Een dual-protocolvolume maken voor Azure NetApp Files

  • Artikel
  • 10 minuten om te lezen

Azure NetApp Files ondersteunt het maken van volumes met NFS (NFSv3 of NFSv4.1), SMB3 of dual-protocol (NFSv3 en SMB, of NFSv4.1 en SMB). In dit artikel wordt beschreven hoe u een volume maakt dat gebruikmaakt van een dubbel protocol met ondersteuning voor LDAP-gebruikerstoewijzing.

Zie Een NFS-volume maken voor het maken van NFS-volumes. Zie Een SMB-volume maken voor het maken van SMB-volumes.

Voordat u begint

Overwegingen

  • Zorg ervoor dat u voldoet aan de Vereisten voor Active Directory-verbindingen.

  • Maak een pcuser account in uw Active Directory (AD) en zorg ervoor dat het account is ingeschakeld. Dit account dient als de standaardgebruiker. Het wordt gebruikt voor het toewijzen UNIX gebruikers voor toegang tot een volume met dubbele protocollen dat is geconfigureerd met NTFS-beveiligingsstijl. Het pcuser account wordt alleen gebruikt als er geen gebruiker aanwezig is in de AD. Als een gebruiker een account in de AD heeft waarin de POSIX-kenmerken zijn ingesteld, wordt dat account gebruikt voor verificatie en wordt het niet aan het pcuser account toegeschreven.

  • Maak een zone voor reverse lookup op de DNS-server en voeg vervolgens een PTR-record (pointer) toe van de AD-hostmachine in die zone voor reverse lookup. Anders mislukt het maken van het dual-protocolvolume.

  • De optie Lokale NFS-gebruikers met LDAP toestaan in Active Directory-verbindingen is van plan incidenteel en tijdelijk toegang te bieden aan lokale gebruikers. Wanneer deze optie is ingeschakeld, werken gebruikersverificatie en opzoekgegevens van de LDAP-server niet meer. Daarom moet u deze optie uitgeschakeld laten bij Active Directory-verbindingen, behalve wanneer een lokale gebruiker toegang moet hebben tot volumes met LDAP-mogelijkheden. In dat geval moet u deze optie uitschakelen zodra lokale gebruikerstoegang niet meer vereist is voor het volume. Zie Allow local NFS users with LDAP to access a dual-protocol volume about managing local user access (Lokale NFS-gebruikers met LDAP toegang geven tot een volume met dubbele protocollen) voor informatie over het beheren van lokale gebruikerstoegang.

  • Zorg ervoor dat de NFS-client up-to-date is en de meest recente updates voor het besturingssysteem worden uitgevoerd.

  • Volumes met dubbele protocollen ondersteunen zowel Active Directory Domain Services (ADDS) als Azure Active Directory Domain Services (AADDS).

  • Volumes met dubbele protocollen bieden geen ondersteuning voor het gebruik van LDAP via TLS met AADDS. Zie LDAP over TLS-overwegingen.

  • De NFS-versie die wordt gebruikt door een volume met dubbele protocollen kan NFSv3 of NFSv4.1 zijn. De volgende overwegingen zijn van toepassing:

    • Dual-protocol biedt geen ondersteuning voor Windows uitgebreide ACLS-kenmerken set/get van NFS-clients.

    • NFS-clients kunnen de machtigingen voor de NTFS-beveiligingsstijl niet wijzigen en Windows-clients kunnen de machtigingen voor volumes in UNIX-stijl niet wijzigen.

      In de volgende tabel worden de beveiligingsstijlen en de effecten ervan beschreven:

      Beveiligingsstijl Clients die machtigingen kunnen wijzigen Machtigingen die clients kunnen gebruiken Resulterende effectieve beveiligingsstijl Clients die toegang hebben tot bestanden
      Unix NFS NFSv3- of NFSv4.1-modusbits UNIX NFS en Windows
      Ntfs Windows NTFS ACL's NTFS NFS en Windows

    • De richting waarin de naamtoewijzing plaatsvindt (Windows naar UNIX of UNIX naar Windows) is afhankelijk van welk protocol wordt gebruikt en welke beveiligingsstijl wordt toegepast op een volume. Een Windows client vereist altijd een Windows-naar-UNIX naamtoewijzing. Of een gebruiker wordt toegepast om machtigingen te controleren, is afhankelijk van de beveiligingsstijl. Een NFS-client hoeft daarentegen alleen een UNIX-naar-Windows-naamtoewijzing te gebruiken als de NTFS-beveiligingsstijl wordt gebruikt.

