Azure NetApp Files'da NAS protokollerini anlama

NAS protokolleri, istemciler ve sunucular arasında konuşmaların nasıl gerçekleştiğidir. NFS ve SMB, Azure NetApp Files'da kullanılan NAS protokolleridir. Her biri kendi iletişim yöntemleri sunar, ancak köklerinde çoğunlukla aynı şekilde çalışırlar.

• Her ikisi de birçok farklı ağa bağlı istemciye tek bir veri kümesi sunar.
• Her ikisi de verileri paylaşmak için şifrelenmiş kimlik doğrulama yöntemlerini kullanabilir.
• Her ikisi de paylaşım ve dosya izinleri ile sınırlanabilir.
• Her ikisi de verileri uçuş içi olarak şifreleyebilir.
• Her ikisi de performansı paralel hale getirmek için birden çok bağlantı kullanabilir.

Ağ Dosya Sistemi (NFS)

NFS öncelikli olarak Red Hat, SUSE, Ubuntu, AIX, Solaris ve Apple OS gibi Linux/UNIX tabanlı istemcilerle kullanılır. Azure NetApp Files, RFC standartlarında çalışan tüm NFS istemcilerini destekler. Windows erişim için NFS de kullanabilir, ancak Açıklama İsteği (RFC) standartları kullanılarak çalışmaz.

NFS protokolleri için RFC standartları burada bulunabilir:

• RFC-1813: NFSv3
• RFC 8881: NFSv4.1
• RFC 7862: NFSv4.2

NFSv3

NFSv3, protokolün temel bir teklifidir ve aşağıdaki anahtar özniteliklere sahiptir:

• NFSv3 durum bilgisi yoktur, yani NFS sunucusu bağlantı durumlarını (kilitler dahil) izlemez.
• Kilitleme, Ağ Kilitleme Yöneticisi (NLM) kullanılarak NFS protokolünün dışında işlenir. Kilitler protokolle tümleştirilemediğinden, eski kilitler bazen oluşabilir.
• NFSv3 durum bilgisi olmadığından, NFSv3 ile performans bazı iş yüklerinde, özellikle OPEN, CLOSE, SETATTR ve GETATTR gibi yüksek meta veri işlemlerine sahip iş yüklerinde önemli ölçüde daha iyi olabilir. Sunucu ve istemcideki istekleri işlemek için yapılması gereken daha az genel iş olduğundan bu durum söz konusudur.
• NFSv3, yalnızca dosyanın sahibine, bir gruba ve diğer herkese okuma/yazma/yürütme izinlerinin bir birleşimi atanabileceği temel bir dosya izin modeli kullanır.
• NFSv3, NFSv4.x ACL'leri kullanabilir, ancak ACL'leri yapılandırmak ve yönetmek için bir NFSv4.x yönetim istemcisi gerekir. Azure NetApp Files standart olmayan POSIX taslak ACL'lerinin kullanımını desteklemez.
• NFSv3 ayrıca bağlantı noktası bulma, bağlama, kilitleme, durum izleme ve kotalar gibi düzenli işlemler için diğer yardımcı protokollerin kullanılmasını gerektirir. Her yardımcı protokol benzersiz bir ağ bağlantı noktası kullanır; bu da NFSv3 işlemlerinin iyi bilinen bağlantı noktası numaralarına sahip güvenlik duvarları aracılığıyla daha fazla açığa çıkarma gerektirdiği anlamına gelir.
• Azure NetApp Files, NFSv3 işlemleri için aşağıdaki bağlantı noktası numaralarını kullanır. Bu bağlantı noktası numaralarını değiştirmek mümkün değildir:
  • Portmapper (111)
  • Bağlama (635)
  • NFS (2049)
  • NLM (4045)
  • NSM (4046)
  • Rquota (4049)
• NFSv3, Kerberos gibi güvenlik geliştirmelerini kullanabilir, ancak Kerberos paketlerin yalnızca NFS bölümünü etkiler; yardımcı protokoller (NLM, portmapper, bağlama gibi) Kerberos konuşmasına dahil değildir.
  • Azure NetApp Files yalnızca NFSv4.1 Kerberos şifrelemeyi destekler
• NFSv3, kullanıcı ve grup kimlik doğrulaması için sayısal kimlikler kullanır. kullanıcı adı ve grup adları iletişim veya izinler için gerekli değildir; bu da kullanıcının kimlik sahtekarlığı yapmasını kolaylaştırabilir, ancak yapılandırma ve yönetim daha kolaydır.
• NFSv3, kullanıcı ve grup aramaları için LDAP kullanabilir.

