Skapa en volym med dubbla protokoll för Azure NetApp Files

  • Artikel
  • 9 minuter för att läsa

Azure NetApp Files har stöd för att skapa volymer med NFS (NFSv3 eller NFSv4.1), SMB3 eller dubbla protokoll (NFSv3 och SMB, eller NFSv4.1 och SMB). Den här artikeln visar hur du skapar en volym som använder dubbla protokoll med stöd för LDAP-användarmappning.

Information om hur du skapar NFS-volymer finns i Skapa en NFS-volym. Information om hur du skapar SMB-volymer finns i Skapa en SMB-volym.

Innan du börjar

Överväganden

  • Kontrollera att du uppfyller kraven för Active Directory-anslutningar.

  • Skapa ett pcuser konto i Active Directory (AD) och kontrollera att kontot är aktiverat. Det här kontot fungerar som standardanvändare. Den används för att mappa UNIX användare för åtkomst till en volym med dubbla protokoll som konfigurerats med NTFS-säkerhetsformat. Kontot pcuser används bara när det inte finns någon användare i AD. Om en användare har ett konto i AD med POSIX-attributen inställda är det kontot det konto som används för autentisering och det mappas inte till pcuser kontot.

  • Skapa en zon för omvänd sökning på DNS-servern och lägg sedan till en pekarpost (PTR) för AD-värddatorn i den omvända uppslagszonen. Annars går det inte att skapa volymen med dubbla protokoll.

  • Alternativet Tillåt lokala NFS-användare med LDAP i Active Directory-anslutningar har för avsikt att ge tillfällig och tillfällig åtkomst till lokala användare. När det här alternativet är aktiverat slutar användarautentisering och sökning från LDAP-servern att fungera. Därför bör du behålla det här alternativet inaktiverat för Active Directory-anslutningar, förutom de fall då en lokal användare behöver komma åt LDAP-aktiverade volymer. I så fall bör du inaktivera det här alternativet så snart lokal användaråtkomst inte längre krävs för volymen. Se Allow local NFS users with LDAP to access a dual-protocol volume about managing local user access (Tillåt lokala NFS-användare med LDAP att komma åt en volym med dubbla protokoll om att hantera lokal användaråtkomst).

  • Kontrollera att NFS-klienten är uppdaterad och att de senaste uppdateringarna för operativsystemet används.

  • Volymer med dubbla protokoll stöder både Active Directory Domain Services (ADDS) och Azure Active Directory Domain Services (AADDS).

  • Volymer med dubbla protokoll stöder inte användning av LDAP över TLS med AADDS. Se LDAP över TLS-överväganden.

  • NFS-versionen som används av en volym med dubbla protokoll kan vara NFSv3 eller NFSv4.1. Följande gäller:

    • Dubbla protokoll stöder inte utökade Windows ACLS från set/get NFS-klienter.

    • NFS-klienter kan inte ändra behörigheter för NTFS-säkerhetsformatet och Windows klienter kan inte ändra behörigheter för UNIX av volymer med dubbla protokoll.

      I följande tabell beskrivs säkerhetsformaten och deras effekter:

      Säkerhetsformat Klienter som kan ändra behörigheter Behörigheter som klienter kan använda Resulterande effektiv säkerhetsstil Klienter som har åtkomst till filer
      Unix NFS NFSv3- eller NFSv4.1-läges bitar UNIX NFS och Windows
      Ntfs Windows NTFS-ACL:er NTFS NFS och Windows

    • I vilken riktning namnmappningen sker (Windows till UNIX eller UNIX till Windows) beror på vilket protokoll som används och vilket säkerhetsformat som används för en volym. En Windows klient kräver alltid en Windows-till-UNIX-namnmappning. Om en användare används för att granska behörigheter beror på säkerhetsformatet. Omvänt behöver en NFS-klient bara använda en UNIX-till-Windows-namnmappning om NTFS-säkerhetsformatet används.

      I följande tabell beskrivs namnmappningar och säkerhetsformat:

      Protokoll Säkerhetsformat Namnmappningsriktning Behörigheter som tillämpas
      SMB Unix Windows till UNIX UNIX (lägesbitar eller NFSv4.x ACL:er)
      SMB Ntfs Windows till UNIX NTFS-ACL:er (baserat Windows sidåtkomst till resurs)
      NFSv3 Unix Ingen UNIX (lägesbitar eller NFSv4.x ACL:er)

      Observera att NFSv4.x-ACL:er kan tillämpas med hjälp av en administrativ NFSv4.x-klient och tillämpas av NFSv3-klienter.
      NFS Ntfs UNIX till Windows NTFS ACL:er (baserat på mappade Windows användar-SID)

  • Om du har stora topologier och använder säkerhetsformatet med en volym med dubbla protokoll eller LDAP med utökade grupper kanske Azure NetApp Files inte kan komma åt alla servrar i Unix dina topologier. Om den här situationen inträffar kontaktar du ditt kontoteam för att få hjälp.

  • Du behöver inget certifikat från serverns rotcertifikatutfärdare för att skapa en volym med dubbla protokoll. Det krävs bara om LDAP över TLS är aktiverat.

