Grundlegendes zu NAS-Protokollen in Azure NetApp Files

NAS-Protokolle ermitteln, wie Unterhaltungen zwischen Clients und Servern erfolgen. NFS und SMB sind die NAS-Protokolle, die in Azure NetApp Files verwendet werden. Jedes verwendet seine eigenen Methoden für die Kommunikation, aber im Kern arbeiten sie meist auf die gleiche Weise.

• Beide dienen einem einzelnen Dataset für viele unterschiedliche Network-Attached-Clients.
• Beide können verschlüsselte Authentifizierungsmethoden zum Freigeben von Daten verwenden.
• Beide können mit Freigabe- und Dateiberechtigungen abgegrenzt werden.
• Beide können Daten In-Flight verschlüsseln.
• Beide können mehrere Verbindungen verwenden, um die Leistung zu parallelisieren.

Network File System (NFS)

NFS wird hauptsächlich mit Linux/UNIX-basierten Clients wie Red Hat, SUSE, Ubuntu, AIX, Solaris und Apple OS verwendet. Azure NetApp Files unterstützt alle NFS-Clients, die in den RFC-Standards (Request for Comments) ausgeführt werden. Windows kann auch NFS für den Zugriff verwenden, funktioniert jedoch nicht mit RFC-Standards.

RFC-Standards für NFS-Protokolle finden Sie hier:

• RFC-1813: NFSv3
• RFC 8881: NFSv4.1
• RFC 7862: NFSv4.2

NFSv3

NFSv3 ist grundlegend im Protokoll enthalten und hat die folgenden Schlüsselattribute:

• NFSv3 ist zustandslos, was bedeutet, dass der NFS-Server die Zustände der Verbindungen (einschließlich Sperren) nicht nachverfolgt.
• Das Sperren wird außerhalb des NFS-Protokolls mit NLM (Network Lock Manager, Netzwerksperrungs-Manager) behandelt. Da Sperren nicht in das Protokoll integriert werden, können manchmal veraltete Sperren auftreten.
• Da NFSv3 statusfrei ist, kann die Leistung mit NFSv3 bei manchen Workloads erheblich besser sein, insbesondere bei Workloads mit Vorgängen mit vielen Metadaten wie OPEN, CLOSE, SETATTR und GETATTR. Dies liegt daran, dass zum Verarbeiten der Anforderungen auf dem Server und Client weniger Aufwand erforderlich ist.
• NFSv3 verwendet ein grundlegendes Dateiberechtigungsmodell, bei dem Lese-, Schreib- und Ausführungsberechtigungen der dateibesitzenden Person, einer Gruppe oder allen anderen Personen zugewiesen werden können.
• NFSv3 kann NFSv4.x ACLs verwenden. Jedoch wäre ein NFSv4.x-Verwaltungsclient erforderlich, um die ACLs zu konfigurieren und zu verwalten. Azure NetApp Files unterstützt nicht die Verwendung nicht-standardmäßiger POSIX-Entwurfs-ACLs.
• NFSv3 erfordert auch die Verwendung anderer zusätzlicher Protokolle für regelmäßige Vorgänge wie die Portermittlung, Einbindung, Sperrung, Statusüberwachung und Kontingente. Jedes zusätzliche Protokoll verwendet einen eindeutigen Netzwerkport, was bedeutet, dass NFSv3-Vorgänge aufgrund von Firewalls mit bekannten Portnummern eine höhere Gefährdung involvieren.
• Azure NetApp Files verwendet die folgenden Portnummern für NFSv3-Vorgänge. Es ist nicht möglich, diese Portnummern zu ändern:
  • Portmapper (111)
  • Mount (635)
  • NFS (2049)
  • NLM (4045)
  • NSM (4046)
  • Rquota (4049)
• NFSv3 kann Sicherheitserweiterungen wie Kerberos verwenden. Kerberos wirkt sich jedoch nur auf den NFS-Teil der Pakete aus. Zusätzliche Protokolle (z. B. NLM, Portmapper, Mount) sind in der Kerberos-Unterhaltung nicht enthalten.
  • Azure NetApp Files unterstützt nur eine NFSv4.1-Kerberos-Verschlüsselung
• NFSv3 verwendet numerische IDs für die Benutzer- und Gruppenauthentifizierung. Numerische IDs vereinfachen die Konfiguration und Verwaltung, können jedoch das Spoofing des Benutzers erleichtern.
• NFSv3 kann LDAP für die Benutzer- und Gruppensuche verwenden.

