Criar um volume de protocolo duplo para Arquivos NetApp do Azure

Os Arquivos NetApp do Azure dão suporte à criação de volumes usando NFS (NFSv3 ou NFSv4.1), SMB3 ou protocolo duplo (NFSv3 e SMB, ou NFSv4.1 e SMB). Este artigo mostra como criar um volume que usa protocolo duplo com suporte para mapeamento de usuário LDAP.

Para criar volumes NFS, consulte Criar um volume NFS. Para criar volumes SMB, consulte Criar um volume SMB.

Antes de começar

• Você já deve ter criado um pool de capacidade.
  Consulte Criar um pool de capacidade.
• Uma sub-rede deve ser delegada aos Arquivos NetApp do Azure.
  Veja Delegar uma sub-rede ao Azure NetApp Files.
• Os compartilhamentos não navegáveis e os recursos de enumeração baseados em acesso estão atualmente em visualização. Você deve registrar cada recurso antes de poder usá-lo:

1. Registre o recurso:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Verifique o status do registro do recurso:

   Nota

   O RegistrationState pode estar no Registering estado por até 60 minutos antes de mudar para Registered. Aguarde até que o status seja Registrado antes de continuar.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Você também pode usar comandosaz feature register da CLI do Azure e az feature show registrar o recurso e exibir o status do registro.

Considerações

• Certifique-se de atender aos Requisitos para conexões do Ative Directory.

• Crie uma zona de pesquisa inversa no servidor DNS e, em seguida, adicione um registo de ponteiro (PTR) da máquina anfitriã do AD nessa zona de pesquisa inversa. Caso contrário, a criação de volume de protocolo duplo falhará.

• A opção Permitir usuários NFS locais com LDAP em conexões do Ative Directory pretende fornecer acesso ocasional e temporário a usuários locais. Quando esta opção está ativada, a autenticação e pesquisa de utilizadores a partir do servidor LDAP deixam de funcionar e o número de associações de grupo que os Ficheiros NetApp do Azure suportarão será limitado a 16. Como tal, você deve manter essa opção desabilitada em conexões do Ative Directory, exceto na ocasião em que um usuário local precisa acessar volumes habilitados para LDAP. Nesse caso, você deve desativar essa opção assim que o acesso do usuário local não for mais necessário para o volume. Consulte Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo sobre como gerenciar o acesso de usuário local.

• Confirme que o cliente NFS está atualizado e a executar as atualizações mais recentes do sistema operativo.

• Os volumes de protocolo duplo suportam os Serviços de Domínio Ative Directory (AD DS) e os Serviços de Domínio Microsoft Entra.

• Os volumes de protocolo duplo não suportam o uso de LDAP sobre TLS com os Serviços de Domínio Microsoft Entra. O LDAP sobre TLS é suportado com os Serviços de Domínio Ative Directory (AD DS). Consulte Considerações sobre LDAP sobre TLS.

• A versão NFS usada por um volume de protocolo duplo pode ser NFSv3 ou NFSv4.1. As seguintes considerações são aplicáveis:

  • O protocolo duplo não suporta os atributos set/get estendidos do Windows ACLS de clientes NFS.

  • Os clientes NFS não podem alterar as permissões para o estilo de segurança NTFS e os clientes Windows não podem alterar as permissões para volumes de protocolo duplo no estilo UNIX.

    A tabela a seguir descreve os estilos de segurança e seus efeitos:

    Estilo de segurança	Clientes que podem modificar permissões	Permissões que os clientes podem usar	Estilo de segurança eficaz resultante	Clientes que podem acessar arquivos
    Unix	NFS	Bits de modo NFSv3 ou NFSv4.1	UNIX	NFS e Windows
    Ntfs	Windows	NTFS ACLs	NTFS	NFS e Windows

  • A direção em que o mapeamento de nome ocorre (Windows para UNIX ou UNIX para Windows) depende de qual protocolo é usado e qual estilo de segurança é aplicado a um volume. Um cliente Windows sempre requer um mapeamento de nome do Windows para UNIX. Se um usuário é aplicado para revisar permissões depende do estilo de segurança. Por outro lado, um cliente NFS só precisa usar um mapeamento de nome UNIX para Windows se o estilo de segurança NTFS estiver em uso.

