Condividi tramite

Creare un volume a doppio protocollo per Azure NetApp Files

  • Articolo

Azure NetApp Files supporta la creazione di volumi che usano NFS (NFSv3 o NFSv4.1), SMB3, o doppio protocollo (NFSv3 e SMB, o NFSv4.1 e SMB). Questo articolo illustra come creare un volume che usa un protocollo doppio con il supporto per il mapping utente LDAP.

Per creare volumi NFS, vedere Creare un volume NFS. Per creare volumi SMB, vedere Creare un volume SMB.

Operazioni preliminari

Importante

Se si usa un ruolo RBAC/IAM personalizzato, è necessario disporre dell'autorizzazione Microsoft.Network/virtualNetworks/subnets/read configurata per creare o aggiornare un volume.

Per maggiori informazioni sulle autorizzazioni e per confermare la configurazione delle autorizzazioni, vedere Creare o aggiornare ruoli personalizzati di Azure usando il portale di Azure di Azure.

Importante

Windows Server 2025 attualmente non funziona con il protocollo SMB di Azure NetApp Files.

Considerazioni

  • Assicurarsi di soddisfare i requisiti per le connessioni di Active Directory.

  • Creare una zona di ricerca inversa nel server DNS, quindi aggiungervi un record del puntatore (PTR) del computer host AD. In caso contrario, la creazione del volume a doppio protocollo ha esito negativo.

  • L'opzione Consenti utenti NFS locali con LDAP nelle connessioni Active Directory prevede di fornire l'accesso occasionale e temporaneo agli utenti locali. Quando questa opzione è abilitata, l'autenticazione utente e la ricerca dal server LDAP smettono di funzionare e il numero di appartenenze a gruppi supportate da Azure NetApp Files è limitato a 16. Di conseguenza, è consigliabile mantenere questa opzione disabilitata nelle connessioni Active Directory, ad eccezione dell'occasione in cui un utente locale deve accedere ai volumi abilitati per LDAP. In tal caso, è consigliabile disabilitare questa opzione non appena l'accesso utente locale non è più necessario per il volume. Vedere Consentire agli utenti NFS locali con LDAP di accedere a un volume a doppio protocollo sulla gestione dell'accesso utente locale.

  • Verificare che il client NFS sia aggiornato ed esegua gli aggiornamenti più recenti per il sistema operativo.

  • I volumi a doppio protocollo supportano sia Active Directory Domain Services (AD DS) che Microsoft Entra Domain Services.

  • I volumi a doppio protocollo non supportano l'uso di LDAP tramite TLS con Microsoft Entra Domain Services. LDAP su TLS è supportato con Active Directory Domain Services (AD DS). Vedere Considerazioni su LDAP su TLS.

  • La versione NFS usata da un volume a doppio protocollo può essere NFSv3 o NFSv4.1. Si applicano le considerazioni seguenti:

    • Il protocollo duale non supporta gli attributi estesi ACLS set/get di Windows dai client NFS.

    • I client NFS non possono modificare le autorizzazioni per lo stile di sicurezza NTFS e i client Windows non possono modificare le autorizzazioni per i volumi con doppio protocollo in stile UNIX.

      Nella tabella seguente vengono descritti gli stili di sicurezza e i relativi effetti:

      Stile di sicurezza Client che possono modificare le autorizzazioni Autorizzazioni che i client possono usare Stile di sicurezza efficace risultante Client che possono accedere ai file
      Unix NFS Bit in modalità NFSv3 o NFSv4.1 UNIX NFS e Windows
      Ntfs Finestre ACL NTFS NTFS NFS e Windows

    • La direzione in cui si verifica il mapping dei nomi (da Windows a UNIX o UNIX a Windows) dipende dal protocollo usato e dallo stile di sicurezza applicato a un volume. Un client Windows richiede sempre un mapping dei nomi da Windows a UNIX. L'applicazione di un utente alle autorizzazioni di revisione dipende dallo stile di sicurezza. Al contrario, un client NFS deve usare solo un mapping dei nomi da UNIX a Windows se lo stile di sicurezza NTFS è in uso.

