Udostępnij za pośrednictwem


Tworzenie woluminu z podwójnym protokołem dla usługi Azure NetApp Files

Usługa Azure NetApp Files obsługuje tworzenie woluminów przy użyciu systemu plików NFS (NFSv3 lub NFSv4.1), protokołu SMB3 lub podwójnego (NFSv3 i SMB lub NFSv4.1 i SMB). W tym artykule pokazano, jak utworzyć wolumin używający podwójnego protokołu z obsługą mapowania użytkowników LDAP.

Aby utworzyć woluminy NFS, zobacz Tworzenie woluminu NFS. Aby utworzyć woluminy SMB, zobacz Tworzenie woluminu SMB.

Zanim rozpoczniesz

Ważne

Jeśli używasz niestandardowej roli RBAC/IAM, musisz mieć Microsoft.Network/virtualNetworks/subnets/read uprawnienie skonfigurowane do tworzenia lub aktualizowania woluminu.

Aby uzyskać więcej informacji na temat uprawnień i potwierdzić konfigurację uprawnień, zobacz Tworzenie lub aktualizowanie ról niestandardowych platformy Azure przy użyciu witryny Azure Portal.

Ważne

System Windows Server 2025 nie działa z systemem CIFS usługi Azure NetApp Files.

  • Musisz już utworzyć pulę pojemności.
    Zobacz Tworzenie puli pojemności.
  • Podsieć musi być delegowana do usługi Azure NetApp Files.
    Zobacz Delegowanie podsieci do usługi Azure NetApp Files.
  • Możliwość ustawienia limitu przydziału woluminu z zakresu od 50 do 100 GiB jest obecnie dostępna w wersji zapoznawczej. Aby można było utworzyć wolumin 50 GiB, należy zarejestrować się w tej funkcji.
    1. Zarejestruj funkcję:

      Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
      
    2. Sprawdź stan rejestracji funkcji:

      Uwaga

      Stan RegistrationState może być w stanie do 60 minut przed zmianą Registering na Registered. Przed kontynuowaniem poczekaj, aż stan będzie Registered kontynuowany.

      Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANF50GiBVolumeSize
      

      Możesz również użyć poleceń interfejsu wiersza polecenia platformy az feature register Azure i az feature show zarejestrować funkcję i wyświetlić stan rejestracji.

Kwestie wymagające rozważenia

  • Upewnij się, że spełniasz wymagania dotyczące połączeń usługi Active Directory.

  • Utwórz strefę wyszukiwania wstecznego na serwerze DNS, a następnie dodaj rekord wskaźnika (PTR) maszyny hosta usługi AD w tej strefie wyszukiwania wstecznego. W przeciwnym razie tworzenie woluminu z dwoma protokołami kończy się niepowodzeniem.

  • Opcja Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP w połączeniach usługi Active Directory ma na celu zapewnienie okazjonalnego i tymczasowego dostępu do użytkowników lokalnych. Po włączeniu tej opcji uwierzytelnianie użytkowników i wyszukiwanie z serwera LDAP przestaną działać, a liczba członkostw w grupach, które obsługuje usługa Azure NetApp Files, jest ograniczona do 16. W związku z tym należy zachować tę opcję wyłączoną na połączeniach usługi Active Directory, z wyjątkiem sytuacji, gdy użytkownik lokalny musi uzyskać dostęp do woluminów z obsługą protokołu LDAP. W takim przypadku należy wyłączyć tę opcję, gdy tylko dostęp użytkownika lokalnego nie jest już wymagany dla woluminu. Zobacz Zezwalanie lokalnym użytkownikom systemu plików NFS z protokołem LDAP na dostęp do woluminu z dwoma protokołami na temat zarządzania dostępem użytkowników lokalnych.

  • Upewnij się, że klient sieciowego systemu plików jest aktualny i ma najnowsze aktualizacje systemu operacyjnego.

  • Woluminy z podwójnym protokołem obsługują usługi domena usługi Active Directory Services (AD DS) i Microsoft Entra Domain Services.

  • Woluminy z podwójnym protokołem nie obsługują używania protokołu LDAP za pośrednictwem protokołu TLS z usługami Microsoft Entra Domain Services. Protokół LDAP za pośrednictwem protokołu TLS jest obsługiwany w usługach domena usługi Active Directory (AD DS). Zobacz Zagadnienia dotyczące protokołu LDAP za pośrednictwem protokołu TLS.

  • Wersja systemu plików NFS używana przez wolumin z podwójnym protokołem może być NFSv3 lub NFSv4.1. Obowiązują następujące zastrzeżenia:

    • Protokół podwójny nie obsługuje atrybutów set/get rozszerzonych list ACLS systemu Windows z klientów NFS.

