Azure NetApp Files için çift protokol birimi oluşturma

Azure NetApp Files, NFS (NFSv3 veya NFSv4.1), SMB3 veya çift protokol (NFSv3 ve SMB ya da NFSv4.1 ve SMB) kullanarak birim oluşturmayı destekler. Bu makalede LDAP kullanıcı eşleme desteğiyle çift protokol kullanan bir birimin nasıl oluşturulacağı gösterilmektedir.

NFS birimleri oluşturmak için bkz . NFS birimi oluşturma. SMB birimleri oluşturmak için bkz . SMB birimi oluşturma.

Başlamadan önce

• Zaten bir kapasite havuzu oluşturmuş olmanız gerekir.
  Bkz. Kapasite havuzu oluşturma.
• Bir alt ağın Azure NetApp Files'a temsilci olarak atanması gerekir.
  Bkz. Azure NetApp Files için bir alt ağı temsilci olarak belirleme.
• Gözatılamayan paylaşımlar ve erişim tabanlı numaralandırma özellikleri şu anda önizleme aşamasındadır. Her özelliği kullanabilmek için önce kaydetmeniz gerekir:

1. Özelliği kaydedin:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Özellik kaydının durumunu denetleyin:

   Not

   RegistrationState, olarak değiştirilmeden Registeredönce 60 dakikaya kadar durumunda olabilirRegistering. Devam etmeden önce durum Kayıtlı olana kadar bekleyin.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Ayrıca Azure CLI komutlarınıaz feature registeraz feature show kullanarak özelliği kaydedebilir ve kayıt durumunu görüntüleyebilirsiniz.

Dikkat edilmesi gereken noktalar

• Active Directory bağlantıları gereksinimleri'ni karşıladığınızdan emin olun.

• DNS sunucusunda bir geriye doğru arama bölgesi oluşturun ve ardından bu geriye doğru arama bölgesine AD konak makinesinin işaretçi (PTR) kaydını ekleyin. Aksi takdirde, çift protokollü birim oluşturma işlemi başarısız olur.

• Active Directory bağlantılarında LDAP ile yerel NFS kullanıcılarına izin ver seçeneği, yerel kullanıcılara zaman zaman ve geçici erişim sağlamayı amaçlar. Bu seçenek etkinleştirildiğinde LDAP sunucusundan kullanıcı kimlik doğrulaması ve arama çalışmayı durdurur ve Azure NetApp Files'ın desteklediği grup üyeliği sayısı 16 ile sınırlıdır. Bu nedenle, yerel kullanıcının LDAP özellikli birimlere erişmesi gerektiği durumlar dışında, bu seçeneği Active Directory bağlantılarında devre dışı bırakmalısınız. Bu durumda, birim için yerel kullanıcı erişimi gerekli olmadığında bu seçeneği devre dışı bırakmanız gerekir. Bkz. LDAP içeren yerel NFS kullanıcılarının yerel kullanıcı erişimini yönetme hakkında çift protokollü bir birime erişmesine izin verme.

• NFS istemcisinin güncel olduğundan ve işletim sistemi için en son güncelleştirmeleri çalıştırdığından emin olun.

• Çift protokollü birimler hem Active Directory Etki Alanı Hizmetleri (AD DS) hem de Microsoft Entra Domain Services'ı destekler.

• Çift protokollü birimler, Microsoft Entra Domain Services ile TLS üzerinden LDAP kullanımını desteklemez. TLS üzerinden LDAP, Active Directory Etki Alanı Hizmetleri (AD DS) ile desteklenir. Bkz. TLS üzerinde LDAP ile ilgili dikkat edilmesi gerekenler.

• Çift protokollü birim tarafından kullanılan NFS sürümü NFSv3 veya NFSv4.1 olabilir. Aşağıdaki noktalara dikkat edilmelidir:

  • İkili protokol, NFS istemcilerinden Windows ACLS genişletilmiş özniteliklerini set/get desteklemez.

  • NFS istemcileri NTFS güvenlik stili izinlerini değiştiremez ve Windows istemcileri UNIX stili çift protokol birimleri için izinleri değiştiremez.