      In de volgende tabel worden de naamtoewijzingen en beveiligingsstijlen beschreven:

      Protocol Beveiligingsstijl Richting van naamtoewijzing Toegepaste machtigingen
      SMB Unix Windows naar UNIX UNIX (modusbits of NFSv4.x ACL's)
      SMB Ntfs Windows naar UNIX NTFS ACL's (op basis van Windows SID toegang tot share)
      NFSv3 Unix Geen UNIX (modusbits of NFSv4.x ACL's)

      NFSv4.x ACL's kunnen worden toegepast met behulp van een NFSv4.x-beheerclient en worden gehonoreerd door NFSv3-clients.
      NFS Ntfs UNIX naar Windows NTFS ACL's (op basis van Windows gebruikers-SID)

  • Als u grote topologies hebt en u de beveiligingsstijl gebruikt met een dual-protocol volume of LDAP met uitgebreide groepen, hebben Azure NetApp Files mogelijk geen toegang tot alle servers in uw Unix topologies. Als deze situatie zich voordoet, neem dan contact op met uw accountteam voor hulp.

  • U hebt geen basis-CA-certificaat voor de server nodig voor het maken van een volume met dubbele protocollen. Dit is alleen vereist als LDAP via TLS is ingeschakeld.

Een volume met dubbele protocollen maken

  1. Klik op de blade Volumes op de blade Capaciteitspools. Klik op + Volume toevoegen om een volume te maken.

    Navigeer naar Volumes

  2. Klik in het venster Een volume maken op Maken en geef informatie op voor de volgende velden op het tabblad Basisinformatie:

    • Volumenaam
      Geef de naam op voor het volume dat u wilt maken.

      Een volumenaam moet uniek zijn binnen elke capaciteitspool. De naam moet minstens drie tekens bevatten. De naam moet beginnen met een letter. De naam mag alleen letters, cijfers, ('_') en afbreekstreepingstekens ('-') bevatten.

      U kunt niet default of bin gebruiken als de volumenaam.

    • Capaciteitspool
      Geef de capaciteitspool op waar u het volume wilt maken.

    • Quota
      Geef de hoeveelheid logische opslag op die u wilt toewijzen aan het volume.

      Het veld Beschikbare quotum toont hoeveel ongebruikte ruimte er is in de gekozen capaciteitspool, die u kunt gebruiken om een nieuw volume te maken. De grootte van het nieuwe volume mag niet groter zijn dan het beschikbare quotum.

    • Doorvoer (MiB/S)
      Als het volume is gemaakt in een handmatige QoS-capaciteitspool, geeft u de doorvoer op die u voor het volume wilt gebruiken.

      Als het volume wordt gemaakt in een automatische QoS-capaciteitspool, is de waarde die in dit veld wordt weergegeven (quotum x doorvoer op serviceniveau).

    • Virtueel netwerk
      Geef het virtuele Azure-netwerk (VNet) op van waaruit u het volume wilt openen.

      Het opgegeven VNet moet een subnet bevatten dat is gedelegeerd aan Azure NetApp Files. De Azure NetApp Files-service is alleen toegankelijk vanuit hetzelfde VNet, of vanuit een VNet in dezelfde regio als het volume via VNet-peering. U kunt het volume ook openen vanuit uw on-premises netwerk via Express Route.

    • Subnet
      Geef het subnet op dat u wilt gebruiken voor het volume.
      Het opgegeven subnet moet zijn gedelegeerd aan Azure NetApp Files.

      Als u geen subnet hebt gedelegeerd, kunt u klikken op Nieuwe maken op de pagina Een volume maken. Geef vervolgens op de pagina Subnet maken de subnetgegevens op, en selecteer Microsoft.NetApp/volumes om het subnet te delegeren aan Azure NetApp Files. In elk Vnet kan slechts één subnet worden gedelegeerd aan Azure NetApp Files.

      Een volume maken

      Subnet maken

    • Netwerkfuncties
      In ondersteunde regio's kunt u opgeven of u Basic- of Standard-netwerkfuncties voor het volume wilt gebruiken. Zie Netwerkfuncties configureren voor een volume en Richtlijnen voor Azure NetApp Files netwerkplanning voor meer informatie.

