z podwójnym protokołem w stylu system UNIX.

    W poniższej tabeli opisano style zabezpieczeń i ich efekty:

    Styl zabezpieczeń	Klienci, którzy mogą modyfikować uprawnienia	Uprawnienia, których mogą używać klienci	Wynikowy efektywny styl zabezpieczeń	Klienci, którzy mogą uzyskiwać dostęp do plików
    Unix	NFS	Bity trybu NFSv3 lub NFSv4.1	UNIX	NFS i Windows
    Ntfs	Windows	Listy ACL systemu plików NTFS	NTFS	NFS i Windows

  • Kierunek, w którym występuje mapowanie nazw (system Windows na system UNIX lub system UNIX do systemu Windows) zależy od tego, który protokół jest używany i który styl zabezpieczeń jest stosowany do woluminu. Klient systemu Windows zawsze wymaga mapowania nazw z systemem Windows na system UNIX. To, czy użytkownik jest stosowany do przeglądania uprawnień, zależy od stylu zabezpieczeń. Z drugiej strony klient systemu plików NFS musi używać mapowania nazw systemu plików system UNIX do systemu Windows, jeśli jest używany styl zabezpieczeń NTFS.

    W poniższej tabeli opisano mapowania nazw i style zabezpieczeń:

    Protokół	Styl zabezpieczeń	Kierunek mapowania nazw	Zastosowane uprawnienia
    SMB	Unix	Windows to system UNIX	system UNIX (bity trybu lub listy ACL NFSv4.x)
    SMB	Ntfs	Windows to system UNIX	Listy ACL systemu plików NTFS (oparte na udziale dostępu do identyfikatora SID systemu Windows)
    NFSv3	Unix	Brak	system UNIX (bity trybu lub listy ACL NFSv4.x) Listy ACL NFSv4.x można stosować przy użyciu klienta administracyjnego NFSv4.x i honorowane przez klientów NFSv3.
    NFS	Ntfs	system UNIX do systemu Windows	Listy ACL systemu plików NTFS (oparte na mapowanym identyfikatorze SID użytkownika systemu Windows)

• Funkcja LDAP z rozszerzonymi grupami obsługuje podwójny protokół [NFSv3 i SMB] oraz [NFSv4.1 i SMB] ze stylem zabezpieczeń systemu Unix. Aby uzyskać więcej informacji, zobacz Configure AD DS LDAP with extended groups for NFS volume access (Konfigurowanie protokołu LDAP usług AD DS z rozszerzonymi grupami na potrzeby dostępu do woluminu NFS).

• Jeśli masz duże topologie i używasz stylu zabezpieczeń systemu Unix z woluminem z podwójnym protokołem lub LDAP z grupami rozszerzonymi, należy użyć opcji Zakres wyszukiwania LDAP na stronie Połączenie ions usługi Active Directory, aby uniknąć błędów "odmowa dostępu" na klientach z systemem Linux dla usługi Azure NetApp Files. Aby uzyskać więcej informacji, zobacz Configure AD DS LDAP with extended groups for NFS volume access (Konfigurowanie protokołu LDAP usług AD DS z rozszerzonymi grupami na potrzeby dostępu do woluminu NFS).

• Do utworzenia woluminu z podwójnym protokołem nie jest potrzebny certyfikat głównego urzędu certyfikacji serwera. Jest to wymagane tylko wtedy, gdy protokół LDAP za pośrednictwem protokołu TLS jest włączony.

• Aby zrozumieć podwójne protokoły i powiązane zagadnienia dotyczące usługi Azure NetApp Files, zobacz sekcję Protokoły podwójne w temacie Omówienie protokołów NAS w usłudze Azure NetApp Files.

Tworzenie woluminu dwuprotokołowego

1. Kliknij blok Woluminy w bloku Pule pojemności. Kliknij pozycję + Dodaj wolumin, aby utworzyć wolumin.

   

2. W oknie Tworzenie woluminu kliknij pozycję Utwórz i podaj informacje dotyczące następujących pól na karcie Podstawy:

   • Nazwa woluminu
     Określ nazwę tworzonego woluminu.

     Zapoznaj się z regułami i ograniczeniami nazewnictwa dla zasobów platformy Azure, aby zapoznać się z konwencjami nazewnictwa woluminów. Ponadto nie można używać default ani bin jako nazwy woluminu.

   • Pula pojemności
     Określ pulę pojemności, w której ma zostać utworzony wolumin.

   • Norma
     Określ wielkość magazynu logicznego, który zostanie przydzielony do woluminu.

     W polu Dostępny limit przydziału jest wyświetlana ilość nieużywanego miejsca w wybranej puli pojemności, które można wykorzystać do utworzenia nowego woluminu. Rozmiar nowego woluminu nie może przekraczać dostępnego limitu przydziału.