NFSv3 hizmet sürümü desteği

NFSv3 şu anda Azure NetApp Files'da her yardımcı protokolün aşağıdaki sürümlerini destekler:

Service	Desteklenen sürümler
Portmapper	4, 3, 2
NFS	4, 3*
Bağlanılan	3, 2, 1
Nlockmgr	4
Durum	1
Rquotas	1

* NFS desteklenen sürümler, Azure NetApp Files birimi için seçilen sürüme göre görüntülenir.

Bu bilgiler aşağıdaki komutla Azure NetApp Files biriminizden toplanabilir:

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x , NFSv4.0, NFSv4.1 ve NFSv4.2 dahil olmak üzere NFSv4 altındaki tüm NFS sürümlerini veya ikincil sürümleri ifade eder. Azure NetApp Files şu anda yalnızca NFSv4.1'i desteklemektedir.

NFSv4.x aşağıdaki özelliklere sahiptir:

• NFSv4.x durum bilgisi olan bir protokoldür, yani istemci ve sunucu, kilit durumları da dahil olmak üzere NFS bağlantılarının durumlarını izler. NFS bağlaması, bağlantıları izlemek için "durum kimliği" olarak bilinen bir kavram kullanır.
• Kilitleme NFS protokolüyle tümleşiktir ve NFS kilitlerini izlemek için yardımcı kilitleme protokolleri gerektirmez. Bunun yerine, kilitler kira temelinde verilir. Bir istemci veya sunucu bağlantısı kesilirse belirli bir süre sonra sona erer ve bu nedenle kilidi diğer NFS istemcileriyle kullanmak üzere sisteme geri döndürür.
• NFSv4.x'in durum bilgisi, ağ kesintileri veya depolama yük devretmeleri sırasında ortaya çıkabilecek kesintiler ve belirli iş yükü türlerinde (yüksek meta veri iş yükleri gibi) performans yükü gibi bazı dezavantajlar içerir.
• NFSv4.x, NFSv3'e göre birçok önemli avantaj sağlar, örneğin:
  • Daha iyi kilitleme kavramları (kira tabanlı kilitleme)
  • Daha iyi güvenlik (daha az güvenlik duvarı bağlantı noktası gerekiyor, Kerberos ile standart tümleştirme, ayrıntılı erişim denetimleri)
  • Diğer özellikler
  • Bileşik NFS işlemleri (ağ sohbetlerini azaltmak için tek bir paket isteğinde birden çok komut)
  • Yalnızca TCP
• NFSv4.x, Windows NTFS izinlerine benzer daha sağlam bir dosya izin modeli kullanabilir. Bu ayrıntılı ACL'ler kullanıcılara veya gruplara uygulanabilir ve temel okuma/yazma/yürütme işlemlerinden daha geniş bir işlem aralığında izinlerin ayarlanmasına izin verebilir. NFSv4.x, NFSv3'in kullandığı standart POSIX modu bitlerini de kullanabilir.
• NFSv4.x yardımcı protokoller kullanmadığından, kerberos kullanımdayken NFS konuşmasının tamamına uygulanır.
• NFSv4.x, kullanıcı/grup adlarını ve etki alanı dizelerini kullanarak kullanıcı ve grup bilgilerini doğrular. Doğru kullanıcı ve grup kimlik doğrulamasının gerçekleşmesi için istemci ve sunucu etki alanı dizelerini kabul etmelidir. Etki alanı dizeleri eşleşmiyorsa, NFS kullanıcısı veya grubu NFS istemcisindeki /etc/idmapd.conf dosyasında belirtilen kullanıcıya sıkıştırılır (örneğin, hiç kimse).
• NFSv4.x varsayılan olarak etki alanı dizelerini kullanmayı kullansa da, AUTH_SYS kullanıldığında istemciyi ve sunucuyu NFSv3'te görülen klasik sayısal kimliklere geri dönecek şekilde yapılandırmak mümkündür.
• NFSv4.x, kullanıcı ve grup adı dizeleriyle derin tümleştirmeye sahiptir ve sunucu ile istemcilerin bu kullanıcılar ve gruplar üzerinde anlaşmaya varması gerekir. Bu nedenle, NFS istemcilerinde ve sunucularında LDAP gibi kullanıcı kimlik doğrulaması için bir ad hizmet sunucusu kullanmayı göz önünde bulundurun.

