Buat volume protokol ganda untuk Azure NetApp Files

Azure NetApp Files mendukung pembuatan volume menggunakan NFS (NFSv3 atau NFSv4.1), SMB3, atau protokol ganda (NFSv3 dan SMB, atau NFSv4.1 dan SMB). Artikel ini memperlihatkan cara membuat volume yang menggunakan protokol ganda dengan dukungan untuk pemetaan pengguna LDAP.

Untuk membuat volume NFS, lihat Membuat volume NFS. Untuk membuat volume SMB, lihat Membuat volume SMB.

Sebelum Anda mulai

• Anda harus sudah membuat kumpulan kapasitas.
  Lihat Membuat kumpulan kapasitas.
• Subnet harus didelegasikan ke Azure NetApp Files.
  Lihat Mendelegasikan subnet ke Azure NetApp Files.
• Berbagi yang tidak dapat dijelajahi dan fitur enumerasi berbasis akses saat ini dalam pratinjau. Anda harus mendaftarkan setiap fitur sebelum dapat menggunakannya:

1. Daftarkan fitur:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

2. Periksa status pendaftaran fitur:

   Catatan

   RegistrationState mungkin berada dalan Registering status hingga 60 menit sebelum berubah menjadi Registered. Tunggu hingga status Terdaftar sebelum melanjutkan.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSmbNonBrowsable
   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBAccessBasedEnumeration
   

Anda juga dapat menggunakan perintahaz feature register Azure CLI dan az feature show untuk mendaftarkan fitur dan menampilkan status pendaftaran.

Pertimbangan

• Pastikan Anda memenuhi Persyaratan untuk koneksi Direktori Aktif.

• Anda perlu membuat zona pencarian terbalik di server DNS, lalu menambahkan catatan PTR komputer host AD di zona pencarian terbalik tersebut. Jika tidak, pembuatan volume protokol ganda akan gagal.

• Opsi Izinkan pengguna NFS lokal dengan LDAP dalam koneksi Layanan Domain Active Directory bermaksud untuk menyediakan akses sesekali dan sementara ke pengguna lokal. Ketika opsi ini diaktifkan, autentikasi pengguna dan pencarian dari server LDAP berhenti berfungsi, dan jumlah keanggotaan grup yang akan didukung Azure NetApp Files akan dibatasi hingga 16. Dengan demikian, Anda harus menonaktifkanopsi ini pada koneksi Layanan Domain Active Directory, kecuali untuk saat pengguna lokal perlu mengakses volume yang mendukung LDAP. Dalam hal ini, Anda harus menonaktifkan opsi ini segera setelah akses pengguna lokal tidak lagi diperlukan untuk volume. Lihat Mengizinkan pengguna NFS lokal dengan LDAP untuk mengakses volume protokol ganda tentang mengelola akses pengguna lokal.

• Pastikan klien NFS sudah diperbarui dan menjalankan pembaruan terbaru untuk sistem operasi.

• Volume protokol ganda mendukung Active Directory Domain Services (AD DS) dan Microsoft Entra Domain Services.

• Volume protokol ganda tidak mendukung penggunaan LDAP melalui TLS dengan Microsoft Entra Domain Services. LDAP melalui TLS didukung dengan Active Directory Domain Services (AD DS). Lihat LDAP melalui pertimbangan TLS.

• Versi NFS yang digunakan oleh volume protokol ganda adalah NFSv3 atau NFSv4.1. Pertimbangan berikut berlaku:

  • Protokol ganda tidak mendukung atribut perluasan Windows ACLS dari set/get klien NFS.

  • Klien NFS tidak dapat mengubah izin untuk gaya keamanan NTFS, dan klien Windows tidak dapat mengubah izin untuk volume protokol ganda gaya UNIX.

