Förstå NAS-protokoll i Azure NetApp Files

NAS-protokoll är hur konversationer sker mellan klienter och servrar. NFS och SMB är DE NAS-protokoll som används i Azure NetApp Files. Var och en erbjuder sina egna distinkta metoder för kommunikation, men i roten fungerar de mestadels på samma sätt.

• Båda hanterar en enda datauppsättning till många olika nätverksanslutna klienter.
• Båda kan använda krypterade autentiseringsmetoder för att dela data.
• Båda kan gated med resurs- och filbehörigheter.
• Båda kan kryptera data under flygning.
• Båda kan använda flera anslutningar för att parallellisera prestanda.

Network File System (NFS)

NFS används främst med Linux-/UNIX-baserade klienter som Red Hat, SUSE, Ubuntu, AIX, Solaris och Apple OS. Azure NetApp Files stöder alla NFS-klienter som fungerar i RFC-standarderna. Windows kan också använda NFS för åtkomst, men det fungerar inte med RFC-standarder (Request for Comments).

RFC-standarder för NFS-protokoll finns här:

• RFC-1813: NFSv3
• RFC 8881: NFSv4.1
• RFC 7862: NFSv4.2

NFSv3

NFSv3 är ett grundläggande erbjudande för protokollet och har följande nyckelattribut:

• NFSv3 är tillståndslös, vilket innebär att NFS-servern inte håller reda på tillstånden för anslutningar (inklusive lås).
• Låsning hanteras utanför NFS-protokollet med hjälp av Network Lock Manager (NLM). Eftersom lås inte är integrerade i protokollet kan inaktuella lås ibland uppstå.
• Eftersom NFSv3 är tillståndslös kan prestanda med NFSv3 vara betydligt bättre i vissa arbetsbelastningar, särskilt i arbetsbelastningar med högmetadataåtgärder som OPEN, CLOSE, SETATTR och GETATTR. Så är fallet eftersom det finns mindre allmänt arbete som behöver göras för att bearbeta begäranden på servern och klienten.
• NFSv3 använder en grundläggande filbehörighetsmodell där endast filens ägare, en grupp och alla andra kan tilldelas en kombination av läs-/skriv-/körningsbehörigheter.
• NFSv3 kan använda NFSv4.x-ACL:er, men en NFSv4.x-hanteringsklient krävs för att konfigurera och hantera ACL:er. Azure NetApp Files stöder inte användning av icke-standard-POSIX-utkast-ACL:er.
• NFSv3 kräver också användning av andra underordnade protokoll för regelbundna åtgärder som portidentifiering, montering, låsning, statusövervakning och kvoter. Varje tilläggsprotokoll använder en unik nätverksport, vilket innebär att NFSv3-åtgärder kräver mer exponering via brandväggar med välkända portnummer.
• Azure NetApp Files använder följande portnummer för NFSv3-åtgärder. Det går inte att ändra dessa portnummer:
  • Portmapper (111)
  • Montering (635)
  • NFS (2049)
  • NLM (4045)
  • NSM (4046)
  • Rquota (4049)
• NFSv3 kan använda säkerhetsförbättringar som Kerberos, men Kerberos påverkar bara NFS-delen av paketen. tillhörande protokoll (till exempel NLM, portmapper, montering) ingår inte i Kerberos-konversationen.
  • Azure NetApp Files stöder endast NFSv4.1 Kerberos-kryptering
• NFSv3 använder numeriska ID:n för användar- och gruppautentisering. Användarnamn och gruppnamn krävs inte för kommunikation eller behörigheter, vilket kan göra det enklare att förfalska en användare, men konfiguration och hantering är enklare.
• NFSv3 kan använda LDAP för användar- och gruppsökningar.

Stöd för NFSv3-tjänstversion

NFSv3 stöder för närvarande följande versioner av varje tillhörande protokoll i Azure NetApp Files:

Tjänst	Versioner som stöds
Portmapper	4, 3, 2
NFS	4, 3*
Monterad	3, 2, 1
Nlockmgr	4
Status	1
Rquotas	1

* Versioner som stöds av NFS visas baserat på den version som valts för Azure NetApp Files-volymen.

