Omówienie grup pomocniczych/uzupełniających za pomocą systemu plików NFS w usłudze Azure NetApp Files
System plików NFS ma określone ograniczenie dla maksymalnej liczby pomocniczych identyfikatorów GID (grup pomocniczych), które mogą być honorowane w jednym żądaniu NFS. Maksymalna wartość dla AUTH_SYS/AUTH_system UNIX wynosi 16. W przypadku AUTH_GSS (Kerberos) maksymalna wartość to 32. Jest to znane ograniczenie protokołu NFS.
Usługa Azure NetApp Files umożliwia zwiększenie maksymalnej liczby grup pomocniczych do 1024. Jest to wykonywane przez uniknięcie obcięcia listy grup w pakiecie NFS przez wstępne pobranie grupy żądającego użytkownika z usługi nazw, takiej jak LDAP.
Jak to działa
Opcje rozszerzenia ograniczenia grupy działają tak samo jak -manage-gids w przypadku innych serwerów NFS. Zamiast wyrzucać całą listę pomocniczych identyfikatorów GID, do których należy użytkownik, opcja wyszukuje giD w pliku lub folderze i zwraca tę wartość.
Dokumentacja poleceń dla notatek mountd :
-g or --manage-gids
Accept requests from the kernel to map user id numbers into lists of group id numbers for use in access control. An NFS request will normally except when using Kerberos or other cryptographic authentication) contains a user-id and a list of group-ids. Due to a limitation in the NFS protocol, at most 16 groups ids can be listed. If you use the -g flag, then the list of group ids received from the client will be replaced by a list of group ids determined by an appropriate lookup on the server.
Po wysłaniu żądania dostępu tylko 16 GID jest przekazywanych w części RPC pakietu.
Każdy giD poza limitem 16 jest porzucany przez protokół. Rozszerzone identyfikatory GID w usłudze Azure NetApp Files mogą być używane tylko z zewnętrznymi usługami nazw, takimi jak LDAP.
Potencjalny wpływ na wydajność
Grupy rozszerzone mają minimalną karę za wydajność, zazwyczaj w niskich procentach pojedynczych cyfr. Większe obciążenia NFS metadanych prawdopodobnie będą miały większy wpływ, szczególnie w przypadku pamięci podręcznych systemu. Wydajność może również mieć wpływ na szybkość i obciążenie serwerów usługi nazw. Przeciążone serwery usługi nazw są wolniejsze do reagowania, co powoduje opóźnienia wstępnego pobierania giD. Aby uzyskać najlepsze wyniki, użyj wielu serwerów usługi nazw do obsługi dużej liczby żądań.
Opcja "Zezwalaj lokalnym użytkownikom z protokołem LDAP"
Gdy użytkownik próbuje uzyskać dostęp do woluminu usługi Azure NetApp Files za pośrednictwem systemu plików NFS, żądanie ma identyfikator liczbowy. Domyślnie usługa Azure NetApp Files obsługuje rozszerzone członkostwa w grupach dla użytkowników systemu plików NFS (aby przekraczać standardowy limit 16 grup do 1024). W związku z tym usługa Azure NetApp files próbuje wyszukać identyfikator liczbowy w protokole LDAP, próbując rozpoznać członkostwo w grupach dla użytkownika, a nie przekazać członkostw w grupach w pakiecie RPC.
Ze względu na to zachowanie, jeśli nie można rozpoznać tego identyfikatora liczbowego dla użytkownika w protokole LDAP, wyszukiwanie nie powiedzie się i dostęp zostanie odrzucony, nawet jeśli żądający użytkownik ma uprawnienia dostępu do woluminu lub struktury danych.
Opcja Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP w połączeniach usługi Active Directory ma na celu wyłączenie tych wyszukiwań LDAP dla żądań NFS przez wyłączenie rozszerzonej funkcjonalności grupy. Nie zapewnia ona "tworzenia/zarządzania użytkownikami lokalnymi" w usłudze Azure NetApp Files.
Aby uzyskać więcej informacji na temat opcji, w tym sposobu jej działania z różnymi stylami zabezpieczeń woluminów w usłudze Azure NetApp Files, zobacz Omówienie korzystania z protokołu LDAP z usługą Azure NetApp Files.