Vytvoření svazku se dvěma protokoly pro Azure NetApp Files

  • Článek
  • 10 min ke čtení

Azure NetApp Files podporuje vytváření svazků pomocí systému souborů NFS (NFSv3 nebo NFSv 4.1), SMB3 nebo duálního protokolu (NFSv3 a SMB nebo NFSv 4.1 a SMB). V tomto článku se dozvíte, jak vytvořit svazek, který používá duální protokol s podporou mapování uživatelů LDAP.

Pokud chcete vytvořit svazky systému souborů NFS, přečtěte si téma vytvoření svazku NFS. Pokud chcete vytvořit svazky SMB, přečtěte si téma vytvoření svazku SMB.

Než začnete

Požadavky

  • Ujistěte se, že splňujete požadavky pro připojení ke službě Active Directory.

  • Vytvořte pcuser účet ve službě Active Directory (AD) a ujistěte se, že je účet povolený. Tento účet bude sloužit jako výchozí uživatel. použije se k mapování systém UNIX uživatelů pro přístup ke svazku se dvěma protokoly nakonfigurovanému se stylem zabezpečení systému souborů NTFS. pcuserÚčet se používá pouze v případě, že ve službě AD není přítomen žádný uživatel. Pokud má uživatel účet ve službě AD se sadou atributů POSIX, pak bude tento účet ten, který se používá pro ověřování, a nebude se mapovat na pcuser účet.

  • Na serveru DNS vytvořte zónu zpětného vyhledávání a přidejte do této zóny zpětného vyhledávání záznam ukazatele (PTR) hostitelského počítače služby AD. V opačném případě se vytvoření svazku se dvěma protokoly nezdaří.

  • Možnost Povolení místních uživatelů systému souborů NFS s protokolem LDAP v připojeních služby Active Directory má za následek občasné a dočasný přístup k místním uživatelům. Pokud je tato možnost povolená, ověřování uživatelů a vyhledávání ze serveru LDAP přestane fungovat. V takovém případě byste měli ponechat tuto možnost v připojeních služby Active Directory zakázanou , s výjimkou případů, kdy potřebuje místní uživatel přistupovat ke svazkům podporujícím protokol LDAP. V takovém případě byste měli tuto možnost zakázat, jakmile se pro tento svazek už nebude vyžadovat přístup k místnímu uživateli. Další informace najdete v tématu Povolení místního uživatele NFS s protokolem LDAP pro přístup ke svazku se dvěma protokoly o správě přístupu místního uživatele.

  • Ujistěte se, že je klient NFS aktuální a že používá nejnovější aktualizace pro daný operační systém.

  • svazky s duálním protokolem podporují Active Directory Domain Services (přidávání) i služby Azure Active Directory Domain Services (AADDS).

  • Svazky s duálním protokolem nepodporují použití protokolu LDAP over TLS s AADDS. Informace najdete v tématu informace o protokolu LDAP over TLS.

  • Verze systému souborů NFS používaná svazkem s duálním protokolem může být NFSv3 nebo NFSv 4.1. Platí následující důležité informace:

    • duální protokol nepodporuje rozšířené atributy Windows acl set/get od klientů NFS.

    • klienti NFS nemohou měnit oprávnění pro styl zabezpečení systému souborů NTFS a klienti Windows nemohou měnit oprávnění pro svazky s duálním protokolem ve stylu systém UNIX.

      Následující tabulka popisuje styly zabezpečení a jejich účinky:

      Styl zabezpečení Klienti, kteří mohou měnit oprávnění Oprávnění, která mohou klienti používat Výsledný efektivní styl zabezpečení Klienti, kteří mají přístup k souborům
      Unix NFS Bity režimu NFSv3 nebo NFSv 4.1 UNIX Systém souborů NFS a Windows
      Ntfs Windows Seznamy řízení přístupu NTFS NTFS Systém souborů NFS a Windows

    • směr, ve kterém dojde k mapování názvu (Windows na systém UNIX nebo systém UNIX na Windows), závisí na tom, který protokol se používá a který styl zabezpečení se použije na svazek. klient Windows vždy vyžaduje mapování názvu Windows na systém UNIX. Zda je uživatel použit ke kontrole oprávnění, závisí na stylu zabezpečení. naopak klient systému souborů NFS musí použít mapování názvu systém UNIX na Windows pouze v případě, že se používá styl zabezpečení systému souborů NTFS.