Den här informationen kan samlas in från din Azure NetApp Files-volym med följande kommando:

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x refererar till alla NFS-versioner eller delversioner som är under NFSv4, inklusive NFSv4.0, NFSv4.1 och NFSv4.2. Azure NetApp Files stöder för närvarande endast NFSv4.1.

NFSv4.x har följande egenskaper:

• NFSv4.x är ett tillståndskänsligt protokoll, vilket innebär att klienten och servern håller reda på tillstånden för NFS-anslutningarna, inklusive låstillstånd. NFS-monteringen använder ett begrepp som kallas "tillstånds-ID" för att hålla reda på anslutningarna.
• Låsning är integrerat i NFS-protokollet och kräver inte underordnade låsprotokoll för att hålla reda på NFS-lås. Lås beviljas i stället på lånebasis. De upphör att gälla efter en viss tid om en klient- eller serveranslutning går förlorad, vilket returnerar låset tillbaka till systemet för användning med andra NFS-klienter.
• Tillståndskänsligheten för NFSv4.x innehåller vissa nackdelar, till exempel potentiella störningar vid nätverksfel eller redundansväxlingar i lagring och prestandakostnader i vissa arbetsbelastningstyper (till exempel höga metadataarbetsbelastningar).
• NFSv4.x ger många betydande fördelar jämfört med NFSv3, inklusive:
  • Bättre låsbegrepp (lånebaserad låsning)
  • Bättre säkerhet (färre brandväggsportar behövs, standardintegrering med Kerberos, detaljerade åtkomstkontroller)
  • Fler funktioner
  • Sammansatta NFS-åtgärder (flera kommandon i en enda paketbegäran för att minska nätverkssnacket)
  • Endast TCP
• NFSv4.x kan använda en mer robust filbehörighetsmodell som liknar Windows NTFS-behörigheter. Dessa detaljerade ACL:er kan tillämpas på användare eller grupper och tillåta att behörigheter anges för ett bredare antal åtgärder än grundläggande läs-/skriv-/körningsåtgärder. NFSv4.x kan också använda de posix-standardlägesbitar som NFSv3 använder.
• Eftersom NFSv4.x inte använder underordnade protokoll tillämpas Kerberos på hela NFS-konversationen när den används.
• NFSv4.x använder en kombination av användar-/gruppnamn och domänsträngar för att verifiera användar- och gruppinformation. Klienten och servern måste komma överens om domänsträngarna för att korrekt användar- och gruppautentisering ska ske. Om domänsträngarna inte matchar kommer NFS-användaren eller gruppen att krossas till den angivna användaren i filen /etc/idmapd.conf på NFS-klienten (till exempel ingen).
• NFSv4.x använder som standard domänsträngar, men det är möjligt att konfigurera klienten och servern att falla tillbaka på de klassiska numeriska ID:n som visas i NFSv3 när AUTH_SYS används.
• NFSv4.x har djup integrering med användar- och gruppnamnssträngar, och servern och klienterna måste komma överens om dessa användare och grupper. Därför bör du överväga att använda en namntjänstserver för användarautentisering, till exempel LDAP på NFS-klienter och servrar.

Vanliga frågor och svar om NFS i Azure NetApp Files finns i Vanliga frågor och svar om Azure NetApp Files NFS.

Server Message Block (SMB)

SMB används främst med Windows-klienter för NAS-funktioner. Men det kan också användas på Linux-baserade operativsystem som AppleOS, RedHat osv. Den här distributionen utförs med hjälp av ett program som heter Samba. Azure NetApp Files har officiellt stöd för SMB med Windows och macOS. SMB/Samba på Linux-operativsystem kan fungera med Azure NetApp Files, men det finns inget officiellt stöd.

Azure NetApp Files stöder endast SMB 2.1- och SMB 3.1-versioner.