    • Klienci systemu plików NFS nie mogą zmieniać uprawnień dla stylu zabezpieczeń NTFS, a klienci systemu Windows nie mogą zmieniać uprawnień dla woluminów z podwójnym protokołem w stylu unix.

      W poniższej tabeli opisano style zabezpieczeń i ich efekty:

      Styl zabezpieczeń Klienci, którzy mogą modyfikować uprawnienia Uprawnienia, których mogą używać klienci Wynikowy efektywny styl zabezpieczeń Klienci, którzy mogą uzyskiwać dostęp do plików
      Unix NFS Bity trybu NFSv3 lub NFSv4.1 UNIX NFS i Windows
      Ntfs Windows Listy ACL systemu plików NTFS NTFS NFS i Windows
    • Kierunek, w którym występuje mapowanie nazw (system Windows do SYSTEMU UNIX lub UNIX do systemu Windows) zależy od tego, który protokół jest używany i który styl zabezpieczeń jest stosowany do woluminu. Klient systemu Windows zawsze wymaga mapowania nazw z systemem Windows-UNIX. To, czy użytkownik jest stosowany do przeglądania uprawnień, zależy od stylu zabezpieczeń. Z drugiej strony klient systemu plików NFS musi używać mapowania nazw z systemem UNIX-windows tylko wtedy, gdy używany jest styl zabezpieczeń NTFS.

      W poniższej tabeli opisano mapowania nazw i style zabezpieczeń:

      Protokół Styl zabezpieczeń Kierunek mapowania nazw Zastosowane uprawnienia
      SMB Unix Windows to UNIX UNIX (bity trybu lub listy ACL NFSv4.x)
      SMB Ntfs Windows to UNIX Listy ACL systemu plików NTFS (oparte na udziale dostępu do identyfikatora SID systemu Windows)
      NFSv3 Unix Brak UNIX (bity trybu lub listy ACL NFSv4.x)

      Listy ACL NFSv4.x można stosować przy użyciu klienta administracyjnego NFSv4.x i honorowane przez klientów NFSv3.
      NFS Ntfs System UNIX-Windows Listy ACL systemu plików NTFS (oparte na mapowanym identyfikatorze SID użytkownika systemu Windows)
  • Funkcja LDAP z rozszerzonymi grupami obsługuje podwójny protokół [NFSv3 i SMB] oraz [NFSv4.1 i SMB] ze stylem zabezpieczeń systemu Unix. Aby uzyskać więcej informacji, zobacz Configure AD DS LDAP with extended groups for NFS volume access (Konfigurowanie protokołu LDAP usług AD DS z rozszerzonymi grupami na potrzeby dostępu do woluminu NFS).

  • Jeśli masz duże topologie i używasz stylu zabezpieczeń systemu Unix z woluminem z podwójnym protokołem lub LDAP z grupami rozszerzonymi, należy użyć opcji Zakres wyszukiwania LDAP na stronie Połączenia usługi Active Directory, aby uniknąć błędów "odmowa dostępu" na klientach systemu Linux dla usługi Azure NetApp Files. Aby uzyskać więcej informacji, zobacz Configure AD DS LDAP with extended groups for NFS volume access (Konfigurowanie protokołu LDAP usług AD DS z rozszerzonymi grupami na potrzeby dostępu do woluminu NFS).

  • Do utworzenia woluminu z podwójnym protokołem nie jest potrzebny certyfikat głównego urzędu certyfikacji serwera. Jest to wymagane tylko wtedy, gdy protokół LDAP za pośrednictwem protokołu TLS jest włączony.

  • Aby zrozumieć podwójne protokoły i powiązane zagadnienia dotyczące usługi Azure NetApp Files, zobacz sekcję Protokoły podwójne w temacie Omówienie protokołów NAS w usłudze Azure NetApp Files.

Tworzenie woluminu dwuprotokołowego

  1. Wybierz blok Woluminy w bloku Pule pojemności. Wybierz pozycję + Dodaj wolumin , aby utworzyć wolumin.

    Przejdź do woluminów

  2. W oknie Tworzenie woluminu wybierz pozycję Utwórz i podaj informacje dla następujących pól na karcie Podstawy:

    • Nazwa woluminu
      Określ nazwę tworzonego woluminu.

      Zapoznaj się z regułami i ograniczeniami nazewnictwa dla zasobów platformy Azure, aby zapoznać się z konwencjami nazewnictwa woluminów. Ponadto nie można używać default ani bin jako nazwy woluminu.