    Aşağıdaki tabloda güvenlik stilleri ve bunların etkileri açıklanmaktadır:

    Güvenlik stili	İzinleri değiştirebilen istemciler	İstemcilerin kullanabileceği izinler	Etkili güvenlik stili elde etme	Dosyalara erişebilen istemciler
    Unix	NFS	NFSv3 veya NFSv4.1 mod bitleri	UNIX	NFS ve Windows
    Ntfs	Windows	NTFS ACL'leri	NTFS	NFS ve Windows

  • Ad eşlemesinin gerçekleşme yönü (Windows'un UNIX'e veya UNIX'in Windows'a) hangi protokolün kullanıldığına ve bir birime hangi güvenlik stilinin uygulandığına bağlıdır. Windows istemcisi her zaman Windows-UNIX ad eşlemesi gerektirir. Bir kullanıcının gözden geçirme izinlerine uygulanıp uygulanmadığı güvenlik stiline bağlıdır. Buna karşılık, bir NFS istemcisinin yalnızca NTFS güvenlik stili kullanılıyorsa UNIX-Windows ad eşlemesi kullanması gerekir.

    Aşağıdaki tabloda ad eşlemeleri ve güvenlik stilleri açıklanmaktadır:

    Protokol	Güvenlik stili	Ad eşleme yönü	Uygulanan izinler
    SMB	Unix	Windows'ta UNIX'e	UNIX (mod bitleri veya NFSv4.x ACL'leri)
    SMB	Ntfs	Windows'ta UNIX'e	NTFS ACL'leri (Paylaşıma erişen Windows SID tabanlı)
    NFSv3	Unix	Hiçbiri	UNIX (mod bitleri veya NFSv4.x ACL'leri) NFSv4.x ACL'leri bir NFSv4.x yönetim istemcisi kullanılarak uygulanabilir ve NFSv3 istemcileri tarafından kabul edilir.
    NFS	Ntfs	UNIX'i Windows'a	NTFS ACL'leri (eşlenmiş Windows kullanıcı SID'lerini temel alır)

• Genişletilmiş gruplarla LDAP özelliği, Unix güvenlik stiline sahip [NFSv3 ve SMB] ile [NFSv4.1 ve SMB] ikili protokollerini destekler. Daha fazla bilgi için bkz . NFS birim erişimi için genişletilmiş gruplarla AD DS LDAP'yi yapılandırma.

• Büyük topolojileriniz varsa ve Unix güvenlik stilini çift protokollü bir birimle veya genişletilmiş gruplarla LDAP ile kullanıyorsanız, Azure NetApp Files için Linux istemcilerinde "erişim reddedildi" hatalarından kaçınmak için Active Directory Bağlan ions sayfasındaki LDAP Arama Kapsamı seçeneğini kullanmanız gerekir. Daha fazla bilgi için bkz . NFS birim erişimi için genişletilmiş gruplarla AD DS LDAP'yi yapılandırma.

• Çift protokollü birim oluşturmak için sunucu kök CA sertifikasına ihtiyacınız yoktur. Yalnızca TLS üzerinden LDAP etkinleştirildiğinde gereklidir.

• Azure NetApp Files çift protokollerini ve ilgili konuları anlamak için Azure NetApp Files'da NAS protokollerini anlama bölümündeki İkili Protokoller bölümüne bakın.

Çift protokollü birim oluşturma

1. Kapasite Havuzları dikey penceresinden Birimler dikey penceresine tıklayın. Birim oluşturmak için + Birim ekle'ye tıklayın.

   

2. Birim Oluştur penceresinde Oluştur'a tıklayın ve Temel Bilgiler sekmesinin altında aşağıdaki alanlar için bilgi sağlayın:

   • Birim adı
     Oluşturmakta olduğunuz birim için ad belirtin.

     Birimlerle ilgili adlandırma kuralları için Bkz. Azure kaynakları için adlandırma kuralları ve kısıtlamaları. Ayrıca, birim adı olarak veya bin kullanamazsınızdefault.

   • Kapasite havuzu
     Birimin oluşturulmasını istediğiniz kapasite havuzunu belirtin.

   • Kota
     Birime ayrılmış mantıksal depolama miktarını belirtin.

     Kullanılabilir kota alanı, yeni birimi oluştururken kullanabildiğiniz, seçilen kapasite havuzundaki kullanılmamış alan miktarını gösterir. Yeni birimin boyutu kullanılabilir kotayı aşamaz.

   • Büyük Hacim 50 TiB ile 500 TiB arasındaki birimler için Evet'i seçin. Birim için 100 TiB'den fazla gerekli değilse Hayır'ı seçin.

     Önemli

     Büyük birimler şu anda önizleme aşamasındadır. Büyük hacimleri ilk kez kullanıyorsanız, önce özelliği kaydetmeniz ve bölgesel kapasite kotasında artış istemeniz gerekir.