Azure NetApp Files'da NFS ile ilgili sık sorulan sorular için bkz . Azure NetApp Files NFS SSS.

Sunucu İleti Bloğu (SMB)

SMB öncelikli olarak NAS işlevselliği için Windows istemcileriyle birlikte kullanılır. Ancak AppleOS, RedHat gibi Linux tabanlı işletim sistemlerinde de kullanılabilir. Bu dağıtım, Samba adlı bir uygulama kullanılarak gerçekleştirilir. Azure NetApp Files, Windows ve macOS kullanarak SMB için resmi desteğe sahiptir. Linux işletim sistemlerinde SMB/Samba, Azure NetApp Files ile çalışabilir, ancak resmi destek yoktur.

Azure NetApp Files yalnızca SMB 2.1 ve SMB 3.1 sürümlerini destekler.

SMB aşağıdaki özelliklere sahiptir:

• SMB durum bilgisi olan bir protokoldür: İstemciler ve sunucu, daha iyi güvenlik ve kilitleme için SMB paylaşım bağlantıları için bir "durum" tutar.
• SMB'de kilitleme zorunlu kabul edilir. Bir dosya kilitlendiğinde, kilit serbest bırakılana kadar başka hiçbir istemci bu dosyaya yazamıyor.
• SMBv2.x ve üzeri işlemleri gerçekleştirmek için bileşik çağrıları kullanır.
• SMB tam Kerberos tümleştirmesini destekler. Windows istemcilerinin yapılandırılma şekliyle Kerberos genellikle son kullanıcıların haberi olmadan kullanımdadır.
• Kerberos kimlik doğrulaması için kullanılamadığında, Windows NT LAN Manager (NTLM) geri dönüş olarak kullanılabilir. Active Directory ortamında NTLM devre dışı bırakılırsa, Kerberos kullanemeyen kimlik doğrulama istekleri başarısız olur.
• SMBv3.0 ve üzeri, SMB paylaşımları için uçtan uca şifrelemeyi destekler.
• SMBv3.x , belirli iş yüklerindeki performans kazanımları için çok kanallı desteği sağlar.
• SMB, kimlik doğrulaması için kullanıcı ve grup adlarını (SID çevirisi aracılığıyla) kullanır. Kullanıcı ve grup bilgileri bir Active Directory etki alanı denetleyicisi tarafından sağlanır.
• Azure NetApp Files'daki SMB, dosya ve klasör izinleri için standart Windows Yeni Teknoloji Dosya Sistemi (NTFS) ACL'lerini kullanır.

Azure NetApp Files'daki SMB ile ilgili sık sorulan sorular için bkz . Azure NetApp Files SMB hakkında SSS.

İkili protokoller

Bazı kuruluşlar, aşağıdaki yaklaşımlardan yalnızca biri kullanılarak tüm verilere erişilen saf Windows veya saf UNIX ortamlarına (homojen) sahiptir:

• SMB ve NTFS dosya güvenliği
• NFS ve UNIX dosya güvenliği - mod bitleri veya NFSv4.x erişim denetim listeleri (ACL' ler)

Ancak, birçok sitenin hem Windows hem de UNIX istemcilerinden (heterojen) veri kümelerine erişmesini etkinleştirmesi gerekir. Bu gereksinimlere sahip ortamlar için Azure NetApp Files yerel çift protokolLÜ NAS desteğine sahiptir. Kullanıcının ağda kimliği doğrulandıktan ve hem uygun paylaşım ya da dışarı aktarma izinlerine hem de gerekli dosya düzeyinde izinlere sahip olduktan sonra, kullanıcı NFS kullanarak UNIX konaklarından veya SMB kullanarak Windows konaklarından verilere erişebilir.

