Vysvětlení pomocných/doplňkových skupin pomocí systému souborů NFS v Azure NetApp Files
Systém souborů NFS má specifické omezení maximálního počtu pomocných identifikátorů GID (sekundárních skupin), které je možné respektovat v rámci jednoho požadavku NFS. Maximální hodnota pro AUTH_SYS/AUTH_systém UNIX je 16. Pro AUTH_GSS (Kerberos) je maximum 32. Jedná se o známé omezení protokolu NFS.
Azure NetApp Files umožňuje zvýšit maximální počet pomocných skupin na 1 024. To se provádí tak, že v paketu NFS předejdete zkrácení seznamu skupin tím, že předčítáte skupinu žádajícího uživatele z názvové služby, například LDAP.
Jak to funguje
Možnosti rozšíření omezení skupiny fungují stejně jako -manage-gids u jiných serverů NFS. Místo výpisu celého seznamu pomocných identifikátorů GID, do které uživatel patří, vyhledá možnost GID v souboru nebo složce a vrátí místo toho danou hodnotu.
Referenční informace k příkazům pro mountd poznámky:
-g or --manage-gids
Accept requests from the kernel to map user id numbers into lists of group id numbers for use in access control. An NFS request will normally except when using Kerberos or other cryptographic authentication) contains a user-id and a list of group-ids. Due to a limitation in the NFS protocol, at most 16 groups ids can be listed. If you use the -g flag, then the list of group ids received from the client will be replaced by a list of group ids determined by an appropriate lookup on the server.
Při vytvoření žádosti o přístup se v části paketu předá pouze 16 identifikátorů GID.
Jakýkoli GID nad rámec limitu 16 se zahodí protokolem. Rozšířené identifikátory GID ve službě Azure NetApp Files je možné použít pouze s externími názvovými službami, jako je LDAP.
Potenciální dopady na výkon
Rozšířené skupiny mají minimální snížení výkonu, obecně v nízkých procentech s jednou číslicí. Úlohy NFS s vyššími metadaty budou pravděpodobně mít větší vliv, zejména na mezipaměti systému. Výkon může být ovlivněn také rychlostí a úlohou názvových serverů služby. Přetížené názvové servery reagují pomaleji, což způsobuje zpoždění při předběžném načítání GID. Nejlepších výsledků dosáhnete pomocí několika názvových serverů pro zpracování velkého počtu požadavků.
Možnost Povolit místním uživatelům s protokolem LDAP
Když se uživatel pokusí získat přístup ke svazku Azure NetApp Files přes systém souborů NFS, žádost se zobrazí v číselném ID. Azure NetApp Files ve výchozím nastavení podporuje rozšířená členství ve skupinách pro uživatele systému souborů NFS (pokud chcete překročit standardní limit 16 skupin na 1 024). V důsledku toho se azure NetApp files pokusí vyhledat číselné ID v protokolu LDAP při pokusu o překlad členství ve skupinách pro uživatele místo předání členství ve skupině v paketu RPC.
Vzhledem k tomu, že pokud toto číselné ID nelze přeložit na uživatele v protokolu LDAP, vyhledávání selže a přístup se odepře, i když má žádající uživatel oprávnění pro přístup ke svazku nebo datové struktuře.
Možnost Povolit místním uživatelům systému souborů NFS s možností LDAP v připojeních služby Active Directory je určena k zakázání těchto vyhledávání PROTOKOLU LDAP pro požadavky NFS zakázáním rozšířených funkcí skupiny. V Azure NetApp Files neposkytuje místní vytváření a správu uživatelů.
Další informace o této možnosti, včetně toho, jak se chová s různými styly zabezpečení svazků ve službě Azure NetApp Files, najdete v tématu Vysvětlení použití protokolu LDAP se službou Azure NetApp Files.