建立 Azure NetApp Files 的雙重通訊協定磁碟區

  • 發行項

Azure NetApp Files 支援使用 NFS(NFSv3 或 NFSv4.1)、SMB3 或雙重通訊協定建立磁碟區(NFSv3 和 SMB,或 NFSv4.1 和 SMB)。 本文說明如何建立使用雙重通訊協定的磁碟區,以支援LDAP用戶對應。

若要建立 NFS 磁碟區,請參閱 建立 NFS 磁碟區。 若要建立SMB磁碟區,請參閱 建立SMB磁碟區

開始之前

  1. 註冊功能:

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration

  2. 檢查功能註冊的狀態:

    注意

    RegistrationState 在變更Registered為 之前,最多可能處於 Registering 60 分鐘的狀態。 等到狀態為 [已註冊] 后再繼續。

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration

您也可以使用 Azure CLI 命令az feature register 來註冊功能, az feature show 並顯示註冊狀態。

考量

  • 請確定您符合 Active Directory 連線的需求。

  • 在 DNS 伺服器上建立反向對應區域,然後在該反向對應區域中新增 AD 主電腦的指標 (PTR) 記錄。 否則,建立雙重通訊協定磁碟區將會失敗。

  • Active Directory 連線中的 [允許具有LDAP 的本機 NFS 使用者] 選項,想要提供本機用戶的偶爾和暫時存取權。 啟用此選項時,LDAP 伺服器的使用者驗證和查閱會停止運作,且 Azure NetApp Files 將支援的群組成員資格數目限制為 16。 因此,您應該在 Active Directory 連線上保留此選項 停用,但本機使用者需要存取已啟用 LDAP 的磁碟區時除外。 在此情況下,您應該在磁碟區不再需要本機使用者存取權時立即停用此選項。 請參閱 允許具有LDAP的本機 NFS 使用者存取關於管理本機使用者存取的雙重通訊協定磁碟區

  • 請確定 NFS 用戶端為最新狀態,並執行作業系統的最新更新。

  • 雙通訊協定磁碟區同時支援 Active Directory 網域服務 (AD DS) 和 Microsoft Entra Domain Services。

  • 雙重通訊協定磁碟區不支援使用LDAP over TLS搭配 Microsoft Entra Domain Services。 Active Directory 網域服務 支援LDAP over TLS(AD DS)。 請參閱 LDAP over TLS考慮

  • 雙通訊協定磁碟區所使用的NFS版本可以是NFSv3或 NFSv4.1。 應注意下列考量:

    • 雙重通訊協議不支援來自 NFS 用戶端的 Windows ACLS 擴充屬性 set/get

    • NFS 用戶端無法變更 NTFS 安全性樣式的許可權,而 Windows 用戶端無法變更 UNIX 樣式雙通訊協定磁碟區的許可權。

      下表描述安全性樣式及其效果:

      安全性樣式 可修改許可權的用戶端 用戶端可以使用的許可權 產生有效的安全性樣式 可存取檔案的用戶端
      Unix NFS NFSv3 或 NFSv4.1 模式位 UNIX NFS 和 Windows
      Ntfs Windows NTFS ACL NTFS NFS 和 Windows

    • 名稱對應發生的方向(Windows 到 UNIX 或 UNIX 到 Windows)取決於使用哪個通訊協定,以及套用至磁碟區的安全性樣式。 Windows 用戶端一律需要 Windows 對 UNIX 名稱對應。 使用者是否套用至檢閱許可權取決於安全性樣式。 相反地,如果NTFS安全性樣式正在使用中,NFS用戶端只需要使用UNIX對Windows名稱對應。

      下表描述名稱對應和安全性樣式:

      通訊協定 安全性樣式 名稱對應方向 已套用的許可權
      SMB Unix Windows to UNIX UNIX (模式位或 NFSv4.x ACL)
      SMB Ntfs Windows to UNIX NTFS ACL (以 Windows SID 存取共用為基礎)
      NFSv3 Unix UNIX (模式位或 NFSv4.x ACL)

      您可以使用 NFSv4.x 系統管理用戶端來套用 NFSv4.x ACL,並由 NFSv3 用戶端接受。
      NFS Ntfs UNIX 至 Windows NTFS ACL (根據對應的 Windows 使用者 SID)