   • Duży wolumin W przypadku woluminów z zakresu od 50 TiB do 500 TiB wybierz pozycję Tak. Jeśli wolumin nie wymaga więcej niż 100 TiB, wybierz pozycję Nie.

     Ważne

     Duże woluminy są obecnie dostępne w wersji zapoznawczej. Jeśli używasz dużych woluminów po raz pierwszy, musisz najpierw zarejestrować funkcję i zażądać zwiększenia limitu przydziału pojemności regionalnej.

     Woluminy są uważane za duże, jeśli mają rozmiar od 50 TiB do 500 TiB. Nie można przekonwertować woluminów regularnych na duże woluminy. Rozmiar dużych woluminów nie może być mniejszy niż 50 TiB. Aby zrozumieć wymagania i zagadnienia dotyczące dużych woluminów, zapoznaj się z tematem Wymagania i zagadnienia dotyczące dużych woluminów. Aby uzyskać informacje o innych limitach, zobacz Limity zasobów.

   • Przepływność (MiB/S)
     Jeśli wolumin jest tworzony w ręcznej puli pojemności QoS, określ żądaną przepływność dla woluminu.

     Jeśli wolumin jest tworzony w puli pojemności automatycznego QoS, wartość wyświetlana w tym polu to (limit przydziału x przepływność na poziomie usługi).

   • Włączanie dostępu chłodnego, okresu chłodności i zasad pobierania dostępu chłodnego
     Te pola umożliwiają skonfigurowanie magazynu standardowego z dostępem chłodnym w usłudze Azure NetApp Files. Aby uzyskać opisy, zobacz Zarządzanie magazynem w warstwie Standardowa usługi Azure NetApp Files z dostępem chłodnym.

   • Sieć wirtualna
     Określ sieć wirtualną platformy Azure, z której chcesz uzyskać dostęp do woluminu.

     Określona sieć wirtualna musi mieć podsieć delegowana do usługi Azure NetApp Files. Dostęp do usługi Azure NetApp Files można uzyskać tylko z tej samej sieci wirtualnej lub z sieci wirtualnej, która znajduje się w tym samym regionie co wolumin za pośrednictwem komunikacji równorzędnej sieci wirtualnych. Możesz również uzyskać dostęp do woluminu z sieci lokalnej za pośrednictwem usługi Express Route.

   • Podsieć
     Określ podsieć, której chcesz użyć na potrzeby woluminu.
     Określana podsieć musi być delegowana do usługi Azure NetApp Files.

     Jeśli podsieć nie została delegowana, można kliknąć pozycję Utwórz nowe na stronie Utwórz wolumin. Następnie na stronie Utwórz podsieć określ informacje o podsieci i wybierz pozycję Microsoft.NetApp/woluminy, aby delegować podsieć dla usługi Azure NetApp Files. W każdej sieci wirtualnej można delegować tylko jedną podsieć do usługi Azure NetApp Files.

     

   • Funkcje sieciowe
     W obsługiwanych regionach można określić, czy dla woluminu mają być używane funkcje sieciowe w warstwie Podstawowa czy Standardowa . Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie funkcji sieciowych dla woluminu i wskazówki dotyczące planowania sieci usługi Azure NetApp Files.

   • Źródło klucza szyfrowania Możesz wybrać lub Customer Managed KeyMicrosoft Managed Key . Zobacz Konfigurowanie kluczy zarządzanych przez klienta na potrzeby szyfrowania woluminów usługi Azure NetApp Files i podwójnego szyfrowania usługi Azure NetApp Files magazynowanych na temat korzystania z tego pola.

   • Strefa dostępności
     Ta opcja umożliwia wdrożenie nowego woluminu w określonej logicznej strefie dostępności. Wybierz strefę dostępności, w której znajdują się zasoby usługi Azure NetApp Files. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie umieszczaniem woluminów w strefie dostępności.

   • Jeśli chcesz zastosować istniejące zasady migawek do woluminu, kliknij pozycję Pokaż sekcję zaawansowaną, aby ją rozwinąć, określ, czy chcesz ukryć ścieżkę migawki, a następnie wybierz zasady migawek w menu rozwijanym.

     Aby uzyskać informacje na temat tworzenia zasad migawek, zobacz Zarządzanie zasadami migawek.

     

3. Wybierz kartę Protokół , a następnie wykonaj następujące czynności:

   • Wybierz opcję Podwójny protokół jako typ protokołu dla woluminu.

   • Określ połączenie usługi Active Directory do użycia.

