次の方法で共有

Azure NetApp Files で NFS を使用する補助グループまたは補助グループについて

  • [アーティクル]

NFS には、1 つの NFS 要求で受け入れ可能な補助 GID (セカンダリ グループ) の最大数に固有の制限があります。 AUTH_SYS/AUTH_UNIX最大値は 16 です。 AUTH_GSS (Kerberos) の場合、最大値は 32 です。 これは NFS の既知のプロトコル制限です。

Azure NetApp Files では、補助グループの最大数を 1,024 に増やします。 これは、LDAP などのネーム サービスから要求するユーザーのグループをプリフェッチすることによって、NFS パケット内のグループ リストの切り捨てを回避することによって実行されます。

しくみ

グループ制限を拡張するオプションは、他の NFS サーバーの -manage-gids オプションと同じように機能します。 このオプションは、ユーザーが属している補助 GID のリスト全体をダンプするのではなく、ファイルまたはフォルダーの GID を検索し、代わりにその値を返します。

メモのmountdコマンド リファレンス:

-g or --manage-gids 

Accept requests from the kernel to  map  user  id  numbers  into lists  of group  id  numbers for use in access control.  An NFS request will normally except when using Kerberos or other cryptographic  authentication)  contains  a  user-id  and  a list of group-ids.  Due to a limitation in the NFS protocol, at most  16 groups ids can be listed.  If you use the -g flag, then the list of group ids received from the client will be replaced by a list of  group ids determined by an appropriate lookup on the server.

アクセス要求が行われると、パケットの RPC 部分には 16 個の GID のみが渡されます。

Output of RPC packet with 16 GIDs.

16 の制限を超える GID は、プロトコルによって削除されます。 Azure NetApp Files の拡張 GID は、LDAP などの外部名サービスでのみ使用できます。

潜在的なパフォーマンスへの影響

拡張グループのパフォーマンス低下は最小限に抑えられます。通常、1 桁の割合は低くなります。 メタデータ NFS ワークロードが高いほど、特にシステムのキャッシュに影響を与える可能性が高くなります。 パフォーマンスは、ネーム サービス サーバーの速度とワークロードによっても影響を受ける可能性があります。 オーバーロードされたネーム サービス サーバーの応答が遅くなり、GID のプリフェッチに遅延が発生します。 最適な結果を得るには、複数のネーム サービス サーバーを使用して多数の要求を処理します。

"LDAP でローカル ユーザーを許可する" オプション

ユーザーが NFS 経由で Azure NetApp Files ボリュームにアクセスしようとすると、要求は数値 ID で送信されます。 既定では、Azure NetApp Files では NFS ユーザーの拡張グループ メンバーシップがサポートされます (標準の 16 グループ制限を超えて 1,024 に制限されます)。 その結果、Azure NetApp ファイルは、RPC パケットでグループ メンバーシップを渡すのではなく、ユーザーのグループ メンバーシップを解決しようとして LDAP の数値 ID を検索しようとします。

その動作により、その数値 ID を LDAP 内のユーザーに解決できない場合、要求するユーザーがボリュームまたはデータ構造にアクセスするアクセス許可を持っている場合でも、参照は失敗し、アクセスは拒否されます。

Active Directory 接続で LDAP を使用してローカル NFS ユーザーを許可するオプションは、拡張グループ機能を無効にすることで、NFS 要求に対する LDAP 参照を無効にすることを目的としています。 Azure NetApp Files 内の "ローカル ユーザーの作成/管理" は提供されません。

Azure NetApp ファイルのさまざまなボリューム セキュリティ スタイルでの動作など、このオプションの詳細については、「Azure NetApp Files での LDAP の使用について」を参照してください

次のステップ