Создание тома с двумя протоколами для Azure NetApp Files

Azure NetApp Files поддерживает создание томов с помощью NFS (NFSv3 или NFSv4.1), SMB3 или двойного протокола (NFSv3 и SMB или NFSv4.1 и SMB). В этой статье описывается создание тома, использующего два протокола с поддержкой сопоставления пользователей LDAP.

Инструкции по созданию томов NFS см. в статье Создание тома NFS. Инструкции по созданию томов SMB см. в статье Создание тома SMB.

Подготовка к работе

• Перед началом необходимо, чтобы пул емкости уже был подготовлен.
  См. статью "Создание пула емкости".
• Подсеть должна быть делегирована службе Azure NetApp Files.
  См. Делегирование подсети в Azure NetApp Files.
• В настоящее время доступные для просмотра общие папки и функции перечисления на основе доступа находятся в предварительной версии. Перед его использованием необходимо зарегистрировать каждую функцию:

1. Регистрация компонента.

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Проверка состояния регистрации функции.

   Примечание.

   RegistrationState может находиться в состоянии Registering до 60 минут, прежде чем изменится на Registered. Перед продолжением подождите, пока состояние не изменится на Зарегистрировано.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Вы также можете использовать командыaz feature register Azure CLI и az feature show зарегистрировать функцию и отобразить состояние регистрации.

Рекомендации

• Убедитесь, что соблюдены требования к подключениям Active Directory.

• Создайте зону обратного поиска на DNS-сервере, а затем добавьте запись указателя (PTR) для хост-компьютера AD в эту зону обратного поиска. В противном случае создание тома с двойным протоколом завершится ошибкой.

• Параметр Разрешить локальных пользователей NFS с LDAP в подключениях Active Directory предполагает предоставление случайного и временного доступа к локальным пользователям. Если этот параметр включен, проверка подлинности пользователей и поиск с сервера LDAP перестает работать, а количество членства в группах, которые будет поддерживать Azure NetApp Files, будет ограничено 16. В связи с этим данный параметр должен быть отключен в подключениях Active Directory, кроме случаев, когда локальному пользователю требуется доступ к томам с поддержкой LDAP. В этом случае данный параметр следует отключить, как только доступ локального пользователя к этому тому будет не нужен. См. раздел Разрешение локальным пользователям NFS с LDAP доступа к тому с двумя протоколами об управлении доступом локальных пользователей.

• Убедитесь, что клиент NFS обновлен и на нем установлены последние обновления для операционной системы.

• Тома двойного протокола поддерживают службы домен Active Directory (AD DS) и доменные службы Microsoft Entra.

• Тома двойного протокола не поддерживают использование LDAP через TLS с доменными службами Microsoft Entra. Протокол LDAP по протоколу TLS поддерживается в службах домен Active Directory (AD DS). См. рекомендации по LDAP через TLS.

• Версией NFS, используемой томом с двумя протоколами, может быть NFSv3 или NFSv4.1. Действуют следующие ограничения:

  • Сдвоенный протокол не поддерживает расширенные атрибуты списков ACL Windows set/get от клиентов NFS.

  • Клиенты NFS не могут изменять разрешения для стиля безопасности NTFS, а клиенты Windows не могут изменять разрешения для томов с двумя протоколами в стиле UNIX.

    В следующей таблице описаны стили безопасности и их действия:

    Стиль безопасности	Клиенты, которые могут изменять разрешения	Разрешения, которые могут использовать клиенты	Итоговый действующий стиль безопасности	Клиенты, у которых есть доступ к файлам
    Unix	NFS	Биты режима NFSv3 или NFSv4.1	UNIX	NFS и Windows
    Ntfs	Windows	Списки ACL NTFS	NTFS	NFS и Windows

  • Направление сопоставления имен (от Windows к UNIX или от UNIX к Windows) зависит от того, какой протокол используется и какой стиль безопасности применяется к тому. Для клиента Windows всегда требуется сопоставление имен от Windows к UNIX. Применение пользователя к разрешениям на проверку зависит от стиля безопасности. И наоборот, клиенту NFS нужно использовать сопоставление имен от UNIX к Windows только в том случае, если используется стиль безопасности NTFS.

    В следующей таблице представлены сопоставления имен и стили безопасности.