      V následující tabulce jsou popsány mapování názvů a stylů zabezpečení:

      Protokol Styl zabezpečení Směr mapování názvů Použitá oprávnění
      SMB Unix Windows systém UNIX systém UNIX (režimy zobrazení (acl) nebo názvů nfsv4. x)
      SMB Ntfs Windows systém UNIX seznamy řízení přístupu systému souborů NTFS (na základě Windows sdílené složky pro přístup k SID)
      NFSv3 Unix Žádné systém UNIX (režimy zobrazení (acl) nebo názvů nfsv4. x)

      Seznamy ACL názvů NFSv4. x je možné použít pomocí klienta pro správu názvů NFSv4. x a dodržovat ho klienti NFSv3.
      NFS Ntfs systém UNIX Windows seznamy řízení přístupu systému souborů NTFS (na základě mapovaného identifikátoru SID uživatele Windows)

  • Pokud máte velké topologie a používáte Unix styl zabezpečení se svazkem se dvěma protokoly nebo LDAP s rozšířenými skupinami, Azure NetApp Files pravděpodobně nepůjde získat přístup ke všem serverům v topologiích. Pokud k této situaci dojde, požádejte o pomoc tým svého účtu.

  • Pro vytvoření svazku se dvěma protokoly nepotřebujete certifikát kořenové certifikační autority serveru. Je vyžadován pouze v případě, že je povolen protokol LDAP over TLS.

Vytvoření svazku se dvěma protokoly

  1. V okně fondy kapacit klikněte na okno svazky . Kliknutím na + Přidat svazek vytvořte svazek.

    Přejít na svazky

  2. V okně vytvořit svazek klikněte na vytvořit a zadejte informace pro následující pole na kartě základy:

    • Název svazku
      Zadejte název svazku, který vytváříte.

      Název svazku musí být v rámci každého fondu kapacity jedinečný. Musí mít aspoň tři znaky dlouhé. Název musí začínat písmenem. Může obsahovat písmena, číslice, podtržítka (_) a spojovníky (-).

      Jako název svazku není možné použít default ani bin.

    • Fond kapacit
      Zadejte fond kapacit, ve kterém chcete vytvořit svazek.

    • Kvóta
      Určuje velikost logického úložiště, které je přidělené svazku.

      Pole Dostupná kvóta zobrazuje množství nevyužitého místa ve zvoleném fondu kapacity, které můžete použít k vytvoření nového svazku. Velikost nového svazku nesmí překročit dostupnou kvótu.

    • Propustnost (MiB/S)
      Pokud je svazek vytvořený v manuálním fondu kapacity QoS, určete propustnost, kterou pro svazek požadujete.

      Pokud se svazek vytvoří ve fondu kapacity auto QoS, hodnota zobrazená v tomto poli je (propustnost × úroveň služby).

    • Virtuální síť
      Zadejte službu Azure Virtual Network (VNet), ze které chcete získat přístup ke svazku.

      Virtuální síť, kterou zadáte, musí mít přidělenou podsíť Azure NetApp Files. Služba Azure NetApp Files se dá použít jenom ze stejné virtuální sítě nebo z virtuální sítě, která se nachází ve stejné oblasti jako svazek prostřednictvím partnerského vztahu virtuálních sítí. Ke svazku z místní sítě se můžete dostat i přes Express Route.

    • Podsíť
      Zadejte podsíť, kterou chcete použít pro svazek.
      Podsíť, kterou zadáte, musí být delegovaná na Azure NetApp Files.

      Pokud jste nedelegovanou podsíť, můžete na stránce vytvořit svazek kliknout na vytvořit novou . Pak na stránce vytvořit podsíť zadejte informace o podsíti a vyberte možnost Microsoft. NetApp/ Volumes pro delegování podsítě pro Azure NetApp Files. V každé virtuální síti je možné delegovat jenom jednu podsíť na Azure NetApp Files.

      Vytvoření svazku

      Vytvoření podsítě

    • Síťové funkce
      V podporovaných oblastech můžete určit, jestli chcete pro svazek používat základní nebo standardní síťové funkce. Podrobnosti najdete v tématu Konfigurace funkcí sítě pro svazek a pokyny pro Azure NetApp Files plánování sítě .

