Azure NetApp Files için çift protokol birimi oluşturma

Azure NetApp Files NFS (NFSv3 veya NFSv4.1), SMB3 veya çift protokol (NFSv3 ve SMB veya NFSv4.1 ve SMB) kullanarak birim oluşturmayı destekler. Bu makalede, LDAP kullanıcı eşlemesi desteğiyle çift protokol kullanan bir birimin nasıl oluşturul açıklanmıştır.

NFS birimleri oluşturmak için bkz. NFS birimi oluşturma. SMB birimleri oluşturmak için bkz. SMB birimi oluşturma.

Başlamadan önce

• Zaten bir kapasite havuzu oluşturulmuş olması gerekir.
  Bkz. Kapasite havuzu oluşturma.
• Bir alt ağ, Azure NetApp Files.
  Bkz. Azure NetApp Files için bir alt ağı temsilci olarak belirleme.

Dikkat edilmesi gerekenler

• Active Directory bağlantıları için gereksinimleri karşılayalı olduğundan emin olun.

• Active pcuser Directory'nize (AD) bir hesap oluşturun ve hesabın etkinleştirildiğinden emin olun. Bu hesap varsayılan kullanıcı olarak görev yapacaktır. Ntfs güvenlik stiliyle yapılandırılmış UNIX protokol birimine erişmek üzere kullanıcıları eşlemek için kullanılır. Hesap pcuser yalnızca AD'de kullanıcı mevcut değilken kullanılır. Kullanıcının AD'de POSIX öznitelikleri ayarlanmış bir hesabı varsa, bu hesap kimlik doğrulaması için kullanılan hesap olur ve hesaba pcuser eşlanmaz.

• DNS sunucusunda geriye doğru arama bölgesi oluşturun ve ardından bu geriye doğru arama bölgesine AD konak makinesinin bir işaretçi (PTR) kaydını ekleyin. Aksi takdirde, çift protokol birimi oluşturma işlemi başarısız olur.

• Active Directory bağlantılarında LDAP ile yerel NFS kullanıcılarına izin ver seçeneği, yerel kullanıcılara ara sıra ve geçici erişim sağlamak için kullanılır. Bu seçenek etkinleştirildiğinde, LDAP sunucusundan kullanıcı kimlik doğrulaması ve arama çalışmayı durdurur. Bu nedenle, yerel bir kullanıcının LDAP özellikli birimlere erişmesi gerektiği durumlar dışında, Active Directory bağlantılarında bu seçeneği devre dışı tutabilirsiniz. Bu durumda, birim için yerel kullanıcı erişimi artık gerekli olmadığı anda bu seçeneği devre dışı bırakmanız gerekir. Bkz. LDAP'ye sahip yerel NFS kullanıcılarının yerel kullanıcı erişimini yönetme hakkında çift protokol birimine erişmesine izin verme.

• NFS istemcisinin güncel olduğundan ve işletim sistemi için en son güncelleştirmeleri çalıştırdığından emin olun.

• Çift protokol birimleri hem etki alanı Active Directory Domain Services (ADDS) hem de Azure Active Directory Hizmetleri'nin (AADDS) desteklemektedir.

• Çift protokol birimleri, AADDS ile TLS üzerinden LDAP kullanımını desteklemez. Bkz. TLS üzerinden LDAP ile ilgili dikkat edilmesi gerekenler.

• Çift protokol birimi tarafından kullanılan NFS sürümü NFSv3 veya NFSv4.1 olabilir. Aşağıdaki noktalara dikkat edilmelidir:

  • Çift protokol, NFS istemcilerinden Windows ACLS genişletilmiş set/get özniteliklerini desteklemez.

  • NFS istemcileri NTFS güvenlik stili için izinleri değiştiremez ve Windows çift protokol UNIX izinlerini değiştiremez.

    Aşağıdaki tabloda güvenlik stilleri ve etkileri açıkmektedir:

    Güvenlik stili	İzinleri değiştiren istemciler	İstemcilerin kullanabileceği izinler	Sonuçta etkili güvenlik stili	Dosyalara erişen istemciler
    Unix	NFS	NFSv3 veya NFSv4.1 modu bitleri	UNIX	NFS ve Windows
    Ntfs	Windows	NTFS ACL'leri	NTFS	NFS ve Windows

  • Ad eşlemenin hangi yönde (Windows'UNIX veya UNIX'Windows'a) gerçekleşmesi, bir bire için hangi protokolün ve hangi güvenlik stilinin uygulandığına bağlıdır. Bir Windows her zaman bir Windows-UNIX ad eşlemesi gerektirir. Bir kullanıcının gözden geçirme izinlerine uygulanıp uygulanmay durumu güvenlik stiline bağlıdır. Buna karşılık, NFS istemcisinin yalnızca NTFS güvenlik stili UNIX-Windows ad eşlemesi kullanması gerekir.

