Compartir a través de


Creación de un volumen de dos protocolos para Azure NetApp Files

Azure NetApp Files admite la creación de volúmenes mediante NFS (NFSv3 o NFSv4.1), SMB3 o un protocolo dual (NFSv3 y SMB, o NFSv4.1 y SMB). En este artículo se muestra cómo crear un volumen que use el protocolo dual con compatibilidad con la asignación de usuarios LDAP.

Para crear volúmenes NFS, consulte Creación de un volumen NFS. Para crear volúmenes SMB, consulte Creación de un volumen SMB.

Antes de empezar

Importante

Si usa un rol personalizado de RBAC/IAM, debe tener configurado el permiso Microsoft.Network/virtualNetworks/subnets/read para crear o actualizar un volumen.

Para obtener más información sobre los permisos y confirmar la configuración de permisos, vea Creación o actualización de roles personalizados de Azure mediante Azure Portal.

Importante

Windows Server 2025 no funciona actualmente con el protocolo SMB de Azure NetApp Files.

Consideraciones

  • Asegúrese de cumplir los requisitos para las conexiones de Active Directory.

  • Cree una zona de búsqueda inversa en el servidor DNS y, a continuación, agregue un registro de puntero (PTR) de la máquina host de AD en esa zona de búsqueda inversa. De lo contrario, se produce un error en la creación del volumen de protocolo dual.

  • La opción Allow local NFS users with LDAP (Permitir usuarios NFS locales con LDAP) de las conexiones de Active Directory tiene como fin proporcionar acceso ocasional y temporal a los usuarios locales. Cuando esta opción está habilitada, la autenticación de usuario y la búsqueda desde el servidor LDAP dejan de funcionar y el número de pertenencias a grupos que admite Azure NetApp Files está limitado a 16. Por lo tanto, debe mantener esta opción deshabilitada en las conexiones de Active Directory, excepto en el caso de que un usuario local necesite acceder a volúmenes habilitados para LDAP. En ese caso, debe deshabilitar esta opción en cuanto el acceso del usuario local ya no sea necesario para el volumen. Consulte Habilitación de los usuarios de NFS locales con LDAP para acceder a un volumen de dos protocolos para saber cómo administrar el acceso de los usuarios locales.

  • Asegúrese de que el cliente NFS esté actualizado y ejecute las actualizaciones más recientes del sistema operativo.

  • Los volúmenes de protocolo doble admiten Active Directory Domain Services (AD DS) y Microsoft Entra Domain Services.

  • Los volúmenes de protocolo doble no admiten el uso de LDAP a través de TLS con Microsoft Entra Domain Services. LDAP a través de TLS se admite con Active Directory Domain Services (AD DS). Consulte las consideraciones de LDAP sobre TLS.

  • La versión de NFS usada por un volumen de protocolo dual puede ser es NFSv3 o NFSv4.1. Se aplican las siguientes consideraciones:

    • El protocolo dual no es compatible con los atributos extendidos de ACLS de Windows set/get desde clientes de NFS.

    • Los clientes de NFS no pueden cambiar los permisos para el estilo de seguridad de NTFS, y los clientes de Windows no pueden cambiar los permisos de los volúmenes del protocolo dual de estilo UNIX.

      En la tabla siguiente se describen los estilos de seguridad y sus efectos:

      Estilo de seguridad Clientes que pueden modificar permisos Permisos que pueden usar los clientes Estilo de seguridad efectivo resultante Clientes que pueden tener acceso a archivos
      Unix NFS Bits de modo NFSv3 o NFSv4.1 UNIX NFS y Windows
      Ntfs Windows ACL de NTFS NTFS NFS y Windows
    • La dirección en la que se produce la asignación de nombres (Windows a UNIX o UNIX a Windows) depende del protocolo que se usa y del estilo de seguridad que se aplica a un volumen. Un cliente de Windows siempre requiere una asignación de nombres de Windows a UNIX. La posibilidad de que se aplique un usuario para revisar los permisos depende del estilo de seguridad. Por el contrario, un cliente NFS solo necesita usar una asignación de nombres de UNIX a Windows si el estilo de seguridad NTFS está en uso.