Unterstützung der NFSv3-Dienstversion

NFSv3 unterstützt derzeit die folgenden Versionen jedes zusätzlichen Protokolls in Azure NetApp Files:

Dienst	Unterstützte Versionen
Portmapper	4, 3, 2
NFS	4, 3*
Mountd	3, 2, 1
Nlockmgr	4
Status	1
Rquotas	1

* Von NFS unterstützte Versionen werden basierend auf der für das Azure NetApp Files-Volume ausgewählten Version angezeigt.

Diese Informationen können mit dem folgenden Befehl aus Ihrem Azure NetApp Files-Volume erfasst werden:

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x bezieht sich auf alle NFS-Versionen oder niedrigeren Versionen von NFSv4, einschließlich NFSv4.0, NFSv4.1 und NFSv4.2. Azure NetApp Files unterstützt derzeit nur NFSv4.1.

NFSv4.x hat die folgenden Merkmale:

• NFSv4.x ist ein zustandsbehaftet Protokoll, was bedeutet, dass der Client und der Server die Zustände der NFS-Verbindungen nachverfolgen, einschließlich Sperrzustände. Die NFS-Einbindung verwendet ein Konzept, das als „Zustands-ID“ bezeichnet wird, um die Verbindungen nachzuverfolgen.
• Die Sperre ist in das NFS-Protokoll integriert und erfordert keine zusätzlichen Sperrprotokolle, um NFS-Sperren nachzuverfolgen. Stattdessen werden Sperren auf Leasebasis gewährt. Sie laufen nach einer bestimmten Dauer ab, wenn eine Client- oder Serververbindung verloren geht, sodass die Sperre wieder an das System für die Verwendung durch andere NFS-Clients zurückgegeben wird.
• Die Zustandsfähigkeit von NFSv4.x hat einige Nachteile, z. B. potenzielle Unterbrechungen bei Netzwerkausfällen oder Speicherfailovern sowie ein Leistungsmehraufwand in bestimmten Workloadtypen (z. B. hohe Metadatenworkloads).
• NFSv4.x bietet gegenüber NFSv3 viele deutliche Vorteile, darunter:
  • Bessere Sperrkonzepte (leasebasiertes Sperren)
  • Bessere Sicherheit (weniger Firewallports erforderlich, Standardintegration in Kerberos, granulare Zugriffssteuerungen)
  • Weitere Features
  • Zusammengesetzte NFS-Vorgänge (mehrere Befehle in einer einzigen Paketanforderung, um Netzwerkstörungen zu reduzieren)
  • Nur TCP
• NFSv4.x kann ein robusteres Dateiberechtigungsmodell verwenden, das Windows NTFS-Berechtigungen ähnelt. Diese granularen ACLs können für Benutzer oder Gruppen angewendet werden und ermöglichen die Festlegung von Berechtigungen für einen breiteren Bereich von Vorgängen als grundlegende Lese-, Schreib- und Ausführungsvorgänge. NFSv4.x kann auch die standardmäßigen POSIX-Modusbits verwenden, die NFSv3 verwendet.
• Da NFSv4.x keine zusätzlichen Protokolle verwendet, wird Kerberos bei Verwendung für die gesamte NFS-Unterhaltung angewendet.
• NFSv4.x verwendet eine Kombination aus Benutzer-/Gruppennamen und Domänenzeichenfolgen, um Benutzer- und Gruppeninformationen zu überprüfen. Der Client und der Server müssen sich auf die Domänenzeichenfolgen einigen, damit die richtige Benutzer- und Gruppenauthentifizierung erfolgt. Wenn die Domänenzeichenfolgen nicht übereinstimmen, wird der NFS-Benutzer oder die Gruppe dem in der Datei „/etc/idmapd.conf“ angegebenen Benutzer auf dem NFS-Client zugeordnet (z. B. niemand).
• Obwohl NFSv4.x standardmäßig Domänenzeichenfolgen verwendet, ist es möglich, sowohl den Client als auch den Server so zu konfigurieren, dass er auf die klassischen numerischen IDs zurückgesetzt wird, die in NFSv3 verwendet werden, wenn AUTH_SYS verwendet wird.
• NFSv4.x verfügt über eine umfassende Integration für Zeichenfolgen von Benutzern und Gruppennamen. Der Server und die Clients müssen sich auf diese Benutzer und Gruppen einigen. Erwägen Sie daher die Verwendung eines Namensdienstservers für die Benutzerauthentifizierung, wie LDAP für NFS-Clients und -Servern.

