Criar um volume de protocolo duplo para o Azure NetApp Files

  • Artigo

O Azure NetApp Files é compatível com a criação de volumes com NFS (NFSv3 ou NFSv4.1), SMB3 ou protocolo dual (NFSv3 e SMB ou NFSv4.1 e SMB). Este artigo mostra como criar um volume que usa protocolo duplo com suporte para mapeamento de usuário LDAP.

Para criar volumes NFS, consulte Criar um volume NFS. Para criar volumes SMB, consulte Criar um volume SMB.

Antes de começar

  1. Registrar o recurso:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration

  2. Verifique o status do registro do recurso:

    Observação

    O RegistrationState pode ficar no estado Registering por até 60 minutos antes de mudar para Registered. Aguarde até que o status seja Registrado antes de continuar.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration

Você também pode usar os comandos da CLI do Azureaz feature register e az feature show para registrar o recurso e exibir o status do registro.

Considerações

  • Certifique-se de atender aosRequisitos para conexões do Active Directory.

  • Crie uma zona de pesquisa inversa no servidor DNS e, em seguida, adicione um registro de ponteiro (PTR) do computador host do AD nessa zona de pesquisa inversa Caso contrário, a criação do volume de protocolo duplo falhará.

  • A opção Permitir usuários NFS locais com LDAP em conexões do Active Directory Domain Services pretende fornecer acesso ocasional e temporário aos usuários locais. Quando essa opção estiver habilitada, a autenticação de usuário e a pesquisa do servidor LDAP deixarão de funcionar, e o número de associações de grupo que o Azure NetApp Files dará suporte será limitado a 16. Dessa forma, você deve manter essa opção desabilitada em conexões do Active Directory Domain Services, exceto para os momentos em que um usuário local precise acessar volumes habilitados para LDAP. Nesse caso, você deve desabilitar essa opção assim que o acesso do usuário local não for mais necessário para o volume. Consulte Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo sobre gerenciamento de acesso de usuário local.

  • Verifique se o cliente NFS está atualizado e executando as atualizações mais recentes para o sistema operacional.

  • Os volumes de protocolo duplo dão suporte ao AD DS (Active Directory Domain Services) e ao Microsoft Entra Domain Services.

  • Os volumes de protocolo duplo não dão suporte ao uso do LDAP via TLS com o Microsoft Entra Domain Services. Há suporte para o LDAP via TLS no AD DS (Active Directory Domain Services). Consulte Considerações sobre LDAP sobre TLS.

  • A versão do NFS usada por um volume de protocolo duplo pode ser NFSv3 ou NFSv4.1. As seguintes considerações se aplicam:

    • O protocolo duplo não dá suporte aos atributos estendidos ACLS set/get do Windows de clientes NFS.

    • Os clientes NFS não podem alterar permissões para o estilo de segurança NTFS, e os clientes Windows não podem alterar permissões para volumes de protocolo duplo de estilo UNIX.

      A tabela a seguir descreve os estilos de segurança e seus efeitos:

      Estilo de segurança Clientes que podem modificar permissões Permissões que os clientes podem usar Estilo de segurança efetivo resultante Clientes que podem acessar arquivos
      Unix NFS Bits do modo NFSv3 ou NFSv4.1 UNIX NFS e Windows
      Ntfs Windows NTFS ACLs NTFS NFS e Windows

    • A direção na qual o mapeamento de nome ocorre (Windows para UNIX ou UNIX para Windows) depende de qual protocolo é usado e qual estilo de segurança é aplicado a um volume. Um cliente Windows sempre requer um mapeamento de nome do Windows para UNIX. Se um usuário é aplicado para revisar as permissões depende do estilo de segurança. Por outro lado, um cliente NFS só precisa usar um mapeamento de nome de UNIX para Windows se o estilo de segurança NTFS estiver em uso.

      A tabela a seguir descreve os mapeamentos de nome e os estilos de segurança:

      Protocolo Estilo de segurança Direção do mapeamento de nome Permissões aplicadas
      PME Unix Windows para UNIX UNIX (modo bits ou ACLs do NFSv4.x)
      PME Ntfs Windows para UNIX ACLs do NTFS (com base no SID do Windows acessando o compartilhamento)
      NFSv3 Unix Nenhum UNIX (modo bits ou ACLs do NFSv4.x)

      As ACLs do NFSv4.x podem ser aplicadas usando um cliente administrativo NFSv4.x e respeitadas por clientes NFSv3.
      NFS Ntfs UNIX para Windows ACLs do NTFS (com base no SID de usuário do Windows mapeado)

  • O recurso LDAP com grupos estendidos dá suporte ao protocolo duplo de [NFSv3 e SMB] e [NFSv 4.1 e SMB] com o estilo de segurança do UNIX. Veja mais informações em Configurar o LDAP do AD DS com grupos estendidos para acesso ao volume NFS.