      En la tabla siguiente se describen las asignaciones de nombres y los estilos de seguridad:

      Protocolo Estilo de seguridad Dirección de asignación de nombres Permisos aplicados
      Pyme Unix Windows a UNIX UNIX (bits de modo o ACL NFSv4.x)
      Pyme Ntfs Windows a UNIX Listas ACL NTFS (basadas en el identificador de seguridad de Windows que accede al recurso compartido)
      NFSv3 Unix None UNIX (bits de modo o ACL NFSv4.x)

      Las listas ACL NFSv4.x se pueden aplicar mediante un cliente administrativo NFSv4.x y las respetan los clientes NFSv3.
      NFS Ntfs UNIX a Windows Listas ACL NTFS (basadas en el identificador de seguridad del usuario de Windows asignado)
  • La característica LDAP con grupos extendidos admite el protocolo dual de [NFSv3 and SMB] y [NFSv4.1 and SMB] con el estilo de seguridad de Unix. Para más información, consulte Configuración de LDAP de AD DS con grupos extendidos para el acceso a volúmenes NFS.

  • Si tiene topologías de gran tamaño y usa el estilo de seguridad de Unix con un volumen de protocolo dual o LDAP con grupos extendidos, debe usar la opción Ámbito de búsqueda LDAP que hay en la página de conexiones de Active Directory para evitar errores de "acceso denegado" en clientes Linux para Azure NetApp Files. Para más información, consulte Configuración de LDAP de AD DS con grupos extendidos para el acceso a volúmenes NFS.

  • No es necesario un certificado de CA raíz del servidor para crear un volumen de protocolo dual. Solo es necesario si está habilitado LDAP sobre TLS.

  • Para comprender los protocolos duales de Azure NetApp Files y las consideraciones relacionadas, consulte la sección Protocolos duales en Descripción de los protocolos NAS en Azure NetApp Files.

Creación de un volumen de protocolo dual

  1. Selecciona la hoja Volúmenes desde la hoja Grupos de capacidad. Selecciona + Agregar volumen para crear un volumen.

    Vaya a Volúmenes

  2. En la ventana Crear un volumen, selecciona Crear y proporciona la información para los campos siguientes en la pestaña Aspectos básicos:

    • Nombre del volumen
      Especifique el nombre para el volumen que va a crear.

      Consulte Reglas de nomenclatura y restricciones para los recursos de Azure para las convenciones de nomenclatura en volúmenes. Adicionalmente, no se puede usar default ni bin como nombre del volumen.

    • Grupo de capacidad
      Especifique el grupo de capacidad en el que desee que el volumen se cree.

    • Cuota
      Especifique la cantidad de almacenamiento lógico que se asigna al volumen.

      El campo Cuota disponible muestra la cantidad de espacio no utilizado en el grupo de capacidad elegido que puede usar para crear un nuevo volumen. El tamaño del volumen nuevo no debe superar la cuota disponible.

    • Gran volumen

      Las cuotas de volúmenes regulares están entre 50 GiB y 100 TiB. Las cuotas de gran volumen oscilan entre 50 TiB y 1 PiB de tamaño. Si tiene previsto que la cuota de volumen caiga en el intervalo de gran volumen, seleccione . Las cuotas de volumen se especifican en GiB.

      Importante

      Si es la primera vez que usas grandes volúmenes, primero debes registrar la característica y solicitar un aumento de la cuota de capacidad regional.

      Los volúmenes normales no se pueden convertir en grandes volúmenes. Los volúmenes grandes no se pueden cambiar de tamaño a menos de 50 TiB. Para comprender los requisitos y consideraciones de grandes volúmenes, vea Requisitos y consideraciones para grandes volúmenes. Para ver otros límites, consulte Límites de recursos.

    • Rendimiento (MiB/S)
      Si el volumen se crea en un grupo de capacidad con QoS manual, especifique el rendimiento que desea para el volumen.

      Si el volumen se crea en un grupo de capacidad con QoS automático, el valor que se muestra en este campo es (rendimiento de cuota x nivel de servicio).

    • Habilitar el acceso esporádico, período de acceso esporádico y política de recuperación de acceso esporádico
      Estos campos configuran el almacenamiento de Azure NetApp Files con acceso esporádico. Para obtener las descripciones, vea Administración del almacenamiento de Azure NetApp Files con acceso esporádico.

    • Red virtual
      Especifique la red virtual de Azure desde la que desea tener acceso al volumen.

      La red virtual que especifique debe tener una subred delegada en Azure NetApp Files. Se puede acceder a Azure NetApp Files desde la misma red virtual o desde una red virtual que se encuentre en la misma ubicación que el volumen mediante el emparejamiento de redes virtuales. También puede acceder al volumen desde la red local mediante ExpressRoute.

    • Subred
      Especifique la subred que desea usar para el volumen.
      La red virtual que especifique debe estar delegada en Azure NetApp Files.