Skapa en volym med dubbla protokoll

  1. Klicka på bladet Volymer på bladet Kapacitetspooler. Klicka på + Lägg till volym för att skapa en volym.

    Navigera till volymer

  2. I fönstret Skapa en volym klickar du på Skapa och anger information om följande fält under fliken Grundläggande:

    • Volymnamn
      Ange namnet på den volym du skapar.

      Ett volymnamn måste vara unikt inom varje kapacitetspool. Det måste innehålla minst tre tecken. Namnet måste börja med en bokstav. Det får endast innehålla bokstäver, siffror, understreck ('_') bindestreck och bindestreck ('-').

      Du kan inte använda default eller bin som volymnamn.

    • Kapacitetspool
      Ange den kapacitetspool där du vill att volymen ska skapas.

    • Kvot
      Ange mängden logisk lagring som tilldelas till volymen.

      Fältet Tillgänglig kvot visar mängden outnyttjat utrymme i kapacitetspoolen, som du kan använda för att skapa en ny volym. Storleken på den nya volymen får inte överskrida den tillgängliga kvoten.

    • Dataflöde (MiB/S)
      Om volymen skapas i en manuell QoS-kapacitetspool anger du det dataflöde som du vill använda för volymen.

      Om volymen skapas i en automatisk QoS-kapacitetspool visas värdet i det här fältet (kvot x dataflöde på tjänstnivå).

    • Virtuellt nätverk
      Ange det virtuella Azure-nätverk (VNet) som du vill komma åt volymen från.

      Det virtuella nätverk som du anger måste ha ett undernät delegerat till Azure NetApp Files. Azure NetApp Files-tjänsten kan endast nås från samma virtuella nätverk eller från ett virtuellt nätverk som finns i samma region som volymen via VNet-peering. Du kan också komma åt volymen från ditt lokala nätverk via Express Route.

    • Undernät
      Ange det undernät som du vill använda för volymen.
      Det undernät som du anger måste delegeras till Azure NetApp Files.

      Om du inte har delegerat ett undernät kan du klicka på Skapa nytt på sidan Skapa en volym. På sidan Skapa undernät anger du sedan undernätsinformationen och väljer Microsoft.NetApp/volumes för att delegera undernätet för Azure NetApp Files. I varje Vnet kan endast ett undernät delegeras till Azure NetApp Files.

      Skapa en volym

      Skapa undernät

    • Nätverksfunktioner
      I regioner som stöds kan du ange om du vill använda nätverksfunktionerna Basic eller Standard för volymen. Se Konfigurera nätverksfunktioner för en volym och Riktlinjer för Azure NetApp Files nätverksplanering för mer information.

    • Om du vill tillämpa en befintlig ögonblicksbildsprincip på volymen klickar du på Visa avancerat avsnitt för att expandera den, anger om du vill dölja sökvägen till ögonblicksbilden och väljer en ögonblicksbildsprincip i den nedströmsmenyn.

      Information om hur du skapar en princip för ögonblicksbilder finns i Hantera principer för ögonblicksbilder.

      Visa avancerat val

  3. Klicka på fliken Protokoll och utför sedan följande åtgärder:

    • Välj Dubbla protokoll som protokolltyp för volymen.

    • Ange den Active Directory-anslutning som ska användas.

    • Ange en unik volymsökväg. Den här sökvägen används när du skapar monteringsmål. Kraven för sökvägen är följande:

      • Det måste vara unikt inom varje undernät i regionen.
      • Det måste börja med ett alfabetiskt tecken.
      • Det får bara innehålla bokstäver, siffror eller bindestreck ( - ).
      • Längden får inte överskrida 80 tecken.

    • Ange vilka versioner som ska användas för dubbla protokoll: NFSv4.1 och SMB, eller NFSv3 och SMB.

      Funktionen för att använda NFSv4.1 och SMB dual protocol är för närvarande i förhandsversion. Om du använder den här funktionen för första gången måste du registrera funktionen:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFDualProtocolNFSv4AndSMB

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet Registering i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registrerad innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFDualProtocolNFSv4AndSMB

      Du kan också använda Azure CLI-kommandon az feature register och för att registrera funktionen och visa az feature show registreringsstatus.

    • Ange säkerhetsstilen som ska användas: NTFS (standard) eller UNIX.

    • Om du vill aktivera SMB3-protokollkryptering för volymen med dubbla protokoll väljer du Aktivera SMB3-protokollkryptering.

      Den här funktionen möjliggör kryptering endast för SMB3-data under flygning. Den krypterar inte NFSv3-data under flygning. SMB-klienter som inte använder SMB3-kryptering kan inte komma åt den här volymen. Vilodata krypteras oavsett den här inställningen. Mer information finns i SMB-kryptering.

      Funktionen SMB3-protokollkryptering är för närvarande i förhandsversion. Om det här är första gången du använder den här funktionen registrerar du funktionen innan du använder den:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBEncryption

      Kontrollera status för funktionsregistreringen:

      Anteckning

      RegistrationState kan vara i tillståndet Registering i upp till 60 minuter innan den ändras till Registered . Vänta tills statusen är Registered innan du fortsätter.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBEncryption

      Du kan också använda Azure CLI-kommandon az feature register och för att registrera funktionen och visa az feature show registreringsstatus.