Häufig gestellte Fragen zu NFS in Azure NetApp Files finden Sie in den Häufig gestellten Fragen zu NFS in Azure NetApp Files.

Server Message Block (SMB)

SMB wird in erster Linie mit Windows-Clients für NAS-Funktionen verwendet. Es kann jedoch auch auf Linux-basierten Betriebssystemen wie AppleOS, RedHat usw. verwendet werden. Die Bereitstellung erfolgt mithilfe einer Anwendung namens Samba. Azure NetApp Files bietet offizielle Unterstützung für SMB unter Windows und macOS. SMB/Samba kann Azure NetApp Files auf Linux-Betriebssystemen verwenden, aber es gibt keinen offiziellen Support.

Azure NetApp Files unterstützt nur die Versionen SMB 2.1 und SMB 3.1.

SMB weist die folgenden Merkmale auf:

• SMB ist ein zustandsbehaftetes Protokoll: Die Clients und der Server verwalten einen „Zustand“ für SMB-Freigabeverbindungen für eine erhöhte Sicherheit und Sperren.
• Sperren gelten in SMB als obligatorisch. Wenn eine Datei gesperrt ist, kann kein anderer Client in diese Datei schreiben, bis die Sperre aufgehoben wurde.
• SMBv2.x und höher verwendet zusammengesetzte Aufrufe zum Ausführen von Vorgängen.
• SMB unterstützt die vollständige Kerberos-Integration. Für die Konfiguration von Windows-Clients wird häufig Kerberos verwendet, ohne dass Endbenutzer dies wissen.
• Wenn Kerberos nicht für die Authentifizierung verwendet werden kann, kann NTLM (NT LAN Manager) von Windows als Fallback verwendet werden. Wenn NTLM in der Active Directory-Umgebung deaktiviert ist, schlagen Authentifizierungsanforderungen fehl, die Kerberos nicht verwenden können.
• SMBv3.0 und höher unterstützt eine End-to-End-Verschlüsselung für SMB-Freigaben.
• SMBv3.x unterstützt Multichannel für eine bessere Leistung in bestimmten Workloads.
• SMB verwendet Benutzer- und Gruppennamen (über SID-Übersetzung) für die Authentifizierung. Benutzer- und Gruppeninformationen werden von einem Active Directory-Domänencontroller bereitgestellt.
• SMB in Azure NetApp Files verwendet New Technology File System (NTFS) von Windows ACLs für Datei- und Ordnerberechtigungen.

Häufig gestellte Fragen zu SMB in Azure NetApp Files finden Sie in den Häufig gestellten Fragen zu SMB in Azure NetApp Files.

Dual-Protokolle

Manche Organisationen verfügen über reine Windows- oder reine UNIX-Umgebungen (homogen), in denen auf alle Daten nur über einen der folgenden Ansätze zugegriffen wird:

• SMB- und NTFS-Dateisicherheit
• NFS- und UNIX-Dateisicherheit – Modusbits oder NFSv4.x Zugriffssteuerungslisten (ACLs)

Viele Websites müssen jedoch den Zugriff auf Datensätze sowohl von Windows- als auch UNIX-Clients (heterogen) ermöglichen. Für Umgebungen mit diesen Anforderungen verfügt Azure NetApp Files über native NAS-Unterstützung für Dualprotokolle. Nachdem der Benutzer im Netzwerk authentifiziert wurde und sowohl über entsprechende Freigabe- oder Exportberechtigungen als auch über die erforderlichen Berechtigungen auf Dateiebene verfügt, kann der Benutzer mithilfe von NFS oder Windows-Hosts mit SMB auf die Daten von UNIX-Hosts zugreifen.