    Aşağıdaki tabloda ad eşlemeleri ve güvenlik stilleri açık almaktadır:

    Protokol	Güvenlik stili	Ad eşleme yönü	Uygulanan izinler
    SMB	Unix	Windows UNIX	UNIX (mod bitleri veya NFSv4.x ACL'leri)
    SMB	Ntfs	Windows UNIX	NTFS ACL'leri (paylaşıma Windows SID tabanlı)
    NFSv3	Unix	Hiçbiri	UNIX (mod bitleri veya NFSv4.x ACL'leri) NFSv4.x ACL'lerinin NFSv4.x yönetim istemcisi kullanılarak uygulana ve NFSv3 istemcileri tarafından kabul edildiklerine dikkat.
    NFS	Ntfs	UNIX Windows	NTFS ACL'leri (eşlenen Windows SID'lerine göre)

• Büyük topolojiniz varsa ve genişletilmiş gruplarla çift protokol birimi veya LDAP ile güvenlik stilini kullanıyorsanız, Azure NetApp Files topolojilerinizin tüm sunucularına Unix erişeyemebilirsiniz. Bu durum oluşursa yardım için hesap takımınıza başvurun.

• Çift protokol birimi oluşturmak için sunucu kök CA sertifikasına ihtiyacınız yok. Yalnızca TLS üzerinden LDAP etkinse gereklidir.

Çift protokollü birim oluşturma

1. Kapasite Havuzları dikey penceresinden Birimler dikey penceresine tıklayın. Birim oluşturmak için + Birim ekle'ye tıklayın.

   

2. Birim Oluştur penceresinde Oluştur'a tıklayın ve Temel Bilgiler sekmesinin altında aşağıdaki alanlar için bilgi girin:

   • Birim adı
     Oluşturmakta olduğunuz birim için ad belirtin.

     Birim adı her kapasite havuzu içinde benzersiz olmalıdır. En az üç karakter uzunluğunda olmalıdır. Ad bir harfle başlasın. Yalnızca harf, sayı, alt çizgi ve ('_') kısa çizgi ('-') içerebilir.

     Birim adı olarak default veya bin kullanamazsınız.

   • Kapasite havuzu
     Birimin oluşturulacak kapasite havuzunu belirtin.

   • Kota
     Birime ayrılmış mantıksal depolama miktarını belirtin.

     Kullanılabilir kota alanı, yeni birimi oluştururken kullanabildiğiniz, seçilen kapasite havuzundaki kullanılmamış alan miktarını gösterir. Yeni birimin boyutu kullanılabilir kotayı aşamaz.

   • Aktarım Hızı (MiB/S)
     Birim el ile QoS kapasite havuzunda oluşturulduktan sonra birim için istediğiniz aktarım hızını belirtin.

     Birim otomatik QoS kapasite havuzunda oluşturulduktan sonra bu alanda görüntülenen değer (kota x hizmet düzeyi aktarım hızı) olur.

   • Sanal ağ
     Bire erişmek istediğiniz Azure sanal ağın (VNet) belirtebilirsiniz.

     Belirttiğiniz sanal ağın, sanal ağ için temsilci olarak Azure NetApp Files. Sanal Azure NetApp Files hizmetine yalnızca aynı sanal ağdan veya sanal ağ eşlemesi aracılığıyla birimle aynı bölgede yer alan bir sanal ağdan erişilebilir. Bir bire şirket içi ağınız üzerinden Express Route üzerinden de erişebilirsiniz.

   • Alt ağ
     Birim için kullanmak istediğiniz alt ağı belirtin.
     Belirttiğiniz alt ağ, Azure NetApp Files.

     Bir alt ağ için temsilci oluşturmadıysanız Birim Oluştur sayfasında Yeni oluştur'a tıkleyebilirsiniz. Ardından Alt Ağ Oluştur sayfasında alt ağ bilgilerini belirtin ve alt ağı temsilci olarak belirlemek için Microsoft.NetApp/volumes Azure NetApp Files. Her sanal ağda tek bir alt ağ, sanal ağlara Azure NetApp Files.

     

     

   • Ağ özellikleri
     Desteklenen bölgelerde birim için Temel veya Standart ağ özelliklerini kullanmak isteyip istemediklerini belirtebilirsiniz. Ayrıntılar için bkz. Birim için ağ özelliklerini yapılandırma ve ağ Azure NetApp Files için yönergeler.

