Share via

Nas-protocollen in Azure NetApp Files begrijpen

  • Artikel

NAS-protocollen zijn hoe gesprekken tussen clients en servers plaatsvinden. NFS en SMB zijn de NAS-protocollen die worden gebruikt in Azure NetApp Files. Elk biedt zijn eigen afzonderlijke communicatiemethoden, maar in de hoofdmap werken ze meestal op dezelfde manier.

  • Beide leveren één gegevensset aan veel verschillende gekoppelde clients in het netwerk.
  • Beide kunnen versleutelde verificatiemethoden gebruiken voor het delen van gegevens.
  • Beide kunnen worden beveiligd met share- en bestandsmachtigingen.
  • Beide kunnen gegevens tijdens de vlucht versleutelen.
  • Beide kunnen meerdere verbindingen gebruiken om de prestaties te parallelliseren.

Netwerkbestandssysteem (NFS)

NFS wordt voornamelijk gebruikt met Linux/UNIX-clients zoals Red Hat, SUSE, Ubuntu, AIX, Solaris en Apple OS. Azure NetApp Files ondersteunt elke NFS-client die werkt in de RFC-standaarden. Windows kan ook NFS gebruiken voor toegang, maar werkt niet met RFC-standaarden (Request for Comments).

RFC-standaarden voor NFS-protocollen vindt u hier:

NFSv3

NFSv3 is een basisaanbod van het protocol en heeft de volgende belangrijke kenmerken:

  • NFSv3 is staatloos, wat betekent dat de NFS-server de statussen van verbindingen (inclusief vergrendelingen) niet bijhoudt.
  • Vergrendelen wordt buiten het NFS-protocol afgehandeld met behulp van Network Lock Manager (NLM). Omdat vergrendelingen niet in het protocol zijn geïntegreerd, kunnen verouderde vergrendelingen soms optreden.
  • Omdat NFSv3 staatloos is, kunnen prestaties met NFSv3 aanzienlijk beter zijn in sommige workloads, met name in workloads met bewerkingen met hoge metagegevens, zoals OPEN, CLOSE, SETATTR en GETATTR. Dit is het geval omdat er minder algemeen werk moet worden gedaan om aanvragen op de server en client te verwerken.
  • NFSv3 maakt gebruik van een basisbestandsmachtigingsmodel waarbij alleen de eigenaar van het bestand, een groep en alle anderen een combinatie van lees-/schrijf-/uitvoermachtigingen kunnen worden toegewezen.
  • NFSv3 kan NFSv4.x ACL's gebruiken, maar een NFSv4.x-beheerclient moet de ACL's configureren en beheren. Azure NetApp Files biedt geen ondersteuning voor het gebruik van niet-standaard POSIX-concept-ACL's.
  • NFSv3 vereist ook het gebruik van andere aanvullende protocollen voor reguliere bewerkingen, zoals poortdetectie, koppelen, vergrendelen, statuscontrole en quota. Elk aanvullend protocol maakt gebruik van een unieke netwerkpoort, wat betekent dat NFSv3-bewerkingen meer blootstelling vereisen via firewalls met bekende poortnummers.
  • Azure NetApp Files gebruikt de volgende poortnummers voor NFSv3-bewerkingen. Het is niet mogelijk om deze poortnummers te wijzigen:
    • Portmapper (111)
    • Koppelen (635)
    • NFS (2049)
    • NLM (4045)
    • NSM (4046)
    • Rquota (4049)
  • NFSv3 kan gebruikmaken van beveiligingsverbeteringen zoals Kerberos, maar Kerberos heeft alleen invloed op het NFS-gedeelte van de pakketten; aanvullende protocollen (zoals NLM, portmapper, mount) zijn niet opgenomen in het Kerberos-gesprek.
    • Azure NetApp Files ondersteunt alleen NFSv4.1 Kerberos-versleuteling
  • NFSv3 gebruikt numerieke id's voor de gebruikers- en groepsverificatie. Gebruikersnamen en groepsnamen zijn niet vereist voor communicatie of machtigingen, waardoor adresvervalsing van een gebruiker eenvoudiger kan worden, maar configuratie en beheer eenvoudiger zijn.
  • NFSv3 kan LDAP gebruiken voor gebruikers- en groepszoekacties.

Ondersteuning voor NFSv3-serviceversie

NFSv3 ondersteunt momenteel de volgende versies van elk aanvullend protocol in Azure NetApp Files:

Service Ondersteunde versies
Portmapper 4, 3, 2
NFS 4, 3*
Gemonteerd 3, 2, 1
Nlockmgr 4
Status 1
Quota's 1

* Ondersteunde NFS-versies worden weergegeven op basis van de versie die is geselecteerd voor het Azure NetApp Files-volume.