  • 具有擴充群組功能的LDAP支援具有Unix安全性樣式的 [NFSv3 和 SMB] 和 [NFSv4.1 和 SMB] 的雙重通訊協定。 如需詳細資訊,請參閱 使用擴充群組設定 AD DS LDAP 以取得 NFS 磁碟區存取 權。

  • 如果您有大型拓撲,且使用 Unix 安全性樣式搭配雙通訊協定磁碟區或具有擴充群組的 LDAP,您應該使用 Active Directory 連線 ions 頁面上的 LDAP 搜尋範圍選項,以避免 Azure NetApp Files 的 Linux 用戶端發生「拒絕存取」錯誤。 如需詳細資訊,請參閱 使用擴充群組設定 AD DS LDAP 以取得 NFS 磁碟區存取 權。

  • 您不需要伺服器跟 CA 憑證來建立雙重通訊協定磁碟區。 只有在已啟用LDAP over TLS時,才需要它。

  • 若要瞭解 Azure NetApp Files 雙重通訊協議和相關考慮,請參閱 瞭解 Azure NetApp Files 中的 NAS 通訊協定一節。

建立雙重通訊協定磁碟區

  1. 從 [容量集區] 刀鋒視窗按兩下 [磁碟區] 刀鋒視窗。 按兩下 [+ 新增磁碟區 ] 以建立磁碟區。

    流覽至磁碟區

  2. 在 [建立磁碟區] 視窗中,按兩下 [建立],並提供 [基本] 索引標籤下下列字段的資訊:

    • 磁碟區名稱
      指定您要建立之磁碟區的名稱。

      如需 磁碟區的命名慣例,請參閱 Azure 資源的 命名規則和限制。 此外,您無法使用 defaultbin 作為磁碟區名稱。

    • 容量集區
      指定要在其中建立磁碟區的容量集區。

    • 配額
      指定配置給磁碟區的邏輯記憶體數量。

      [ 可用配額 ] 字段會顯示所選容量集區中可用來建立新磁碟區的未使用空間量。 新磁碟區的大小不得超過可用的配額。

    • 大型磁碟區 針對介於 50 TiB 到 500 TiB 之間的磁碟 區,請選取 [ ]。 如果磁碟區不需要超過 100 TiB,請選取 [否]。

      重要

      大型磁碟區目前為預覽狀態。 如果這是您第一次使用大型磁碟區,您必須先 註冊此功能 ,並要求 增加區域容量配額

      如果磁碟區的大小介於 50 TiB 和 500 TiB 之間,則視為大型磁碟區。 一般磁碟區無法轉換成大型磁碟區。 大型磁碟區無法重設大小為小於 50 TiB。 若要瞭解大型磁碟區的需求和考慮,請參閱使用 大型磁碟區的需求和考慮。 如需其他限制,請參閱 資源限制

    • 輸送量 (MiB/S)
      如果在手動 QoS 容量集區中建立磁碟區,請指定您要磁碟區的輸送量。

      如果磁碟區是在自動 QoS 容量集區中建立,則此欄位中顯示的值是 (配額 x 服務等級輸送量)。

    • 啟用非經常性存取非經常性存取期間非經常性存取擷取原則
      這些欄位會在 Azure NetApp Files 中設定具有非經常性存取的標準記憶體。 如需描述,請參閱 使用非經常性存取管理 Azure NetApp Files 標準記憶體。

    • 虛擬網路
      指定您想要從中存取磁碟區的 Azure 虛擬網路 (VNet)。

      您指定的 VNet 必須有委派給 Azure NetApp Files 的子網。 Azure NetApp Files 只能透過 VNet 對等互連,從相同 VNet 或位於與磁碟區位於相同區域的 VNet 存取。 您也可以透過 Express Route 從內部部署網路存取磁碟區。

    • 子網路
      指定您要用於磁碟區的子網。
      您指定的子網必須委派給 Azure NetApp Files。

      如果您尚未委派子網,您可以在 [建立磁碟區] 頁面上按兩下 [新建]。 然後在 [建立子網] 頁面中指定子網信息,然後選取 [Microsoft.NetApp/volumes ] 來委派 Azure NetApp Files 的子網。 在每個 VNet 中,只能將一個子網委派給 Azure NetApp Files。