    Tabel berikut ini menguraikan gaya keamanan dan efeknya:

    Gaya Keamanan	Klien yang bisa mengubah izin	Izin yang bisa digunakan klien	Menghasilkan gaya keamanan yang efektif	Klien yang dapat mengakses file
    Unix	NFS	Bit mode NFSv3 atau NFSv4.1	UNIX	NFS dan Windows
    Ntfs	Windows	ACL NTFS	NTFS	NFS dan Windows

  • Arah di mana pemetaan nama terjadi (Windows ke UNIX, atau UNIX ke Windows) tergantung pada protokol mana yang digunakan dan gaya keamanan mana yang diterapkan ke volume. Klien Windows selalu memerlukan pemetaan nama Windows-ke-UNIX. Apakah pengguna diterapkan untuk meninjau izin bergantung pada gaya keamanan. Sebaliknya, klien NFS hanya perlu menggunakan pemetaan nama UNIX-ke-Windows jika gaya keamanan NTFS sedang digunakan.

    Tabel berikut menguraikan pemetaan nama dan gaya keamanan:

    Protokol	Gaya Keamanan	Arah pemetaan nama	Izin diterapkan
    SMB	Unix	Windows ke UNIX	UNIX (bit mode atau NFSv4.x ACL)
    SMB	Ntfs	Windows ke UNIX	ACL NTFS (berdasarkan Windows SID mengakses berbagi)
    NFSv3	Unix	Tidak	UNIX (bit mode atau ACL NFSv4.x) ACL NFSv4.x dapat diterapkan menggunakan klien administratif NFSv4.x dan dihormati oleh klien NFSv3.
    NFS	Ntfs	UNIX ke Windows	ACL NTFS (berdasarkan SID pengguna Windows yang dipetakan)

• Fitur LDAP dengan grup yang diperluas mendukung protokol ganda [NFSv3 dan SMB] dan [NFSv4.1 dan SMB] dengan gaya keamanan Unix. Lihat Mengonfigurasi AD DS LDAP dengan grup yang diperluas untuk akses volume NFS untuk informasi selengkapnya.

• Jika Anda memiliki topologi besar, dan Anda menggunakan gaya keamanan Unix dengan volume protokol ganda atau LDAP dengan grup yang diperluas, Anda harus menggunakan opsi Cakupan Pencarian LDAP di halaman direktori aktif Koneksi ions untuk menghindari kesalahan "akses ditolak" pada klien Linux untuk Azure NetApp Files. Lihat Mengonfigurasi AD DS LDAP dengan grup yang diperluas untuk akses volume NFS untuk informasi selengkapnya.

• Anda tidak memerlukan sertifikat CA akar server untuk membuat volume protokol ganda. Hal tersebut diperlukan hanya jika LDAP melalui TLS diaktifkan.

• Untuk memahami protokol ganda Azure NetApp Files dan pertimbangan terkait, lihat bagian Protokol Ganda di Memahami protokol NAS di Azure NetApp Files.

Membuat volume protokol ganda

1. Klik bilah Volume dari bilah Kumpulan Kapasitas. Klik + Tambahkan volume untuk membuat volume.

   

2. Di jendela Buat Volume, klik Buat , dan berikan informasi untuk bidang berikut ini di bawah tab Dasar-Dasar:

   • Nama volume
     Tentukan nama untuk volume yang sedang Anda buat.

     Lihat Aturan penamaan dan pembatasan untuk sumber daya Azure untuk konvensi penamaan pada volume. Selain itu, Anda tidak dapat menggunakan default atau bin sebagai nama volume.

   • Kumpulan kapasitas
     Tentukan kumpulan kapasitas di mana Anda ingin volume dibuat.

   • Kuota
     Tentukan jumlah penyimpanan logika yang dialokasikan ke volume.

     Bidang Kuota yang tersedia menunjukkan jumlah ruang yang tidak digunakan di kumpulan kapasitas yang dipilih yang dapat Anda gunakan untuk membuat volume baru. Ukuran volume baru tidak boleh melebihi kuota yang tersedia.

   • Volume Besar Untuk volume antara 50 TiB dan 500 TiB, pilih Ya. Jika volume tidak memerlukan lebih dari 100 TiB, pilih Tidak.

     Penting

     Volume besar saat ini dalam pratinjau. Jika ini pertama kalinya Anda menggunakan volume besar, Anda harus terlebih dahulu mendaftarkan fitur dan meminta peningkatan kuota kapasitas regional.