  • Se você tiver grandes topologias e usar o estilo de segurança UNIX com um volume de protocolo duplo ou LDAP com grupos estendidos, use a opção escopo de pesquisa LDAP na página conexões Active Directory para evitar erros de "acesso negado" em clientes Linux para Azure NetApp files. Veja mais informações em Configurar o LDAP do AD DS com grupos estendidos para acesso ao volume NFS.

  • Você não precisa de um certificado de autoridade de certificação raiz do servidor para criar um volume de protocolo duplo. Ele será necessário somente se o LDAP sobre TLS estiver habilitado.

  • Para entender os protocolos duplos do Azure NetApp Files e as considerações relacionadas, confira a seção Protocolos duplos em Noções básicas sobre protocolos NAS no Azure NetApp Files.

Criar um volume de protocolo duplo

  1. Clique na folha Volumes da folha Pools de Capacidade. Clique em + Adicionar volume para criar um volume.

    Navegar até Volumes

  2. Na janela Criar um volume, clique em Criar e forneça informações para os seguintes campos na guia Noções básicas:

    • Nome do volume
      Especifique o nome para o volume que você está criando.

      Confira Regras de nomenclatura e restrições para recursos do Azure para convenções de nomenclatura em volumes. Além disso, você não pode usar default nem bin como o nome do volume.

    • Pool de capacidade
      Especifique o pool de capacidade no qual você deseja que o volume seja criado.

    • Cota
      Especifique a quantidade de armazenamento lógico que é alocada para o volume.

      O campo cota disponível mostra a quantidade de espaço não utilizado no pool de capacidade escolhido que você pode usar para a criação de um novo volume. O tamanho do novo volume não pode exceder a cota disponível.

    • Volume grande Para volumes entre 50 TiB e 500 TiB, selecione Sim. Se o volume não exigir mais de 100 TiB, selecione Não.

      Importante

      Volumes grandes estão atualmente em versão prévia. Se essa for a primeira vez que você usa volumes grandes, primeiro registre o recurso e solicite um aumento na cota de capacidade regional.

      Os volumes são considerados grandes se tiverem entre 50 TiB e 500 TiB de tamanho. Volumes regulares não podem ser convertidos em grandes volumes. Volumes grandes não podem ser redimensionados para menos de 50 TiB. Para entender os requisitos e considerações de grandes volumes, veja Requisitos e considerações para volumes grandes. Para outros limites, consulte Limites de recursos.

    • Taxa de transferência (MiB/S)
      Se o volume for criado em um pool de capacidade de QoS manual, especifique a taxa de transferência desejada para ele.

      Se o volume for criado em um pool de capacidade de QoS automático, o valor exibido nesse campo será (taxa de transferência de nível de serviço x cota).

    • Habilitar o acesso esporádico, Período de resfriamento e Política de recuperação de acesso esporádico
      Esses campos configuram o armazenamento padrão com acesso esporádico no Azure NetApp Files. Para obter descrições, confira Gerenciar o armazenamento padrão do Azure NetApp Files com acesso esporádico.

    • Rede virtual
      Especifique a VNet (rede virtual) do Azure da qual você deseja acessar o volume.

      A VNET especificada precisa ter uma sub-rede delegada ao Azure NetApp Files. O Azure NetApp Files somente pode ser acessado na mesma VNet ou em uma VNet que esteja na mesma região do volume por meio do emparelhamento VNET. Também é possível acessar o volume na rede local por meio do ExpressRoute.

    • Sub-rede
      Especifique a sub-rede que você deseja usar para o volume.
      A sub-rede especificada deve ser delegada ao Azure NetApp Files.

      Se você não tiver delegado uma sub-rede, poderá clicar em Criar novo na página Criar um volume. Em seguida, na página Criar sub-rede, especifique as informações da sub-rede e selecione Microsoft.NetApp/volumes para delegar a sub-rede para o Azure NetApp Files. Em cada VNet, apenas uma sub-rede pode ser delegada ao Azure NetApp Files.