      建立子網路

    • 網路功能
      在支援的區域中,您可以指定是否要使用 磁碟區的基本標準 網路功能。 如需詳細數據,請參閱 設定磁碟區 的網路 功能和 Azure NetApp Files 網路規劃 的指導方針。

    • 加密金鑰來源 您可以選擇 Microsoft Managed KeyCustomer Managed Key。 請參閱針對 Azure NetApp Files 磁碟區加密和 Azure NetApp Files 雙重加密設定客戶自控密鑰,以瞭解使用此字段。

    • 可用性區域
      此選項可讓您在指定的邏輯可用性區域中部署新的磁碟區。 選取存在 Azure NetApp Files 資源的可用性區域。 如需詳細資訊,請參閱 管理可用性區域磁碟區放置

    • 如果您想要將現有的快照集原則套用至磁碟區,請按兩下 [顯示進階] 區段 加以展開,指定是否要隱藏快照集路徑,然後在下拉功能表中選取快照集原則。

      如需建立快照集原則的相關信息,請參閱 管理快照集原則

      顯示進階選取範圍

  3. 選取 [ 通訊協定] 索引標籤,然後完成下列動作:

    • 選取 [雙重通訊協定 ] 作為磁碟區的通訊協議類型。

    • 指定要使用的Active Directory 連線。

    • 指定唯 一的磁碟區路徑。 當您建立掛接目標時,會使用此路徑。 路徑的需求如下:

      • 對於不在可用性區域或相同可用性區域中磁碟區中的磁碟區,磁碟區路徑在區域內的每個子網中必須是唯一的。
      • 對於可用性區域中的磁碟區,磁碟區路徑在每個可用性區域內都必須是唯一的。 這項功能目前為預覽狀態,需要您註冊此功能。 如需詳細資訊,請參閱 管理可用性區域磁碟區放置
      • 它必須以字母字元開頭。
      • 它只能包含字母、數位或虛線(-)。
      • 長度不得超過80個字元。

    • 指定要用於雙重通訊協定的版本NFSv4.1 和 SMB,或 NFSv3 和 SMB

    • 指定要使用的安全性樣式:NTFS(預設)或 UNIX。

    • 如果您想要啟用雙通訊協定磁碟區的SMB3通訊協定加密,請選取 [ 啟用SMB3通訊協定加密]。

      此功能僅針對即時SMB3資料啟用加密。 它不會加密 NFSv3 內部數據。 不使用SMB3加密的SMB用戶端將無法存取此磁碟區。 不論此設定為何,待用數據都會加密。 如需詳細資訊,請參閱 SMB加密

    • 如果您針對雙通訊協定磁碟區版本選取了 NFSv4.1 和 SMB,請指出是否要啟用 磁碟區的 Kerberos 加密。

      Kerberos 需要其他設定。 遵循設定 NFSv4.1 Kerberos 加密中的指示。

    • 如果您想要啟用存取型列舉,請選取 [ 啟用存取型列舉]。

      這項功能會隱藏在共用下建立的目錄和檔案,而使用者沒有訪問許可權。 使用者仍然可以檢視共用。 只有在雙重通訊協定磁碟區使用NTFS安全性樣式時,才能啟用存取型列舉。

    • 您可以啟用 不可瀏覽的共用功能。

      此功能可防止 Windows 用戶端瀏覽共用。 當您執行 net view \\server /all 命令時,共用不會顯示在 Windows 檔案瀏覽器或共用清單中。

    重要

    存取型列舉和非可瀏覽共用功能目前為預覽狀態。 如果這是您第一次使用任一次,請參閱開始註冊功能之前的步驟

    • 視需要自定義 Unix 許可權 ,以指定掛接路徑的變更許可權。 此設定不適用於掛接路徑下的檔案。 預設設定是 0770。 此預設設定會將讀取、寫入和執行權限授與擁有者和群組,但不會將權限授與其他使用者。
      註冊需求和考慮適用於設定 Unix 許可權。 請遵循設定 Unix 許可權和變更擁有權模式中的指示。