    A tabela a seguir descreve os mapeamentos de nome e estilos de segurança:

    Protocolo	Estilo de segurança	Direção do mapeamento de nome	Permissões aplicadas
    SMB	Unix	Windows para UNIX	UNIX (bits de modo ou ACLs NFSv4.x)
    SMB	Ntfs	Windows para UNIX	ACLs NTFS (com base no compartilhamento de acesso ao SID do Windows)
    NFSv3	Unix	Nenhuma	UNIX (bits de modo ou ACLs NFSv4.x) As ACLs NFSv4.x podem ser aplicadas usando um cliente administrativo NFSv4.x e honradas por clientes NFSv3.
    NFS	Ntfs	UNIX para Windows	ACLs NTFS (baseadas no SID de usuário do Windows mapeado)

• O recurso LDAP com grupos estendidos suporta o protocolo duplo de [NFSv3 e SMB] e [NFSv4.1 e SMB] com o estilo de segurança Unix. Consulte Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter mais informações.

• Se você tiver topologias grandes e usar o estilo de segurança Unix com um volume de protocolo duplo ou LDAP com grupos estendidos, use a opção Escopo de Pesquisa LDAP na página Conexões do Ative Directory para evitar erros de "acesso negado" em clientes Linux para Arquivos NetApp do Azure. Consulte Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter mais informações.

• Você não precisa de um certificado de autoridade de certificação raiz do servidor para criar um volume de protocolo duplo. Ele é necessário somente se o LDAP sobre TLS estiver habilitado.

• Para entender os protocolos duplos dos Arquivos NetApp do Azure e as considerações relacionadas, consulte a seção Protocolos Duplos em Compreender os protocolos NAS nos Arquivos NetApp do Azure.

Criar um volume de protocolo duplo

1. Clique na folha Volumes da folha Pools de Capacidade. Clique em + Adicionar volume para criar um volume.

   

2. Na janela Criar um Volume, clique em Criar e forneça informações para os seguintes campos na guia Noções básicas:

   • Nome do volume
     Especifique o nome do volume que está a criar.

     Consulte Regras e restrições de nomenclatura para recursos do Azure para convenções de nomenclatura em volumes. Além disso, você não pode usar default ou bin como o nome do volume.

   • Pool de capacidade
     Especifique o pool de capacidade onde você deseja que o volume seja criado.

   • Quota
     Especifique a quantidade de armazenamento lógico que está atribuída ao volume.

     O campo Quota disponível mostra a quantidade de espaço não utilizado no conjunto de capacidade escolhido que pode usar para criar um novo volume. O tamanho do novo volume não pode exceder a quota disponível.

   • Grande volume Para volumes entre 50 TiB e 500 TiB, selecione Sim. Se o volume não exigir mais de 100 TiB, selecione Não.

     Importante

     Grandes volumes estão atualmente em pré-visualização. Se esta for a primeira vez que você usa grandes volumes, você deve primeiro registrar o recurso e solicitar um aumento na cota de capacidade regional.

     Os volumes são considerados grandes se tiverem entre 50 TiB e 500 TiB de tamanho. Os volumes regulares não podem ser convertidos em grandes volumes. Grandes volumes não podem ser redimensionados para menos de 50 TiB. Para entender os requisitos e considerações de grandes volumes, consulte o uso de Requisitos e considerações para grandes volumes. Para outros limites, consulte Limites de recursos.

   • Taxa de transferência (MiB/S)
     Se o volume for criado em um pool de capacidade de QoS manual, especifique a taxa de transferência desejada para o volume.

     Se o volume for criado em um pool de capacidade de QoS automático, o valor exibido neste campo será (cota x taxa de transferência de nível de serviço).

   • Habilite a política de acesso legal, período de resfriamento e recuperação de acesso fresco
     Esses campos configuram o armazenamento padrão com acesso legal nos Arquivos NetApp do Azure. Para obter descrições, consulte Manage Azure NetApp Files standard storage with cool access.

   • Rede virtual
     Especifique a rede virtual do Azure (VNet) a partir da qual pretende aceder ao volume.

     A VNet especificada deve ter uma sub-rede delegada aos Arquivos NetApp do Azure. Os Arquivos NetApp do Azure podem ser acessados somente da mesma VNet ou de uma VNet que esteja na mesma região do volume por meio do emparelhamento de VNet. Também pode aceder ao volume a partir da sua rede local através da Rota Expressa.

   • Sub-rede
     Especifique a sub-rede que você deseja usar para o volume.
     A sub-rede especificada deve ser delegada aos Arquivos NetApp do Azure.

     Se você não delegou uma sub-rede, poderá clicar em Criar novo na página Criar um Volume. Em seguida, na página Criar Sub-rede, especifique as informações da sub-rede e selecione Microsoft.NetApp/volumes para delegar a sub-rede para Arquivos NetApp do Azure. Em cada VNet, apenas uma sub-rede pode ser delegada aos Arquivos NetApp do Azure.