     Volume dianggap besar jika berukuran antara 50 TiB dan 500 TiB. Volume reguler tidak dapat dikonversi ke volume besar. Volume besar tidak dapat diubah ukurannya menjadi kurang dari 50 TiB. Untuk memahami persyaratan dan pertimbangan volume besar, lihat untuk menggunakan Persyaratan dan pertimbangan untuk volume besar. Untuk batas lainnya, lihat Batas sumber daya.

   • Throughput (MiB/S)
     Jika volume dibuat dalam kumpulan kapasitas QoS manual, tentukan throughput yang Anda inginkan untuk volume.

     Jika volume dibuat dalam kumpulan kapasitas QoS otomatis, nilai yang ditampilkan di bidang ini adalah (k x throughput tingkat layanan).

   • Aktifkan Akses Dingin, Periode Kesejukan, dan Kebijakan Pengambilan Akses Dingin
     Bidang-bidang ini mengonfigurasi penyimpanan standar dengan akses dingin di Azure NetApp Files. Untuk deskripsi, lihat Mengelola penyimpanan standar Azure NetApp Files dengan akses dingin.

   • Jaringan virtual
     Tentukan jaringan virtual Azure (VNet) tempat Anda ingin mengakses volume.

     VNet yang Anda tentukan harus memiliki subnet yang didelegasikan ke Azure NetApp Files. Azure NetApp Files hanya dapat diakses dari VNet yang sama atau dari VNet yang berada di wilayah yang sama dengan volume melalui peering VNet. Anda juga dapat mengakses volume dari jaringan lokal Anda melalui Rute Ekspres.

   • Subnet
     Tentukan subnet yang ingin Anda gunakan untuk volume tersebut.
     Subnet yang Anda tentukan harus didelegasikan ke Azure NetApp Files.

     Jika Anda belum mendelegasikan subnet, Anda bisa mengklik Buat baru di halaman Buat Volume. Kemudian di halaman Buat Subnet, tentukan informasi subnet, dan pilih Microsoft.NetApp/volumes untuk mendelegasikan subnet untuk Azure NetApp Files. Di setiap VNet, hanya satu subnet yang dapat didelegasikan ke Azure NetApp Files.

     

   • Fitur jaringan
     Di wilayah yang didukung, Anda dapat menentukan jika Anda ingin menggunakan fitur jaringan Dasar atau Standar untuk volume. Lihat Konfigurasikan fitur jaringan untuk volume dan Panduan perencanaan jaringan Azure NetApp Files untuk detailnya.

   • Sumber kunci enkripsi Anda dapat memilih Microsoft Managed Key atau Customer Managed Key. Lihat Mengonfigurasi kunci yang dikelola pelanggan untuk enkripsi volume Azure NetApp Files dan enkripsi ganda Azure NetApp Files saat tidak aktif tentang menggunakan bidang ini.

   • Zona ketersediaan
     Opsi ini memungkinkan Anda menyebarkan volume baru di zona ketersediaan logis yang Anda tentukan. Pilih zona ketersediaan tempat sumber daya Azure NetApp Files ada. Untuk detailnya, lihat Mengelola penempatan volume zona ketersediaan.

   • Jika Anda ingin menerapkan kebijakan rekam jepret yang ada ke volume, klik Perlihatkan bagian tingkat lanjut untuk memperluasnya, tentukan apakah Anda ingin menyembunyikan jalur rekam jepret, dan pilih kebijakan rekam jepret di menu pilihan.

     Untuk informasi tentang membuat kebijakan rekam jepret, lihat Mengelola kebijakan rekam jepret.

     

3. Pilih tab Protokol , lalu selesaikan tindakan berikut:

   • Pilih Protokol ganda sebagai jenis protokol untuk volume.

   • Tentukan koneksi Direktori Aktif yang akan digunakan.

   • Tentukan Jalur Volume yang unik. Jalur ini digunakan ketika Anda membuat target kait. Persyaratan untuk jalur tersebut adalah sebagai berikut:

     • Untuk volume yang tidak berada di zona ketersediaan atau volume di zona ketersediaan yang sama, jalur volume harus unik dalam setiap subnet di wilayah tersebut.
     • Untuk volume di zona ketersediaan, jalur volume harus unik dalam setiap zona ketersediaan. Fitur ini saat ini dalam pratinjau dan mengharuskan Anda untuk mendaftarkan fitur. Untuk informasi selengkapnya, lihat Mengelola penempatan volume zona ketersediaan.
     • Nama ini harus dimulai dengan karakter alfabet.
     • Nama ini hanya boleh berisi huruf, angka, atau garis putus (-).
     • Panjang total tidak boleh melebihi 80 karakter.