    • Om du har valt NFSv4.1 och SMB för volymversionerna med dubbla protokoll anger du om du vill aktivera Kerberos-kryptering för volymen.

      Ytterligare konfigurationer krävs för Kerberos. Följ anvisningarna i Konfigurera NFSv4.1 Kerberos-kryptering.

    • Anpassa Unix-behörigheter efter behov för att ange ändringsbehörigheter för monteringssökvägen. Inställningen gäller inte för filerna under monteringssökvägen. Standardinställningen är 0770. Den här standardinställningen ger ägaren och gruppen läs-, skriv- och körbehörighet, men inga behörigheter beviljas till andra användare.
      Registreringskrav och överväganden gäller för att ställa in Unix-behörigheter. Följ anvisningarna i Konfigurera Unix-behörigheter och ändra ägarskapsläge.

    • Du kan också konfigurera exportprincipen för volymen.

    Ange dubbla protokoll

  4. Klicka på Granska + skapa för att granska volyminformationen. Klicka sedan på Skapa för att skapa volymen.

    Volymen som du skapade visas på sidan Volymer.

    En volym ärver prenumeration, resursgrupp och platsattribut från kapacitetspoolen. Du kan övervaka volymdistributionsstatusen via fliken Meddelanden.

Tillåt att lokala NFS-användare med LDAP får åtkomst till en volym med dubbla protokoll

Alternativet Tillåt lokala NFS-användare med LDAP i Active Directory-anslutningar gör att lokala NFS-klientanvändare som inte finns på Windows LDAP-servern kan komma åt en volym med dubbla protokoll som har LDAP med utökade grupper aktiverade.

Anteckning

Innan du aktiverar det här alternativet bör du förstå övervägandena.
Alternativet Tillåt lokala NFS-användare med LDAP är en del av funktionen LDAP med utökade grupper och kräver registrering. Mer information finns i Konfigurera ADDS LDAP med utökade grupper för NFS-volymåtkomst.

  1. Klicka på Active Directory-anslutningar. På en befintlig Active Directory-anslutning klickar du på snabbmenyn (de tre punkterna ) och väljer Redigera.

  2. I fönstret Redigera Active Directory-inställningar som visas väljer du alternativet Tillåt lokala NFS-användare med LDAP.

    Skärmbild som visar alternativet Tillåt lokala NFS-användare med LDAP

Hantera LDAP POSIX-attribut

Du kan hantera POSIX-attribut som UID, Hemkatalog och andra värden med hjälp Active Directory - användare och datorer MMC snapin-modulen. I följande exempel visas Active Directory-attributredigeraren:

Active Directory-attributredigeraren

Du måste ange följande attribut för LDAP-användare och LDAP-grupper:

  • Obligatoriska attribut för LDAP-användare:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Obligatoriska attribut för LDAP-grupper:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Alla användare och grupper måste uidNumber ha gidNumber unika respektive .

De värden som anges objectClass för är separata poster. I till exempel multivärdessträngredigeraren skulle objectClass ha separata värden ( och ) som anges på följande sätt för user posixAccount LDAP-användare:

Skärmbild av Flervärdessträngsredigeraren som visar flera värden som har angetts för Objektklass.

Azure Active Directory Domain Services (AADDS) tillåter inte att du ändrar POSIX-attribut för användare och grupper som skapats i organisationens organisationsenhet för AADDC-användare. Som en tillfällig lösning kan du skapa en anpassad organisationsenhet och skapa användare och grupper i den anpassade organisationsenheten.

Om du synkroniserar användare och grupper i din Azure AD-innehavare till användare och grupper i organisationsenheten för AADDC-användare kan du inte flytta användare och grupper till en anpassad organisationsenhet. Användare och grupper som har skapats i den anpassade organisationsenheten synkroniseras inte med AD-innehavare. Mer information finns i Överväganden och begränsningar för AADDS-anpassade organisationsenhet.

Åtkomst till Active Directory-attributredigeraren

I ett Windows-system kan du komma åt Active Directory-attributredigeraren på följande sätt:

  1. Klicka Starta, gå Windows administrationsverktyg och klicka sedan Active Directory - användare och datorer för att öppna Active Directory - användare och datorer fönstret.
  2. Klicka på det domännamn som du vill visa och expandera sedan innehållet.
  3. Om du vill visa den avancerade attributredigeraren aktiverar du alternativet Avancerade funktioner på menyn Visa datorer för Active Directory-användare.
    Skärmbild som visar hur du kommer åt menyn Avancerade funktioner i Attributredigeraren.
  4. Dubbelklicka på Användare i det vänstra fönstret för att se listan över användare.
  5. Dubbelklicka på en viss användare för att se fliken Attributredigerare.

Konfigurera NFS-klienten

Följ anvisningarna i Konfigurera en NFS-klient Azure NetApp Files konfigurera NFS-klienten.

Nästa steg