Creación de un volumen de dos protocolos para Azure NetApp Files

Azure NetApp Files admite la creación de volúmenes mediante NFS (NFSv3 o NFSv4.1), SMB3 o un protocolo dual (NFSv3 y SMB, o NFSv4.1 y SMB). En este artículo se muestra cómo crear un volumen que use el protocolo dual con compatibilidad con la asignación de usuarios LDAP.

Para crear volúmenes NFS, consulte Creación de un volumen NFS. Para crear volúmenes SMB, consulte Creación de un volumen SMB.

Antes de empezar

• Debe haber creado ya un grupo de capacidad.
  Consulte Creación de un grupo de capacidad.
• Debe haber una subred delegada en Azure NetApp Files.
  Consulte Delegación de una subred en Azure NetApp Files.
• Las recursos compartidos no explorables y las características de enumeración basadas en acceso están actualmente en versión preliminar. Debes registrar cada característica para poder usarla:

1. Registre la característica:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Compruebe el estado del registro de la característica:

   Nota:

   RegistrationState puede estar en el estado Registering hasta 60 minutos antes de cambiar a Registered. Espere hasta que el estado sea Registrado antes de continuar.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

También puede usar los comandos de la CLI de Azureaz feature register y az feature show para registrar la característica y mostrar el estado del registro.

Consideraciones

• Asegúrese de cumplir los requisitos para las conexiones de Active Directory.

• Cree una zona de búsqueda inversa en el servidor DNS y, a continuación, agregue un registro de puntero (PTR) de la máquina host de AD en esa zona de búsqueda inversa. De lo contrario, se producirá un error en la creación del volumen de dos protocolos.

• La opción Allow local NFS users with LDAP (Permitir usuarios NFS locales con LDAP) de las conexiones de Active Directory tiene como fin proporcionar acceso ocasional y temporal a los usuarios locales. Cuando esta opción está habilitada, la autenticación y la búsqueda del usuario desde el servidor LDAP dejan de funcionar y el número de pertenencias a grupos que Azure NetApp Files admitirá se limitará a 16. Por lo tanto, debe mantener esta opción deshabilitada en las conexiones de Active Directory, excepto en el caso de que un usuario local necesite acceder a volúmenes habilitados para LDAP. En ese caso, debe deshabilitar esta opción en cuanto el acceso del usuario local ya no sea necesario para el volumen. Consulte Habilitación de los usuarios de NFS locales con LDAP para acceder a un volumen de dos protocolos para saber cómo administrar el acceso de los usuarios locales.

• Asegúrese de que el cliente NFS esté actualizado y ejecute las actualizaciones más recientes del sistema operativo.

• Los volúmenes de protocolo doble admiten Active Directory Domain Services (AD DS) y Microsoft Entra Domain Services.

• Los volúmenes de protocolo doble no admiten el uso de LDAP a través de TLS con Microsoft Entra Domain Services. LDAP a través de TLS se admite con Active Directory Domain Services (AD DS). Consulte las consideraciones de LDAP sobre TLS.

• La versión de NFS usada por un volumen de protocolo dual puede ser es NFSv3 o NFSv4.1. Se aplican las siguientes consideraciones:

  • El protocolo dual no es compatible con los atributos extendidos de ACLS de Windows set/get desde clientes de NFS.

  • Los clientes de NFS no pueden cambiar los permisos para el estilo de seguridad de NTFS, y los clientes de Windows no pueden cambiar los permisos de los volúmenes del protocolo dual de estilo UNIX.