   • Var olan bir anlık görüntü ilkesi birimine uygulamak için Gelişmiş bölümü göster'e tıklar, bu ilkeyi genişletin, anlık görüntü yolunu gizlemek isteyip istemediklerini belirtin ve açılır menüden bir anlık görüntü ilkesi seçin.

     Anlık görüntü ilkesi oluşturma hakkında bilgi için bkz. Anlık görüntü ilkelerini yönetme.

     

3. Protokol sekmesine tıklayın ve ardından aşağıdaki eylemleri gerçekleştirin:

   • Birim için protokol türü olarak Çift protokol'i seçin.

   • Kullanmak için Active Directory bağlantısını belirtin.

   • Benzersiz bir Birim Yolu belirtin. Bu yol, bağlama hedefleri oluşturmada kullanılır. Yol için gereksinimler şunlardır:

     • Bölgedeki her alt ağ içinde benzersiz olmalıdır.
     • Alfabetik bir karakterle başlan çalışmalı.
     • Yalnızca harf, sayı veya tire ( ) - içerebilir.
     • Uzunluk 80 karakteri aşmamalıdır.

   • Çift protokol için kullanmak üzere sürümleri belirtin: NFSv4.1 ve SMB, veya NFSv3 ve SMB.

     NFSv4.1 ve SMB çift protokolünü kullanma özelliği şu anda önizlemededir. Bu özelliği ilk kez kullanıyorsanız, özelliği kaydetmelisiniz:

     Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFDualProtocolNFSv4AndSMB
     

     Özellik kaydının durumunu kontrol edin:

     Not

     RegistrationState, olarak değiştirmeden Registering önce 60 dakika kadar bu durumda Registered olabilir. Devam etmeden önce durum Kayıtlı olana kadar bekleyin.

     Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFDualProtocolNFSv4AndSMB
     

     Özelliği kaydetmek ve kayıt durumunu görüntülemek için Azure CLI az feature register az feature show komutlarını da kullanabilirsiniz.

   • Kullanmak için Güvenlik Stili'ni belirtin: NTFS (varsayılan) veya UNIX.

   • Çift protokol birimi için SMB3 protokol şifrelemeyi etkinleştirmek için SMB3 Protokol Şifrelemeyi Etkinleştir'i seçin.

     Bu özellik yalnızca uçuşta olan SMB3 verileri için şifrelemeyi sağlar. NFSv3 uçuş verilerini şifrelemez. SMB3 şifrelemesi kullanmayan SMB istemcileri bu bir özelikle erişebecek. Bu ayardan bağımsız olarak, kalan veriler şifrelenir. Daha fazla bilgi için bkz. SMB şifrelemesi.

     SMB3 Protokol Şifrelemesi özelliği şu anda önizlemededir. Bu özelliği ilk kez kullanıyorsanız, kullanmadan önce özelliği kaydedin:

     Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBEncryption
     

     Özellik kaydının durumunu kontrol edin:

     Not

     RegistrationState, olarak değiştirmeden Registering önce 60 dakika kadar bu durumda Registered olabilir. Devam etmeden önce durum olana Registered kadar bekleyin.

     Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFSMBEncryption
     

     Özelliği kaydetmek ve kayıt durumunu görüntülemek için Azure CLI az feature register az feature show komutlarını da kullanabilirsiniz.

   • Çift protokol birimi sürümleri için NFSv4.1 ve SMB'yi seçtiysanız, birim için Kerberos şifrelemeyi etkinleştirmek isteyip istemediklerini gösterir.

     Kerberos için ek yapılandırmalar gereklidir. NFSv4.1 Kerberos şifrelemesi yapılandırma yönergelerini izleyin.

   • Bağlama yolu için değişiklik izinlerini belirtmek için Unix İzinlerini gereken şekilde özelleştirin. Ayar, bağlama yolu altındaki dosyalar için geçerli değildir. Varsayılan ayar 0770 değeridir. Bu varsayılan ayar sahipe ve gruba okuma, yazma ve yürütme izinleri sağlar, ancak diğer kullanıcılara izin verilmez.
     Unix İzinleri'ni ayarlama için kayıt gereksinimi ve önemli noktalar geçerlidir. Unix izinlerini yapılandırma ve sahiplik modunu değiştirme yönergelerini izleyin.

   • İsteğe bağlı olarak, birimi için dışarı aktarma ilkesi yapılandırın.

   

4. Birim ayrıntılarını gözden geçirmek için Gözden Geçir + Oluştur'a tıklayın. Ardından, birimi oluşturmak için Oluştur'a tıklayın.

   Oluşturduğunuz birim Birimler sayfasında görüntülenir.