     Birimlerin boyutu 50 TiB ile 500 TiB arasındaysa büyük olarak kabul edilir. Normal birimler büyük birimlere dönüştürülemez. Büyük birimler 50 TiB'den küçük bir değere yeniden boyutlandırılamaz. Büyük birimlerin gereksinimlerini ve dikkat edilmesi gerekenleri anlamak için Bkz. Büyük birimler için gereksinimler ve dikkat edilmesi gerekenler. Diğer sınırlar için bkz . Kaynak sınırları.

   • Aktarım hızı (MiB/sn)
     Birim el ile qos kapasite havuzunda oluşturulduysa, birim için istediğiniz aktarım hızını belirtin.

     Birim otomatik QoS kapasite havuzunda oluşturulduysa, bu alanda görüntülenen değerdir (kota x hizmet düzeyi aktarım hızı).

   • Seyrek Erişim, Seyrek Erişim Süresi ve Seyrek ErişimLi Erişim Alma İlkesini Etkinleştirme
     Bu alanlar Azure NetApp Files'da seyrek erişimli standart depolamayı yapılandırılır. Açıklamalar için bkz. Seyrek erişimli Azure NetApp Files standart depolama alanını yönetme.

   • Sanal ağ
     Birime erişmek istediğiniz Azure sanal ağını (VNet) belirtin.

     Belirttiğiniz sanal ağın Azure NetApp Files'a atanmış bir alt ağı olmalıdır. Azure NetApp Files'a yalnızca aynı sanal ağdan veya sanal ağ eşlemesi aracılığıyla birimle aynı bölgede bulunan bir sanal ağdan erişilebilir. Birime şirket içi ağınızdan Express Route üzerinden de erişebilirsiniz.

   • Alt ağ
     Birim için kullanmak istediğiniz alt ağı belirtin.
     Belirttiğiniz alt ağın Azure NetApp Files'a temsilci olarak atanması gerekir.

     Bir alt ağ temsilcisi seçmediyseniz, Birim Oluştur sayfasında Yeni oluştur'a tıklayabilirsiniz. Ardından Alt Ağ Oluştur sayfasında alt ağ bilgilerini belirtin ve Microsoft.NetApp/volumes öğesini seçerek Azure NetApp Files için alt ağa temsilci belirleyin. Her sanal ağda, Azure NetApp Files'a yalnızca bir alt ağ atanabilir.

     

   • Ağ özellikleri
     Desteklenen bölgelerde, birim için Temel veya Standart ağ özelliklerini kullanmak isteyip istemediğinizi belirtebilirsiniz. Ayrıntılar için bkz . Birim için ağ özelliklerini yapılandırma ve Azure NetApp Files ağ planlaması yönergeleri.

   • Şifreleme anahtarı kaynağı veya Customer Managed Keyöğesini seçebilirsinizMicrosoft Managed Key. Bu alanı kullanma hakkında bekleyen Azure NetApp Files birim şifrelemesi ve Azure NetApp Files çift şifrelemesi için müşteri tarafından yönetilen anahtarları yapılandırma konusuna bakın.

   • Kullanılabilirlik alanı
     Bu seçenek, yeni birimi belirttiğiniz mantıksal kullanılabilirlik alanına dağıtmanıza olanak tanır. Azure NetApp Files kaynaklarının bulunduğu bir kullanılabilirlik alanı seçin. Ayrıntılar için bkz . Kullanılabilirlik alanı birim yerleşimini yönetme.

   • Birime mevcut bir anlık görüntü ilkesi uygulamak istiyorsanız, gelişmiş bölümü göster'e tıklayarak genişletin, anlık görüntü yolunu gizlemek isteyip istemediğinizi belirtin ve açılır menüden bir anlık görüntü ilkesi seçin.

     Anlık görüntü ilkesi oluşturma hakkında bilgi için bkz . Anlık görüntü ilkelerini yönetme.

     

3. Protokol sekmesini seçin ve aşağıdaki eylemleri tamamlayın:

   • Birim için protokol türü olarak çift protokol'e tıklayın.

   • Kullanılacak Active Directory bağlantısını belirtin.

   • Benzersiz bir Birim Yolu belirtin. Bu yol, bağlama hedefleri oluşturduğunuzda kullanılır. Yol için gereksinimler şunlardır:

     • Kullanılabilirlik alanında olmayan birimler veya aynı kullanılabilirlik alanındaki birimler için birim yolu bölgedeki her alt ağ içinde benzersiz olmalıdır.
     • Kullanılabilirlik alanlarındaki birimler için birim yolu her kullanılabilirlik alanında benzersiz olmalıdır. Bu özellik şu anda önizleme aşamasındadır ve özelliği kaydetmenizi gerektirir. Daha fazla bilgi için bkz . Kullanılabilirlik alanı birim yerleşimini yönetme.
     • Alfabetik bir karakterle başlamalıdır.
     • Yalnızca harf, sayı veya tire (-) içerebilir.
     • Uzunluk 80 karakteri aşmamalıdır.