    En la tabla siguiente se describen los estilos de seguridad y sus efectos:

    Estilo de seguridad	Clientes que pueden modificar permisos	Permisos que pueden usar los clientes	Estilo de seguridad efectivo resultante	Clientes que pueden tener acceso a archivos
    Unix	NFS	Bits de modo NFSv3 o NFSv4.1	UNIX	NFS y Windows
    Ntfs	Windows	ACL de NTFS	NTFS	NFS y Windows

  • La dirección en la que se produce la asignación de nombres (Windows a UNIX o UNIX a Windows) depende del protocolo que se usa y del estilo de seguridad que se aplica a un volumen. Un cliente de Windows siempre requiere una asignación de nombres de Windows a UNIX. La posibilidad de que se aplique un usuario para revisar los permisos depende del estilo de seguridad. Por el contrario, un cliente NFS solo necesita usar una asignación de nombres de UNIX a Windows si el estilo de seguridad NTFS está en uso.

    En la tabla siguiente se describen las asignaciones de nombres y los estilos de seguridad:

    Protocolo	Estilo de seguridad	Dirección de asignación de nombres	Permisos aplicados
    Pyme	Unix	Windows a UNIX	UNIX (bits de modo o ACL NFSv4.x)
    Pyme	Ntfs	Windows a UNIX	Listas ACL NTFS (basadas en el identificador de seguridad de Windows que accede al recurso compartido)
    NFSv3	Unix	None	UNIX (bits de modo o ACL NFSv4.x) Las listas ACL NFSv4.x se pueden aplicar mediante un cliente administrativo NFSv4.x y las respetan los clientes NFSv3.
    NFS	Ntfs	UNIX a Windows	Listas ACL NTFS (basadas en el identificador de seguridad del usuario de Windows asignado)

• La característica LDAP con grupos extendidos admite el protocolo dual de [NFSv3 and SMB] y [NFSv4.1 and SMB] con el estilo de seguridad de Unix. Para más información, consulte Configuración de LDAP de AD DS con grupos extendidos para el acceso a volúmenes NFS.

• Si tiene topologías de gran tamaño y usa el estilo de seguridad de Unix con un volumen de protocolo dual o LDAP con grupos extendidos, debe usar la opción Ámbito de búsqueda LDAP que hay en la página de conexiones de Active Directory para evitar errores de "acceso denegado" en clientes Linux para Azure NetApp Files. Para más información, consulte Configuración de LDAP de AD DS con grupos extendidos para el acceso a volúmenes NFS.

• No es necesario un certificado de CA raíz del servidor para crear un volumen de protocolo dual. Solo es necesario si está habilitado LDAP sobre TLS.

• Para comprender los protocolos duales de Azure NetApp Files y las consideraciones relacionadas, consulte la sección Protocolos duales en Descripción de los protocolos NAS en Azure NetApp Files.

Creación de un volumen de protocolo dual

1. Haga clic en la hoja Volúmenes desde la hoja Grupos de capacidad. Haga clic en + Agregar volumen para crear un volumen.

   

2. En la ventana Crear un volumen, haga clic en Crear y proporcione la información para los campos siguientes en la pestaña Aspectos básicos:

   • Nombre del volumen
     Especifique el nombre para el volumen que va a crear.

     Consulte Reglas de nomenclatura y restricciones para los recursos de Azure para las convenciones de nomenclatura en volúmenes. Adicionalmente, no se puede usar default ni bin como nombre del volumen.

   • Grupo de capacidad
     Especifique el grupo de capacidad en el que desee que el volumen se cree.

   • Cuota
     Especifique la cantidad de almacenamiento lógico que se asigna al volumen.

     El campo Cuota disponible muestra la cantidad de espacio no utilizado en el grupo de capacidad elegido que puede usar para crear un nuevo volumen. El tamaño del volumen nuevo no debe superar la cuota disponible.

   • Volumen grande Para volúmenes entre 50 TiB y 500 TiB, seleccione Sí. Si el volumen no requiere más de 100 TiB, seleccione No.

     Importante

     Los volúmenes grandes están actualmente en versión preliminar. Si es la primera vez que usas grandes volúmenes, primero debes registrar la característica y solicitar un aumento de la cuota de capacidad regional.