    Протокол	Стиль безопасности	Направление сопоставления имен	Применяемые разрешения
    SMB	Unix	От Windows к UNIX	UNIX (биты режима или списки управления доступом NFS 4.x)
    SMB	Ntfs	От Windows к UNIX	Списки управления доступом NTFS (на основе идентификатора безопасности Windows с доступом к общей папке)
    NFSv3	Unix	нет	UNIX (биты режима или списки управления доступом NFSv4.x) Списки управления доступом NFSv4.x можно применять с помощью административного клиента NFSv4.x, который учитывается клиентами NFSv3.
    NFS	Ntfs	От UNIX к Windows	Списки управления доступом NTFS (на основе сопоставленного идентификатора безопасности пользователя Windows)

• Протокол LDAP с расширенными группами поддерживает двойной протокол [NFSv3 и S МБ] и [NFSv4.1 и S МБ] с стилем безопасности Unix. Дополнительные сведения см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".

• Если у вас есть большие топологии, и вы используете стиль безопасности Unix с томом с двумя протоколами или LDAP с расширенными группами, следует использовать параметр области поиска LDAP на странице Подключение ions Active Directory, чтобы избежать ошибок "отказано в доступе" на клиентах Linux для Azure NetApp Files. Дополнительные сведения см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".

• Для создания тома с двумя протоколами не требуется сертификат корневого ЦС сервера. Он необходим только в том случае, если включен протокол LDAP через TLS.

• Сведения о двух протоколах и связанных протоколах Azure NetApp Files см . в разделе "Два протокола" статьи "Общие сведения о протоколах NAS" в Azure NetApp Files.

Создание тома с двумя протоколами

1. В колонке управления пулами емкости щелкните колонку Тома. Чтобы создать том щелкните + Добавить том.

   

2. В окне создания тома нажмите Создать, а затем заполните следующие поля вкладки "Основные параметры":

   • Имя тома
     Укажите имя создаваемого тома.

     Ознакомьтесь с правилами именования и ограничениями для ресурсов Azure для соглашений об именовании томов. Кроме того, нельзя использовать default или bin в качестве имени тома.

   • Пул емкости
     Укажите пул емкости, в котором нужно создать том.

   • План продаж
     Укажите объем логического хранилища, выделенный для тома.

     В поле Доступная квота отображается объем неиспользуемого пространства выбранного пула емкости, которое можно использовать для создания нового тома. Размер нового тома не должен превышать доступную квоту.

   • Большой том для томов от 50 ТиБ до 500 ТиБ, нажмите кнопку "Да". Если том не требует более 100 ТиБ, выберите "Нет".

     Внимание

     Большие тома в настоящее время находятся в предварительной версии. Если вы впервые используете большие тома, необходимо сначала зарегистрировать функцию и запросить увеличение квоты региональной емкости.

     Объемы считаются большими, если они имеют размер от 50 ТиБ до 500 ТиБ. Обычные тома нельзя преобразовать в большие тома. Большие тома нельзя изменить до 50 ТиБ. Чтобы понять требования и рекомендации по большим объемам, ознакомьтесь с рекомендациями по использованию требований и рекомендаций для больших томов. Сведения о других ограничениях см. в разделе "Ограничения ресурсов".

   • Пропускная способность (МиБ/с)
     Если том создается в пуле ресурсов ручного обслуживания, укажите необходимую пропускную способность для тома.

     Если том создается в пуле ресурсов автоматического качества обслуживания, в этом поле отображается значение (пропускная способность уровня обслуживания умноженная на квоту).

   • Включение холодного доступа, периода охлаждения и политики получения холодного доступа
     Эти поля настраивают стандартное хранилище с холодным доступом в Azure NetApp Files. Описание см. в статье "Управление хранилищем Azure NetApp Files уровня "Стандартный" с холодным доступом.

   • Виртуальная сеть
     Укажите виртуальную сеть Azure, из которой будет осуществляться доступ к тому.

     В указанной виртуальной сети должна быть подсеть, делегированная службе Azure NetApp Files. Доступ к Azure NetApp Files можно получить только из той же виртуальной сети или из виртуальной сети, которая находится в том же регионе, что и том через пиринг виртуальной сети. Доступ к тому также можно получить из локальной сети через Express Route.

   • Подсеть
     Укажите подсеть, которую нужно использовать для тома.
     Указанная подсеть должна быть делегирована службе Azure NetApp Files.

     Если вы не делегировали подсеть, вы можете щелкнуть Создать на странице "Создать том". Затем на странице "Создание подсети" укажите сведения о подсети и выберите Microsoft.NetApp/volumes, чтобы делегировать подсеть службе Azure NetApp Files. В каждой виртуальной сети можно делегировать только одну подсеть для Azure NetApp Files.