      Criar sub-rede

    • Recursos de rede
      Nas regiões com suporte, você pode especificar se deseja usar os recursos de rede Básico ou Standard para o volume. Confira Configurar recursos de rede para um volume e Diretrizes para o planejamento de rede dos Azure NetApp Files para obter detalhes.

    • Origem da chave de criptografia Você pode selecionar Microsoft Managed Key ou Customer Managed Key. Confira Configurar chaves gerenciadas pelo cliente para criptografia de volume do Azure NetApp Files e Criptografia dupla em repouso do Azure NetApp Files sobre como usar esse campo.

    • Zona de disponibilidade
      Essa opção permite implantar o novo volume na zona de disponibilidade lógica especificada. Selecione uma zona de disponibilidade em que recursos do Azure NetApp Files estejam presentes. Para obter detalhes, confira Gerenciar o posicionamento do volume da zona de disponibilidade.

    • Para aplicar uma política de cópia de sombra existente ao volume, clique em Mostrar seção avançada para expandi-la, especifique se deseja ocultar o caminho da cópia e selecione uma política de cópia de sombra no menu suspenso.

      Para obter informações sobre como criar uma política de cópia de sombra, consulteGerenciar políticas de cópia de sombra.

      Mostrar seleção avançada

  3. Selecione a guia Protocolo e conclua as seguintes ações:

    • Selecione Protocolo duplo como o tipo de protocolo para o volume.

    • Especifique a conexão do Active Directory a ser usada.

    • Especifique um Caminho de Volume exclusivo. Esse caminho é usado quando você cria destinos de montagem. Os requisitos para o nome do caminho são os seguintes:

      • Para os volumes que não estão em uma zona de disponibilidade ou que estão na mesma zona de disponibilidade, o caminho do volume precisa ser exclusivo em cada sub-rede na região.
      • Para os volumes em zonas de disponibilidade, o caminho do volume precisa ser exclusivo em cada zona de disponibilidade. Atualmente, o recurso está em versão prévia e exige o registro. Para obter mais informações, confira Gerenciar o posicionamento do volume da zona de disponibilidade.
      • Ele deve começar com um caractere alfabético.
      • Ele pode conter apenas letras, números ou traços (-).
      • O comprimento não deve exceder 80 caracteres.

    • Especifique as versões a serem usadas para o protocolo duplo: NFSv4.1 e SMB ou NFSv3 e SMB.

    • Especifique o Estilo de segurança a ser usado: NTFS (padrão) ou UNIX.

    • Se você quiser habilitar a criptografia de protocolo SMB3 para o volume de protocolo duplo, selecione Habilitar Criptografia de Protocolo SMB3.

      Esse recurso habilita a criptografia apenas para dados SMB3 em trânsito. Ele não criptografa dados em NFSv3 em trânsito. Os clientes SMB que não usam a criptografia SMB3 não poderão acessar esse volume. Os dados inativos são criptografados independentemente dessa configuração. Consulte Criptografia SMB para obter mais informações.

    • Se você selecionou NFSv4.1 e SMB para as versões de volume de protocolo duplo, indique se deseja habilitar a criptografia Kerberos para o volume.

      Configurações adicionais serão necessárias para Kerberos. Siga as instruções em Configurar criptografia Kerberos do nfsv 4.1.

    • Se você quiser habilitar a enumeração baseada em acesso, selecione Habilitar Enumeração Baseada em Acesso.

      Esse recurso ocultará os diretórios e os arquivos criados em um compartilhamento de usuários que não têm permissões de acesso. Os usuários ainda poderão exibir o compartilhamento. Você só poderá habilitar a enumeração baseada em acesso se o volume de protocolo duplo usar o estilo de segurança NTFS.

    • Você pode habilitar o recurso de compartilhamento não navegável.

      Esse recurso impede que o cliente Windows navegue no compartilhamento. O compartilhamento não aparece no Navegador de Arquivos do Windows ou na lista de compartilhamentos quando você executa o comando net view \\server /all.

    Importante

    Atualmente, os recursos de enumeração baseada em acesso e compartilhamentos não navegáveis estão em versão prévia. Se esta for a primeira vez que você estiver usando um deles, veja as etapas em Antes de começar para registrar os recursos.

