Общие сведения о протоколах NAS в Azure NetApp Files

  • Статья

Протоколы NAS — это способ общения между клиентами и серверами. NFS и S МБ — это протоколы NAS, используемые в Azure NetApp Files. Каждый предлагает собственные различные методы для общения, но в их корне они работают в основном так же.

  • Оба используют один набор данных для многих разрозненных подключенных клиентов.
  • Оба могут использовать зашифрованные методы проверки подлинности для совместного использования данных.
  • Оба файла можно включить с разрешениями на общий доступ и файл.
  • Оба могут шифровать данные во время полета.
  • Оба могут использовать несколько подключений для параллелизации производительности.

Файловая система NFS

NFS в основном используется с клиентами на основе Linux и UNIX, такими как Red Hat, SUSE, Ubuntu, AIX, Solaris и Apple OS. Azure NetApp Files поддерживает любой клиент NFS, работающий в стандартах RFC. Windows также может использовать NFS для доступа, но он не работает с использованием стандартов RFC.

Ниже приведены стандарты RFC для протоколов NFS:

NFSv3

NFSv3 — это базовое предложение протокола и имеет следующие ключевые атрибуты:

  • NFSv3 является бессерверным, то есть сервер NFS не отслеживает состояния подключений (включая блокировки).
  • Блокировка обрабатывается за пределами протокола NFS с помощью диспетчера сетевой блокировки (NLM). Так как блокировки не интегрируются в протокол, иногда могут возникать устаревшие блокировки.
  • Так как NFSv3 является бессерверным, производительность с NFSv3 может значительно повыситься в некоторых рабочих нагрузках, особенно в рабочих нагрузках с операциями с высокими метаданными, такими как OPEN, CLOSE, SETATTR и GETATTR. Это связано с тем, что существует менее общая работа, которую необходимо выполнить для обработки запросов на сервере и клиенте.
  • В NFSv3 используется базовая модель разрешений на файл, где можно назначить только владельца файла, группу и всех остальных можно назначить сочетание разрешений на чтение и запись и выполнение.
  • NFSv3 может использовать списки управления доступом NFSv4.x, но для настройки списков управления и управления ими потребуется клиент управления NFSv4.x. Azure NetApp Files не поддерживает использование нестандартного проекта ACL POSIX.
  • NFSv3 также требует использования других вспомогательных протоколов для обычных операций, таких как обнаружение портов, подключение, блокировка, мониторинг состояния и квоты. Каждый вспомогательный протокол использует уникальный сетевой порт, что означает, что операции NFSv3 требуют большего воздействия через брандмауэры с известными номерами портов.
  • Azure NetApp Files использует следующие номера портов для операций NFSv3. Изменить эти номера портов невозможно:
    • Portmapper (111)
    • Подключение (635)
    • NFS (2049)
    • NLM (4045)
    • NSM (4046)
    • Rquota (4049)
  • NFSv3 может использовать такие улучшения безопасности, как Kerberos, но Kerberos влияет только на часть пакетов NFS; Вспомогательные протоколы (например, NLM, portmapper, mount) не включены в беседу Kerberos.
    • Azure NetApp Files поддерживает только шифрование NFSv4.1 Kerberos
  • NFSv3 использует числовые идентификаторы для проверки подлинности пользователя и группы. Имена пользователей и групп не требуются для обмена данными или разрешениями, что может упростить работу пользователя, но конфигурация и управление проще.
  • NFSv3 может использовать LDAP для поиска пользователей и групп.

Поддержка версии службы NFSv3

В настоящее время NFSv3 поддерживает следующие версии каждого вспомогательного протокола в Azure NetApp Files:

Service Поддерживаемые версии
Portmapper 4, 3, 2
NFS 4, 3*
Подключение 3, 2, 1
Nlockmgr 4
Состояние 1
Rquotas 1

* Поддерживаемые версии NFS отображаются на основе версии, выбранной для тома Azure NetApp Files.