   • Çift protokol için kullanılacak sürümleri belirtin: NFSv4.1 ve SMB veya NFSv3 ve SMB.

   • Kullanılacak Güvenlik Stilini belirtin: NTFS (varsayılan) veya UNIX.

   • Çift protokollü birim için SMB3 protokol şifrelemesini etkinleştirmek istiyorsanız SMB3 Protokol Şifrelemesini Etkinleştir'i seçin.

     Bu özellik yalnızca uçuş içi SMB3 verileri için şifrelemeyi etkinleştirir. NFSv3 uçuş içi verilerini şifrelemez. SMB3 şifrelemesi kullanmayan SMB istemcileri bu birime erişemez. Bekleyen veriler bu ayardan bağımsız olarak şifrelenir. Daha fazla bilgi için bkz . SMB şifrelemesi .

   • Çift protokollü birim sürümleri için NFSv4.1 ve SMB'yi seçtiyseniz, birim için Kerberos şifrelemesini etkinleştirmek isteyip istemediğinizi belirtin.

     Kerberos için ek yapılandırmalar gereklidir. NFSv4.1 Kerberos şifrelemesini yapılandırma başlığındaki yönergeleri izleyin.

   • Erişim tabanlı numaralandırmayı etkinleştirmek istiyorsanız Erişim Tabanlı Numaralandırmayı Etkinleştir'i seçin.

     Bu özellik, erişim izni olmayan kullanıcılardan bir paylaşım altında oluşturulan dizinleri ve dosyaları gizler. Kullanıcılar paylaşımı görüntülemeye devam eder. Yalnızca çift protokollü birim NTFS güvenlik stilini kullanıyorsa erişim tabanlı numaralandırmayı etkinleştirebilirsiniz.

   • Göz atılamaz paylaşım özelliğini etkinleştirebilirsiniz .

     Bu özellik, Windows istemcisinin paylaşıma göz atmasını engeller. Komutunu çalıştırdığınızda net view \\server /all paylaşım Windows Dosya Tarayıcısı'nda veya paylaşım listesinde görünmez.

   Önemli

   Erişim tabanlı numaralandırma ve göz atılamayan paylaşım özellikleri şu anda önizleme aşamasındadır. Bunlardan birini ilk kez kullanıyorsanız, özellikleri kaydetmeye başlamadan önce'deki adımlara bakın.

   • Bağlama yolunun değişiklik izinlerini belirtmek için Unix İzinlerini gerektiği gibi özelleştirin. Bu ayar bağlama yolu altındaki dosyalara uygulanmaz. Varsayılan ayar 0770 değeridir. Bu varsayılan ayar sahipe ve gruba okuma, yazma ve yürütme izinleri verir, ancak diğer kullanıcılara izin verilmez.
     Unix İzinlerini ayarlamak için kayıt gereksinimi ve dikkat edilmesi gerekenler geçerlidir. Unix izinlerini yapılandırma ve sahipliği değiştirme modu başlığındaki yönergeleri izleyin.

   • İsteğe bağlı olarak, birim için dışarı aktarma ilkesini yapılandırın.

   

4. Birim ayrıntılarını gözden geçirmek için Gözden Geçir + Oluştur'a tıklayın. Ardından oluştur'a tıklayarak birimi oluşturun.

   Oluşturduğunuz birim Birimler sayfasında görünür.

   Birim, kapasite havuzundan aboneliği, kaynak grubunu ve konum özniteliklerini devralır. Birimin dağıtım durumunu izlemek için Bildirimler sekmesini kullanabilirsiniz.

LDAP içeren yerel NFS kullanıcılarının çift protokollü bir birime erişmesine izin verme

Active Directory bağlantılarında LDAP ile yerel NFS kullanıcılarına izin ver seçeneği, yerel NFS istemci kullanıcılarının Windows LDAP sunucusunda mevcut olmamasının, genişletilmiş gruplarla LDAP'nin etkinleştirildiği bir çift protokol birimine erişmesini sağlar.