     Los volúmenes se consideran grandes si tienen entre 50 TiB y 500 TiB de tamaño. Los volúmenes normales no se pueden convertir en grandes volúmenes. Los volúmenes grandes no se pueden cambiar de tamaño a menos de 50 TiB. Para comprender los requisitos y consideraciones de los volúmenes grandes, consulta Requisitos y consideraciones para grandes volúmenes. Para ver otros límites, consulte Límites de recursos.

   • Rendimiento (MiB/S)
     Si el volumen se crea en un grupo de capacidad con QoS manual, especifique el rendimiento que desea para el volumen.

     Si el volumen se crea en un grupo de capacidad con QoS automático, el valor que se muestra en este campo es (rendimiento de cuota x nivel de servicio).

   • Habilitar el acceso esporádico, período de acceso esporádico y política de recuperación de acceso esporádico
     Estos campos configuran el almacenamiento estándar con acceso esporádico en Azure NetApp Files. Para obtener las descripciones, consulta Administración del almacenamiento estándar de Azure NetApp Files con acceso esporádico.

   • Red virtual
     Especifique la red virtual de Azure desde la que desea tener acceso al volumen.

     La red virtual que especifique debe tener una subred delegada en Azure NetApp Files. Se puede acceder a Azure NetApp Files desde la misma red virtual o desde una red virtual que se encuentre en la misma ubicación que el volumen mediante el emparejamiento de redes virtuales. También puede acceder al volumen desde la red local mediante ExpressRoute.

   • Subred
     Especifique la subred que desea usar para el volumen.
     La red virtual que especifique debe estar delegada en Azure NetApp Files.

     Si no ha delegado una subred, haga clic en Crear nuevo en el volumen de creación de un volumen. A continuación, en la página de creación de la subred, especifique la información de la subred y seleccione Microsoft.NetApp/volumes para delegar la subred para Azure NetApp Files. En cada red virtual, solo puede delegarse una subred a Azure NetApp Files.

     

   • Características de red
     En las regiones admitidas, puede especificar si quiere usar características de red Básicas o Estándar para el volumen. Vea Configuración de las características de red de un volumen e Instrucciones para el planeamiento de red de Azure NetApp Files para obtener detalles.

   • Origen de la clave de cifrado Puedes seleccionar Microsoft Managed Key o Customer Managed Key. Consulta Configuración de claves administradas por el cliente para el cifrado de volúmenes de Azure NetApp Files y Cifrado doble de Azure NetApp Files en reposo para obtener información sobre el uso de este campo.

   • Zona de disponibilidad
     Esta opción le permite implementar el nuevo volumen en la zona de disponibilidad lógica que especifique. Seleccione una zona de disponibilidad en la que estén presentes los recursos de Azure NetApp Files. Para más información, consulte Administración de la selección de ubicación del volumen de la zona de disponibilidad.

   • Si desea aplicar una directiva de instantáneas existente al volumen, haga clic en Mostrar la sección avanzada para expandirla, especifique si quiere ocultar la ruta de acceso de la instantánea y seleccione una directiva de instantáneas en el menú desplegable.

     Para obtener información sobre cómo crear una directiva de instantáneas, consulte Administración de directivas de instantánea.

     

3. Seleccione la pestaña Protocolo y, después, complete las siguientes acciones:

   • Seleccione Dual-protocol (Protocolo dual) como tipo de protocolo para el volumen.

   • Seleccione la conexión de Active Directory que va a usar.

   • Especifique una ruta de acceso de volumen única. Esta ruta de acceso se usa al crear destinos de montaje. Los requisitos de la ruta de acceso son los siguientes:

     • Para los volúmenes que no están en una zona de disponibilidad o volúmenes de la misma zona de disponibilidad, la ruta de acceso del volumen debe ser única dentro de cada subred de la región.
     • En el caso de los volúmenes de zonas de disponibilidad, la ruta de acceso del volumen debe ser única dentro de cada zona de disponibilidad. Esta característica está actualmente en versión preliminar y requiere que registre la característica. Para obtener más información, consulte Administración de la ubicación del volumen de zona de disponibilidad.
     • Debe comenzar con un carácter alfabético.
     • Solo puede contener letras, números o guiones (-).
     • La longitud no debe superar los 80 caracteres.