     

   • Сетевые функции
     В поддерживаемых регионах можно указать, следует ли использовать функции сети "Базовый" или "Стандартный" для тома. Дополнительные сведения см. в статье "Настройка сетевых функций для тома и рекомендаций по планированию сети Azure NetApp Files".

   • Источник ключа шифрования можно выбрать Microsoft Managed Key или Customer Managed Key. Сведения об использовании этого поля см. в статье "Настройка управляемых клиентом ключей для шифрования томов Azure NetApp Files" и двойного шифрования Azure NetApp Files.

   • Зона доступности
     Этот параметр позволяет развернуть новый том в указанной логической зоне доступности. Выберите зону доступности, в которой присутствуют ресурсы Azure NetApp Files. Дополнительные сведения см. в разделе "Управление размещением томов зоны доступности".

   • Если вы хотите применить к тому существующую политику моментальных снимков, щелкните Показать дополнительные параметры, чтобы развернуть его, затем укажите, нужно ли скрыть путь к моментальному снимку, после чего выберите политику моментальных снимков в раскрывающемся меню.

     Дополнительные сведения о создании политики моментальных снимков см. в разделе Управление политиками моментальных снимков.

     

3. Перейдите на вкладку "Протокол" , а затем выполните следующие действия:

   • Выберите Dual-protocol (Два протокола) в качестве типа протокола для тома.

   • Задайте подключение Active Directory для использования.

   • Укажите уникальный путь к тому. Этот путь используется при создании целевых объектов подключения. Требования для пути:

     • Для томов, не находящихся в зоне доступности или томах в одной зоне доступности, путь тома должен быть уникальным в каждой подсети в регионе.
     • Для томов в зонах доступности путь тома должен быть уникальным в пределах каждой зоны доступности. Эта функция сейчас доступна в предварительной версии и требует регистрации функции. Дополнительные сведения см. в разделе "Управление размещением томов зоны доступности".
     • оно должно начинаться с буквы;
     • оно может содержать только буквы, цифры и дефисы (-);
     • его длина не должна превышать 80 знаков.

   • Задайте версии для использования двух протоколов: NFSv4.1 и SMB или NFSv3 и SMB.

   • Укажите используемый стиль безопасности: NTFS (по умолчанию) или UNIX.

   • Если вы хотите включить шифрование протокола SMB3 для тома с двумя протоколами, выберите Включить шифрование протокола SMB3.

     Эта функция позволяет включить шифрование только для активных данных SMB3. Она не шифрует данные NFS 3. Клиенты SMB, не использующие шифрование SMB3, не смогут получить доступ к этому тому. Неактивные данные шифруются независимо от данного параметра. Дополнительные сведения см. в разделе S МБ шифрования.

   • Если вы выбрали NFSv4.1 и SMB для версий томов с двумя протоколами, укажите, нужно ли включить шифрование Kerberos для тома.

     Для Kerberos требуются дополнительные настройки. Следуйте инструкциям в разделе Настройка шифрования Kerberos для NFSv4.1.

   • Если вы хотите включить перечисление на основе доступа, выберите "Включить перечисление на основе доступа".

     Эта функция скрывает каталоги и файлы, созданные в общей папке от пользователей, у которых нет разрешений на доступ. Пользователи по-прежнему смогут просматривать общую папку. Перечисление на основе доступа можно включить только в том случае, если том с двумя протоколами использует стиль безопасности NTFS.

   • Вы можете включить функцию общего доступа без просмотра.

     Эта функция запрещает клиенту Windows просматривать общую папку. Общая папка не отображается в браузере файлов Windows или в списке общих папок при выполнении net view \\server /all команды.

   Внимание

   Перечисление на основе доступа и функции общих папок, не доступных для просмотра, в настоящее время находятся в предварительной версии. Если это ваш первый раз, обратитесь к инструкциям, описанным в разделе "Перед началом регистрации функций".

   • Настройте разрешения Unix по мере необходимости, чтобы задать разрешения изменения для пути подключения. Параметр не применяется к файлам в пути подключения. Значение по умолчанию равно 0770. Этот параметр, используемый по умолчанию, предоставляет разрешения на чтение, запись и выполнение владельцу и группе, но не предоставляет разрешения другим пользователям.
     Требования к регистрации и рекомендации применяются к параметру Unix Permissions (Разрешения Unix). Следуйте инструкциям из статьи Настройка разрешений UNIX и режима изменения владельца.