Not

Bu seçeneği etkinleştirmeden önce dikkat edilmesi gereken noktaları anlamanız gerekir.
LDAP ile yerel NFS kullanıcılarına izin ver seçeneği, genişletilmiş gruplarla LDAP özelliğinin bir parçasıdır ve kayıt gerektirir. Ayrıntılar için bkz . NFS birim erişimi için genişletilmiş gruplarla AD DS LDAP'yi yapılandırma.

1. Active Directory bağlantıları'nı seçin. Mevcut bir Active Directory bağlantısında bağlam menüsüne (üç nokta…) tıklayın ve Düzenle'yi seçin.

2. Görüntülenen Active Directory ayarlarını düzenle penceresinde LDAP ile yerel NFS kullanıcılarına izin ver seçeneğini belirleyin.

   

LDAP POSIX Özniteliklerini Yönetme

ACTIVE DIRECTORY KULLANıCıLARı VE BILGISAYARLARı MMC ek bileşenini kullanarak UID, Giriş Dizini ve diğer değerler gibi POSIX özniteliklerini yönetebilirsiniz. Aşağıdaki örnekte Active Directory Öznitelik Düzenleyicisi gösterilmektedir:

LDAP kullanıcıları ve LDAP grupları için aşağıdaki öznitelikleri ayarlamanız gerekir:

• LDAP kullanıcıları için gerekli öznitelikler:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• LDAP grupları için gerekli öznitelikler:
  objectClass: group, posixGroup,
  gidNumber: 555
• Tüm kullanıcıların ve grupların sırasıyla benzersiz uidNumber ve gidNumberolması gerekir.

için objectClass belirtilen değerler ayrı girdilerdir. Örneğin, Çok Değerli Dize Düzenleyicisi'nde LDAP objectClass kullanıcıları için aşağıdaki gibi ayrı değerler (user ve posixAccount) belirtilebilir:

Microsoft Entra Domain Services, kuruluş AADDC Kullanıcıları OU'sunda oluşturulan kullanıcılar ve gruplarda objectClass POSIX özniteliğini değiştirmenize izin vermez. Geçici bir çözüm olarak, özel bir OU oluşturabilir ve özel OU'da kullanıcılar ve gruplar oluşturabilirsiniz.

Microsoft Entra kiracınızdaki kullanıcıları ve grupları AADDC Kullanıcıları OU'daki kullanıcılar ve gruplar ile eşitlerseniz, kullanıcıları ve grupları özel bir OU'ya taşıyamazsınız. Özel OU'da oluşturulan kullanıcılar ve gruplar AD kiracınızla eşitlenmez. Daha fazla bilgi için bkz . Microsoft Entra Domain Services Özel OU ile ilgili önemli noktalar ve sınırlamalar.

Access Active Directory Öznitelik Düzenleyicisi

Bir Windows sisteminde Active Directory Öznitelik Düzenleyicisi'ne aşağıdaki gibi erişebilirsiniz:

1. Başlat'a tıklayın, Windows Yönetici Istrative Tools'a gidin ve Active Directory Kullanıcıları ve Bilgisayarları penceresini açmak için Active Directory Kullanıcıları ve Bilgisayarları'a tıklayın.
2. Görüntülemek istediğiniz etki alanı adına tıklayın ve ardından içeriği genişletin.
3. Gelişmiş Öznitelik Düzenleyicisi'ni görüntülemek için, Active Directory Kullanıcıları Bilgisayarlar Görünümü menüsünde Gelişmiş Özellikler seçeneğini etkinleştirin.
   
4. Kullanıcı listesini görmek için sol bölmedeki Kullanıcılar'a çift tıklayın.
5. Öznitelik Düzenleyicisi sekmesini görmek için belirli bir kullanıcıya çift tıklayın.

NFS istemcisini yapılandırma

NFS istemcisini yapılandırmak için Azure NetApp Files için NFS istemcisi yapılandırma başlığındaki yönergeleri izleyin.

Sonraki adımlar

• Azure NetApp Files çift protokollü birimler için dikkat edilmesi gerekenler
• Azure NetApp Files için kullanılabilirlik alanı birim yerleşimini yönetme
• Büyük birimler için gereksinimler ve dikkat edilmesi gerekenler
• NFSv4.1 Kerberos şifrelemeyi yapılandırma
• Azure NetApp Files için NFS istemcisini yapılandırma
• Unix izinlerini yapılandırın ve sahiplik modunu değiştirin.
• Azure NetApp Files için TLS üzerinden AD DS LDAP'yi yapılandırma
• NFS birim erişimi için genişletilmiş gruplarla AD DS LDAP'yi yapılandırma
• Azure NetApp Files için birim hataları giderme
• Azure NetApp Files için uygulama dayanıklılığı SSS’leri