Dela via


Skapa en volym med dubbla protokoll för Azure NetApp Files

Azure NetApp Files har stöd för att skapa volymer med NFS (NFSv3 eller NFSv4.1), SMB3 eller dubbla protokoll (NFSv3 och SMB eller NFSv4.1 och SMB). Den här artikeln visar hur du skapar en volym som använder dubbla protokoll med stöd för LDAP-användarmappning.

Information om hur du skapar NFS-volymer finns i Skapa en NFS-volym. Information om hur du skapar SMB-volymer finns i Skapa en SMB-volym.

Innan du börjar

Viktigt!

Om du använder en anpassad RBAC/IAM-roll måste du ha behörigheten Microsoft.Network/virtualNetworks/subnets/read konfigurerad för att skapa eller uppdatera en volym.

Mer information om behörigheter och bekräfta behörighetskonfiguration finns i Skapa eller uppdatera anpassade Azure-roller med hjälp av Azure Portal.

  • Du måste redan ha skapat en kapacitetspool.
    Se Skapa en kapacitetspool.
  • Ett undernät måste delegeras till Azure NetApp Files.
    Se Delegera ett undernät till Azure NetApp Files.
  • Möjligheten att ange en volymkvot mellan 50 och 100 GiB är för närvarande i förhandsversion. Du måste registrera dig för funktionen innan du kan skapa en 50 GiB-volym.
    1. Registrera funktionen:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
      
    2. Kontrollera status för funktionsregistreringen:

      Kommentar

      RegistrationState kan vara i tillståndet i Registering upp till 60 minuter innan du ändrar till Registered. Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
      

      Du kan också använda Azure CLI-kommandon az feature register och az feature show registrera funktionen och visa registreringsstatusen.

Att tänka på

  • Se till att du uppfyller kraven för Active Directory-anslutningar.

  • Skapa en zon för omvänd sökning på DNS-servern och lägg sedan till en pekarpost (PTR) för AD-värddatorn i den omvända uppslagszonen. Annars misslyckas volymskapandet med dubbla protokoll.

  • Alternativet Tillåt lokala NFS-användare med LDAP i Active Directory-anslutningar avser att ge tillfällig och tillfällig åtkomst till lokala användare. När det här alternativet är aktiverat slutar användarautentisering och sökning från LDAP-servern att fungera, och antalet gruppmedlemskap som Stöds av Azure NetApp Files är begränsat till 16. Därför bör du ha det här alternativet inaktiverat för Active Directory-anslutningar, förutom när en lokal användare behöver komma åt LDAP-aktiverade volymer. I så fall bör du inaktivera det här alternativet så snart lokal användaråtkomst inte längre krävs för volymen. Se Tillåt lokala NFS-användare med LDAP att komma åt en volym med dubbla protokoll om hantering av lokal användaråtkomst.

  • Kontrollera att NFS-klienten är uppdaterad och att de senaste uppdateringarna för operativsystemet används.

  • Volymer med dubbla protokoll stöder både Active Directory-domän Services (AD DS) och Microsoft Entra Domain Services.

  • Volymer med dubbla protokoll stöder inte användning av LDAP via TLS med Microsoft Entra Domain Services. LDAP över TLS stöds med Active Directory-domän Services (AD DS). Se LDAP över TLS-överväganden.

  • NFS-versionen som används av en volym med dubbla protokoll kan vara NFSv3 eller NFSv4.1. Följande gäller:

    • Dubbla protokoll stöder inte utökade Windows ACLS-attribut set/get från NFS-klienter.

    • NFS-klienter kan inte ändra behörigheter för NTFS-säkerhetsstilen och Windows-klienter kan inte ändra behörigheter för UNIX-volymer med dubbla protokoll.

      I följande tabell beskrivs säkerhetsformaten och deras effekter:

      Säkerhetsformat Klienter som kan ändra behörigheter Behörigheter som klienter kan använda Resulterande effektiv säkerhetsstil Klienter som har åtkomst till filer
      Unix NFS NFSv3- eller NFSv4.1-lägesbitar UNIX NFS och Windows
      Ntfs Windows ACL:er för NTFS NTFS NFS och Windows
    • I vilken riktning namnmappningen sker (Windows till UNIX eller UNIX till Windows) beror på vilket protokoll som används och vilket säkerhetsformat som tillämpas på en volym. En Windows-klient kräver alltid en Windows-till-UNIX-namnmappning. Om en användare tillämpas för att granska behörigheter beror på säkerhetsformatet. Omvänt behöver en NFS-klient bara använda en UNIX-till-Windows-namnmappning om NTFS-säkerhetsformatet används.