     

   • Recursos de rede
     Em regiões com suporte, você pode especificar se deseja usar recursos de rede Básico ou Padrão para o volume. Consulte Configurar recursos de rede para um volume e Diretrizes para o planejamento de rede do Azure NetApp Files para obter detalhes.

   • Fonte da chave de criptografia Você pode selecionar Microsoft Managed Key ou Customer Managed Key. Consulte Configurar chaves gerenciadas pelo cliente para criptografia de volume dos Arquivos NetApp do Azure e criptografia dupla dos Arquivos NetApp do Azure em repouso sobre o uso deste campo.

   • Zona de disponibilidade
     Essa opção permite implantar o novo volume na zona de disponibilidade lógica especificada. Selecione uma zona de disponibilidade onde os recursos do Azure NetApp Files estão presentes. Para obter detalhes, consulte Gerenciar o posicionamento do volume da zona de disponibilidade.

   • Se desejar aplicar uma política de instantâneo existente ao volume, clique em Mostrar seção avançada para expandi-la, especifique se deseja ocultar o caminho do instantâneo e selecione uma política de instantâneo no menu suspenso.

     Para obter informações sobre como criar uma política de instantâneo, consulte Gerenciar políticas de instantâneo.

     

3. Selecione a guia Protocolo e conclua as seguintes ações:

   • Selecione Protocolo duplo como o tipo de protocolo para o volume.

   • Especifique a conexão do Ative Directory a ser usada.

   • Especifique um caminho de volume exclusivo. Esse caminho é usado quando você cria destinos de montagem. Os requisitos para o caminho são os seguintes:

     • Para volumes que não estão em uma zona de disponibilidade ou volumes na mesma zona de disponibilidade, o caminho do volume deve ser exclusivo dentro de cada sub-rede na região.
     • Para volumes em zonas de disponibilidade, o caminho do volume deve ser exclusivo dentro de cada zona de disponibilidade. Este recurso está atualmente em visualização e requer que você registre o recurso. Para obter mais informações, consulte Gerenciar o posicionamento do volume da zona de disponibilidade.
     • Deve começar com um caractere alfabético.
     • Pode conter apenas letras, números ou traços (-).
     • O comprimento não deve exceder 80 caracteres.

   • Especifique as versões a serem usadas para protocolo duplo: NFSv4.1 e SMB ou NFSv3 e SMB.

   • Especifique o estilo de segurança a ser usado: NTFS (padrão) ou UNIX.

   • Se desejar habilitar a criptografia de protocolo SMB3 para o volume de protocolo duplo, selecione Habilitar criptografia de protocolo SMB3.

     Esta funcionalidade permite a encriptação apenas para dados SMB3 em voo. Ele não criptografa dados NFSv3 durante o voo. Os clientes SMB que não utilizam encriptação SMB3 não poderão aceder a este volume. Os dados em repouso são criptografados independentemente dessa configuração. Consulte Criptografia SMB para obter mais informações.

   • Se você selecionou NFSv4.1 e SMB para as versões de volume de protocolo duplo, indique se deseja habilitar a criptografia Kerberos para o volume.

     Configurações adicionais são necessárias para Kerberos. Siga as instruções em Configurar criptografia Kerberos NFSv4.1.

   • Se desejar habilitar a enumeração baseada em acesso, selecione Habilitar enumeração baseada em acesso.

     Esse recurso ocultará diretórios e arquivos criados sob um compartilhamento de usuários que não têm permissões de acesso. Os usuários ainda poderão visualizar o compartilhamento. Você só pode habilitar a enumeração baseada em acesso se o volume de protocolo duplo usar o estilo de segurança NTFS.

   • Você pode ativar o recurso de compartilhamento não navegável.

     Esse recurso impede que o cliente Windows navegue pelo compartilhamento. O compartilhamento não aparece no Navegador de Arquivos do Windows ou na lista de compartilhamentos quando você executa o net view \\server /all comando.

   Importante

   Os recursos de enumeração baseada em acesso e compartilhamentos não navegáveis estão atualmente em visualização. Se esta for a primeira vez que você usa qualquer um deles, consulte as etapas em Antes de começar a registrar os recursos.