SMB har följande egenskaper:

• SMB är ett tillståndskänsligt protokoll: klienterna och servern har ett "tillstånd" för SMB-resursanslutningar för bättre säkerhet och låsning.
• Låsning i SMB anses vara obligatoriskt. När en fil är låst kan ingen annan klient skriva till filen förrän låset har släppts.
• SMBv2.x och senare använder sammansatta anrop för att utföra åtgärder.
• SMB stöder fullständig Kerberos-integrering. Med det sätt på vilket Windows-klienter konfigureras används Kerberos ofta utan att slutanvändarna känner till det.
• När Kerberos inte kan användas för autentisering kan Windows NT LAN Manager (NTLM) användas som reserv. Om NTLM är inaktiverat i Active Directory-miljön misslyckas autentiseringsbegäranden som inte kan använda Kerberos.
• SMBv3.0 och senare stöder kryptering från slutpunkt till slutpunkt för SMB-resurser.
• SMBv3.x har stöd för flera kanaler för prestandavinster i vissa arbetsbelastningar.
• SMB använder användar- och gruppnamn (via SID-översättning) för autentisering. Användar- och gruppinformation tillhandahålls av en Active Directory-domänkontrollant.
• SMB i Azure NetApp Files använder standard aCL:er för Windows New Technology File System (NTFS) för fil- och mappbehörigheter.

Vanliga frågor och svar om SMB i Azure NetApp Files finns i Vanliga frågor och svar om Azure NetApp Files SMB.

Dubbla protokoll

Vissa organisationer har rena Windows- eller rena UNIX-miljöer (homogena) där alla data endast används med någon av följande metoder:

• SMB- och NTFS-filsäkerhet
• NFS- och UNIX-filsäkerhet – lägesbitar eller NFSv4.x-åtkomstkontrollistor (ACL: er)

Många webbplatser måste dock göra det möjligt att komma åt datauppsättningar från både Windows- och UNIX-klienter (heterogena). För miljöer med dessa krav har Azure NetApp Files inbyggt NAS-stöd med dubbla protokoll. När användaren har autentiserats i nätverket och har både lämpliga resurs- eller exportbehörigheter och nödvändiga behörigheter på filnivå kan användaren komma åt data från UNIX-värdar med hjälp av NFS eller från Windows-värdar med hjälp av SMB.

Orsaker till att använda volymer med dubbla protokoll

Att använda volymer med dubbla protokoll med Azure NetApp Files ger flera distinkta fördelar. När datauppsättningar kan nås sömlöst och samtidigt av klienter med olika NAS-protokoll kan följande fördelar uppnås:

• Minska de övergripande hanteringsuppgifterna för lagringsadministratören.
• Kräv att endast en enda kopia av data lagras för NAS-åtkomst från flera klienttyper.
• Med protokolloberoende NAS kan lagringsadministratörer styra ACL-format och åtkomstkontroll som visas för slutanvändarna.
• Centralisera identitetshanteringsåtgärder i en NAS-miljö.

Vanliga överväganden med miljöer med dubbla protokoll

Nas-åtkomst med dubbla protokoll är önskvärd av många organisationer för dess flexibilitet. Det finns dock en uppfattning om svårigheter som skapar en uppsättning överväganden som är unika för begreppet delning mellan protokoll. Dessa överväganden omfattar, men är inte begränsade till:

• Krav på kunskap i flera protokoll, operativsystem och lagringssystem.
• Arbetskunskaper om namntjänstservrar, till exempel DNS, LDAP och så vidare.

Dessutom kan externa faktorer spela in, till exempel:

• Hantera flera avdelningar och IT-grupper (till exempel Windows-grupper och UNIX-grupper)
• Företagsförvärv
• Domänkonsolideringar
• Omorganiseringar

Trots dessa överväganden kan nas-konfiguration, konfiguration och åtkomst med dubbla protokoll integreras enkelt och sömlöst i alla miljöer.

Så här förenklar Azure NetApp Files användning med dubbla protokoll

Azure NetApp Files konsoliderar infrastrukturen som krävs för lyckade NAS-miljöer med dubbla protokoll till ett enda hanteringsplan, inklusive lagrings- och identitetshanteringstjänster.

Konfiguration med dubbla protokoll är enkelt och de flesta av uppgifterna avskärmas av Azure NetApp Files-resurshanteringsramverket för att förenkla åtgärderna för molnoperatörer.

När en Active Directory-anslutning har upprättats med Azure NetApp Files kan volymer med dubbla protokoll använda anslutningen för att hantera både Windows- och UNIX-identitetshantering som krävs för korrekt användar- och gruppautentisering med Azure NetApp Files-volymer utan extra konfigurationssteg utanför den normala användar- och grupphanteringen i Active Directory- eller LDAP-tjänsterna.