      Nella tabella seguente vengono descritti i mapping dei nomi e gli stili di sicurezza:

      Protocollo Stile di sicurezza Direzione del mapping dei nomi Autorizzazioni applicate
      SMB Unix Da Windows a UNIX UNIX (bit di modalità o ACL NFSv4.x)
      SMB Ntfs Da Windows a UNIX ACL NTFS (in base al SID di Windows che accede alla condivisione)
      NFSv3 Unix None UNIX (bit di modalità o ACL NFSv4.x)

      Gli ACL NFSv4.x possono essere applicati usando un client amministrativo NFSv4.x e rispettato dai client NFSv3.
      NFS Ntfs Da UNIX a Windows ACL NTFS (in base al SID utente di Windows mappato)

  • La funzionalità LDAP con gruppi estesi supporta il doppio protocollo di [NFSv3 e SMB] e [NFSv4.1 e SMB] con lo stile di sicurezza Unix. Per altre informazioni, vedere Configurare Active Directory Domain Services LDAP con gruppi estesi per l'accesso ai volumi NFS.

  • Se si dispone di topologie di grandi dimensioni e si usa lo stile di sicurezza Unix con un volume a doppio protocollo o LDAP con gruppi estesi, è consigliabile usare l'opzione Ambito di ricerca LDAP nella pagina Connessioni Active Directory per evitare errori di accesso negato nei client Linux per Azure NetApp Files. Per altre informazioni, vedere Configurare Active Directory Domain Services LDAP con gruppi estesi per l'accesso ai volumi NFS.

  • Non è necessario un certificato CA radice del server per la creazione di un volume a doppio protocollo. È necessario solo se LDAP su TLS è abilitato.

  • Per informazioni sui protocolli duali di Azure NetApp Files e sulle considerazioni correlate, vedere la sezione Dual Protocols in Informazioni sui protocolli NAS in Azure NetApp Files.

Creare un volume con doppio protocollo

  1. Scegliere il pannello Volumi dal pannello Pool di capacità. Fare clic su + Aggiungi volume per creare un volume.

    Passare a Volumi

  2. Nella finestra Crea un volume, selezionare Crea e fornire le informazioni per i campi seguenti nella scheda Dati principali:

    • Nome del volume
      Specificare il nome per il volume che si sta creando.

      Per denominare le convenzioni sui volumi, vedere Regole di denominazione e restrizioni per le risorse di Azure. Inoltre, non è possibile usare default o bin come nome del volume.

    • Pool di capacità
      Specificare il pool di capacità in cui si vuole creare il volume.

    • Quota
      Specificare la quantità di spazio di archiviazione logico allocato al volume.

      Il campo Quota disponibile mostra la quantità di spazio inutilizzato nel pool di capacità scelto che è possibile usare per la creazione di un nuovo volume. Le dimensioni del nuovo volume non devono superare la quota disponibile.

    • Volume di grandi dimensioni

      Le quote regolari dei volumi sono comprese tra 50 GiB e 100 TiB. Le quote di volume di grandi dimensioni sono comprese tra 50 TiB e 1 PiB. Se si prevede che la quota del volume cada nell'intervallo di volumi di grandi dimensioni, selezionare . Le quote di volume vengono immesse in GiB.

      Importante

      Se questa è la prima volta che si usano volumi di grandi dimensioni, è prima necessario registrare la funzionalità e richiedere un aumento della quota di capacità a livello di area.

      I volumi regolari non possono essere convertiti in volumi di grandi dimensioni. Non è possibile ridimensionare volumi di grandi dimensioni a meno di 50 TiB. Per comprendere i requisiti e le considerazioni dei volumi di grandi dimensioni, vedere Requisiti e considerazioni per volumi di grandi dimensioni. Per altri limiti, vedere Limiti delle risorse.

    • Velocità effettiva (MiB/S)
      Se il volume viene creato in un pool di capacità QoS manuale, specificare la velocità effettiva desiderata per il volume.

      Se il volume viene creato in un pool di capacità QoS automatico, il valore visualizzato in questo campo è (quota x velocità effettiva a livello di servizio).

    • Abilitare l'accesso sporadico, Periodo di accesso sporadico e Criteri di recupero accesso sporadico
      Questi campi configurano l'archiviazione di Azure NetApp Files con accesso sporadico. Per le descrizioni, vedere Gestire l'archiviazione standard di Azure NetApp Files con accesso sporadico.

    • Rete virtuale
      Specificare la rete virtuale di Azure da cui si vuole accedere al volume.

      Per la rete virtuale specificata è necessario delegare una subnet ad Azure NetApp Files. Azure NetApp Files è accessibile solo dalla stessa rete virtuale o da una rete virtuale presente nella stessa area del volume tramite il peering delle reti virtuali. È anche possibile accedere al volume dalla rete locale tramite ExpressRoute.

    • Subnet
      Specificare la subnet desiderata per il volume.
      La subnet specificata deve essere delegata ad Azure NetApp Files.