   • Especifique las versiones que va a usar del protocolo dual: NFSv4.1 y SMB, o NFSv3 y SMB.

   • Especifique el estilo de seguridad que se va a usar: NTFS (valor predeterminado) o UNIX.

   • Si desea habilitar el cifrado del protocolo SMB3 para el volumen de protocolo dual, seleccione Habilitar cifrado del protocolo SMB3.

     Esta característica habilita el cifrado solo para los datos SMB3 en proceso. No cifra los datos NFSv3 en proceso. Los clientes SMB que no usen el cifrado SMB3 no podrán acceder a este volumen. Los datos en reposo se cifrarán al margen de esta configuración. Consulte Cifrado SMB para obtener más información.

   • Si seleccionó NFSv4.1 y SMB para las versiones del volumen de protocolo dual, indique si desea habilitar el cifrado Kerberos para el volumen.

     Se requieren configuraciones adicionales para Kerberos. Siga las instrucciones de Configuración del cifrado de Kerberos NFSv4.1.

   • Si quieres habilitar la enumeración basada en el acceso, selecciona Habilitar enumeración basada en el acceso.

     Esta característica ocultará directorios y archivos creados en un recurso compartido de usuarios que no tengan permisos de acceso. Los usuarios seguirán pudiendo ver el recurso compartido. Solo puede habilitar la enumeración basada en el acceso si el volumen de protocolo dual usa el estilo de seguridad NTFS.

   • Puedes habilitar la característica recurso compartido no explorable.

     Esta característica impide que el cliente de Windows examine el recurso compartido. El recurso compartido no aparece en el Explorador de archivos de Windows ni en la lista de recursos compartidos al ejecutar el comando net view \\server /all.

   Importante

   Las características de recursos compartidos no explorables y de enumeración basada en el acceso están actualmente en versión preliminar. Si esta es la primera vez que usa cualquiera de estas características, consulte los pasos descritos en Antes de comenzar para registrar las características.

   • Personalice los permisos de Unix según sea necesario para especificar los permisos de cambio de la ruta de acceso de montaje. El valor no se aplica a los archivos de la ruta de acceso de montaje. El valor predeterminado es 0770. Este valor concede permisos de lectura, escritura y ejecución al propietario y al grupo, pero no se conceden permisos a otros usuarios.
     Se aplican el requisito y las consideraciones de registro para establecer los permisos de Unix. Siga las instrucciones que encontrará en Configuración de permisos de Unix y del modo de cambio de propiedad para los volúmenes de protocolo dual y NFS.

   • Si lo desea, configure la directiva de exportación para el volumen.

   

4. Haga clic en Revisar y crear para revisar los detalles del volumen. Después, haga clic en Crear para crear el volumen.

   El volumen que creó aparece en la hoja Volúmenes.

   Un volumen hereda los atributos de ubicación, la suscripción y el grupo de recursos de su grupo de capacidad. Para supervisar el estado de la implementación del volumen, puede usar la pestaña Notificaciones.

Habilitación de los usuarios de NFS locales con LDAP para acceder a un volumen de dos protocolos

La opción Allow local NFS users with LDAP (Permitir usuarios NFS locales con LDAP) de las conexiones de Active Directory permite que los usuarios del cliente NFS local que no están presentes en el servidor LDAP de Windows accedan a un volumen de protocolo doble que tenga habilitado LDAP con grupos extendidos.

