NFS-bestandsshares in Azure Files
Azure Files biedt twee industriestandaard bestandssysteemprotocollen voor het koppelen van Azure-bestandsshares: het SMB-protocol (Server Message Block) en het NFS-protocol (Network File System), zodat u het protocol kunt kiezen dat het meest geschikt is voor uw workload. Azure-bestandsshares bieden geen ondersteuning voor toegang tot een afzonderlijke Azure-bestandsshare met zowel de SMB- als NFS-protocollen, hoewel u SMB- en NFS-bestandsshares binnen hetzelfde FileStorage-opslagaccount kunt maken. Azure Files biedt hoogwaardige bestandsshares die omhoog kunnen worden geschaald om te voldoen aan uw opslagbehoeften en die gelijktijdig toegankelijk zijn voor duizenden clients.
In dit artikel worden NFS Azure-bestandsshares behandeld. Zie SMB-bestandsshares in Azure Files voor informatie over SMB-bestandsshares.
Belangrijk
NFS Azure-bestandsshares worden niet ondersteund voor Windows. Voordat u NFS Azure-bestandsshares in productie gebruikt, raadpleegt u Problemen met NFS Azure-bestandsshares oplossen voor een lijst met bekende problemen. NFS-toegangsbeheerlijsten (ACL's) worden niet ondersteund.
Algemene scenario's
NFS-bestandsshares worden vaak gebruikt in de volgende scenario's:
- Back-upopslag voor Linux-/UNIX-toepassingen, zoals Line-Of-Business-toepassingen die zijn geschreven met behulp van Linux- of POSIX-bestandssysteem-API's (zelfs als ze GEEN POSIX-naleving vereisen).
- Workloads waarvoor POSIX-compatibele bestandsshares, hoofdlettergevoeligheid of Unix-stijlmachtigingen (UID/GID) zijn vereist.
- Nieuwe toepassings- en serviceontwikkeling, met name als die toepassing of service een vereiste heeft voor willekeurige I/O en hiërarchische opslag.
Functies
- Volledig POSIX-compatibel bestandssysteem.
- Ondersteuning voor vaste koppelingen.
- Ondersteuning voor symbolische koppelingen.
- NFS-bestandsshares ondersteunen momenteel alleen de meeste functies uit de protocolspecificatie 4.1. Sommige functies, zoals delegaties en callback van allerlei soorten, Kerberos-verificatie, ACL's en versleuteling in transit worden niet ondersteund.
Notitie
Het maken van een harde koppeling op basis van een bestaande symbolische koppeling wordt momenteel niet ondersteund.
Beveiliging en netwerken
Alle gegevens die zijn opgeslagen in Azure Files worden inactief versleuteld met behulp van Azure Storage Service Encryption (SSE). Versleuteling van de opslagservice werkt op dezelfde manier als BitLocker op Windows: gegevens worden versleuteld onder het bestandssysteemniveau. Omdat gegevens worden versleuteld onder het bestandssysteem van de Azure-bestandsshare (vanwege codering naar de schijf) hoeft u geen toegang te hebben tot de onderliggende sleutel op de client om naar de Azure-bestandsshare te kunnen lezen of schrijven. Inactieve versleuteling geldt voor zowel SMB- als NFS-protocollen.
Voor versleuteling in transit biedt Azure een versleutelingslaag voor alle gegevens die worden overgedragen tussen Azure-datacenters met behulp van MACSec. Hierdoor bestaat versleuteling wanneer gegevens worden overgedragen tussen Azure-datacenters.
In tegenstelling tot Azure Files met behulp van het SMB-protocol bieden bestandsshares met het NFS-protocol geen verificatie op basis van gebruikers. Verificatie voor NFS-shares is gebaseerd op de geconfigureerde netwerkbeveiligingsregels. Om ervoor te zorgen dat alleen beveiligde verbindingen tot stand worden gebracht met uw NFS-share, moet u een privé-eindpunt of een service-eindpunt instellen voor uw opslagaccount.
Een privé-eindpunt (ook wel een privékoppeling genoemd) geeft uw opslagaccount een privé, statisch IP-adres in uw virtuele netwerk, waardoor onderbrekingen van de connectiviteit niet kunnen worden gewijzigd door dynamische IP-adressen. Verkeer naar uw opslagaccount blijft binnen gekoppelde virtuele netwerken, inclusief die in andere regio's en on-premises. Standaardtarieven voor gegevensverwerking zijn van toepassing.