      Se non è stata delegata una subnet, fare clic su Crea nuovo nella pagina Crea un volume. Nella pagina di creazione della subnet, specificare le informazioni relative alla stessa e selezionare Microsoft.NetApp/volumi per delegarla ad Azure NetApp Files. In ogni rete virtuale è possibile delegare una sola subnet ad Azure NetApp Files.

      Creare una subnet

    • Funzionalità di rete
      Nelle aree supportate è possibile specificare se si desidera utilizzare le funzionalità di rete Basic o Standard per il volume. Per informazioni dettagliate, vedere Configurare le funzionalità di rete per un volume e Linee guida per la pianificazione di rete di Azure NetApp Files.

    • Origine chiave di crittografia È possibile selezionare Microsoft Managed Key o Customer Managed Key. Vedere Configurare le chiavi gestite dal cliente per la crittografia del volume di Azure NetApp Files e la doppia crittografia a riposo di Azure NetApp Files sull'uso di questo campo.

    • Zona di disponibilità
      Questa opzione consente di distribuire il nuovo volume nella zona di disponibilità logica specificata. Selezionare una zona di disponibilità in cui sono presenti le risorse di Azure NetApp Files. Per informazioni dettagliate, vedere Gestire il posizionamento dei volumi della zona di disponibilità.

    • Se si desidera applicare un criterio di snapshot esistente al volume, selezionare Mostra sezione avanzata per espanderla, specificare se si vuole nascondere il percorso dello snapshot e selezionare un criterio di snapshot nel menù a discesa.

      Per informazioni su come creare criteri di snapshot, vedere Gestire i criteri di snapshot.

      Mostra selezione avanzata

  3. Selezionare la scheda Protocollo e quindi completare le azioni seguenti:

    • Selezionare Doppio protocollo come tipo di protocollo per il volume.

    • Specificare la connessione Active Directory da usare.

    • Specificare un percorso di volume univoco. Questo percorso viene usato quando si creano destinazioni di montaggio. I requisiti per il percorso sono i seguenti:

      • Per i volumi non presenti in una zona di disponibilità o in volumi nella stessa zona di disponibilità, il percorso del volume deve essere univoco all'interno di ogni subnet nell'area.
      • Per i volumi nelle zone di disponibilità, il percorso del volume deve essere univoco all'interno di ogni zona di disponibilità. Per maggiori informazioni, vedere Gestire il posizionamento del volume della zona di disponibilità.
      • Deve iniziare con un carattere alfabetico.
      • Può contenere solo lettere, numeri o trattini (-).
      • La lunghezza non deve superare 80 caratteri.

    • Specificare le versioni da usare per il doppio protocollo: NFSv4.1 e SMB o NFSv3 e SMB.

    • Specificare lo stile di sicurezza da usare: NTFS (impostazione predefinita) o UNIX.

    • Se si vuole abilitare la crittografia del protocollo SMB3 per il volume a doppio protocollo, selezionare Abilita crittografia protocollo SMB3.

      Questa funzionalità abilita la crittografia solo per i dati SMB3 in anteprima. Non crittografa i dati in anteprima di NFSv3. I client SMB che non usano la crittografia SMB3 non sono in grado di accedere a questo volume. I dati inattivi vengono crittografati indipendentemente da questa impostazione. Per altre informazioni, vedere Crittografia SMB.

    • Se è stato selezionato NFSv4.1 e SMB per le versioni del volume a doppio protocollo, indicare se si vuole abilitare crittografia Kerberos per il volume.

      Sono necessarie configurazioni aggiuntive per Kerberos. Seguire le istruzioni in Configurare la crittografia Kerberos NFSv4.1.

    • Per abilitare l'enumerazione basata sull'accesso, selezionare Abilita enumerazione basata su accesso.

      L'enumerazione basata sull'accesso nasconde le directory e i file creati in una condivisione dagli utenti che non hanno le autorizzazioni di accesso. È comunque possibile visualizzare la condivisione. È possibile abilitare l'enumerazione basata sull'accesso solo se il volume a doppio protocollo usa lo stile di sicurezza NTFS.

    • È possibile abilitare la funzionalità di condivisione non esplorabile.

      Questa funzionalità impedisce al client Windows di esplorare la condivisione. La condivisione non compare in Windows File Browser o nell'elenco di condivisioni quando si esegue il net view \\server /all comando.

    • Personalizzare le autorizzazioni Unix in base alle esigenze per specificare le autorizzazioni di modifica per il percorso di montaggio. L'impostazione non si applica ai file nel percorso di montaggio. L'impostazione predefinita è 0770. L'impostazione predefinita concede le autorizzazioni di lettura, scrittura ed esecuzione al proprietario e al gruppo, ma non vengono concesse autorizzazioni ad altri utenti.
      I requisiti di registrazione e le considerazioni si applicano per l'impostazione delle autorizzazioni Unix. Seguire le istruzioni in Configurare le autorizzazioni Unix e modificare la modalità di proprietà.