Эти сведения можно собрать из тома Azure NetApp Files с помощью следующей команды:

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x относится ко всем версиям NFS или дополнительным версиям, которые находятся в NFSv4, включая NFSv4.0, NFSv4.1 и NFSv4.2. Azure NetApp Files в настоящее время поддерживает только NFSv4.1.

NFSv4.x имеет следующие характеристики:

  • NFSv4.x — это протокол с отслеживанием состояния, то есть клиент и сервер отслеживают состояния подключений NFS, включая состояния блокировки. Подключение NFS использует концепцию, известную как "идентификатор состояния" для отслеживания подключений.
  • Блокировка интегрирована в протокол NFS и не требует наличия вспомогательных протоколов блокировки для отслеживания блокировок NFS. Вместо этого блокировки предоставляются на основе аренды. Срок действия истекает после определенной длительности, если подключение клиента или сервера потеряно, таким образом, возвращая блокировку в систему для использования с другими клиентами NFS.
  • Состояние NFSv4.x содержит некоторые недостатки, такие как потенциальные нарушения во время сбоя сети или отработки отказа хранилища, а также затраты на производительность в определенных типах рабочих нагрузок (например, рабочие нагрузки с высокими метаданными).
  • NFSv4.x обеспечивает множество существенных преимуществ по сравнению с NFSv3, в том числе:
    • Лучшие понятия блокировки (блокировка на основе аренды)
    • Улучшена безопасность (меньше портов брандмауэра, стандартная интеграция с Kerberos, детализированные элементы управления доступом)
    • Дополнительные компоненты
    • Составные операции NFS (несколько команд в одном запросе пакета для уменьшения сетевого чата)
    • Только TCP
  • NFSv4.x может использовать более надежную модель разрешений файлов, аналогичную разрешениям WINDOWS NTFS. Эти детализированные списки управления доступом можно применять к пользователям или группам и разрешать устанавливать разрешения на более широкий спектр операций, чем базовые операции чтения и записи и выполнения. NFSv4.x также может использовать стандартные биты режима POSIX, которые использует NFSv3.
  • Так как NFSv4.x не использует вспомогательные протоколы, Kerberos применяется ко всему диалогу NFS при использовании.
  • NFSv4.x использует сочетание имен пользователей и групп и строк домена для проверки сведений о пользователях и группах. Клиент и сервер должны согласиться со строками домена для правильной проверки подлинности пользователя и группы. Если строки домена не совпадают, пользователь или группа NFS получает сквошку указанному пользователю в файле /etc/idmapd.conf на клиенте NFS (например, никто).
  • Хотя NFSv4.x по умолчанию использует строки домена, можно настроить клиент и сервер, чтобы вернуться к классическим числовым идентификаторам, видимым в NFSv3 при использовании AUTH_SYS.
  • NFSv4.x имеет глубокую интеграцию со строками имен пользователей и групп, а сервер и клиенты должны согласиться с этими пользователями и группами. Таким образом, рекомендуется использовать сервер службы имен для проверки подлинности пользователей, например LDAP на клиентах и серверах NFS.

Часто задаваемые вопросы о NFS в Azure NetApp Files см. в часто задаваемых вопросы о Azure NetApp Files NFS.

Протокол SMB

S МБ в основном используется с клиентами Windows для функциональных возможностей NAS. Однако его также можно использовать в операционных системах под управлением Linux, таких как AppleOS, RedHat и т. д. Это развертывание выполняется с помощью приложения с именем Samba. Azure NetApp Files имеет официальную поддержку S МБ с помощью Windows и macOS. S МБ/Samba в операционных системах Linux могут работать с Azure NetApp Files, но нет официальной поддержки.

Azure NetApp Files поддерживает только S МБ 2.1 и S МБ версии 3.1.