   Birim, kapasite havuzundan aboneliği, kaynak grubunu ve konum özniteliklerini devralır. Birimin dağıtım durumunu izlemek için Bildirimler sekmesini kullanabilirsiniz.

LDAP'ye sahip yerel NFS kullanıcılarının çift protokol birimine erişmesine izin ver

Active Directory bağlantılarında LDAP'ye sahip yerel NFS kullanıcılarına izin ver seçeneği, Windows LDAP sunucusunda mevcut olmayan yerel NFS istemci kullanıcılarının genişletilmiş gruplar etkinleştirilmiş LDAP'ye sahip bir çift protokol birimine erişmesini sağlar.

1. Active Directory bağlantıları'ne tıklayın. Mevcut bir Active Directory bağlantısında bağlam menüsüne (üç nokta) tıklayın ve … Düzenle'yi seçin.

2. Görüntülenen Active Directory ayarlarını düzenle penceresinde LDAP ile yerel NFS kullanıcılarına izin ver seçeneğini belirleyin.

   

LDAP POSIX Özniteliklerini Yönetme

UID, Giriş Dizini ve diğer değerler gibi POSIX özniteliklerini, MMC ek bileşenini Active Directory Kullanıcıları ve Bilgisayarları yönetebilirsiniz. Aşağıdaki örnek Active Directory Öznitelik Düzenleyicisi'ni gösterir:

LDAP kullanıcıları ve LDAP grupları için aşağıdaki öznitelikleri ayarlamanız gerekir:

• LDAP kullanıcıları için gerekli öznitelikler:
  uid: Alice,
  uidNumber: 139,
  gidNumber: 555,
  objectClass: user, posixAccount
• LDAP grupları için gerekli öznitelikler:
  objectClass: group, posixGroup,
  gidNumber: 555
• Tüm kullanıcılar ve gruplar sırasıyla benzersiz uidNumber ve gidNumber 'ye sahip olmalıdır.

için belirtilen değerler objectClass ayrı girişlerdir. Örneğin, Çok Değerli Dize Düzenleyicisi'nde LDAP kullanıcıları için aşağıdaki gibi ayrı değerler ( ve objectClass user ) posixAccount belirtilir:

Azure Active Directory Etki Alanı Hizmetleri (AADDS), AADDC Kullanıcıları kuruluş kuruluş birimi içinde oluşturulan kullanıcılar ve gruplar üzerinde POSIX özniteliklerini değiştirmenize izin vermez. Geçici bir çözüm olarak, özel bir OU oluşturabilir ve özel OU'da kullanıcı ve grup oluşturabilirsiniz.

Azure AD çalışma alanınıza ait kullanıcıları ve grupları AADDC Kullanıcıları OU'daki kullanıcılar ve gruplarla eşitliyorsanız, kullanıcıları ve grupları özel bir OU'ya taşınamaz. Özel OU'da oluşturulan kullanıcılar ve gruplar AD çalışma alanınıza eşitlenmez. Daha fazla bilgi için bkz. AADDS Özel OU Konuları ve Sınırlamaları.

Active Directory Öznitelik Düzenleyicisi'ne erişme

Bir Windows Active Directory Öznitelik Düzenleyicisi'ne aşağıdaki gibi erişebilirsiniz:

1. Başlat'a tıklayın, Windows Yönetimsel Araçlar'a gidin ve Active Directory Kullanıcıları ve Bilgisayarları'a Active Directory Kullanıcıları ve Bilgisayarları açın.
2. Görüntülemek istediğiniz etki alanı adına tıklayın ve ardından içeriği genişletin.
3. Gelişmiş Öznitelik Düzenleyicisi'ni görüntülemek için Active Directory Kullanıcıları Bilgisayarları Görünüm menüsünde Gelişmiş Özellikler seçeneğini etkinleştirin.
   
4. Kullanıcı listesini görmek için sol bölmede Kullanıcılar'a çift tıklayın.
5. Öznitelik Düzenleyicisi sekmesini görmek için belirli bir kullanıcıya çift tıklayın.

NFS istemcisini yapılandırma

NFS istemcisini yapılandırmak için Bir NFS Azure NetApp Files yapılandırma yönergelerini izleyin.

Sonraki adımlar

• NFSv4.1 Kerberos şifrelemesini yapılandırma
• Azure NetApp Files için NFS istemcisini yapılandırma
• Unix izinlerini yapılandırma ve sahiplik modunu değiştirme.
• TlS üzerinden ADDS LDAP'yi Azure NetApp Files
• NFS birim erişimi için genişletilmiş gruplarla ADDS LDAP'yi yapılandırma
• Azure NetApp Files için birim hatalarını giderme