   • Personalize as permissões Unix conforme necessário para especificar permissões de alteração para o caminho de montagem. A configuração não se aplica aos arquivos sob o caminho de montagem. A predefinição é 0770. Essa configuração padrão concede permissões de leitura, gravação e execução ao proprietário e ao grupo, mas nenhuma permissão é concedida a outros usuários.
     Requisitos de registro e considerações se aplicam para definir permissões Unix. Siga as instruções em Configurar permissões Unix e alterar o modo de propriedade.

   • Opcionalmente, configure a política de exportação para o volume.

   

4. Clique em Rever + Criar para rever os detalhes do volume. Em seguida, clique em Criar para criar o volume.

   O volume criado aparece na página Volumes.

   Um volume herda a subscrição, grupo de recursos e atributos de localização do seu conjunto de capacidade. Para monitorizar o estado da implementação do volume, pode utilizar o separador Notificações.

Permitir que usuários locais de NFS com LDAP acessem um volume de protocolo duplo

A opção Permitir usuários NFS locais com LDAP em conexões do Ative Directory permite que usuários do cliente NFS local não presentes no servidor LDAP do Windows acessem um volume de protocolo duplo que tenha LDAP com grupos estendidos habilitados.

Nota

Antes de ativar essa opção, você deve entender as considerações.
A opção Permitir usuários NFS locais com LDAP faz parte do recurso LDAP com grupos estendidos e requer registro. Consulte Configurar AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter detalhes.

1. Selecione Conexões do Ative Directory. Em uma conexão existente do Ative Directory, clique no menu de …contexto (os três pontos) e selecione Editar.

2. Na janela Editar configurações do Ative Directory exibida, selecione a opção Permitir usuários NFS locais com LDAP.

   

Gerenciar atributos LDAP POSIX

Você pode gerenciar atributos POSIX, como UID, Diretório Base e outros valores, usando o snap-in MMC Usuários e Computadores do Ative Directory. O exemplo a seguir mostra o Editor de Atributos do Ative Directory:

Você precisa definir os seguintes atributos para usuários LDAP e grupos LDAP:

• Atributos necessários para usuários LDAP:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• Atributos necessários para grupos LDAP:
  objectClass: group, posixGroup,
  gidNumber: 555
• Todos os usuários e grupos devem ter exclusivo uidNumber e gidNumber, respectivamente.

Os valores especificados para objectClass são entradas separadas. Por exemplo, no Editor de Cadeia de Caracteres com Vários Valores, objectClass teria valores separados (user e posixAccount) especificados da seguinte forma para usuários LDAP:

Os Serviços de Domínio Microsoft Entra não permitem que você modifique o atributo objectClass POSIX em usuários e grupos criados na UO de Usuários AADDC organizacional. Como solução alternativa, você pode criar uma UO personalizada e criar usuários e grupos na UO personalizada.

Se você estiver sincronizando os usuários e grupos em sua locação do Microsoft Entra para usuários e grupos na UO Usuários AADDC, não poderá mover usuários e grupos para uma UO personalizada. Os usuários e grupos criados na UO personalizada não serão sincronizados com sua locação do AD. Para obter mais informações, consulte as considerações e limitações da UO personalizada dos Serviços de Domínio Microsoft Entra.

Acessar o Editor de Atributos do Ative Directory

Em um sistema Windows, você pode acessar o Editor de Atributos do Ative Directory da seguinte maneira:

1. Clique em Iniciar, navegue até Ferramentas Administrativas do Windows e clique em Usuários e Computadores do Ative Directory para abrir a janela Usuários e Computadores do Ative Directory.
2. Clique no nome de domínio que pretende ver e, em seguida, expanda o conteúdo.
3. Para exibir o Editor de Atributos avançado, habilite a opção Recursos Avançados no menu Exibir Computadores de Usuários do Ative Directory.
   
4. Clique duas vezes em Usuários no painel esquerdo para ver a lista de usuários.
5. Clique duas vezes em um usuário específico para ver sua guia Editor de Atributos.

Configurar o cliente NFS

Siga as instruções em Configurar um cliente NFS para Arquivos NetApp do Azure para configurar o cliente NFS.

Próximos passos

• Considerações para volumes de protocolo duplo do Azure NetApp Files
• Gerenciar o posicionamento do volume da zona de disponibilidade para Arquivos NetApp do Azure
• Requisitos e considerações para grandes volumes
• Configurar criptografia Kerberos NFSv4.1
• Configurar um cliente NFS para o Azure NetApp Files
• Configure as permissões do Unix e altere o modo de propriedade.
• Configurar AD DS LDAP sobre TLS para arquivos NetApp do Azure
• Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS
• Resolver erros de volume do Azure NetApp Files
• FAQs de resiliência de aplicações para o Azure NetApp Files