    • Pula pojemności
      Określ pulę pojemności, w której ma zostać utworzony wolumin.

    • Norma
      Określ wielkość magazynu logicznego, który zostanie przydzielony do woluminu.

      W polu Dostępny limit przydziału jest wyświetlana ilość nieużywanego miejsca w wybranej puli pojemności, które można wykorzystać do utworzenia nowego woluminu. Rozmiar nowego woluminu nie może przekraczać dostępnego limitu przydziału.

    • Duży wolumin

      Limity przydziału woluminów regularnych to od 50 GiB do 100 TiB. Duże limity przydziału woluminu wahają się od 50 TiB do 1 PiB w rozmiarze. Jeśli zamierzasz, aby limit przydziału woluminu spadł w dużym zakresie woluminów, wybierz pozycję Tak. Limity przydziału woluminu są wprowadzane w gib.

      Ważne

      Jeśli używasz dużych woluminów po raz pierwszy, musisz najpierw zarejestrować funkcję i zażądać zwiększenia limitu przydziału pojemności regionalnej.

      Nie można przekonwertować woluminów regularnych na duże woluminy. Nie można zmienić rozmiaru dużych woluminów na mniejsze niż 50 TiB. Aby zrozumieć wymagania i zagadnienia dotyczące dużych woluminów, zobacz Wymagania i zagadnienia dotyczące dużych woluminów. Aby uzyskać informacje o innych limitach, zobacz Limity zasobów.

    • Przepływność (MiB/S)
      Jeśli wolumin jest tworzony w ręcznej puli pojemności QoS, określ żądaną przepływność dla woluminu.

      Jeśli wolumin jest tworzony w puli pojemności automatycznego QoS, wartość wyświetlana w tym polu to (limit przydziału x przepływność na poziomie usługi).

    • Włączanie dostępu chłodnego, okresu chłodności i zasad pobierania dostępu chłodnego
      Te pola umożliwiają skonfigurowanie magazynu usługi Azure NetApp Files z dostępem chłodnym. Aby uzyskać opisy, zobacz Zarządzanie magazynem usługi Azure NetApp Files przy użyciu dostępu chłodnego.

    • Sieć wirtualna
      Określ sieć wirtualną platformy Azure, z której chcesz uzyskać dostęp do woluminu.

      Określona sieć wirtualna musi mieć podsieć delegowana do usługi Azure NetApp Files. Dostęp do usługi Azure NetApp Files można uzyskać tylko z tej samej sieci wirtualnej lub z sieci wirtualnej, która znajduje się w tym samym regionie co wolumin za pośrednictwem komunikacji równorzędnej sieci wirtualnych. Możesz również uzyskać dostęp do woluminu z sieci lokalnej za pośrednictwem usługi Express Route.

    • Podsieć
      Określ podsieć, której chcesz użyć na potrzeby woluminu.
      Określana podsieć musi być delegowana do usługi Azure NetApp Files.

      Jeśli podsieć nie została delegowana, możesz wybrać pozycję Utwórz nową na stronie Tworzenie woluminu. Następnie na stronie Utwórz podsieć określ informacje o podsieci i wybierz pozycję Microsoft.NetApp/woluminy, aby delegować podsieć dla usługi Azure NetApp Files. W każdej sieci wirtualnej można delegować tylko jedną podsieć do usługi Azure NetApp Files.

      Tworzenie podsieci

    • Funkcje sieciowe
      W obsługiwanych regionach można określić, czy dla woluminu mają być używane funkcje sieciowe w warstwie Podstawowa czy Standardowa . Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie funkcji sieciowych dla woluminu i wskazówki dotyczące planowania sieci usługi Azure NetApp Files.

    • Źródło klucza szyfrowania Możesz wybrać lub Customer Managed KeyMicrosoft Managed Key . Zobacz Konfigurowanie kluczy zarządzanych przez klienta na potrzeby szyfrowania woluminów usługi Azure NetApp Files i podwójnego szyfrowania usługi Azure NetApp Files magazynowanych na temat korzystania z tego pola.

    • Strefa dostępności
      Ta opcja umożliwia wdrożenie nowego woluminu w określonej logicznej strefie dostępności. Wybierz strefę dostępności, w której znajdują się zasoby usługi Azure NetApp Files. Aby uzyskać szczegółowe informacje, zobacz Zarządzanie umieszczaniem woluminów w strefie dostępności.