    • Facoltativamente, configurare i criteri di esportazione per il volume.

    Specificare il doppio protocollo

  4. Fare clic su Rivedi + Crea per esaminare i dettagli del volume. Selezionare quindi Crea per creare il volume.

    Il volume creato viene visualizzato nella pagina Volumi.

    Un volume eredita sottoscrizione, gruppo di risorse e attributi di posizione dal relativo pool di capacità. Per monitorare lo stato di distribuzione del volume, è possibile usare la scheda Notifiche.

Consentire agli utenti NFS locali con LDAP di accedere a un volume a doppio protocollo

L'opzione Consenti agli utenti NFS locali con LDAP nelle connessioni Active Directory consente agli utenti client NFS locali non presenti nel server LDAP di Windows di accedere a un volume a doppio protocollo con LDAP con gruppi estesi abilitati.

Nota

Prima di abilitare questa opzione, è necessario comprendere le considerazioni.
L'opzione Consenti utenti NFS locali con LDAP fa parte della funzionalità LDAP con gruppi estesi e richiede la registrazione. Per informazioni dettagliate, vedere Configurare LDAP di Active Directory Domain Services con gruppi estesi per l'accesso ai volumi NFS.

  1. Selezionare connessioni di Active Directory. In una connessione di Active Directory esistente selezionare il menu di scelta rapida (i tre puntini ) e quindi Modifica.

  2. Nella finestra Modifica impostazioni di Active Directory visualizzata, selezionare l'opzione Consenti utenti NFS locali con LDAP.

    Screenshot che mostra l'opzione Consenti utenti NFS locali con LDAP

Gestire gli attributi POSIX LDAP

È possibile gestire attributi POSIX, ad esempio UID, Home Directory e altri valori usando lo snap-in MMC Utenti e computer di Active Directory. L'esempio seguente mostra l'editor di attributi di Active Directory:

Editor attributi di Active Directory

È necessario impostare gli attributi seguenti per gli utenti LDAP e i gruppi LDAP:

  • Attributi obbligatori per gli utenti LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Attributi obbligatori per i gruppi LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Tutti gli utenti e i gruppi devono avere rispettivamente uidNumber e gidNumber univoci.

I valori specificati per objectClass sono voci separate. Ad esempio, nell'editor di stringhe multivalore objectClass avranno valori separati (user e posixAccount) specificati come indicato di seguito per gli utenti LDAP:

Screenshot dell'editor di stringhe multivalore che mostra più valori specificati per Object Class.

Microsoft Entra Domain Services non consente di modificare l'attributo objectClass POSIX per utenti e gruppi creati nell'unità organizzativa AADDC Users. Come soluzione alternativa, è possibile creare un'unità organizzativa personalizzata e creare utenti e gruppi nell'unità organizzativa personalizzata.

Se si sincronizzano gli utenti e i gruppi nella tenancy di Microsoft Entra con utenti e gruppi nell'unità organizzativa AADDC Users, non è possibile spostare utenti e gruppi in un'unità organizzativa personalizzata. Gli utenti e i gruppi creati nell'unità organizzativa personalizzata non vengono sincronizzati con la tenancy di AD. Per altre informazioni, vedere le considerazioni e le limitazioni dell'unità organizzativa personalizzata Microsoft Entra Domain Services.

Accedere all'editor di attributi di Active Directory

In un sistema Windows è possibile accedere all'editor attributi di Active Directory come indicato di seguito:

  1. Selezionare Start, passare a Strumenti di amministrazione di Windows. Selezionare quindi Utenti e computer di Active Directory per aprire la finestra Utenti e computer di Active Directory.
  2. Selezionare il nome di dominio che si vuole visualizzare e quindi espandere il contenuto.
  3. Per visualizzare l'editor di attributi avanzato, abilitare l'opzione Funzionalità avanzate nel menu Visualizza dei computer utenti di Active Directory.
    Screenshot che mostra come accedere al menu Funzionalità avanzate dell'editor di attributi.
  4. Selezionare Utenti nel riquadro sinistro per visualizzare l'elenco degli utenti.
  5. Selezionare un determinato utente per visualizzare la scheda Editor attributi.

Configurare il client NFS

Seguire le istruzioni in Configurare un client NFS per Azure NetApp Files per configurare il client NFS.

Passaggi successivi