共用方式為

建立 Azure NetApp Files 的雙重通訊協定磁碟區

  • 發行項

Azure NetApp Files 支援建立使用 NFS (NFSv3 或 NFSv4.1)、SMB3 或雙重通訊協定 (NFSv3 和 SMB 或 NFSv4.1 和 SMB) 的磁碟區。 本文說明如何建立使用雙重通訊協定且支援 LDAP 使用者對應的磁碟區。

若要建立 NFS 磁碟區,請參閱建立 NFS 磁碟區。 若要建立 SMB 磁碟區,請參閱建立 SMB 磁碟區

開始之前

重要

如果您使用自定義 RBAC/IAM 角色,則必須設定 Microsoft.Network/virtualNetworks/subnets/read 許可權以建立或更新磁碟區。

如需許可權和確認許可權設定的詳細資訊,請參閱使用 Azure 入口網站 建立或更新 Azure 自定義角色。

  1. 註冊此功能:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration

  2. 檢查功能註冊的狀態:

    注意

    在變更為 Registered 之前,RegistrationState 可能處於最多 60 分鐘的 Registering 狀態。 等到狀態變為 Registered 之後再繼續。

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration

您也可以使用 Azure CLI 命令az feature registeraz feature show 來註冊此功能,並顯示註冊狀態。

考量

  • 確定您符合 Active Directory 連線的需求

  • 在 DNS 伺服器上建立反向對應區域,然後在該反向對應區域中新增 AD 主機機器的指標 (PTR) 記錄。 否則,雙重通訊協定磁碟區的建立將會失敗。

  • Active Directory 連線中的 [允許使用 LDAP 的本機 NFS 使用者] 選項打算向本機使用者提供偶爾且暫時的存取權。 啟用此選項時,LDAP 伺服器的使用者驗證和查閱會停止運作,且 Azure NetApp Files 將支援的群組成員資格數目會限制為 16 個。 因此,您應該在 Active Directory 連線上讓此選項保持 [已停用] 狀態,但本機使用者需要存取已啟用 LDAP 的磁碟區時除外。 在該情況下,您應該在本機使用者不再需要存取磁碟區時,立即停用此選項。 請參閱有關如何管理本機使用者存取權的允許使用 LDAP 的本機 NFS 使用者存取雙重通訊協定磁碟區

  • 請確定 NFS 用戶端為最新狀態,並執行作業系統的最新更新。

  • 雙重通訊協定磁碟區同時支援 Active Directory Domain Services (AD DS) 和 Microsoft Entra Domain Services。

  • 雙重通訊協定磁碟區不支援搭配 Microsoft Entra Domain Services 使用 LDAP over TLS。 支援搭配 Active Directory Domain Services (AD DS) 使用 LDAP over TLS。 請參閱 LDAP over TLS 考量

  • 雙重通訊協定磁碟區所使用的 NFS 版本可以是 NFSv3 或 NFSv4.1。 應注意下列考量:

    • 雙重通訊協定不支援來自 NFS 用戶端的 Windows ACLS 擴充屬性 set/get

    • NFS 用戶端無法變更 NTFS 安全性樣式的權限,Windows 用戶端無法變更 UNIX 樣式雙重通訊協定磁碟區的權限。

      下表說明安全性樣式及其效果:

      安全性樣式 可修改權限的用戶端 用戶端可以使用的權限 產生的有效安全性樣式 可存取檔案的用戶端
      Unix NFS NFSv3 或 NFSv4.1 模式位元 UNIX NFS 和 Windows
      Ntfs Windows NTFS ACL NTFS NFS 和 Windows

    • 名稱對應的發生方向 (Windows 到 UNIX 或 UNIX 到 Windows) 取決於所使用的通訊協定,以及套用至磁碟區的安全性樣式。 Windows 用戶端一律需要 Windows 到 UNIX 的名稱對應。 是否要將使用者套用至檢閱權限取決於安全性樣式。 相反地,如果正在使用的是 NTFS 安全性樣式,則 NFS 用戶端只需要使用 UNIX 到 Windows 的名稱對應。

      下表說明名稱對應和安全性樣式:

      通訊協定 安全性樣式 名稱對應方向 套用的權限
      SMB Unix Windows 到 UNIX UNIX (模式位元或 NFSv4.x ACL)
      SMB Ntfs Windows 到 UNIX NTFS ACL (以存取共用的 Windows SID 為基礎)
      NFSv3 Unix UNIX (模式位元或 NFSv4.x ACL)

      NFSv4.x ACL 可以使用 NFSv4.x 系統管理用戶端來套用,並由 NFSv3 用戶端接受。
      NFS Ntfs UNIX 到 Windows NTFS ACL (以對應的 Windows 使用者 SID 為基礎)

  • 具有擴充群組功能的 LDAP 支援具有 Unix 安全性樣式的 [NFSv3 和 SMB] 和 [NFSv4.1 和 SMB] 雙重通訊協定。 如需詳細資訊,請參閱為 AD DS LDAP 設定擴充群組以便能存取 NFS 磁碟區

  • 如果您有大型拓撲,而且使用 Unix 安全性樣式搭配雙重通訊協定磁碟區或具有擴充群組的 LDAP,您應該在 [Active Directory 連線] 頁面上使用 [LDAP 搜尋範圍] 選項,以避免適用於 Azure NetApp Files 的 Linux 用戶端上發生「拒絕存取」錯誤。 如需詳細資訊,請參閱為 AD DS LDAP 設定擴充群組以便能存取 NFS 磁碟區

  • 您不需要伺服器根 CA 憑證就能建立雙重通訊協定磁碟區。 只有在啟用 LDAP over TLS 時才需要此憑證。

  • 若要了解 Azure NetApp Files 雙重通訊協定和相關考量,請參閱了解 Azure NetApp Files 中的 NAS 通訊協定中的「雙重通訊協定」一節

建立雙重通訊協定磁碟區

  1. 從 [容量集區] 刀鋒視窗按一下 [磁碟區] 刀鋒視窗。 按一下 [+ 新增磁碟區] 以建立磁碟區。

    流覽至磁碟區

  2. 在 [建立磁碟區] 視窗中,按一下 [建立],並在 [基本] 索引標籤下提供下列欄位的資訊:

    • 磁碟區名稱
      為您要建立的磁碟區指定名稱。

      若要了解磁碟區的命名慣例,請參閱 Azure 資源的命名規則和限制。 此外,您也無法使用 defaultbin 作為磁碟區名稱。

    • 容量集區
      指定您想要在其中建立磁碟區的容量集區。

    • 配額
      指定配置給磁碟區的邏輯儲存體大小。

      [可用配額] 欄位會顯示所選容量集區中可用來建立新磁碟區的未使用空間量。 新磁碟區的大小不可超過可用配額。

    • 大型磁碟區

      一般磁碟區配額介於 100 GiB 和 100 TiB 之間。 大型磁碟區配額的範圍從 50 TiB 到大小 500 TiB。 如果您想要讓磁碟區配額落在大型磁碟區範圍中,請選取 [ ]。

      重要

      如果這是您第一次使用大型磁碟區,則必須先註冊此功能,並要求增加區域容量配額

      一般磁碟區無法轉換成大型磁碟區。 無法將大型磁碟區的大小調整為小於 50 TiB。 若要瞭解大型磁碟區的需求和考慮,請參閱 大型磁碟區的需求和考慮。 如需其他限制,請參閱 資源限制

    • 輸送量 (MiB/秒)
      如果磁碟區是在手動 QoS 容量集區中建立,請指定您想要用於磁碟區的輸送量。

      如果磁碟區是在自動 QoS 容量集區中建立,則此欄位中顯示的值是 (配額 x 服務等級輸送量)。

    • [啟用非經常性存取]、[非經常性存取期間] 和 [非經常性存取擷取原則]
      這些欄位會在 Azure NetApp Files 中設定具有非經常性存取的標準儲存體。 如需說明,請參閱管理具有非經常性存取的 Azure NetApp Files 標準儲存體

    • 虛擬網路
      指定您要從中存取磁碟區的 Azure 虛擬網路 (VNet)。

      您指定的 VNet 必須有委派給 Azure NetApp Files 的子網路。 Azure NetApp Files 只能從相同的 VNet 存取,或透過 VNet 對等互連與磁碟區位於相同區域的 VNet 存取。 您也可以透過 ExpressRoute 從內部部署網路存取磁碟區。