    • Personalize as Permissões do Unix conforme necessário para especificar permissões de alteração para o caminho de montagem. A configuração não se aplica aos arquivos no caminho de montagem. A configuração padrão é 0770. Essa configuração padrão concede permissões de leitura, gravação e execução ao proprietário e ao grupo, mas nenhuma permissão é concedida a outros usuários.
      As considerações e os requisitos de registro se aplicam à configuração Permissões do Unix. Siga as instruções em Configurar permissões do Unix e mudar o modo de propriedade.

    • Opcionalmente, Configure a política de exportação para o volume.

    Especificar protocolo duplo

  4. Clique em Examinar + Criar para examinar os detalhes do volume. Clique em Criar para criar o volume.

    O volume que você criou aparece na página Volumes.

    Um volume herda a assinatura, grupo de recursos, atributos de localização de seu pool de capacidade. Para monitorar o status de implantação do volume, você pode usar a guia Notificações.

Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo

A opção Permitir usuários NFS locais com LDAP em conexões do Active Directory Domain Services permite que os usuários do cliente NFS local não estejam presentes no servidor LDAP do Windows para acessar um volume de protocolo duplo que tenha o LDAP com grupos estendidos habilitados.

Observação

Antes de habilitar essa opção, você deve entender as considerações.
A opção Permitir usuários NFS locais com LDAP faz parte do recurso LDAP com grupos estendidos e requer um registro. Veja mais detalhes em Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS.

  1. Selecione Conexões do Active Directory. Em uma conexão do Active Directory atual, clique no menu de contexto (os três pontos ) e selecione Editar.

  2. Na janela Editar configurações do Active Directory que aparece, selecione a opção Permitir usuários NFS locais com LDAP.

    Captura de tela que mostra a opção Permitir usuários NFS locais com LDAP

Gerenciar atributos POSIX LDAP

Você pode gerenciar atributos POSIX, como UID, diretório base e outros valores usando o snap-in do MMC de usuários e computadores do Active Directory. O exemplo a seguir mostra o editor de atributos do Active Directory:

Editor de atributos do Active Directory

Você precisa definir os seguintes atributos para usuários LDAP e grupos LDAP:

  • Atributos necessários para usuários LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Atributos necessários para grupos LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Todos os usuários e grupos devem ter, respectivamente, uidNumber e gidNumber exclusivos.

Os valores especificados para objectClass são entradas separadas. Por exemplo, no Editor de Cadeias de Caracteres com Valores Múltiplos, objectClass terá valores separados (user e posixAccount) especificados da seguinte forma para usuários de LDAP:

Captura de tela do Editor de Cadeia de Caracteres com Valores Múltiplos que mostra vários valores especificados para a Classe de Objeto.

O Microsoft Entra Domain Services não permite que você modifique o atributo objectClass do POSIX nos usuários e nos grupos criados na UO organizacional Usuários do AADDC. Como alternativa, você pode criar uma UO personalizada e criar usuários e grupos na UO personalizada.

Se você estiver sincronizando os usuários e os grupos em sua locação do Microsoft Entra para usuários e grupos na UO Usuários do AADDC, não poderá mover os usuários e os grupos para uma UO personalizada. Os usuários e grupos criados na UO personalizada não serão sincronizados com a sua locação do AD. Para obter mais informações, confira as considerações e limitações da UO personalizada do Microsoft Entra Domain Services.

Acesse o Editor de Atributos do Active Directory Domain Services

Em um sistema Windows, você pode acessar o editor de atributo Active Directory Domain Services da seguinte maneira:

  1. Clique em Iniciar, navegue até Ferramentas Administrativas do Windows e, em seguida, clique em Computadores e Usuários do Active Directory para abrir a janela de Computadores e Usuários do Active Directory Domain Services.
  2. Clique no nome de domínio que você deseja exibir e expanda o conteúdo.
  3. Para exibir o Editor de Atributos avançado, habilite a opção Recursos Avançados no menu de Exibição dos Computadores e Usuários do Active Directory Domain Services.
    Captura de tela que mostra como acessar o menu Recursos Avançados do Editor de Atributos.
  4. Clique duas vezes em Usuários no painel esquerdo para ver a lista de usuários.
  5. Clique duas vezes em um usuário específico para ver sua guia do Editor de Atributos.

Configurar o cliente NFS

Siga as instruções em Configurar um cliente NFS para Azure NetApp files para configurar o cliente NFS.

Próximas etapas