Nota:

Antes de habilitar esta opción, debe comprender las consideraciones.
La opción Allow local NFS users with LDAP (Permitir usuarios de NFS locales con LDAP) forma parte de la característica LDAP with extended groups (LDAP con grupos extendidos) y requiere registro. Consulte Configuración de LDAP de AD DS con grupos extendidos para el acceso a volúmenes NFS para más información.

1. Seleccione Conexiones de Active Directory. En una conexión de Active Directory existente, haga clic en el menú contextual (los tres puntos …) y seleccione Editar.

2. En la ventana Edit Active Directory settings (Editar configuración de Active Directory) que aparece, seleccione la opción Permitir usuarios locales de NFS con LDAP.

   

Administración de los atributos POSIX de LDAP

Puede administrar los atributos POSIX como UID, el directorio particular y otros valores mediante el complemento de MMC Usuarios y equipos de Active Directory. En el ejemplo siguiente se muestra el editor de atributos de Active Directory:

Debe establecer los siguientes atributos para los usuarios LDAP y los grupos LDAP:

• Atributos necesarios para los usuarios LDAP:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• Atributos necesarios para los grupos LDAP:
  objectClass: group, posixGroup,
  gidNumber: 555
• Todos los usuarios y grupos deben tener unos valores uidNumber y gidNumber, respectivamente, únicos.

Los valores especificados para objectClass son entradas independientes. Por ejemplo, en el Editor de cadenas con varios valores, objectClass tendría valores independientes (user y posixAccount) especificados como se indica a continuación para los usuarios LDAP:

Microsoft Entra Domain Services no permite modificar el atributo POSIX de objectClass en usuarios y grupos creados en la unidad organizativa de usuarios de AADDC de la organización. Como solución alternativa, puede crear una unidad organizativa personalizada y crear usuarios y grupos en ella.

Si va a sincronizar los usuarios y grupos de su inquilinato de Microsoft Entra con usuarios y grupos de la unidad organizativa de usuarios de AADDC, no podrá mover usuarios y grupos a una unidad organizativa personalizada. Los usuarios y grupos creados en la unidad organizativa personalizada no se sincronizarán con el inquilinato de AD. Para más información, consulte la sección Consideraciones y limitaciones de las unidades organizativas personalizadas de Microsoft Entra Domain Services.

Acceso al Editor de atributos de Active Directory

En un sistema Windows, puede acceder al Editor de atributos de Active Directory de la siguiente manera:

1. Haga clic en Inicio, vaya a Herramientas administrativas de Windows y, luego, haga clic en Usuarios y equipos de Active Directory para abrir la ventana correspondiente.
2. Haga clic en el nombre de dominio que quiere ver y expanda el contenido.
3. Para mostrar el Editor de atributos avanzado, habilite la opción Características avanzadas en el menú Ver de Usuarios y equipos de Active Directory.
   
4. Haga doble clic en Usuarios en el panel izquierdo para ver la lista de usuarios.
5. Haga doble clic en un usuario determinado para ver su pestaña Editor de atributos.

Configuración del cliente NFS

Siga las instrucciones de Configuración de un cliente NFS para Azure NetApp Files para configurar el cliente NFS.

Pasos siguientes

• Consideraciones de los volúmenes de protocolo dual de Azure NetApp Files
• Administración de la selección de ubicación del volumen de la zona de disponibilidad para Azure NetApp Files
• Requisitos y consideraciones para volúmenes grandes
• Configuración del cifrado Kerberos de NFSv4.1
• Configuración de un cliente NFS para Azure NetApp Files
• Configuración de permisos de Unix y cambio del modo de propiedad.
• Configuración de LDAP de AD DS sobre TLS para Azure NetApp Files
• Habilitación de la autenticación LDAP de Active Directory Domain Services LDAP (ADDS) para volúmenes NFS
• Solución de errores de volúmenes de Azure NetApp Files
• Preguntas más frecuentes sobre resistencia de aplicaciones para Azure NetApp Files