      Si no has delegado una subred, puedes hacer clic en Crear nuevo en la página Crear un volumen. A continuación, en la página de creación de la subred, especifique la información de la subred y seleccione Microsoft.NetApp/volumes para delegar la subred para Azure NetApp Files. En cada red virtual, solo puede delegarse una subred a Azure NetApp Files.

      Creación de una subred

    • Características de red
      En las regiones admitidas, puede especificar si quiere usar características de red Básicas o Estándar para el volumen. Vea Configuración de las características de red de un volumen e Instrucciones para el planeamiento de red de Azure NetApp Files para obtener detalles.

    • Origen de la clave de cifrado Puedes seleccionar Microsoft Managed Key o Customer Managed Key. Consulta Configuración de claves administradas por el cliente para el cifrado de volúmenes de Azure NetApp Files y Cifrado doble de Azure NetApp Files en reposo para obtener información sobre el uso de este campo.

    • Zona de disponibilidad
      Esta opción le permite implementar el nuevo volumen en la zona de disponibilidad lógica que especifique. Seleccione una zona de disponibilidad en la que estén presentes los recursos de Azure NetApp Files. Para más información, consulte Administración de la selección de ubicación del volumen de la zona de disponibilidad.

    • Si quieres aplicar una directiva de instantáneas existente al volumen, selecciona Mostrar la sección avanzada para expandirla, especifica si quieres ocultar la ruta de acceso de la instantánea y selecciona una directiva de instantáneas en el menú desplegable.

      Para obtener información sobre cómo crear una directiva de instantáneas, consulte Administración de directivas de instantánea.

      Mostrar la sección avanzada

  3. Seleccione la pestaña Protocolo y, después, complete las siguientes acciones:

    • Seleccione Dual-protocol (Protocolo dual) como tipo de protocolo para el volumen.

    • Seleccione la conexión de Active Directory que va a usar.

    • Especifique una ruta de acceso de volumen única. Esta ruta de acceso se usa al crear destinos de montaje. Los requisitos de la ruta de acceso son los siguientes:

      • Para los volúmenes que no están en una zona de disponibilidad o volúmenes de la misma zona de disponibilidad, la ruta de acceso del volumen debe ser única dentro de cada subred de la región.
      • En el caso de los volúmenes de zonas de disponibilidad, la ruta de acceso del volumen debe ser única dentro de cada zona de disponibilidad. Para obtener más información, consulte Administración de la ubicación del volumen de zona de disponibilidad.
      • Debe comenzar con un carácter alfabético.
      • Solo puede contener letras, números o guiones (-).
      • La longitud no debe superar los 80 caracteres.
    • Especifique las versiones que va a usar del protocolo dual: NFSv4.1 y SMB, o NFSv3 y SMB.

    • Especifique el estilo de seguridad que se va a usar: NTFS (valor predeterminado) o UNIX.

    • Si desea habilitar el cifrado del protocolo SMB3 para el volumen de protocolo dual, seleccione Habilitar cifrado del protocolo SMB3.

      Esta característica habilita el cifrado solo para los datos SMB3 en proceso. No cifra los datos NFSv3 en proceso. Los clientes SMB que no usan el cifrado SMB3 no pueden acceder a este volumen. Los datos en reposo se cifrarán al margen de esta configuración. Consulte Cifrado SMB para obtener más información.

    • Si seleccionó NFSv4.1 y SMB para las versiones del volumen de protocolo dual, indique si desea habilitar el cifrado Kerberos para el volumen.

      Se requieren configuraciones adicionales para Kerberos. Siga las instrucciones de Configuración del cifrado de Kerberos NFSv4.1.

    • Si quieres habilitar la enumeración basada en el acceso, selecciona Habilitar enumeración basada en el acceso.

      La enumeración basada en el acceso oculta los directorios y los archivos creados en un recurso compartido de usuarios que no tienen permisos de acceso. Todavía puede ver el recurso compartido. Solo puede habilitar la enumeración basada en el acceso si el volumen de protocolo dual usa el estilo de seguridad NTFS.

    • Puedes habilitar la característica recurso compartido no explorable.

      Esta característica impide que el cliente de Windows examine el recurso compartido. El recurso compartido no aparece en el Explorador de archivos de Windows ni en la lista de recursos compartidos al ejecutar el comando net view \\server /all.

    • Personalice los permisos de Unix según sea necesario para especificar los permisos de cambio de la ruta de acceso de montaje. El valor no se aplica a los archivos de la ruta de acceso de montaje. El valor predeterminado es 0770. Este valor concede permisos de lectura, escritura y ejecución al propietario y al grupo, pero no se conceden permisos a otros usuarios.
      Se aplican el requisito y las consideraciones de registro para establecer los permisos de Unix. Siga las instrucciones que encontrará en Configuración de permisos de Unix y del modo de cambio de propiedad para los volúmenes de protocolo dual y NFS.