    • 子網路
      指定要用於磁碟區的子網路。
      您指定的子網路必須委派給 Azure NetApp Files。

      如果您尚未委派子網路,您可以按一下 [建立磁碟區] 頁面上的 [新建]。 在 [建立子網路] 頁面上指定子網路資訊,然後選取 [Microsoft.NetApp/volumes] 以委派 Azure NetApp Files 的子網路。 在每個 VNet 中,只有一個子網路可委派給 Azure NetApp Files。

      建立子網路

    • 網路功能
      在支援的區域中,您可以指定要為磁碟區使用 [基本] 或 [標準] 網路功能。 如需詳細資料,請參閱設定磁碟區的網路功能Azure NetApp Files 網路規劃指導方針

    • 加密金鑰來源 您可以選取 Microsoft Managed KeyCustomer Managed Key。 請參閱設定 Azure NetApp Files 磁碟區加密的客戶自控金鑰Azure NetApp Files 待用雙重加密,以了解如何使用此欄位。

    • 可用性區域
      此選項可讓您在指定的邏輯可用性區域中部署新的磁碟區。 選取 Azure NetApp Files 資源所在的可用性區域。 如需詳細資料,請參閱管理可用性區域磁碟區放置

    • 如果您想要將現有的快照集原則套用至磁碟區,請按一下 [顯示進階區段] 來加以展開、指定是否要隱藏快照集路徑,然後在下拉式功能表中選取快照集原則。

      如需建立快照集原則的相關資訊,請參閱管理快照集原則

      顯示進階選取範圍

  3. 選取 [ 通訊協定] 索引標籤,然後完成下列動作:

    • 選取 [雙重通訊協定] 作為磁碟區的通訊協定類型。

    • 指定要使用的 [Active Directory] 連線。

    • 指定唯一的 [磁碟區路徑]。 當您建立掛接目標時,便會使用此路徑。 路徑的需求如下:

      • 對於不在可用性區域或相同可用性區域中磁碟區中的磁碟區,磁碟區路徑在區域內的每個子網中必須是唯一的。
      • 對於可用性區域中的磁碟區,磁碟區路徑在每個可用性區域內都必須是唯一的。 這項功能目前為預覽狀態,需要您註冊此功能。 如需詳細資訊,請參閱 管理可用性區域磁碟區放置
      • 開頭必須為字母字元。
      • 只能包含字母、數字或虛線 (-)。
      • 長度不得超過 80 個字元。

    • 指定要用於雙重通訊協定的 [版本]:[NFSv4.1 和 SMB] 或 [NFSv3 和 SMB]

    • 指定要使用的 [安全性樣式]:NTFS (預設) 或 UNIX。

    • 如果您想要為雙重通訊協定磁碟區啟用 SMB3 通訊協定加密,請選取 [啟用 SMB3 通訊協定加密]

      這項功能只會針對傳輸中的 SMB3 資料啟用加密。 其不會加密 NFSv3 傳輸中資料。 未使用 SMB3 加密的 SMB 用戶端將無法存取此磁碟區。 不論此設定為何,系統都會將待用資料加密。 如需詳細資訊,請參閱 SMB 加密

    • 如果您針對雙重通訊協定磁碟區版本選取了 NFSv4.1 和 SMB,請指出是否要為磁碟區啟用 [Kerberos] 加密。

      Kerberos 需要進行其他設定。 請遵循設定 NFSv4.1 Kerberos 加密中的指示。

    • 若要啟用存取型列舉,請選取 [啟用存取型列舉]

      此功能將對沒有存取權限的使用者隱藏在共用下建立的目錄和檔案。 使用者仍然可以檢視共用。 只有在雙重通訊協定磁碟區使用 NTFS 安全性樣式時,才能啟用存取型列舉。

    • 您可以啟用不可瀏覽共用功能

      此功能可防止 Windows 用戶端瀏覽共用。 了解執行 net view \\server /all 命令時,共用不會顯示在 Windows 檔案瀏覽器或共用清單中。

    重要

    存取型列舉和不可瀏覽共用功能目前為預覽狀態。 如果這是您第一次使用任一種功能,請參閱開始之前中的步驟來註冊這些功能。

    • 視需要自訂 Unix 權限,以指定掛接路徑的變更權限。 該設定不適用掛接路徑下的檔案。 預設設定是 0770。 此預設設定會將讀取、寫入和執行權限授與擁有者和群組,但不會將權限授與其他使用者。
      註冊需求和考量適用設定 Unix 權限。 遵循設定 Unix 權限和變更所有權模式中的指示。