Deze informatie kan worden verzameld van uw Azure NetApp Files-volume met de volgende opdracht:

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x verwijst naar alle NFS-versies of secundaire versies die onder NFSv4 vallen, waaronder NFSv4.0, NFSv4.1 en NFSv4.2. Azure NetApp Files ondersteunt momenteel alleen NFSv4.1.

NFSv4.x heeft de volgende kenmerken:

  • NFSv4.x is een stateful protocol, wat betekent dat de client en server de statussen van de NFS-verbindingen bijhouden, inclusief vergrendelingsstatussen. De NFS-koppeling maakt gebruik van een concept dat bekend staat als een 'status-id' om de verbindingen bij te houden.
  • Vergrendelen is geïntegreerd in het NFS-protocol en vereist geen aanvullende vergrendelingsprotocollen om NFS-vergrendelingen bij te houden. In plaats daarvan worden vergrendelingen verleend op leasebasis. Ze verlopen na een bepaalde duur als een client- of serververbinding is verbroken, waardoor de vergrendeling wordt teruggezet naar het systeem voor gebruik met andere NFS-clients.
  • De statefulheid van NFSv4.x bevat enkele nadelen, zoals mogelijke onderbrekingen tijdens netwerkstoringen of opslagfailovers, en prestatieoverhead in bepaalde workloadtypen (zoals workloads met hoge metagegevens).
  • NFSv4.x biedt veel belangrijke voordelen ten opzichte van NFSv3, waaronder:
    • Betere vergrendelingsconcepten (vergrendeling op basis van lease)
    • Betere beveiliging (minder firewallpoorten nodig, standaardintegratie met Kerberos, gedetailleerde toegangsbeheer)
    • Meer voorzieningen
    • Samengestelde NFS-bewerkingen (meerdere opdrachten in één pakketaanvraag om netwerkchatter te verminderen)
    • Alleen TCP
  • NFSv4.x kan een robuuster bestandsmachtigingsmodel gebruiken dat vergelijkbaar is met Windows NTFS-machtigingen. Deze gedetailleerde ACL's kunnen worden toegepast op gebruikers of groepen en toestaan dat machtigingen worden ingesteld voor een breder scala aan bewerkingen dan basisbewerkingen voor lezen/schrijven/uitvoeren. NFSv4.x kan ook de standaard POSIX-modus bits gebruiken die door NFSv3 worden gebruikt.
  • Omdat NFSv4.x geen aanvullende protocollen gebruikt, wordt Kerberos toegepast op het hele NFS-gesprek wanneer deze in gebruik is.
  • NFSv4.x maakt gebruik van een combinatie van gebruikers-/groepsnamen en domeinreeksen om gebruikers- en groepsgegevens te verifiëren. De client en server moeten akkoord gaan met de domeintekenreeksen voor de juiste gebruikers- en groepsverificatie. Als de domeintekenreeksen niet overeenkomen, wordt de NFS-gebruiker of -groep verpletterd aan de opgegeven gebruiker in het bestand /etc/idmapd.conf op de NFS-client (bijvoorbeeld niemand).
  • Hoewel NFSv4.x standaard domeintekenreeksen gebruikt, is het mogelijk om de client en de server te configureren om terug te vallen op de klassieke numerieke id's die worden weergegeven in NFSv3 wanneer AUTH_SYS wordt gebruikt.
  • NFSv4.x heeft diepe integratie met tekenreeksen voor gebruikers- en groepsnamen en de server en clients moeten akkoord gaan met deze gebruikers en groepen. Overweeg daarom een naamserviceserver te gebruiken voor gebruikersverificatie, zoals LDAP op NFS-clients en -servers.

Zie de veelgestelde vragen over NFS in Azure NetApp Files voor veelgestelde vragen over NFS.

Server Message Block (SMB)

SMB wordt voornamelijk gebruikt met Windows-clients voor NAS-functionaliteit. Het kan echter ook worden gebruikt op Linux-besturingssystemen zoals AppleOS, RedHat, enzovoort. Deze implementatie wordt uitgevoerd met behulp van een toepassing met de naam Samba. Azure NetApp Files biedt officiële ondersteuning voor SMB met Windows en macOS. SMB/Samba op Linux-besturingssystemen kunnen werken met Azure NetApp Files, maar er is geen officiële ondersteuning.

Azure NetApp Files ondersteunt alleen SMB 2.1- en SMB 3.1-versies.