Genom att ta bort de extra lagringscentrerade stegen för konfigurationer med dubbla protokoll effektiviserar Azure NetApp Files den övergripande distributionen med dubbla protokoll för organisationer som vill flytta till Azure.

Så här fungerar Volymer med dubbla protokoll i Azure NetApp Files

På hög nivå använder Volymer med dubbla protokoll i Azure NetApp Files en kombination av namnmappning och behörighetsformat för att leverera konsekvent dataåtkomst oavsett vilket protokoll som används. Det innebär att oavsett om du kommer åt en fil från NFS eller SMB kan du vara säker på att användare med åtkomst till dessa filer kan komma åt dem, och användare utan åtkomst till dessa filer kan inte komma åt dem.

När en NAS-klient begär åtkomst till en volym med dubbla protokoll i Azure NetApp Files utförs följande åtgärder för att ge slutanvändaren en transparent upplevelse.

1. En NAS-klient upprättar en NAS-anslutning till volymen med dubbla protokoll i Azure NetApp Files.
2. NAS-klienten skickar information om användaridentitet till Azure NetApp Files.
3. Azure NetApp Files kontrollerar att NAS-klienten/användaren har åtkomst till NAS-resursen.
4. Azure NetApp Files tar den användaren och mappar den till en giltig användare som finns i namntjänster.
5. Azure NetApp Files jämför användaren med filnivåbehörigheterna i systemet.
6. Filbehörigheter styr den åtkomstnivå som användaren har.

I följande bild user1 autentiserar du till Azure NetApp Files för att få åtkomst till en volym med dubbla protokoll via antingen SMB eller NFS. Azure NetApp Files hittar användarens Windows- och UNIX-information i Microsoft Entra-ID och mappar sedan användarens Windows- och UNIX-identiteter en-till-en. Användaren verifieras som user1 och får user1åtkomstautentiseringsuppgifter.

I det här fallet user1 får fullständig kontroll över sin egen mapp (user1-dir) och ingen åtkomst till HR mappen. Den här inställningen baseras på de säkerhets-ACL:er som anges i filsystemet och user1 får den förväntade åtkomsten oavsett vilket protokoll de kommer åt volymerna från.

Överväganden för volymer med dubbla protokoll i Azure NetApp Files

När du använder Azure NetApp Files-volymer för åtkomst till både SMB och NFS gäller vissa överväganden:

• Du behöver en Active Directory-anslutning. Därför måste du uppfylla kraven för Active Directory-anslutningar.
• Volymer med dubbla protokoll kräver en omvänd uppslagszon i DNS med en associerad pekarpost (PTR) för AD-värddatorn för att förhindra fel vid volymskapande med dubbla protokoll.
• Din NFS-klient och tillhörande paket (till exempel nfs-utils) bör vara uppdaterade för bästa säkerhet, tillförlitlighet och funktionsstöd.
• Volymer med dubbla protokoll stöder både Active Directory-domän Services (AD DS) och Microsoft Entra Domain Services.
• Volymer med dubbla protokoll stöder inte användning av LDAP via TLS med Microsoft Entra Domain Services. Se LDAP över TLS-överväganden.
• NFS-versioner som stöds är: NFSv3 och NFSv4.1.
• NFSv4.1-funktioner som parallella nätverksfilsystem (pNFS), sessionsstamning och hänvisningar stöds för närvarande inte med Azure NetApp Files-volymer.
• Utökade Windows-attribut set/get stöds inte i volymer med dubbla protokoll.
• Se ytterligare överväganden för att skapa en volym med dubbla protokoll för Azure NetApp Files.

Nästa steg

• Förstå säkerhetsstil och behörighetsbeteenden med dubbla protokoll i Azure NetApp Files
• Förstå användningen av LDAP med Azure NetApp Files
• Förstå NFS-gruppmedlemskap och kompletterande grupper
• Förstå fillåsning och låstyper i Azure NetApp Files
• Skapa en NFS-volym för Azure NetApp Files
• Skapa en SMB-volym för Azure NetApp Files
• Skapa en volym med dubbla protokoll för Azure NetApp Files
• Vanliga frågor och svar om Azure NetApp Files NFS
• Vanliga frågor och svar om Azure NetApp Files SMB