    • Als u een bestaand momentopnamebeleid wilt toepassen op het volume, klikt u op de sectie Geavanceerd weergeven om het uit te vouwen, geeft u op of u het pad naar de momentopname wilt verbergen en selecteert u een momentopnamebeleid in het pull-downmenu.

      Zie Beleid voor momentopnamen beheren voor meer informatie over het maken van een beleid voor momentopnamen.

      Geavanceerde selectie tonen

  3. Klik op het tabblad Protocol en voltooi de volgende acties:

    • Selecteer Dual-protocol als het protocoltype voor het volume.

    • Geef de Active Directory-verbinding op die moet worden gebruikt.

    • Geef een uniek volumepad op. Dit pad wordt gebruikt bij het maken van mount doelen. De vereisten voor het pad zijn als volgt:

      • Deze moet uniek zijn binnen elk subnet in de regio.
      • Deze moet beginnen met een alfabetisch teken.
      • Deze mag alleen letters, cijfers of streepjes ( ) - bevatten.
      • De lengte mag niet langer zijn dan 80 tekens.

    • Geef de versies op die moeten worden gebruikt voor een dubbel protocol: NFSv4.1 en SMB of NFSv3 en SMB.

      De functie voor het gebruik van het dubbele protocol NFSv4.1 en SMB is momenteel in preview. Als u deze functie voor het eerst gebruikt, moet u de functie registreren:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFDualProtocolNFSv4AndSMB

      Controleer de status van de functieregistratie:

      Notitie

      De RegistrationState kan maximaal 60 minuten in de status zijn Registering voordat wordt overgenummerd naar Registered . Wacht totdat de status Geregistreerd is voordat u doorgaat.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFDualProtocolNFSv4AndSMB

      U kunt ook Azure CLI-opdrachten en az feature register gebruiken om de functie te registreren en de az feature show registratiestatus weer te geven.

    • Geef de te gebruiken beveiligingsstijl op: NTFS (standaard) of UNIX.

    • Als u SMB3-protocolversleuteling wilt inschakelen voor het volume met twee protocollen, selecteert u SMB3-protocolversleuteling inschakelen.

      Met deze functie schakelt u versleuteling in voor alleen in-flight SMB3-gegevens. NFSv3-gegevens tijdens de vlucht worden niet versleuteld. SMB-clients die geen SMB3-versleuteling gebruiken, hebben geen toegang tot dit volume. Data-at-rest wordt versleuteld, ongeacht deze instelling. Zie SMB-versleuteling voor meer informatie.

      De functie SMB3 Protocol Encryption is momenteel beschikbaar als preview-versie. Als dit de eerste keer is dat u deze functie gebruikt, registreert u de functie voordat u deze gebruikt:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBEncryption

      Controleer de status van de functieregistratie:

      Notitie

      De RegistrationState kan maximaal 60 minuten in de status zijn Registering voordat u in Registered verandert. Wacht totdat de status is voordat Registered u doorgaat.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBEncryption

      U kunt ook Azure CLI-opdrachten en az feature register gebruiken om de functie te registreren en de az feature show registratiestatus weer te geven.

    • Als u NFSv4.1 en SMB hebt geselecteerd voor de volumeversies met twee protocollen, geeft u aan of u Kerberos-versleuteling wilt inschakelen voor het volume.

      Er zijn aanvullende configuraties vereist voor Kerberos. Volg de instructies in NFSv4.1 Kerberos-versleuteling configureren.

    • Unix-machtigingen zo nodig aanpassen om wijzigingsmachtigingen voor het pad voor de mount op te geven. De instelling is niet van toepassing op de bestanden onder het pad voor de mount. De standaardinstelling is 0770. Deze standaardinstelling verleent lees-, schrijf- en uitvoermachtigingen aan de eigenaar en de groep, maar er worden geen machtigingen verleend aan andere gebruikers.
      Registratievereiste en overwegingen zijn van toepassing op het instellen van Unix-machtigingen. Volg de instructies in Unix-machtigingen configureren en de eigendomsmodus wijzigen.

    • Configureer desgewenst exportbeleid voor het volume.

    Dual-protocol opgeven

  4. Klik op Controleren en maken om de volumedetails te controleren. Klik vervolgens op Maken om het volume te maken.

    Het volume dat u hebt gemaakt, wordt weergegeven op de pagina Volumes.