Gründe für die Verwendung von Dual-Protokoll-Volumes

Die Verwendung von Dual-Protokoll-Volumes in Azure NetApp Files bietet verschiedene Vorteile. Wenn Datensätze nahtlos und gleichzeitig von Clients mit unterschiedlichen NAS-Protokollen aufgerufen werden können, können die folgenden Vorteile erzielt werden:

• Reduzieren der allgemeinen Verwaltungsaufgaben des Speicheradministrators
• Es muss nur eine einzelne Kopie der Daten für den NAS-Zugriff von mehreren Clienttypen gespeichert werden.
• Mit einem protokollunabhängigen NAS-Volume können Speicheradministratoren die Art der ACL und Zugriffssteuerung steuern, die Endbenutzern präsentiert werden.
• Zentralisieren von Identitätsverwaltungsvorgängen in einer NAS-Umgebung.

Häufige Überlegungen bei Umgebungen mit Dual-Protokollen

Der NAS-Zugriff über Dual-Protokolle ist für viele Organisationen aufgrund seiner Flexibilität wünschenswert. Es gibt jedoch auch Schwierigkeiten, die zu mehreren Überlegungen führen, die für das Konzept der gemeinsamen Nutzung über Protokolle hinweg einzigartig sind. Dazu gehören unter anderem die folgenden Überlegungen:

• Notwendigkeit von Wissen über mehrere Protokolle, Betriebssysteme und Speichersysteme.
• Erfahrung mit Namendienstservern, wie z. B. DNS, LDAP etc.

Darüber hinaus können externe Faktoren ins Spiel kommen, z. B.:

• Umgang mit mehreren Abteilungen und IT-Gruppen (z. B. Windows-Gruppen und UNIX-Gruppen)
• Unternehmenskäufe
• Domänenkonsolidierungen
• Umstrukturierungen

Trotz dieser Überlegungen können Dual-Protokolle, die Konfiguration und der Zugriff über NAS einfach und nahtlos in jede beliebige Umgebung integriert werden.

So vereinfacht Azure NetApp Files die Verwendung von Dual-Protokollen

Azure NetApp Files konsolidiert die Infrastruktur, die für erfolgreiche NAS-Umgebungen mit Dual-Protokollen erforderlich ist, in einer einzigen Verwaltungsebene, einschließlich Diensten zur Speicher- und Identitätsverwaltung.

Die Konfiguration von Dual-Protokollen ist einfach. Die meisten Aufgaben werden von der Ressourcenverwaltung in Azure NetApp Files übernommen, um Vorgänge für Cloud-Anwender zu vereinfachen.

Nachdem eine Active Directory-Verbindung mit Azure NetApp Files hergestellt wurde, können Dual-Protokoll-Volumes die Verbindung verwenden, um die für eine ordnungsgemäße Authentifizierung von Benutzern und Gruppen erforderliche Windows- und UNIX-Identitätsverwaltung zu verarbeiten. Diese Konfiguration beseitigt die Notwendigkeit zusätzlicher Konfigurationsschritte außerhalb der normalen Benutzer- und Gruppenverwaltung innerhalb der Active Directory- oder LDAP-Dienste

Durch das Entfernen der zusätzlichen speicherbezogenen Schritte für die Konfiguration von Dual-Protokollen optimiert Azure NetApp Files die allgemeine Bereitstellung von Dual-Protokollen für Organisationen, die nach Azure wechseln möchten.

Bereitstellen von Dual-Protokoll-Volumes in Azure NetApp Files

Allgemein verwenden Dual-Protokoll-Volumes in Azure NetApp Files eine Kombination aus Namenszuordnung und Berechtigungsstilen, um einen konsistenten Datenzugriff unabhängig vom verwendeten Protokoll zu ermöglichen. Das heißt, egal ob Sie von NFS oder SMB aus auf eine Datei zugreifen, können Sie sicher sein, dass Benutzer mit Zugriff auf diese Dateien darauf zugreifen können, und Benutzer ohne Zugriff auf diese Dateien nicht darauf zugreifen können.

Wenn ein NAS-Client den Zugriff auf ein Dual-Protokoll-Volume in Azure NetApp Files anfordert, erfolgen die folgenden Vorgänge, um dem Endbenutzer eine transparente Benutzeroberfläche zu bieten.