   • При необходимости Настройте политику экспорта для тома.

   

4. Нажмите Проверка и создание, чтобы ознакомиться с сведениями о томе. Затем нажмите кнопку Создать, чтобы создать том.

   Созданный том появится на странице "Тома".

   От пула емкости том наследует атрибуты подписки, группы ресурсов и расположения. Состояние развертывания можно отслеживать на вкладке уведомлений.

Разрешить локальным пользователям NFS доступ LDAP к тому с двумя протоколами

Параметр Разрешить локальных пользователей NFS с LDAP в подключениях Active Directory позволяет использовать локальных пользователей клиента NFS, отсутствующих на сервере Windows LDAP, для доступа к тому с двумя протоколами, включая LDAP с поддержкой расширенных групп.

Примечание.

Перед включением этого параметра изучите рекомендации.
Параметр Allow local NFS users with LDAP (Разрешить локальных пользователей NFS с помощью LDAP) является частью функции LDAP с расширенными группами и требует регистрации. Дополнительные сведения см. в статье "Настройка LDAP AD DS с расширенными группами для доступа к томам NFS".

1. Выберите подключения Active Directory. В существующем подключении Active Directory щелкните контекстное меню (три точки …) и выберите пункт Изменить.

2. В появившемся окне Изменение параметров Active Directory выберите параметр Разрешить локальных пользователей NFS с LDAP.

   

Управление атрибутами POSIX для LDAP

Управлять атрибутами POSIX, например UID, домашним каталогом и другими значениями, можно с помощью оснастки MMC пользователям и компьютерам Active Directory. В следующем примере показан редактор атрибутов Active Directory:

Необходимо задать следующие атрибуты для пользователей LDAP и групп LDAP:

• Обязательные атрибуты для пользователей LDAP:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• Обязательные атрибуты для групп LDAP:
  objectClass: group, posixGroup,
  gidNumber: 555
• Все пользователи и группы должны иметь уникальный параметр uidNumber или gidNumber соответственно.

Значения, указанные для objectClass отдельных записей. Например, в редакторе objectClass строк с несколькими значениями (user и posixAccount) указаны следующие значения для пользователей LDAP:

Доменные службы Microsoft Entra не позволяют изменять атрибут objectClass POSIX для пользователей и групп, созданных в подразделении AADDC Users. В качестве обходного решения можно создать пользовательское подразделение и создать пользователей и группы в настраиваемом подразделении.

Если вы синхронизируете пользователей и группы в клиенте Microsoft Entra с пользователями и группами в подразделении пользователей AADDC, вы не можете переместить пользователей и группы в настраиваемую подразделение. Пользователи и группы, созданные в пользовательском подразделении, не будут синхронизированы с вашим клиентом AD. Дополнительные сведения см. в рекомендациях и ограничениях пользовательских подразделений для доменных служб Microsoft Entra.

Доступ к редактору атрибутов Active Directory

В системе Windows доступ для получения доступа к редактору атрибутов Active Directory выполните следующие действия.

1. Нажмите кнопку Пуск и выберите пункт Администрирование Windows, а затем Пользователи и компьютеры Active Directory, чтобы открыть окно "Пользователи и компьютеры Active Directory".
2. Щелкните имя домена, который вы хотите посмотреть, и разверните его содержимое.
3. Чтобы открыть расширенный редактор атрибутов, включите параметр Дополнительные компоненты в меню Вид окна "Пользователи и компьютеры Active Directory".
   
4. Дважды щелкните пункт Пользователи слева, чтобы посмотреть список пользователей.
5. Дважды щелкните конкретного пользователя, чтобы открыть его вкладку Редактор атрибутов.

Настройка клиента NFS

Следуйте инструкциям в разделе Настройка клиента NFS для Azure NetApp Files, чтобы настроить клиент NFS.

Следующие шаги

• Рекомендации по томам двойного протокола Azure NetApp Files
• Управление размещением томов зоны доступности для Azure NetApp Files
• Требования и рекомендации для больших томов
• Настройка шифрования Kerberos NFSv4.1
• Настройка клиента NFS для Azure NetApp Files
• Настройка разрешений UNIX и режима изменения владельца.
• Настройка LDAP AD DS через TLS для Azure NetApp Files
• Настройка LDAP AD DS с расширенными группами для доступа к тому NFS
• Устранение ошибок тома для Azure NetApp Files
• Часто задаваемые вопросы об устойчивости приложений для Azure NetApp Files