    Een volume neemt het abonnement, de resourcegroep en de locatiekenmerken over van de bijbehorende capaciteitspool. U kunt de implementatiestatus van het volume controleren vanuit het tabblad Meldingen.

Lokale NFS-gebruikers met LDAP toegang geven tot een volume met twee protocollen

Met de optie Lokale NFS-gebruikers met LDAP toestaan in Active Directory-verbindingen kunnen lokale NFS-clientgebruikers die niet aanwezig zijn op de Windows LDAP-server toegang krijgen tot een volume met twee protocollen met LDAP met uitgebreide groepen ingeschakeld.

Notitie

Voordat u deze optie inschakelen, moet u de overwegingen begrijpen.
De optie Lokale NFS-gebruikers met LDAP toestaan maakt deel uit van de LDAP-functie met uitgebreide groepen en vereist registratie. Zie ADDS LDAP configureren met uitgebreide groepen voor NFS-volumetoegang voor meer informatie.

  1. Klik op Active Directory-verbindingen. Klik op een bestaande Active Directory-verbinding op het contextmenu (de drie punten ) en selecteer Bewerken.

  2. Selecteer in het venster Active Directory-instellingen bewerken dat wordt weergegeven de optie Lokale NFS-gebruikers met LDAP toestaan.

    Schermopname van de optie Lokale NFS-gebruikers met LDAP toestaan

LDAP POSIX-kenmerken beheren

U kunt POSIX-kenmerken, zoals UID, Startmap en andere waarden, beheren met behulp van de MMC-module Active Directory: gebruikers en computers MMC. In het volgende voorbeeld ziet u de Active Directory Attribute Editor:

Active Directory-kenmerkeditor

U moet de volgende kenmerken instellen voor LDAP-gebruikers en LDAP-groepen:

  • Vereiste kenmerken voor LDAP-gebruikers:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Vereiste kenmerken voor LDAP-groepen:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Alle gebruikers en groepen moeten respectievelijk uidNumber unieke en gidNumber hebben.

De waarden die zijn opgegeven objectClass voor zijn afzonderlijke vermeldingen. In de Editor voor tekenreeksen met meerdere waarden worden bijvoorbeeld als volgt afzonderlijke waarden ( en ) opgegeven objectClass user voor posixAccount LDAP-gebruikers:

Schermopname van de tekenreekseditor met meerdere waarden die zijn opgegeven voor Objectklasse.

Azure Active Directory Met Domain Services (AADDS) kunt u posix-kenmerken niet wijzigen voor gebruikers en groepen die zijn gemaakt in de organisatie-OE AADDC-gebruikers. Als tijdelijke oplossing kunt u een aangepaste OE maken en gebruikers en groepen maken in de aangepaste OE.

Als u de gebruikers en groepen in uw Azure AD-tenancy synchronisatie met gebruikers en groepen in de OE AADDC-gebruikers, kunt u gebruikers en groepen niet verplaatsen naar een aangepaste OE. Gebruikers en groepen die in de aangepaste OE zijn gemaakt, worden niet gesynchroniseerd met uw AD-tenancy. Zie AADDS Custom OU Considerations and Limitations (Overwegingen en beperkingen voor aangepaste AADDS-OE's) voor meer informatie.

Active Directory-kenmerkeditor openen

Op een Windows hebt u als volgt toegang tot de Active Directory-kenmerkeditor:

  1. Klik op Start, navigeer Windows Systeembeheer en klik vervolgens op Active Directory: gebruikers en computers om het Active Directory: gebruikers en computers openen.
  2. Klik op de domeinnaam die u wilt weergeven en vouw vervolgens de inhoud uit.
  3. Als u de geavanceerde kenmerkeditor wilt weergeven, moet u de optie Geavanceerde functies inschakelen in het menu Weergave van Active Directory-gebruikerscomputers.
    Schermopname die laat zien hoe u toegang krijgt tot het menu Geavanceerde functies van de kenmerkeditor.
  4. Dubbelklik in het linkerdeelvenster op Gebruikers om de lijst met gebruikers weer te geven.
  5. Dubbelklik op een bepaalde gebruiker om het tabblad Kenmerkeditor te zien.

De NFS-client configureren

Volg de instructies in Een NFS-client configureren voor Azure NetApp Files NFS-client te configureren.

Volgende stappen