Çift protokollü birimleri kullanmanın nedenleri

Azure NetApp Files ile çift protokollü birimlerin kullanılması birkaç farklı avantaj sağlar. Veri kümelerine farklı NAS protokolleri kullanan istemciler tarafından sorunsuz ve aynı anda erişilebildiğinde aşağıdaki avantajlar elde edilebilir:

• Genel depolama yöneticisi yönetim görevlerini azaltın.
• Birden çok istemci türünden NAS erişimi için yalnızca tek bir veri kopyasının depolanmasını gerektirir.
• Protokolden bağımsız NAS, depolama yöneticilerinin ACL stilini ve son kullanıcılara sunulan erişim denetimini denetlemesine olanak tanır.
• Nas ortamında kimlik yönetimi işlemlerini merkezi hale getir.

Çift protokollü ortamlarla ilgili sık dikkat edilmesi gerekenler

Çift protokollü NAS erişimi, esnekliği için birçok kuruluş tarafından tercih edilir. Ancak, protokoller arasında paylaşım kavramına özgü bir dizi önemli nokta oluşturan bir zorluk algısı vardır. Bu önemli noktalar şunlardır ancak bunlarla sınırlı değildir:

• Birden çok protokol, işletim sistemi ve depolama sistemi arasında bilgi gereksinimi.
• DNS, LDAP gibi ad hizmeti sunucularıyla ilgili çalışma bilgileri.

Buna ek olarak, dış faktörler devreye girer, örneğin:

• Birden çok departman ve BT grubuyla (Windows grupları ve UNIX grupları gibi) ilgilenme
• Şirket alımları
• Etki alanı birleştirmeleri
• Yeniden düzenleme

Bu noktalara rağmen, çift protokollü NAS kurulumu, yapılandırması ve erişimi basit ve sorunsuz bir şekilde herhangi bir ortamla tümleştirilebilir.

Azure NetApp Files çift protokol kullanımını nasıl basitleştirir?

Azure NetApp Files, başarılı çift protokollü NAS ortamları için gereken altyapıyı depolama ve kimlik yönetimi hizmetleri de dahil olmak üzere tek bir yönetim düzleminde birleştirir.

Çift protokollü yapılandırma basittir ve görevlerin çoğu bulut operatörlerine yönelik işlemleri basitleştirmek için Azure NetApp Files kaynak yönetimi çerçevesi tarafından korunuyor.

Azure NetApp Files ile bir Active Directory bağlantısı kurulduktan sonra, çift protokollü birimler, Active Directory veya LDAP hizmetlerindeki normal kullanıcı ve grup yönetimi dışında ek yapılandırma adımları olmadan Azure NetApp Files birimleriyle düzgün kullanıcı ve grup kimlik doğrulaması için gereken Windows ve UNIX kimlik yönetimini işlemek için bağlantıyı kullanabilir.

Azure NetApp Files, çift protokollü yapılandırmalar için ek depolama odaklı adımları kaldırarak Azure'a geçmek isteyen kuruluşlar için genel çift protokol dağıtımını kolaylaştırır.

Azure NetApp Files çift protokollü birimleri nasıl çalışır?

Azure NetApp Files çift protokollü birimler, kullanımdaki protokolden bağımsız olarak tutarlı veri erişimi sağlamak için ad eşleme ve izin stillerinin bir bileşimini üst düzeyde kullanır. Başka bir deyişle, NFS veya SMB'den bir dosyaya erişiyor olun, söz konusu dosyalara erişimi olan kullanıcıların dosyalara erişebildiğinden ve bu dosyalara erişimi olmayan kullanıcıların bunlara erişemeyeceğinden emin olabilirsiniz.