    • Jeśli chcesz zastosować istniejące zasady migawek do woluminu, wybierz pozycję Pokaż sekcję zaawansowaną, aby ją rozwinąć, określ, czy chcesz ukryć ścieżkę migawki, a następnie wybierz zasady migawek w menu rozwijanym.

      Aby uzyskać informacje na temat tworzenia zasad migawek, zobacz Zarządzanie zasadami migawek.

      Pokaż wybór zaawansowany

  3. Wybierz kartę Protokół , a następnie wykonaj następujące czynności:

    • Wybierz opcję Podwójny protokół jako typ protokołu dla woluminu.

    • Określ połączenie usługi Active Directory do użycia.

    • Określ unikatową ścieżkę woluminu. Ta ścieżka jest używana podczas tworzenia miejsc docelowych instalacji. Wymagania dotyczące ścieżki są następujące:

      • W przypadku woluminów, które nie należą do strefy dostępności lub woluminów w tej samej strefie dostępności, ścieżka woluminu musi być unikatowa w każdej podsieci w regionie.
      • W przypadku woluminów w strefach dostępności ścieżka woluminu musi być unikatowa w każdej strefie dostępności. Ta funkcja jest obecnie dostępna w wersji zapoznawczej i wymaga zarejestrowania funkcji. Aby uzyskać więcej informacji, zobacz Zarządzanie umieszczaniem woluminów w strefie dostępności.
      • Musi zaczynać się od znaku alfabetycznego.
      • Może zawierać tylko litery, cyfry lub kreski (-).
      • Długość nie może przekraczać 80 znaków.
    • Określ wersje do użycia dla dwóch protokołów: NFSv4.1 i SMB lub NFSv3 i SMB.

    • Określ styl zabezpieczeń do użycia: NTFS (wartość domyślna) lub UNIX.

    • Jeśli chcesz włączyć szyfrowanie protokołu SMB3 dla woluminu z podwójnym protokołem, wybierz pozycję Włącz szyfrowanie protokołu SMB3.

      Ta funkcja umożliwia szyfrowanie tylko w przypadku danych SMB3 w locie. Nie szyfruje danych NFSv3 w locie. Klienci SMB, którzy nie korzystają z szyfrowania SMB3, nie mogą uzyskać dostępu do tego woluminu. Dane magazynowane są szyfrowane niezależnie od tego ustawienia. Aby uzyskać więcej informacji, zobacz Szyfrowanie SMB.

    • Jeśli wybrano opcję NFSv4.1 i SMB dla wersji woluminu z podwójnym protokołem, wskaż, czy chcesz włączyć szyfrowanie Kerberos dla woluminu.

      Dodatkowe konfiguracje są wymagane dla protokołu Kerberos. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie szyfrowania Kerberos w systemie plików NFSv4.1.

    • Jeśli chcesz włączyć wyliczanie oparte na dostępie, wybierz pozycję Włącz wyliczanie oparte na dostępie.

      Wyliczanie oparte na dostępie ukrywa katalogi i pliki utworzone w ramach udziału od użytkowników, którzy nie mają uprawnień dostępu. Nadal możesz wyświetlić udział. Wyliczenie oparte na dostępie można włączyć tylko wtedy, gdy wolumin z podwójnym protokołem używa stylu zabezpieczeń NTFS.

    • Możesz włączyć funkcję udostępniania bez przeglądania.

      Ta funkcja uniemożliwia klientowi systemu Windows przeglądanie udziału. Udział nie jest wyświetlany w przeglądarce plików systemu Windows ani na liście udziałów podczas uruchamiania net view \\server /all polecenia.

    • Dostosuj uprawnienia systemu Unix zgodnie z potrzebami, aby określić uprawnienia zmiany dla ścieżki instalacji. Ustawienie nie ma zastosowania do plików w ścieżce instalacji. Ustawienie domyślne to 0770. To ustawienie domyślne przyznaje uprawnienia do odczytu, zapisu i wykonywania właścicielowi i grupie, ale żadne uprawnienia nie są przyznawane innym użytkownikom.
      Wymagania dotyczące rejestracji i zagadnienia dotyczące ustawiania uprawnień systemu Unix. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie uprawnień systemu Unix i zmienianie trybu własności.

    • Opcjonalnie skonfiguruj zasady eksportu dla woluminu.

    Określanie podwójnego protokołu

  4. Wybierz pozycję Przejrzyj i utwórz , aby przejrzeć szczegóły woluminu. Następnie wybierz pozycję Utwórz , aby utworzyć wolumin.

    Utworzony wolumin zostanie wyświetlony na stronie Woluminy.