      I följande tabell beskrivs namnmappningar och säkerhetsformat:

      Protokoll Säkerhetsformat Namnmappningsriktning Behörigheter som tillämpas
      SMB Unix Windows till UNIX UNIX (lägesbitar eller NFSv4.x-ACL:er)
      SMB Ntfs Windows till UNIX ACL:er för NTFS (baserat på Windows SID-åtkomstresurs)
      NFSv3 Unix Ingen UNIX (lägesbitar eller NFSv4.x-ACL:er)

      NFSv4.x-ACL:er kan tillämpas med hjälp av en administrativ NFSv4.x-klient och respekteras av NFSv3-klienter.
      NFS Ntfs UNIX till Windows NTFS-ACL:er (baserat på mappat Windows-användar-SID)
  • Funktionen LDAP med utökade grupper stöder det dubbla protokollet för både [NFSv3 och SMB] och [NFSv4.1 och SMB] med Unix-säkerhetsstilen. Mer information finns i Konfigurera AD DS LDAP med utökade grupper för NFS-volymåtkomst .

  • Om du har stora topologier och använder Unix-säkerhetsformatet med en volym med dubbla protokoll eller LDAP med utökade grupper bör du använda alternativet LDAP-sökomfång på sidan Active Directory-anslutningar för att undvika "åtkomst nekad" fel på Linux-klienter för Azure NetApp Files. Mer information finns i Konfigurera AD DS LDAP med utökade grupper för NFS-volymåtkomst .

  • Du behöver inte ett certifikat för serverrotcertifikatutfärdare för att skapa en volym med dubbla protokoll. Det krävs bara om LDAP över TLS är aktiverat.

  • Information om dubbla protokoll och relaterade överväganden för Azure NetApp Files finns i avsnittet Dubbla protokoll i Förstå NAS-protokoll i Azure NetApp Files.

Skapa en volym med dubbla protokoll

  1. Välj bladet Volymer på bladet Kapacitetspooler. Välj + Lägg till volym för att skapa en volym.

    Gå till Volymer

  2. I fönstret Skapa en volym väljer du Skapa och anger information för följande fält under fliken Grundläggande:

    • Volymnamn
      Ange namnet på den volym du skapar.

      Se Namngivningsregler och begränsningar för Azure-resurser för namngivningskonventioner för volymer. Dessutom kan du inte använda default eller bin som volymnamn.

    • Kapacitetspool
      Ange den kapacitetspool där du vill att volymen ska skapas.

    • Kvot
      Ange mängden logisk lagring som tilldelas till volymen.

      Fältet Tillgänglig kvot visar mängden outnyttjat utrymme i kapacitetspoolen, som du kan använda för att skapa en ny volym. Storleken på den nya volymen får inte överskrida den tillgängliga kvoten.

    • Stor volym

      Vanliga volymer är mellan 50 GiB och 100 TiB. Stora volymkvoter varierar från 50 TiB till 1 PiB i storlek. Om du vill att volymkvoten ska minska i det stora volymintervallet väljer du Ja. Volymkvoter anges i GiB.

      Viktigt!

      Om det här är första gången du använder stora volymer måste du först registrera funktionen och begära en ökning av den regionala kapacitetskvoten.

      Det går inte att konvertera vanliga volymer till stora volymer. Stora volymer kan inte ändras till mindre än 50 TiB. Information om kraven och övervägandena för stora volymer finns i Krav och överväganden för stora volymer. Andra gränser finns i Resursgränser.

    • Dataflöde (MiB/S)
      Om volymen skapas i en manuell QoS-kapacitetspool anger du önskat dataflöde för volymen.

      Om volymen skapas i en automatisk QoS-kapacitetspool är värdet som visas i det här fältet (kvot x dataflöde på tjänstnivå).

    • Aktivera lågfrekvent åtkomst, lågfrekvent period och hämtningsprincip för lågfrekvent åtkomst
      De här fälten konfigurerar Azure NetApp Files-lagring med låg åtkomst. Beskrivningar finns i Hantera Azure NetApp Files-lagring med lågfrekvent åtkomst.

    • Virtuellt nätverk
      Ange det virtuella Azure-nätverk (VNet) som du vill komma åt volymen från.

      Det virtuella nätverk som du anger måste ha ett undernät delegerat till Azure NetApp Files. Azure NetApp Files kan endast nås från samma virtuella nätverk eller från ett virtuellt nätverk som finns i samma region som volymen via VNet-peering. Du kan också komma åt volymen från ditt lokala nätverk via Express Route.