Als u geen statisch IP-adres nodig hebt, kunt u een service-eindpunt inschakelen voor Azure Files in het virtuele netwerk. Een service-eindpunt configureert opslagaccounts om alleen toegang vanaf specifieke subnetten toe te staan. De toegestane subnetten kunnen deel uitmaken van een virtueel netwerk in hetzelfde abonnement of een ander abonnement, inclusief subnetten die deel uitmaken van een andere Microsoft Entra-tenant. Er worden geen extra kosten in rekening gebracht voor het gebruik van service-eindpunten. Houd er echter rekening mee dat een zeldzame gebeurtenis, zoals een zonegebonden storing, ertoe kan leiden dat het onderliggende IP-adres van het opslagaccount wordt gewijzigd. Hoewel de gegevens nog steeds beschikbaar zijn op de bestandsshare, moet de client de share opnieuw koppelen.
Als u toegang wilt krijgen tot shares vanaf on-premises, moet u een VPN of ExpressRoute instellen naast een privé-eindpunt. Aanvragen die niet afkomstig zijn van de volgende bronnen, worden geweigerd:
Zie Azure Files-netwerkoverwegingen voor meer informatie over de beschikbare netwerkopties.
Ondersteuning voor Azure Storage-functies
In de volgende tabel ziet u het huidige ondersteuningsniveau voor Azure Storage-functies in accounts waarvoor de functie NFS 4.1 is ingeschakeld.
De status van items die in deze tabel worden weergegeven, kan na verloop van tijd veranderen naarmate de ondersteuning blijft uitbreiden.
| Opslagfunctie | Ondersteund voor NFS-shares |
|---|---|
| REST API voor bestandsbeheervlak | ✔️ |
| REST API voor bestandsgegevensvlak | ⛔ |
| Versleuteling 'at rest' | ✔️ |
| Versleuteling 'in transit' | ⛔ |
| LRS- of ZRS-redundantietypen | ✔️ |
| LRS naar ZRS-conversie | ⛔ |
| Azure DNS-zone-eindpunten (preview) | ✔️ |
| Privé-eindpunten | ✔️ |
| Submapkoppelingen | ✔️ |
| Netwerktoegang verlenen tot specifieke virtuele Azure-netwerken | ✔️ |
| Netwerktoegang verlenen tot specifieke IP-adressen | ⛔ |
| Premiumlaag | ✔️ |
| Standard-lagen (dynamisch, statisch en geoptimaliseerd voor transacties) | ⛔ |
| POSIX-machtigingen | ✔️ |
| Root squash | ✔️ |
| Toegang krijgen tot dezelfde gegevens vanuit de Windows- en Linux-client | ⛔ |
| Verificatie op basis van identiteit | ⛔ |
| Voorlopig verwijderen van Azure-bestandsshare | ⛔ |
| Azure File Sync | ⛔ |
| Back-ups van Azure-bestandsshares | ⛔ |
| Momentopnamen van Azure-bestandsshares | ✔️ |
| GRS- of GZRS-redundantietypen | ⛔ |
| AzCopy | ⛔ |
| Azure Storage Explorer | ⛔ |
| Ondersteuning voor meer dan 16 groepen | ⛔ |
Regionale beschikbaarheid
Azure NFS-bestandsshares worden ondersteund in dezelfde regio's die premium bestandsopslag ondersteunen.
Zie de vermelding Premium Files Storage op de pagina voor Azure-producten die beschikbaar zijn per regio voor de meest recente lijst.
Prestaties
NFS Azure-bestandsshares worden alleen aangeboden op Premium-bestandsshares, die gegevens opslaan op SSD's (Solid-State Drives). De IOPS en doorvoer van NFS-shares worden geschaald met de ingerichte capaciteit. Zie de sectie ingericht model van het artikel Over facturering om inzicht te krijgen in de formules voor IOPS, IO-bursting en doorvoer. De gemiddelde I/O-latenties zijn lage milliseconden voor kleine I/O-grootte, terwijl gemiddelde latenties van metagegevens een hoge milliseconde zijn. Zware bewerkingen voor metagegevens, zoals untar en workloads zoals WordPress, kunnen extra latenties ondervinden vanwege het grote aantal open- en sluitbewerkingen.
Notitie
U kunt de nconnect linuxkoppelingsoptie gebruiken om de prestaties voor NFS Azure-bestandsshares op schaal te verbeteren. Zie Prestaties van NFS Azure-bestandsshares verbeteren voor meer informatie.
Workloads
Belangrijk
Voordat u NFS Azure-bestandsshares in productie gebruikt, raadpleegt u Problemen met NFS Azure-bestandsshares oplossen voor een lijst met bekende problemen.
NFS is gevalideerd om goed te werken met workloads zoals SAP-toepassingslaag, databaseback-ups, databasereplicatie, berichtenwachtrijen, basismappen voor bestandsservers voor algemeen gebruik en inhoudsopslagplaatsen voor toepassingsworkloads.