    • Pokud chcete pro svazek použít existující zásadu snímku, rozbalte ji kliknutím na Zobrazit Upřesnit oddíl , určete, jestli chcete cestu k snímku skrýt, a v rozevírací nabídce vyberte zásadu snímku.

      Informace o vytváření zásad snímku najdete v tématu Správa zásad snímků.

      Zobrazit rozšířený výběr

  3. Klikněte na kartu protokol a pak proveďte následující akce:

    • Jako typ protokolu pro svazek vyberte duální protokol .

    • Zadejte připojení služby Active Directory , které chcete použít.

    • Zadejte jedinečnou cestu svazku. Tato cesta se používá při vytváření cílů připojení. Požadavky na cestu jsou následující:

      • Musí být jedinečný v rámci každé podsítě v oblasti.
      • Musí začínat abecedním znakem.
      • Může obsahovat jenom písmena, číslice nebo pomlčky ( - ).
      • Délka nesmí překročit 80 znaků.

    • Zadejte verze , které se mají použít pro duální protokol: NFSV 4.1 a SMB nebo NFSv3 a SMB.

      Funkce pro použití nfsv 4.1 a SMB Dual Protocol je momentálně ve verzi Preview. Pokud tuto funkci používáte poprvé, budete ji muset zaregistrovat:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFDualProtocolNFSv4AndSMB

      Ověřte stav registrace funkce:

      Poznámka

      RegistrationState může být ve Registering stavu až 60 minut, než se změní na Registered . Než budete pokračovat, počkejte, než se stav zaregistruje .

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFDualProtocolNFSv4AndSMB

      Můžete také použít příkazy rozhraní příkazového řádku Azure az feature register a az feature show zaregistrovat funkci a zobrazit stav registrace.

    • zadejte styl zabezpečení , který se má použít: systém souborů NTFS (výchozí) nebo systém UNIX.

    • Pokud chcete povolit šifrování protokolu SMB3 pro svazek se dvěma protokoly, vyberte Povolit šifrování protokolu SMB3.

      Tato funkce umožňuje šifrování jenom pro data SMB3 v letu. Nešifruje NFSv3 data v letadlech. Klienti SMB, kteří nepoužívají šifrování SMB3, nebudou mít k tomuto svazku přístup. Data v klidovém stavu jsou šifrována bez ohledu na toto nastavení. Další informace najdete v tématu šifrování protokolu SMB .

      Funkce šifrování protokolu SMB3 je aktuálně ve verzi Preview. Pokud tuto funkci používáte poprvé, zaregistrujte funkci před jejím použitím:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBEncryption

      Ověřte stav registrace funkce:

      Poznámka

      RegistrationState může být ve Registering stavu až 60 minut, než se změní na Registered . Než budete pokračovat, počkejte na stav Registered .

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBEncryption

      Můžete také použít příkazy rozhraní příkazového řádku Azure az feature register a az feature show zaregistrovat funkci a zobrazit stav registrace.

    • Pokud jste vybrali NFSv 4.1 a SMB pro verze svazku s duálním protokolem, určete, jestli chcete pro svazek povolit šifrování pomocí protokolu Kerberos .

      Pro protokol Kerberos jsou vyžadovány další konfigurace. Postupujte podle pokynů v části Konfigurace šifrování protokolu Kerberos nfsv 4.1.

    • Podle potřeby přizpůsobte oprávnění pro systém UNIX , aby bylo možné zadat oprávnění ke změně pro cestu pro připojení. Toto nastavení se nevztahuje na soubory v cestě pro připojení. Výchozí hodnota je 0770. Toto výchozí nastavení uděluje oprávnění ke čtení, zápisu a spouštění pro vlastníka a skupinu, ale žádná oprávnění nejsou udělena ostatním uživatelům.
      Požadavek na registraci a požadavky platí pro nastavení oprávnění systému UNIX. Postupujte podle pokynů v tématu Konfigurace oprávnění systému UNIX a režimu změny vlastnictví.

    • Volitelně můžete nakonfigurovat zásadu exportu pro svazek.

    Zadat duální protokol

  4. Kliknutím na tlačítko zkontrolovat + vytvořit zkontrolujte podrobnosti o svazku. Pak kliknutím na vytvořit vytvořte svazek.