NAS istemcisi Azure NetApp Files'da çift protokollü bir birime erişim istediğinde, son kullanıcıya saydam bir deneyim sağlamak için aşağıdaki işlemler gerçekleşir.

1. NAS istemcisi, Azure NetApp Files çift protokol birimine bir NAS bağlantısı yapar.
2. NAS istemcisi kullanıcı kimliği bilgilerini Azure NetApp Files'a geçirir.
3. Azure NetApp Files, NAS istemcisinin/kullanıcısının NAS paylaşımına erişimi olduğundan emin olmak için denetler.
4. Azure NetApp Files bu kullanıcıyı alır ve ad hizmetlerinde bulunan geçerli bir kullanıcıyla eşler.
5. Azure NetApp Files, bu kullanıcıyı sistemdeki dosya düzeyi izinleriyle karşılaştırır.
6. Dosya izinleri, kullanıcının sahip olduğu erişim düzeyini denetler.

Aşağıdaki çizimde, user1 SMB veya NFS aracılığıyla çift protokollü bir birime erişmek için Azure NetApp Files'da kimlik doğrulaması yapar. Azure NetApp Files, Microsoft Entra Id'de kullanıcının Windows ve UNIX bilgilerini bulur ve ardından kullanıcının Windows ve UNIX kimliklerini bire bir eşler. Kullanıcı olarak user1 doğrulanır ve erişim kimlik bilgilerini alır user1.

Bu örnekte, user1 kendi klasörlerinde (user1-dir) tam denetime sahip olur ve klasöre HR erişim olmaz. Bu ayar, dosya sisteminde belirtilen güvenlik ACL'lerini temel alır ve user1 birimlere eriştiği protokolden bağımsız olarak beklenen erişimi alır.

Azure NetApp Files çift protokollü birimler için dikkat edilmesi gerekenler

SMB ve NFS'ye erişim için Azure NetApp Files birimlerini kullandığınızda dikkat edilmesi gereken bazı noktalar şunlardır:

• Active Directory bağlantısına ihtiyacınız var. Bu nedenle, Active Directory bağlantıları gereksinimleri'ni karşılamanız gerekir.
• çift protokollü birimler, çift protokollü birim oluşturma hatalarını önlemek için DNS'de AD konak makinesinin ilişkili işaretçisi (PTR) kaydına sahip bir geriye doğru arama bölgesi gerektirir.
• En iyi güvenlik, güvenilirlik ve özellik desteği için NFS istemciniz ve ilişkili paketleriniz (gibi nfs-utils) güncel olmalıdır.
• Çift protokollü birimler hem Active Directory Etki Alanı Hizmetleri (AD DS) hem de Microsoft Entra Domain Services'ı destekler.
• Çift protokollü birimler, Microsoft Entra Domain Services ile TLS üzerinden LDAP kullanımını desteklemez. Bkz. TLS üzerinde LDAP ile ilgili dikkat edilmesi gerekenler.
• Desteklenen NFS sürümleri şunlardır: NFSv3 ve NFSv4.1.
• Paralel ağ dosya sistemi (pNFS), oturum başlatma ve başvurular gibi NFSv4.1 özellikleri şu anda Azure NetApp Files birimlerinde desteklenmemektedir.
• Windows genişletilmiş öznitelikleri set/get çift protokollü birimlerde desteklenmez.
• Azure NetApp Files için çift protokollü birim oluşturmak için dikkat edilmesi gereken ek noktalara bakın.

Sonraki adımlar

• Azure NetApp Files'da çift protokollü güvenlik stilini ve izin davranışlarını anlama
• Azure NetApp Files ile LDAP kullanımını anlama
• NFS grup üyeliklerini ve ek grupları anlama
• Azure NetApp Files'da dosya kilitleme ve kilitleme türlerini anlama
• Azure NetApp Files için NFS birimi oluşturma
• Azure NetApp Files için SMB birimi oluşturma
• Azure NetApp Files için çift protokol birimi oluşturma
• Azure NetApp Files NFS SSS
• Azure NetApp Files SMB hakkında SSS