   • Tentukan versi yang akan digunakan untuk protokol ganda: NFSv4.1 dan SMB, atau NFSv3 dan SMB.

   • Tentukan Gaya Keamanan yang akan digunakan: NTFS (default) atau UNIX.

   • Jika Anda ingin mengaktifkan enkripsi protokol SMB3 untuk volume protokol ganda, pilih Aktifkan Enkripsi Protokol SMB3.

     Fitur ini memungkinkan enkripsi hanya untuk data SMB3 dalam penerbangan. Ini tidak mengenkripsi data dalam penerbangan NFSv3. Klien SMB yang tidak menggunakan enkripsi SMB3 tidak akan dapat mengakses volume ini. Data yang tidak aktif dienkripsi terlepas dari pengaturan ini. Lihat Enkripsi SMB untuk informasi selengkapnya.

   • Jika Anda memilih NFSv4.1 dan SMB untuk versi volume protokol ganda, tunjukkan apakah Anda ingin mengaktifkan enkripsi Kerberos untuk volume.

     Konfigurasi tambahan diperlukan untuk Kerberos. Ikuti instruksi dalam Mengonfigurasi enkripsi Kerberos NFSv4.1.

   • Jika Anda ingin mengaktifkan enumerasi berbasis akses, pilih Aktifkan Enumerasi Berbasis Akses.

     Fitur ini akan menyembunyikan direktori dan file yang dibuat di bawah berbagi dari pengguna yang tidak memiliki izin akses. Pengguna masih dapat melihat berbagi. Anda hanya dapat mengaktifkan enumerasi berbasis akses jika volume protokol ganda menggunakan gaya keamanan NTFS.

   • Anda dapat mengaktifkan fitur berbagi yang tidak dapat dijelajahi .

     Fitur ini mencegah klien Windows menelusuri berbagi. Berbagi tidak muncul di Browser File Windows atau dalam daftar berbagi saat Anda menjalankan net view \\server /all perintah.

   Penting

   Fitur enumerasi berbasis akses dan berbagi yang tidak dapat dijelajahi saat ini dalam pratinjau. Jika ini adalah pertama kalinya Anda menggunakan salah satunya, lihat langkah-langkah di Sebelum Anda mulai mendaftarkan fitur.

   • Kustomisasi Izin Unix sesuai yang diperlukan untuk menentukan izin perubahan untuk jalur pemasangan. Pengaturan tidak berlaku untuk file pada jalur pemasangan. Pengaturan default-nya 0770. Pengaturan default ini memberikan izin baca, tulis, dan jalankan kepada pemilik dan grup, tetapi tidak ada izin yang diberikan kepada pengguna lain.
     Persyaratan dan pertimbangan pendaftaran berlaku untuk mengatur Izin Unix. Ikuti petunjuk dalam Mengonfigurasi izin Unix dan mengubah mode kepemilikan.

   • Secara opsional, konfigurasikan kebijakan ekspor untuk volume.

   

4. Klik Tinjau + Buat untuk meninjau detail volume. Lalu klik Buat untuk membuat volume.

   Volume yang Anda buat muncul di halaman Volume.

   Volume mewarisi langganan, grup sumber daya, atribut lokasi dari kumpulan kapasitasnya. Untuk memantau status penyebaran volume, Anda dapat menggunakan tab Pemberitahuan.

Perbolehkan pengguna NFS lokal dengan LDAP mengakses volume protokol ganda

Opsi Izinkan pengguna NFS lokal dengan LDAP di koneksi Layanan Domain Active Directory memungkinkan pengguna klien NFS lokal tidak hadir di server Windows LDAP untuk mengakses volume protokol ganda yang memiliki LDAP dengan grup yang diperluas diaktifkan.