    Wolumin dziedziczy atrybuty Subskrypcja, Grupa zasobów i Lokalizacja z puli pojemności. Stan wdrożenia woluminu możesz monitorować na karcie Powiadomienia.

Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP na dostęp do woluminu z podwójnym protokołem

Opcja Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP w połączeniach usługi Active Directory umożliwia lokalnym użytkownikom klienta systemu plików NFS, którzy nie są obecni na serwerze LDAP systemu Windows, aby uzyskać dostęp do woluminu z podwójnym protokołem z włączonym protokołem LDAP z włączonymi grupami rozszerzonymi.

Uwaga

Przed włączeniem tej opcji należy zapoznać się z zagadnieniami.
Opcja Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP jest częścią funkcji LDAP z rozszerzonymi grupami i wymaga rejestracji. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie protokołu LDAP usług AD DS z grupami rozszerzonymi na potrzeby dostępu do woluminu NFS.

  1. Wybierz pozycję Połączenia usługi Active Directory. Na istniejącym połączeniu usługi Active Directory wybierz menu kontekstowe (trzy kropki ), a następnie pozycję Edytuj.

  2. W wyświetlonym oknie Edytowanie ustawień usługi Active Directory wybierz opcję Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP .

    Zrzut ekranu przedstawiający opcję Zezwalaj lokalnym użytkownikom systemu plików NFS z protokołem LDAP

Zarządzanie atrybutami LDAP POSIX

Atrybuty POSIX, takie jak UID, Katalog macierzysty i inne wartości, można zarządzać przy użyciu przystawki programu MMC Użytkownicy i komputery usługi Active Directory. W poniższym przykładzie przedstawiono Edytor atrybutów usługi Active Directory:

Edytor atrybutów usługi Active Directory

Należy ustawić następujące atrybuty dla użytkowników LDAP i grup LDAP:

  • Wymagane atrybuty dla użytkowników LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Wymagane atrybuty dla grup LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Wszyscy użytkownicy i grupy muszą mieć odpowiednio unikatowe uidNumber wartości i gidNumber.

Wartości określone dla objectClass są oddzielnymi wpisami. Na przykład w Edytorze objectClass ciągów z wieloma wartościami będą miały oddzielne wartości (user i posixAccount) określone w następujący sposób dla użytkowników LDAP:

Zrzut ekranu przedstawiający wielowartościowy edytor ciągów, który pokazuje wiele wartości określonych dla klasy obiektów.

Microsoft Entra Domain Services nie zezwala na modyfikowanie atrybutu objectClass POSIX dla użytkowników i grup utworzonych w organizacji OU użytkowników AADDC. Aby obejść ten problem, możesz utworzyć niestandardową jednostkę organizacyjną i utworzyć użytkowników i grupy w niestandardowej jednostki organizacyjnej.

Jeśli synchronizujesz użytkowników i grupy w dzierżawie usługi Microsoft Entra do użytkowników i grup w OU użytkowników usługi AADDC, nie możesz przenosić użytkowników i grup do niestandardowej jednostki organizacyjnej. Użytkownicy i grupy utworzone w niestandardowej jednostki organizacyjnej nie są synchronizowane z dzierżawą usługi AD. Aby uzyskać więcej informacji, zobacz Zagadnienia i ograniczenia dotyczące niestandardowej jednostki organizacyjnej usług Microsoft Entra Domain Services.

Uzyskiwanie dostępu do edytora atrybutów usługi Active Directory

W systemie Windows można uzyskać dostęp do Edytora atrybutów usługi Active Directory w następujący sposób:

  1. Wybierz pozycję Start, przejdź do pozycji Narzędzia administracyjne systemu Windows. Następnie wybierz Użytkownicy i komputery usługi Active Directory, aby otworzyć okno Użytkownicy i komputery usługi Active Directory.
  2. Wybierz nazwę domeny, którą chcesz wyświetlić, a następnie rozwiń zawartość.
  3. Aby wyświetlić zaawansowany Edytor atrybutów, włącz opcję Funkcje zaawansowane w menu Widok komputerów użytkowników usługi Active Directory.
    Zrzut ekranu przedstawiający sposób uzyskiwania dostępu do menu Zaawansowane funkcje edytora atrybutów.
  4. Wybierz pozycję Użytkownicy w okienku po lewej stronie, aby wyświetlić listę użytkowników.
  5. Wybierz określonego użytkownika, aby wyświetlić jego kartę Edytor atrybutów.

Konfigurowanie klienta NFS

Postępuj zgodnie z instrukcjami w temacie Konfigurowanie klienta NFS dla usługi Azure NetApp Files , aby skonfigurować klienta NFS.

Następne kroki