S МБ имеет следующие характеристики:

  • S МБ — это протокол с отслеживанием состояния: клиенты и сервер поддерживают "состояние" для S МБ совместно используют подключения для повышения безопасности и блокировки.
  • Блокировка в S МБ считается обязательной. Если файл заблокирован, ни один другой клиент не сможет записать его в этот файл, пока блокировка не будет освобождена.
  • S МБ v2.x и более поздних версий используют составные вызовы для выполнения операций.
  • S МБ поддерживает полную интеграцию Kerberos. Так как клиенты Windows настроены, Kerberos часто используется без каких-либо знаний конечных пользователей.
  • Если Kerberos не удается использовать для проверки подлинности, windows NT LAN Manager (NTLM) может использоваться в качестве резервной версии. Если NTLM отключен в среде Active Directory, запросы проверки подлинности, которые не могут использовать Kerberos, завершаются ошибкой.
  • S МБ v3.0 и более поздних версий поддерживает сквозное шифрование для общих папок S МБ.
  • S МБ v3.x поддерживает мультиканал для повышения производительности в определенных рабочих нагрузках.
  • S МБ использует имена пользователей и групп (с помощью перевода sid) для проверки подлинности. Сведения о пользователях и группах предоставляются контроллером домена Active Directory.
  • S МБ в Azure NetApp Files использует стандартные списки управления доступом windows New Technology File System (NTFS) для разрешений файлов и папок.

Часто задаваемые вопросы о S МБ в Azure NetApp Files см. в статье azure NetApp Files S МБ вопросы и ответы.

Двойные протоколы

В некоторых организациях есть чистые среды Windows или чистые среды UNIX (однородные), в которых доступ ко всем данным осуществляется только с помощью одного из следующих подходов:

Однако многие сайты должны разрешать доступ к наборам данных из клиентов Windows и UNIX (разнородных). Для сред с этими требованиями Служба Azure NetApp Files поддерживает собственные поддержку NAS с двумя протоколами. После проверки подлинности пользователя в сети и получения соответствующих разрешений на общий доступ или экспорт и необходимых разрешений на уровне файлов пользователь может получить доступ к данным из узлов UNIX с помощью NFS или узлов Windows с помощью S МБ.

Причины использования томов с двумя протоколами

Использование томов с двумя протоколами с Azure NetApp Files обеспечивает несколько различных преимуществ. Если наборы данных можно легко и одновременно получить к ним доступ с помощью различных протоколов NAS, можно добиться следующих преимуществ:

  • Уменьшите общие задачи управления администраторами хранилища.
  • Требуется хранить только одну копию данных для доступа к NAS из нескольких типов клиентов.
  • Не зависящий от протокола NAS позволяет администраторам хранилища управлять стилем ACL и контролем доступа, представленным конечным пользователям.
  • Централизация операций управления удостоверениями в среде NAS.

Общие рекомендации в средах с двумя протоколами

Доступ к NAS с двумя протоколами является желательным для многих организаций для его гибкости. Однако существует представление о трудностях, которые создают набор рекомендаций, уникальных для концепции совместного использования между протоколами. Эти рекомендации включают в себя, но не ограничиваются следующими:

  • Требование знаний в нескольких протоколах, операционных системах и системах хранения.
  • Рабочие знания о серверах службы имен, таких как DNS, LDAP и т. д.

Кроме того, внешние факторы могут вступить в игру, такие как:

  • Работа с несколькими отделами и ИТ-группами (например, группами Windows и группами UNIX)
  • Приобретение компании
  • Консолидация домена
  • Реорганизации

Несмотря на эти рекомендации, настройка, настройка и доступ с двумя протоколами NAS можно легко и легко интегрировать в любую среду.

Упрощение использования двух протоколов в Azure NetApp Files

Azure NetApp Files объединяет инфраструктуру, необходимую для успешных сред NAS с двумя протоколами, в одной плоскости управления, включая службы управления хранилищами и удостоверениями.

Конфигурация с двумя протоколами проста, и большинство задач экранируются платформой управления ресурсами Azure NetApp Files, чтобы упростить операции для облачных операторов.