SMB heeft de volgende kenmerken:

  • SMB is een stateful protocol: de clients en de server onderhouden een 'status' voor SMB-shareverbindingen voor betere beveiliging en vergrendeling.
  • Vergrendeling in SMB wordt als verplicht beschouwd. Wanneer een bestand is vergrendeld, kan er geen andere client naar dat bestand schrijven totdat de vergrendeling is vrijgegeven.
  • SMBv2.x en later gebruiken samengestelde aanroepen om bewerkingen uit te voeren.
  • SMB ondersteunt volledige Kerberos-integratie. Met de manier waarop Windows-clients worden geconfigureerd, wordt Kerberos vaak gebruikt zonder dat eindgebruikers het ooit kennen.
  • Als Kerberos niet kan worden gebruikt voor verificatie, kan Windows NT LAN Manager (NTLM) worden gebruikt als een terugval. Als NTLM is uitgeschakeld in de Active Directory-omgeving, mislukken verificatieaanvragen die kerberos niet kunnen gebruiken.
  • SMBv3.0 en hoger ondersteunt end-to-end-versleuteling voor SMB-shares.
  • SMBv3.x ondersteunt meerdere kanalen voor prestatieverbeteringen in bepaalde werkbelastingen.
  • SMB gebruikt gebruikers- en groepsnamen (via SID-vertaling) voor verificatie. Gebruikers- en groepsgegevens worden verstrekt door een Active Directory-domeincontroller.
  • SMB in Azure NetApp Files maakt gebruik van standaard WINDOWS New Technology File System -ACL's (NTFS) voor bestands- en mapmachtigingen.

Zie de veelgestelde vragen over SMB in Azure NetApp Files voor veelgestelde vragen over SMB.

Dubbele protocollen

Sommige organisaties hebben pure Windows- of pure UNIX-omgevingen (homogeen) waarin alle gegevens worden geopend met slechts een van de volgende methoden:

Veel sites moeten echter gegevenssets inschakelen voor toegang vanaf zowel Windows- als UNIX-clients (heterogenous). Voor omgevingen met deze vereisten heeft Azure NetApp Files systeemeigen NAS-ondersteuning voor twee protocollen. Nadat de gebruiker is geverifieerd op het netwerk en zowel de juiste share- of exportmachtigingen als de benodigde machtigingen op bestandsniveau heeft, heeft de gebruiker toegang tot de gegevens van UNIX-hosts met behulp van NFS of van Windows-hosts met behulp van SMB.

Redenen voor het gebruik van volumes met twee protocollen

Het gebruik van volumes met twee protocollen met Azure NetApp Files biedt verschillende voordelen. Wanneer gegevenssets naadloos en tegelijkertijd kunnen worden geopend door clients die gebruikmaken van verschillende NAS-protocollen, kunnen de volgende voordelen worden bereikt:

  • Verminder de algemene beheertaken voor opslagbeheerders.
  • Vereisen dat slechts één kopie van gegevens wordt opgeslagen voor NAS-toegang vanaf meerdere clienttypen.
  • Met protocolagnostische NAS kunnen opslagbeheerders de stijl van ACL en toegangsbeheer beheren die aan eindgebruikers worden gepresenteerd.
  • Centraliseer identiteitsbeheerbewerkingen in een NAS-omgeving.

Algemene overwegingen met omgevingen met twee protocollen

Nas-toegang met twee protocollen is wenselijk voor veel organisaties voor zijn flexibiliteit. Er is echter een perceptie van moeilijkheden die een set overwegingen creëert die uniek zijn voor het concept van delen tussen protocollen. Deze overwegingen omvatten, maar zijn niet beperkt tot:

  • Vereiste van kennis over meerdere protocollen, besturingssystemen en opslagsystemen.
  • Werkende kennis van naamserviceservers, zoals DNS, LDAP, enzovoort.

Daarnaast kunnen externe factoren in het spel komen, zoals:

  • Omgaan met meerdere afdelingen en IT-groepen (zoals Windows-groepen en UNIX-groepen)
  • Bedrijfsaankopen
  • Domeinconsolidaties
  • Reorganisaties

Ondanks deze overwegingen kunnen nas-installatie, configuratie en toegang met twee protocollen eenvoudig en naadloos worden geïntegreerd in elke omgeving.

Hoe Azure NetApp Files het gebruik van twee protocollen vereenvoudigt

Azure NetApp Files consolideert de infrastructuur die nodig is voor geslaagde NAS-omgevingen met twee protocollen in één beheervlak, waaronder opslag- en identiteitsbeheerservices.

Configuratie met twee protocollen is eenvoudig en de meeste taken worden afgeschermd door het Azure NetApp Files-resourcebeheerframework om bewerkingen voor cloudoperators te vereenvoudigen.