Catatan

Sebelum mengaktifkan opsi ini, Anda harus memahami pertimbangannya.
Opsi Izinkan pengguna NFS lokal dengan LDAP adalah bagian dari fitur LDAP dengan grup yang diperluas dan membutuhkan pendaftaran. Lihat Mengonfigurasi AD DS LDAP dengan grup yang diperluas untuk akses volume NFS untuk detailnya.

1. Pilih Koneksi Direktori Aktif. Pada koneksi Direktori Aktif yang ada, klik menu konteks (tiga titik …), dan pilih Edit.

2. Di jendela Edit pengaturan Direktori Aktif yang muncul, pilih opsi Izinkan pengguna NFS lokal dengan LDAP.

   

Kelola Atribut LDAP POSIX

Anda dapat mengelola atribut POSIX seperti UID, Home Directory, dan nilai lainnya dengan menggunakan Layanan Domain Active Directory Users dan Computers MMC snap-in. Contoh berikut menunjukkan Editor Atribut Direktori Aktif:

Anda perlu mengatur atribut berikut untuk pengguna LDAP dan grup LDAP:

• Atribut yang diperlukan untuk pengguna LDAP:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• Atribut yang diperlukan untuk grup LDAP:
  objectClass: group, posixGroup,
  gidNumber: 555
• Semua pengguna dan grup harus memiliki unik uidNumber dan gidNumber, masing-masing.

Nilai yang ditentukan untuk objectClass adalah entri terpisah. Misalnya, di Editor String Multinilai, objectClass akan memiliki nilai terpisah (user dan posixAccount) yang ditentukan sebagai berikut untuk pengguna LDAP:

Microsoft Entra Domain Services tidak memungkinkan Anda mengubah atribut OBJECTClass POSIX pada pengguna dan grup yang dibuat di organisasi AADDC Users OU. Sebagai solusi, Anda dapat membuat unit organisasi kustom dan membuat pengguna dan grup di unit organisasi kustom.

Jika Anda menyinkronkan pengguna dan grup di penyewaan Microsoft Entra Anda kepada pengguna dan grup di OU Pengguna AADDC, Anda tidak dapat memindahkan pengguna dan grup ke unit organisasi kustom. Pengguna dan grup yang dibuat di unit organisasi kustom tidak akan disinkronkan ke sewa Direktori Aktif Anda. Untuk informasi selengkapnya, lihat pertimbangan dan batasan Unit Organisasi Kustom Microsoft Entra Domain Services.

Akses Editor Atribut Direktori Aktif

Pada sistem Windows, Anda dapat mengakses Layanan Domain Active Directory Attribute Editor sebagai berikut:

1. Klik Mulai, navigasi ke Alat Administratif Windows, lalu klik Pengguna Direktori Aktif dan Komputer untuk membuka jendela Pengguna Direktori Aktif dan Komputer.
2. Klik nama domain yang ingin Anda tampilkan, lalu perluas kontennya.
3. Untuk menampilkan Editor Atribut tingkat lanjut, aktifkan opsi Fitur Tingkat Lanjut di menu Tampilan Komputer Pengguna Direktori Aktif.
   
4. Klik ganda Pengguna di panel kiri untuk melihat daftar pengguna.
5. Klik ganda pengguna tertentu untuk melihat tab Editor Atributnya.

Mengonfigurasi klien NFS

Ikuti instruksi dalam Mengonfigurasi klien NFS untuk Azure NetApp Files untuk mengonfigurasi klien NFS.

Langkah berikutnya

• Pertimbangan untuk volume protokol ganda Azure NetApp Files
• Mengelola penempatan volume zona ketersediaan untuk Azure NetApp Files
• Persyaratan dan pertimbangan untuk volume besar
• Mengonfigurasi enkripsi Kerberos NFSv4.1
• Konfigurasikan klien NFS untuk Azure NetApp Files
• Mengonfigurasi izin Unix dan mengubah mode kepemilikan.
• Mengonfigurasi AD DS LDAP melalui TLS untuk Azure NetApp Files
• Mengonfigurasi AD DS LDAP dengan grup yang diperluas untuk akses volume NFS
• Memecahkan masalah kesalahan volume untuk Azure NetApp Files
• FAQ ketahanan aplikasi Azure NetApp Files