После установки подключения Active Directory с Azure NetApp Files тома двойного протокола можно использовать подключение для обработки управления удостоверениями Windows и UNIX, необходимых для правильной проверки подлинности пользователей и групп с томами Azure NetApp Files без дополнительных действий по настройке за пределами нормального управления пользователем и группами в службах Active Directory или LDAP.

Удалив дополнительные шаги, ориентированные на хранилище для конфигураций с двумя протоколами, Azure NetApp Files упрощает общее развертывание двух протоколов для организаций, желающих перейти в Azure.

Как работают тома двойного протокола Azure NetApp Files

На высоком уровне тома Azure NetApp Files с двумя протоколами используют сочетание стилей сопоставления имен и разрешений для обеспечения согласованного доступа к данным независимо от используемого протокола. Это означает, что вы обращаетесь к файлу из NFS или S МБ, вы можете быть уверены, что пользователи с доступом к этим файлам могут получить к ним доступ, и пользователи без доступа к этим файлам не могут получить к ним доступ.

Когда клиент NAS запрашивает доступ к тому с двумя протоколами в Azure NetApp Files, следующие операции выполняются для обеспечения прозрачного взаимодействия с конечным пользователем.

  1. Клиент NAS устанавливает подключение NAS к тому двойного протокола Azure NetApp Files.
  2. Клиент NAS передает сведения о удостоверениях пользователя в Azure NetApp Files.
  3. Azure NetApp Files проверка, чтобы убедиться, что клиент ИЛИ пользователь NAS имеет доступ к общей папке NAS.
  4. Azure NetApp Files принимает этого пользователя и сопоставляет его с допустимым пользователем, найденным в службах имен.
  5. Azure NetApp Files сравнивает пользователя с разрешениями на уровне файлов в системе.
  6. Разрешения файлов управляют уровнем доступа пользователя.

На следующем рисунке user1 выполняется проверка подлинности в Azure NetApp Files для доступа к тому с двумя протоколами через S МБ или NFS. Azure NetApp Files находит сведения о Windows и UNIX пользователя в идентификаторе Microsoft Entra ID, а затем сопоставляет удостоверения windows и UNIX пользователя с одним на один. Пользователь проверяется как user1 и получает user1учетные данные доступа.

В этом экземпляре user1 получает полный контроль над собственной папкой (user1-dir) и нет доступа к папке HR . Этот параметр основан на списках управления безопасностью, указанных в файловой системе, и user1 получит ожидаемый доступ независимо от протокола, из которого они обращаются к томам.

Diagram of user accessing a dual-protocol volume with Azure NetApp Files.

Рекомендации по томам двойного протокола Azure NetApp Files

При использовании томов Azure NetApp Files для доступа к S МБ и NFS некоторые рекомендации применяются:

  • Требуется подключение Active Directory. Таким образом, необходимо соответствовать требованиям для подключений Active Directory.
  • Томам двойного протокола требуется зона обратного подстановки в DNS с связанной записью указателя (PTR) хост-компьютера AD, чтобы предотвратить сбои создания тома двойного протокола.
  • Клиент NFS и связанные пакеты (например nfs-utils) должны быть актуальными для оптимальной безопасности, надежности и поддержки функций.
  • Тома двойного протокола поддерживают службы домен Active Directory (AD DS) и доменные службы Microsoft Entra.
  • Тома двойного протокола не поддерживают использование LDAP через TLS с доменными службами Microsoft Entra. См. рекомендации по LDAP через TLS.
  • Поддерживаемые версии NFS включают: NFSv3 и NFSv4.1.
  • Функции NFSv4.1, такие как параллельная сетевая файловая система (pNFS), магистрали сеансов и рефералы в настоящее время не поддерживаются в томах Azure NetApp Files.
  • Расширенные атрибуты set/get Windows не поддерживаются в томах с двумя протоколами.
  • Дополнительные рекомендации по созданию тома двойного протокола для Azure NetApp Files.

Следующие шаги