Nadat een Active Directory-verbinding tot stand is gebracht met Azure NetApp Files, kunnen volumes met twee protocollen de verbinding gebruiken om zowel het Windows- als UNIX-identiteitsbeheer te verwerken dat nodig is voor de juiste gebruikers- en groepsverificatie met Azure NetApp Files-volumes zonder extra configuratiestappen buiten het normale gebruikers- en groepsbeheer binnen de Active Directory- of LDAP-services.

Door de extra opslaggerichte stappen voor configuraties met twee protocollen te verwijderen, stroomlijnt Azure NetApp Files de algehele implementatie van twee protocollen voor organisaties die willen overstappen naar Azure.

Hoe Azure NetApp Files-volumes met twee protocollen werken

Op hoog niveau gebruiken Azure NetApp Files dual-protocolvolumes een combinatie van naamtoewijzings- en machtigingsstijlen om consistente gegevenstoegang te bieden, ongeacht het protocol dat wordt gebruikt. Dat betekent dat u, ongeacht of u toegang hebt tot een bestand vanuit NFS of SMB, u er zeker van kunt zijn dat gebruikers met toegang tot deze bestanden toegang hebben tot deze bestanden en dat gebruikers zonder toegang tot die bestanden geen toegang hebben.

Wanneer een NAS-client toegang aanvraagt tot een volume met twee protocollen in Azure NetApp Files, vinden de volgende bewerkingen plaats om de eindgebruiker een transparante ervaring te bieden.

  1. Een NAS-client maakt een NAS-verbinding met het volume met twee protocollen van Azure NetApp Files.
  2. De NAS-client geeft gebruikersidentiteitsgegevens door aan Azure NetApp Files.
  3. Azure NetApp Files controleert of de NAS-client/-gebruiker toegang heeft tot de NAS-share.
  4. Azure NetApp Files neemt die gebruiker en wijst deze toe aan een geldige gebruiker die in naamservices is gevonden.
  5. Azure NetApp Files vergelijkt die gebruiker met de machtigingen op bestandsniveau in het systeem.
  6. Bestandsmachtigingen bepalen het toegangsniveau dat de gebruiker heeft.

In de volgende afbeelding user1 wordt geverifieerd bij Azure NetApp Files voor toegang tot een volume met twee protocollen via SMB of NFS. Azure NetApp Files vindt de Windows- en UNIX-gegevens van de gebruiker in Microsoft Entra ID en wijst vervolgens de Windows- en UNIX-identiteiten van de gebruiker een-op-een toe. De gebruiker wordt geverifieerd als user1 en krijgt user1de toegangsreferenties.

In dit geval user1 krijgt u volledige controle over hun eigen map (user1-dir) en geen toegang tot de HR map. Deze instelling is gebaseerd op de beveiligings-ACL's die zijn opgegeven in het bestandssysteem en user1 krijgt de verwachte toegang, ongeacht welk protocol ze toegang hebben tot de volumes.

Diagram of user accessing a dual-protocol volume with Azure NetApp Files.

Overwegingen voor Azure NetApp Files-volumes met twee protocollen

Wanneer u Azure NetApp Files-volumes gebruikt voor toegang tot zowel SMB als NFS, zijn enkele overwegingen van toepassing:

  • U hebt een Active Directory-verbinding nodig. Daarom moet u voldoen aan de vereisten voor Active Directory-verbindingen.
  • Volumes met twee protocollen vereisen een zone voor reverse lookup in DNS met een bijbehorende pointerrecord (PTR) van de AD-hostcomputer om fouten bij het maken van volumes met twee protocollen te voorkomen.
  • Uw NFS-client en bijbehorende pakketten (zoals nfs-utils) moeten up-to-date zijn voor de beste ondersteuning voor beveiliging, betrouwbaarheid en functie.
  • Volumes met twee protocollen ondersteunen zowel Active Directory-domein Services (AD DS) als Microsoft Entra Domain Services.
  • Volumes met twee protocollen bieden geen ondersteuning voor het gebruik van LDAP via TLS met Microsoft Entra Domain Services. Zie LDAP via TLS-overwegingen.
  • Ondersteunde NFS-versies zijn: NFSv3 en NFSv4.1.
  • NFSv4.1-functies zoals parallel netwerkbestandssysteem (pNFS), sessiestammen en verwijzingen worden momenteel niet ondersteund met Azure NetApp Files-volumes.
  • Uitgebreide Windows-kenmerken set/get worden niet ondersteund in volumes met twee protocollen.
  • Zie aanvullende overwegingen voor het maken van een volume met twee protocollen voor Azure NetApp Files.

Volgende stappen