    • Si lo desea, configure la directiva de exportación para el volumen.

    Especificación del protocolo dual

  4. Selecciona Revisar y crear para revisar los detalles del volumen. A continuación, seleccione Crear para crear el volumen.

    El volumen que creó aparece en la hoja Volúmenes.

    Un volumen hereda los atributos de ubicación, la suscripción y el grupo de recursos de su grupo de capacidad. Para supervisar el estado de la implementación del volumen, puede usar la pestaña Notificaciones.

Habilitación de los usuarios de NFS locales con LDAP para acceder a un volumen de dos protocolos

La opción Allow local NFS users with LDAP (Permitir usuarios NFS locales con LDAP) de las conexiones de Active Directory permite que los usuarios del cliente NFS local que no están presentes en el servidor LDAP de Windows accedan a un volumen de protocolo doble que tenga habilitado LDAP con grupos extendidos.

Nota:

Antes de habilitar esta opción, debe comprender las consideraciones.
La opción Allow local NFS users with LDAP (Permitir usuarios de NFS locales con LDAP) forma parte de la característica LDAP with extended groups (LDAP con grupos extendidos) y requiere registro. Consulte Configuración de LDAP de AD DS con grupos extendidos para el acceso a volúmenes NFS para más información.

  1. Seleccione Conexiones de Active Directory. En una conexión de Active Directory existente, seleccione el menú contextual (los tres puntos ) y, después, Editar.

  2. En la ventana Edit Active Directory settings (Editar configuración de Active Directory) que aparece, seleccione la opción Permitir usuarios locales de NFS con LDAP.

    Captura de pantalla que muestra la opción Permitir usuarios locales de NFS con LDAP

Administración de los atributos POSIX de LDAP

Puede administrar los atributos POSIX como UID, el directorio particular y otros valores mediante el complemento de MMC Usuarios y equipos de Active Directory. En el ejemplo siguiente se muestra el editor de atributos de Active Directory:

Editor de atributos de Active Directory

Debe establecer los siguientes atributos para los usuarios LDAP y los grupos LDAP:

  • Atributos necesarios para los usuarios LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Atributos necesarios para los grupos LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Todos los usuarios y grupos deben tener unos valores uidNumber y gidNumber, respectivamente, únicos.

Los valores especificados para objectClass son entradas independientes. Por ejemplo, en el Editor de cadenas con varios valores, objectClass tendría valores independientes (user y posixAccount) especificados como se indica a continuación para los usuarios LDAP:

Captura de pantalla del Editor de cadenas con varios valores en la que se muestran varios valores especificados para Clase de objeto.

Microsoft Entra Domain Services no permite modificar el atributo POSIX de objectClass en usuarios y grupos creados en la unidad organizativa de usuarios de AADDC de la organización. Como solución alternativa, puede crear una unidad organizativa personalizada y crear usuarios y grupos en ella.

Si va a sincronizar los usuarios y grupos de su espacio empresarial de Microsoft Entra con usuarios y grupos en la unidad organizativa usuarios de AADDC, no puede mover usuarios y grupos a una unidad organizativa personalizada. Los usuarios y grupos creados en la unidad organizativa personalizada no se sincronizan con el inquilino de AD. Para más información, consulte la sección Consideraciones y limitaciones de las unidades organizativas personalizadas de Microsoft Entra Domain Services.

Acceso al Editor de atributos de Active Directory

En un sistema Windows, puede acceder al Editor de atributos de Active Directory de la siguiente manera:

  1. Seleccione Inicio, vaya a Herramientas administrativas de Windows. A continuación, seleccione Usuarios y equipos de Active Directory para abrir la ventana Usuarios y equipos de Active Directory.
  2. Seleccione el nombre de dominio que desea ver y, a continuación, expanda el contenido.
  3. Para mostrar el Editor de atributos avanzado, habilite la opción Características avanzadas en el menú Ver de Usuarios y equipos de Active Directory.
    Captura de pantalla que muestra cómo acceder al menú Características avanzadas del Editor de atributos.
  4. Seleccione Usuarios en el panel izquierdo para ver la lista de usuarios.
  5. Seleccione un usuario determinado para ver su pestaña Editor de atributos.

Configuración del cliente NFS

Siga las instrucciones de Configuración de un cliente NFS para Azure NetApp Files para configurar el cliente NFS.

Pasos siguientes