1. Ein NAS-Client stellt eine NAS-Verbindung mit dem Dual-Protokoll-Volume von Azure NetApp Files her.
2. Der NAS-Client übergibt Informationen zur Benutzeridentität an Azure NetApp Files.
3. Azure NetApp Files überprüft, ob der NAS-Client/-Benutzer Zugriff auf die NAS-Freigabe hat.
4. Azure NetApp Files verwendet diesen Benutzer und ordnet ihn einem gültigen Benutzer zu, der in Namensdiensten gefunden wurde.
5. Azure NetApp Files vergleicht diesen Benutzer mit den Berechtigungen auf Dateiebene im System.
6. Dateiberechtigungen steuern die Zugriffsebene des Benutzers.

In der folgenden Abbildung authentifiziert sich user1 bei Azure NetApp Files, um über SMB oder NFS auf ein Dual-Protokoll-Volume zuzugreifen. Azure NetApp Files findet die Windows- und UNIX-Informationen des Benutzers in Microsoft Entra ID und ordnet dann die Windows- und UNIX-Identitäten des Benutzers 1:1 zu. Der Benutzer wird als user1 überprüft und erhält die Zugriffsanmeldeinformationen von user1.

In diesem Fall erhält user1 vollen Zugriff auf den eigenen Ordner (user1-dir) und keinen Zugriff auf den Ordner HR. Diese Einstellung basiert auf den im Dateisystem angegebenen Sicherheits-ACLs. user1 erhält den erwarteten Zugriff, unabhängig davon, von welchem Protokoll aus die Person auf die Volumes zugreift.

Überlegungen für Azure NetApp Files-Volumes mit dualen Protokollen

Wenn Sie Azure NetApp Files-Volumes für den Zugriff auf SMB und NFS verwenden, gelten einige Überlegungen:

• Sie benötigen eine Active Directory-Verbindung. Daher müssen Sie die Anforderungen für Active Directory-Verbindungen erfüllen.
• Dual-Protokoll-Volumes erfordern eine Reverse-Lookup-Zone in DNS mit einem zugeordneten PTR-Eintrag (Pointer) des AD-Hostcomputers, um Fehler beim Erstellen von Dual-Protokoll-Volumes zu verhindern.
• Ihr NFS-Client und zugehörige Pakete (z. B. nfs-utils) sollten für eine höchstmögliche Sicherheit und Zuverlässigkeit sowie eine ideale Featureunterstützung auf dem neuesten Stand sein.
• Volumes mit dualen Protokollen unterstützen sowohl Active Directory Domain Services (AD DS) als auch Microsoft Entra Domain Services.
• Die Verwendung von LDAP über TLS mit Microsoft Entra Domain Services wird von Volumes mit dualen Protokollen nicht unterstützt. Weitere Informationen finden Sie unter Überlegungen zu LDAP über TLS.
• Unterstützte NFS-Versionen sind: NFSv3 und NFSv4.1.
• NFSv4.1-Features wie paralleles Netzwerkdateisystem (pNFS), Sitzungstrunking und Empfehlungen werden derzeit nicht mit Azure NetApp Files-Volumes unterstützt.
• Erweiterte Windows-Attribute set/get werden in Dual-Protokoll-Volumes nicht unterstützt.
• Weitere Überlegungen zum Erstellen eines Dual-Protokoll-Volumes für Azure NetApp Files.

Nächste Schritte

• Grundlegendes zum Sicherheitsstil und Berechtigungsverhalten mit dualen Protokollen in Azure NetApp Files
• Grundlegendes zur Verwendung des Lightweight Directory Access-Protokolls mit Azure NetApp Files
• Grundlegendes zu NFS-Gruppenmitgliedschaften und ergänzenden Gruppen
• Grundlegendes zu Dateisperren und Sperrentypen in Azure NetApp Files
• Erstellen eines NFS-Volumes für Azure NetApp Files
• Erstellen eines SMB-Volumes für Azure NetApp Files
• Erstellen eines Volumes mit dualem Protokoll für Azure NetApp Files
• Häufig gestellte Fragen zu NFS in Azure NetApp Files
• Häufig gestellte Fragen zu SMB in Azure NetApp Files