   • Określ unikatową ścieżkę woluminu. Ta ścieżka jest używana podczas tworzenia miejsc docelowych instalacji. Wymagania dotyczące ścieżki są następujące:

     • W przypadku woluminów, które nie należą do strefy dostępności lub woluminów w tej samej strefie dostępności, ścieżka woluminu musi być unikatowa w każdej podsieci w regionie.
     • W przypadku woluminów w strefach dostępności ścieżka woluminu musi być unikatowa w każdej strefie dostępności. Ta funkcja jest obecnie dostępna w wersji zapoznawczej i wymaga zarejestrowania funkcji. Aby uzyskać więcej informacji, zobacz Zarządzanie umieszczaniem woluminów w strefie dostępności.
     • Musi zaczynać się od znaku alfabetycznego.
     • Może zawierać tylko litery, cyfry lub kreski (-).
     • Długość nie może przekraczać 80 znaków.

   • Określ wersje do użycia dla dwóch protokołów: NFSv4.1 i SMB lub NFSv3 i SMB.

   • Określ styl zabezpieczeń do użycia: NTFS (ustawienie domyślne) lub system UNIX.

   • Jeśli chcesz włączyć szyfrowanie protokołu SMB3 dla woluminu z podwójnym protokołem, wybierz pozycję Włącz szyfrowanie protokołu SMB3.

     Ta funkcja umożliwia szyfrowanie tylko w przypadku danych SMB3 w locie. Nie szyfruje danych NFSv3 w locie. Klienci SMB, którzy nie korzystają z szyfrowania SMB3, nie będą mogli uzyskać dostępu do tego woluminu. Dane magazynowane są szyfrowane niezależnie od tego ustawienia. Aby uzyskać więcej informacji, zobacz Szyfrowanie SMB.

   • Jeśli wybrano opcję NFSv4.1 i SMB dla wersji woluminu z podwójnym protokołem, wskaż, czy chcesz włączyć szyfrowanie Kerberos dla woluminu.

     Dodatkowe konfiguracje są wymagane dla protokołu Kerberos. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie szyfrowania Kerberos w systemie plików NFSv4.1.

   • Jeśli chcesz włączyć wyliczanie oparte na dostępie, wybierz pozycję Włącz wyliczanie oparte na dostępie.

     Ta funkcja spowoduje ukrycie katalogów i plików utworzonych w ramach udziału od użytkowników, którzy nie mają uprawnień dostępu. Użytkownicy nadal będą mogli wyświetlać udział. Wyliczenie oparte na dostępie można włączyć tylko wtedy, gdy wolumin z podwójnym protokołem używa stylu zabezpieczeń NTFS.

   • Możesz włączyć funkcję udostępniania bez przeglądania.

     Ta funkcja uniemożliwia klientowi systemu Windows przeglądanie udziału. Udział nie jest wyświetlany w przeglądarce plików systemu Windows ani na liście udziałów podczas uruchamiania net view \\server /all polecenia.

   Ważne

   Funkcje wyliczania opartego na dostępie i udziałów bez przeglądania są obecnie dostępne w wersji zapoznawczej. Jeśli po raz pierwszy używasz dowolnego z nich, zapoznaj się z krokami w temacie Przed rozpoczęciem rejestrowania funkcji.

   • Dostosuj uprawnienia systemu Unix zgodnie z potrzebami, aby określić uprawnienia zmiany dla ścieżki instalacji. Ustawienie nie ma zastosowania do plików w ścieżce instalacji. Ustawienie domyślne to 0770. To ustawienie domyślne przyznaje uprawnienia do odczytu, zapisu i wykonywania właścicielowi i grupie, ale żadne uprawnienia nie są przyznawane innym użytkownikom.
     Wymagania dotyczące rejestracji i zagadnienia dotyczące ustawiania uprawnień systemu Unix. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie uprawnień systemu Unix i zmienianie trybu własności.

   • Opcjonalnie skonfiguruj zasady eksportu dla woluminu.

   

4. Kliknij pozycję Przejrzyj i utwórz , aby przejrzeć szczegóły woluminu. Następnie kliknij przycisk Utwórz , aby utworzyć wolumin.

   Utworzony wolumin zostanie wyświetlony na stronie Woluminy.

   Wolumin dziedziczy atrybuty Subskrypcja, Grupa zasobów i Lokalizacja z puli pojemności. Stan wdrożenia woluminu możesz monitorować na karcie Powiadomienia.

Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP na dostęp do woluminu z podwójnym protokołem

Opcja Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP w połączeniach usługi Active Directory umożliwia lokalnym użytkownikom klienta systemu plików NFS, którzy nie są obecni na serwerze LDAP systemu Windows, aby uzyskać dostęp do woluminu z podwójnym protokołem z włączonym protokołem LDAP z włączonymi grupami rozszerzonymi.