    • Undernät
      Ange det undernät som du vill använda för volymen.
      Det undernät som du anger måste delegeras till Azure NetApp Files.

      Om du inte har delegerat ett undernät kan du välja Skapa nytt på sidan Skapa en volym. På sidan Skapa undernät anger du sedan undernätsinformationen och väljer Microsoft.NetApp/volumes för att delegera undernätet för Azure NetApp Files. I varje virtuellt nätverk kan endast ett undernät delegeras till Azure NetApp Files.

      Skapa undernät

    • Nätverksfunktioner
      I regioner som stöds kan du ange om du vill använda Grundläggande eller Standard-nätverksfunktioner för volymen. Mer information finns i Konfigurera nätverksfunktioner för en volym och riktlinjer för Nätverksplanering för Azure NetApp Files.

    • Krypteringsnyckelkälla Du kan välja Microsoft Managed Key eller Customer Managed Key. Se Konfigurera kundhanterade nycklar för Azure NetApp Files-volymkryptering och Dubbelkryptering av Azure NetApp Files i vila om hur du använder det här fältet.

    • Tillgänglighetszon
      Med det här alternativet kan du distribuera den nya volymen i den logiska tillgänglighetszon som du anger. Välj en tillgänglighetszon där Azure NetApp Files-resurser finns. Mer information finns i Hantera volymplacering i tillgänglighetszonen.

    • Om du vill använda en befintlig princip för ögonblicksbilder på volymen väljer du Visa avancerat avsnitt för att expandera den, anger om du vill dölja sökvägen till ögonblicksbilden och väljer en princip för ögonblicksbilder på den nedrullningsfria menyn.

      Information om hur du skapar en princip för ögonblicksbilder finns i Hantera principer för ögonblicksbilder.

      Visa avancerad markering

  3. Välj fliken Protokoll och slutför sedan följande åtgärder:

    • Välj Dubbla protokoll som protokolltyp för volymen.

    • Ange den Active Directory-anslutning som ska användas.

    • Ange en unik volymsökväg. Den här sökvägen används när du skapar monteringsmål. Kraven för sökvägen är följande:

      • För volymer som inte finns i en tillgänglighetszon eller volymer i samma tillgänglighetszon måste volymsökvägen vara unik inom varje undernät i regionen.
      • För volymer i tillgänglighetszoner måste volymsökvägen vara unik inom varje tillgänglighetszon. Den här funktionen är för närvarande i förhandsversion och kräver att du registrerar funktionen. Mer information finns i Hantera volymplacering i tillgänglighetszonen.
      • Den måste börja med ett alfabetiskt tecken.
      • Den kan bara innehålla bokstäver, siffror eller bindestreck (-).
      • Längden får inte överstiga 80 tecken.
    • Ange vilka versioner som ska användas för dubbla protokoll: NFSv4.1 och SMB, eller NFSv3 och SMB.

    • Ange det säkerhetsformat som ska användas: NTFS (standard) eller UNIX.

    • Om du vill aktivera SMB3-protokollkryptering för volymen med dubbla protokoll väljer du Aktivera SMB3-protokollkryptering.

      Den här funktionen aktiverar kryptering endast för SMB3-data under flygning. Den krypterar inte NFSv3-data under flygning. SMB-klienter som inte använder SMB3-kryptering kan inte komma åt den här volymen. Vilande data krypteras oavsett den här inställningen. Mer information finns i SMB-kryptering .

    • Om du har valt NFSv4.1 och SMB för volymversionerna med dubbla protokoll anger du om du vill aktivera Kerberos-kryptering för volymen.

      Ytterligare konfigurationer krävs för Kerberos. Följ anvisningarna i Konfigurera NFSv4.1 Kerberos-kryptering.

    • Om du vill aktivera åtkomstbaserad uppräkning väljer du Aktivera åtkomstbaserad uppräkning.

      Åtkomstbaserad uppräkning döljer kataloger och filer som skapats under en resurs från användare som inte har åtkomstbehörighet. Du kan fortfarande visa resursen. Du kan bara aktivera åtkomstbaserad uppräkning om volymen med dubbla protokoll använder NTFS-säkerhetsformat.

    • Du kan aktivera funktionen för icke-browsable-share.

      Den här funktionen hindrar Windows-klienten från att bläddra i resursen. Resursen visas inte i Windows-filläsaren eller i listan med resurser när du kör net view \\server /all kommandot.