    • 選擇性地設定磁碟區的匯出原則

    指定雙重通訊協定

  4. 按一下 [檢閱 + 建立],以檢閱磁碟區詳細資料。 然後按一下 [建立] 以建立磁碟區。

    建立的磁碟區會出現在 [磁碟區] 頁面中。

    磁碟區會從其容量集區繼承訂用帳戶、資源群組、位置屬性。 若要監視磁碟區部署狀態,您可以使用 [通知] 索引標籤。

允許使用 LDAP 的本機 NFS 使用者存取雙重通訊協定磁碟區

Active Directory 連線中的 [允許使用 LDAP 的本機 NFS 使用者] 選項可讓不在 Windows LDAP 伺服器上的本機 NFS 用戶端使用者,存取具有 LDAP 且已啟用擴充群組的雙重通訊協定磁碟區。

注意

在啟用此選項之前,請先了解考量
[允許使用 LDAP 的本機 NFS 使用者] 選項是具有擴充群組的 LDAP 功能的一部分,而且需要註冊。 如需詳細資訊,請參閱為 AD DS LDAP 設定擴充群組以便能存取 NFS 磁碟區

  1. 選取 [Active Directory 連線]。 在現有的 Active Directory 連線上,按一下捷徑功能表 (三個點 ),然後選取 [編輯]

  2. 在出現的 [編輯 Active Directory 設定] 視窗中,選取 [允許使用 LDAP 的本機 NFS 使用者] 選項。

    顯示 [允許本機 NFS 使用者使用LDAP] 選項的螢幕快照

管理 LDAP POSIX 屬性

您可以使用 Active Directory 使用者和電腦 MMC 嵌入式管理單元來管理 POSIX 屬性,例如 UID、主目錄和其他值。 下列範例顯示 Active Directory 屬性編輯器:

Active Directory 屬性編輯器

您必須為 LDAP 使用者和 LDAP 群組設定下列屬性:

  • LDAP 使用者的必要屬性:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • LDAP 群組的必要屬性:
    objectClass: group, posixGroup,
    gidNumber: 555
  • 所有使用者和群組必須分別具有唯一的 uidNumbergidNumber

objectClass 指定的值是不同項目。 例如,在 [多重值字串編輯器] 中,objectClass 會針對 LDAP 使用者指定不同的值 (userposixAccount),如下所示:

多重值字串編輯器的螢幕快照,其中顯示為物件類別指定的多個值。

Microsoft Entra Domain Services 不允許您修改組織 AADDC 使用者 OU 中建立之使用者和群組的 objectClass POSIX 屬性。 因應措施是,您可以建立自訂 OU,並在自訂 OU 中建立使用者和群組。

若要將 Microsoft Entra 租用戶中的使用者和群組同步處理至 AADDC 使用者 OU 中的使用者和群組,就無法將使用者和群組移至自訂 OU。 在自訂 OU 中建立的使用者和群組將不會同步處理至您的 AD 租用戶。 如需詳細資訊,請參閱 Microsoft Entra Domain Services 自訂 OU 考量和限制

存取 Active Directory 屬性編輯器

在 Windows 系統上,您可以存取 Active Directory 屬性編輯器,如下所示:

  1. 按一下 [開始],瀏覽至 [Windows 系統管理工具],然後按一下 [Active Directory 使用者和電腦],以開啟 [Active Directory 使用者和電腦] 視窗。
  2. 按一下您想要檢視的網域名稱,然後展開內容。
  3. 若要顯示進階屬性編輯器,請在 Active Directory 使用者電腦的 [檢視] 功能表中啟用 [進階功能] 選項。
    顯示如何存取 [屬性編輯器進階功能] 功能表的螢幕快照。
  4. 按兩下左窗格中的 [使用者] 以查看使用者清單。
  5. 按兩下特定使用者以查看其 [屬性編輯器] 索引標籤。

設定 NFS 用戶端

請遵循設定 Azure NetApp Files 的 NFS 用戶端中的指示來設定 NFS 用戶端。

下一步