Uwaga

Przed włączeniem tej opcji należy zapoznać się z zagadnieniami.
Opcja Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP jest częścią funkcji LDAP z rozszerzonymi grupami i wymaga rejestracji. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie protokołu LDAP usług AD DS z grupami rozszerzonymi na potrzeby dostępu do woluminu NFS.

1. Wybierz pozycję Połączenia usługi Active Directory. Na istniejącym połączeniu usługi Active Directory kliknij menu kontekstowe (trzy kropki …), a następnie wybierz pozycję Edytuj.

2. W wyświetlonym oknie Edytowanie ustawień usługi Active Directory wybierz opcję Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP .

   

Zarządzanie atrybutami LDAP POSIX

Atrybuty POSIX, takie jak UID, Katalog macierzysty i inne wartości, można zarządzać przy użyciu przystawki programu MMC Użytkownicy i komputery usługi Active Directory. W poniższym przykładzie przedstawiono Edytor atrybutów usługi Active Directory:

Należy ustawić następujące atrybuty dla użytkowników LDAP i grup LDAP:

• Wymagane atrybuty dla użytkowników LDAP:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• Wymagane atrybuty dla grup LDAP:
  objectClass: group, posixGroup,
  gidNumber: 555
• Wszyscy użytkownicy i grupy muszą mieć odpowiednio unikatowe uidNumber wartości i gidNumber.

Wartości określone dla objectClass są oddzielnymi wpisami. Na przykład w Edytorze objectClass ciągów z wieloma wartościami będą miały oddzielne wartości (user i posixAccount) określone w następujący sposób dla użytkowników LDAP:

Microsoft Entra Domain Services nie zezwala na modyfikowanie atrybutu objectClass POSIX dla użytkowników i grup utworzonych w organizacji OU użytkowników AADDC. Aby obejść ten problem, możesz utworzyć niestandardową jednostkę organizacyjną i utworzyć użytkowników i grupy w niestandardowej jednostki organizacyjnej.

Jeśli synchronizujesz użytkowników i grupy w dzierżawie firmy Microsoft Entra z użytkownikami i grupami w OU użytkowników usługi AADDC, nie możesz przenieść użytkowników i grup do niestandardowej jednostki organizacyjnej. Użytkownicy i grupy utworzone w niestandardowej jednostki organizacyjnej nie będą synchronizowane z dzierżawą usługi AD. Aby uzyskać więcej informacji, zobacz Zagadnienia i ograniczenia dotyczące niestandardowej jednostki organizacyjnej usług Microsoft Entra Domain Services.

Uzyskiwanie dostępu do edytora atrybutów usługi Active Directory

W systemie Windows można uzyskać dostęp do Edytora atrybutów usługi Active Directory w następujący sposób:

1. Kliknij przycisk Start, przejdź do pozycji Narzędzia Administracja istracyjne systemu Windows, a następnie kliknij Użytkownicy i komputery usługi Active Directory, aby otworzyć okno Użytkownicy i komputery usługi Active Directory.
2. Kliknij nazwę domeny, którą chcesz wyświetlić, a następnie rozwiń zawartość.
3. Aby wyświetlić zaawansowany Edytor atrybutów, włącz opcję Funkcje zaawansowane w menu Widok komputerów użytkowników usługi Active Directory.
   
4. Kliknij dwukrotnie pozycję Użytkownicy w okienku po lewej stronie, aby wyświetlić listę użytkowników.
5. Kliknij dwukrotnie określonego użytkownika, aby wyświetlić jego kartę Edytor atrybutów.

Konfigurowanie klienta NFS

Postępuj zgodnie z instrukcjami w temacie Konfigurowanie klienta NFS dla usługi Azure NetApp Files , aby skonfigurować klienta NFS.

Następne kroki

• Zagadnienia dotyczące woluminów z podwójnym protokołem usługi Azure NetApp Files
• Zarządzanie umieszczaniem woluminu strefy dostępności dla usługi Azure NetApp Files
• Wymagania i zagadnienia do rozważenia dotyczące dużych woluminów
• Konfigurowanie szyfrowania Kerberos w systemie plików NFSv4.1
• Konfigurowanie klienta sieciowego systemu plików dla usługi Azure NetApp Files
• Skonfiguruj uprawnienia systemu Unix i zmień tryb własności.
• Konfigurowanie protokołu LDAP usług AD DS za pośrednictwem protokołu TLS dla usługi Azure NetApp Files
• Konfigurowanie protokołu LDAP usług AD DS z grupami rozszerzonymi na potrzeby dostępu do woluminu NFS
• Rozwiązywanie problemów z błędami woluminów dla usługi Azure NetApp Files
• Często zadawane pytania dotyczące odporności aplikacji dla usługi Azure NetApp Files