    • 選擇性地 設定磁碟區的導出原則。

    指定雙重通訊協定

  4. 按兩下 [ 檢閱 + 建立 ] 以檢閱磁碟區詳細數據。 然後按兩下 [ 建立] 以建立磁碟區。

    您所建立的磁碟區會出現在 [磁碟區] 頁面中。

    磁碟區會從其容量集區繼承訂用帳戶、資源群組、位置屬性。 若要監視磁碟區部署狀態,您可以使用 [通知] 索引卷標。

允許具有LDAP的本機 NFS 使用者存取雙重通訊協定磁碟區

Active Directory 連線中的 [允許具有 LDAP 的本機 NFS 使用者] 選項可讓 Windows LDAP 伺服器上沒有本機 NFS 用戶端使用者存取已啟用擴充群組的雙重通訊協定磁碟區。

注意

啟用此選項之前,您應該先瞭解考慮事項。
[允許具有LDAP 的本機 NFS 使用者] 選項是具有擴充群組功能的LDAP的一部分,需要註冊。 如需詳細資訊,請參閱 使用擴充群組設定 AD DS LDAP 以取得 NFS 磁碟區存取 權。

  1. 選取 [ Active Directory 連線]。 在現有的 Active Directory 連線上,按兩下操作功能表(三個點 ),然後選取 [ 編輯]。

  2. 在顯示的 [ 編輯 Active Directory 設定 ] 視窗中,選取 [ 允許具有 LDAP 的本機 NFS 使用者] 選項。

    顯示 [允許本機 NFS 使用者使用LDAP] 選項的螢幕快照

管理LDAP POSIX屬性

您可以使用 #DBCE69E8EA6824AB59C041469C80A018B MMC 嵌入式管理單元來管理 POSIX 屬性,例如 UID、主目錄和其他值。 下列範例顯示 Active Directory 屬性編輯器:

Active Directory 屬性編輯器

您必須為 LDAP 使用者和 LDAP 群組設定下列屬性:

  • LDAP 使用者的必要屬性:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • LDAP 群組的必要屬性:
    objectClass: group, posixGroup,
    gidNumber: 555
  • 所有使用者與群組必須分別具有唯一 uidNumbergidNumber

指定的 objectClass 值是個別的專案。 例如,在多值字串編輯器中, objectClass 會針對 LDAP 使用者指定不同的值 (userposixAccount) :

多重值字串編輯器的螢幕快照,其中顯示為物件類別指定的多個值。

Microsoft Entra Domain Services 不允許您修改組織 AADDC Users OU 中建立之使用者和群組的 objectClass POSIX 屬性。 因應措施是,您可以建立自定義 OU,並在自訂 OU 中建立使用者和群組。

如果您要將 Microsoft Entra 租使用者中的使用者和群組同步處理至 AADDC 使用者 OU 中的使用者和群組,則無法將使用者和群組移至自定義 OU。 在自訂 OU 中建立的使用者和群組將不會同步處理至您的 AD 租用。 如需詳細資訊,請參閱 Microsoft Entra Domain Services 自定義 OU 考慮和限制

存取 Active Directory 屬性編輯器

在 Windows 系統上,您可以存取 Active Directory 屬性編輯器,如下所示:

  1. 按兩下 [開始],流覽至 [Windows 管理員 工具],然後按兩下 [Active Directory 使用者和電腦] 以開啟 [Active Directory 使用者和電腦] 視窗。
  2. 按兩下您想要檢視的功能變數名稱,然後展開內容。
  3. 若要顯示進階屬性編輯器,請在 [Active Directory 使用者電腦檢視] 功能表中啟用 [進階功能] 選項。
    顯示如何存取 [屬性編輯器進階功能] 功能表的螢幕快照。
  4. 按兩下 左窗格中的[使用者 ] 以檢視使用者清單。
  5. 按兩下特定使用者以查看其 [屬性編輯器] 索引標籤。

設定 NFS 用戶端

請依照設定 Azure NetApp Files 的 NFS 用戶端中的指示來設定 NFS 用戶端。

下一步