    Svazek, který jste vytvořili, se zobrazí na stránce svazky.

    Svazek dědí atributy předplatného, skupiny prostředků a umístění z fondu kapacity. Stav nasazení svazku můžete monitorovat na kartě Oznámení.

Povolení místního uživatele systému souborů NFS s protokolem LDAP pro přístup ke svazku se dvěma protokoly

možnost povolit místní uživatele systému souborů nfs s protokolem LDAP v připojeních služby Active Directory umožňuje uživatelům klientů pro místní systém souborů nfs, kteří nejsou k dispozici v Windows serveru ldap, získat přístup ke svazku se dvěma protokoly, který má povolené LDAP s rozšířenými

Poznámka

Než tuto možnost povolíte, měli byste pochopit důležité informace.
Možnost Povolení místních uživatelů NFS s protokolem LDAP je součástí funkce LDAP s rozšířenými skupinami a vyžaduje registraci. Podrobnosti najdete v tématu Konfigurace přidání LDAP s rozšířenými skupinami pro přístup ke svazkům NFS .

  1. Klikněte na připojení služby Active Directory. V existujícím připojení služby Active Directory klikněte na místní nabídku (tři tečky ) a vyberte Upravit.

  2. V okně Upravit nastavení služby Active Directory , které se zobrazí, vyberte možnost Povolení místních uživatelů NFS s protokolem LDAP .

    Snímek obrazovky zobrazující možnost povolení místních uživatelů systému souborů NFS s protokolem LDAP

Správa atributů LDAP POSIX

Pomocí modulu snap-in konzoly MMC Uživatelé a počítače služby Active Directory můžete spravovat atributy POSIX, jako je UID, domovský adresář a další hodnoty. Následující příklad ukazuje Editor atributů služby Active Directory:

Editor atributů služby Active Directory

Pro uživatele LDAP a skupiny LDAP musíte nastavit následující atributy:

  • Požadované atributy pro uživatele LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Požadované atributy pro skupiny LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Všichni uživatelé a skupiny musí mít jedinečné uidNumber a v gidNumber uvedeném pořadí.

Hodnoty zadané pro objectClass jsou samostatné položky. Například v editoru řetězců s více hodnotami objectClass by měly být user posixAccount pro uživatele LDAP zadány samostatné hodnoty (a):

Snímek obrazovky editoru vícehodnotových řetězců, který zobrazuje více hodnot určených pro třídu objektů.

Azure Active Directory Domain Services (AADDS) neumožňují upravovat atributy POSIX pro uživatele a skupiny vytvořené v organizační jednotce organizace AADDC Users. Jako alternativní řešení můžete vytvořit vlastní organizační jednotku a vytvořit uživatele a skupiny ve vlastní organizační jednotce.

Pokud synchronizujete uživatele a skupiny v architektuře Azure AD s uživateli a skupinami v organizační jednotce AADDC Users, nemůžete přesouvat uživatele a skupiny do vlastní organizační jednotky. Uživatelé a skupiny vytvořené ve vlastní organizační jednotce nebudou synchronizovány s vaší tenantů AD. Další informace najdete v tématu věnovaném hlediskům a omezením vlastní organizační jednotky AADDS.

Přístup k editoru atributů služby Active Directory

v systému Windows máte přístup k editoru atributů služby Active Directory následujícím způsobem:

  1. klikněte na tlačítko Start, přejděte na Windows nástroje pro správu a potom klikněte na položku uživatelé a počítače služby active directory . tím otevřete okno uživatelé a počítače služby active directory.
  2. Klikněte na název domény, který chcete zobrazit, a potom rozbalte obsah.
  3. Chcete-li zobrazit rozšířený Editor atributů, povolte možnost Pokročilé funkce v nabídce zobrazení počítače uživatelů služby Active Directory.
    Snímek obrazovky, který ukazuje, jak získat přístup k nabídce pokročilých funkcí editoru atributů
  4. Dvojitým kliknutím na Uživatelé v levém podokně zobrazíte seznam uživatelů.
  5. Dvojitým kliknutím na konkrétního uživatele zobrazíte jeho kartu editoru atributů .

Konfigurace klienta NFS

Postupujte podle pokynů v části Konfigurace klienta NFS pro Azure NetApp Files ke konfiguraci klienta NFS.

Další kroky