    • Anpassa Unix-behörigheter efter behov för att ange ändringsbehörigheter för monteringssökvägen. Inställningen gäller inte för filerna under monteringssökvägen. Standardinställningen är 0770. Den här standardinställningen ger läs-, skriv- och körningsbehörigheter till ägaren och gruppen, men inga behörigheter beviljas andra användare.
      Registreringskrav och överväganden gäller för att ange Unix-behörigheter. Följ anvisningarna i Konfigurera Unix-behörigheter och ändra ägarskapsläge.

    • Du kan också konfigurera exportprincipen för volymen.

    Ange dubbla protokoll

  4. Välj Granska + Skapa för att granska volyminformationen. Välj sedan Skapa för att skapa volymen.

    Volymen som du skapade visas på sidan Volymer.

    En volym ärver prenumeration, resursgrupp och platsattribut från kapacitetspoolen. Du kan övervaka volymdistributionsstatusen via fliken Meddelanden.

Tillåt lokala NFS-användare med LDAP att få åtkomst till en volym med dubbla protokoll

Alternativet Tillåt lokala NFS-användare med LDAP i Active Directory-anslutningar gör det möjligt för lokala NFS-klientanvändare som inte finns på Windows LDAP-servern att få åtkomst till en volym med dubbla protokoll som har LDAP med utökade grupper aktiverade.

Kommentar

Innan du aktiverar det här alternativet bör du förstå övervägandena.
Alternativet Tillåt lokala NFS-användare med LDAP är en del av funktionen LDAP med utökade grupper och kräver registrering. Mer information finns i Konfigurera AD DS LDAP med utökade grupper för NFS-volymåtkomst .

  1. Välj Active Directory-anslutningar. På en befintlig Active Directory-anslutning väljer du snabbmenyn (de tre punkterna ) och sedan Redigera.

  2. I fönstret Redigera Active Directory-inställningar som visas väljer du alternativet Tillåt lokala NFS-användare med LDAP .

    Skärmbild som visar alternativet Tillåt lokala NFS-användare med LDAP

Hantera LDAP POSIX-attribut

Du kan hantera POSIX-attribut som UID, Home Directory och andra värden med hjälp av snapin-modulen Active Directory - användare och datorer MMC. I följande exempel visas Active Directory-attributredigeraren:

Active Directory-attributredigeraren

Du måste ange följande attribut för LDAP-användare och LDAP-grupper:

  • Obligatoriska attribut för LDAP-användare:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Obligatoriska attribut för LDAP-grupper:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Alla användare och grupper måste ha unika uidNumber gidNumberrespektive .

De värden som anges för objectClass är separata poster. I Strängredigeraren objectClass med flera värden skulle till exempel separata värden (user och posixAccount) anges enligt följande för LDAP-användare:

Skärmbild av Flervärdessträngsredigeraren som visar flera värden som angetts för objektklass.

Med Microsoft Entra Domain Services kan du inte ändra posix-attributet objectClass för användare och grupper som skapats i organisationsenheten AADDC-användare. Som en lösning kan du skapa en anpassad organisationsenhet och skapa användare och grupper i den anpassade organisationsenheten.

Om du synkroniserar användare och grupper i din Microsoft Entra-innehavare till användare och grupper i organisationsenheten för AADDC-användare kan du inte flytta användare och grupper till en anpassad organisationsenhet. Användare och grupper som skapats i den anpassade organisationsenheten synkroniseras inte med din AD-innehavarorganisation. Mer information finns i Överväganden och begränsningar för anpassad organisationsenhet för Microsoft Entra Domain Services.

Åtkomst till Active Directory-attributredigeraren

I ett Windows-system kan du komma åt Active Directory-attributredigeraren på följande sätt:

  1. Välj Start och gå till Administrationsverktyg för Windows. Välj sedan Active Directory - användare och datorer för att öppna fönstret Active Directory - användare och datorer.
  2. Välj det domännamn som du vill visa och expandera sedan innehållet.
  3. Om du vill visa den avancerade attributredigeraren aktiverar du alternativet Avancerade funktioner på menyn Visa active directory-användares datorer.
    Skärmbild som visar hur du kommer åt menyn Avancerade funktioner för attributredigeraren.
  4. Välj Användare i det vänstra fönstret för att se listan över användare.
  5. Välj en viss användare för att se fliken Attributredigerare .

Konfigurera NFS-klienten

Följ anvisningarna i Konfigurera en NFS-klient för Azure NetApp Files för att konfigurera NFS-klienten.

Nästa steg