Omówienie protokołów NAS w usłudze Azure NetApp Files
Protokoły NAS to sposób nawiązywania rozmów między klientami i serwerami. NFS i SMB to protokoły NAS używane w usłudze Azure NetApp Files. Każda z nich oferuje własne odrębne metody komunikacji, ale w ich katalogu głównym działają głównie w ten sam sposób.
- Oba obsługują pojedynczy zestaw danych wielu różnych dołączonych do sieci klientów.
- Obie metody uwierzytelniania mogą używać zaszyfrowanych metod uwierzytelniania do udostępniania danych.
- Oba te elementy mogą być bramowane przy użyciu uprawnień udziału i plików.
- Oba te elementy mogą szyfrować dane w locie.
- Oba mogą używać wielu połączeń, aby ułatwić zrównoleglizowanie wydajności.
Sieciowy system plików (NFS)
System plików NFS jest używany głównie z klientami opartymi na systemie Linux/system UNIX, takimi jak Red Hat, SUSE, Ubuntu, AIX, Solaris i Apple OS. Usługa Azure NetApp Files obsługuje dowolnego klienta NFS, który działa w standardach RFC. System Windows może również używać systemu plików NFS do uzyskiwania dostępu, ale nie działa przy użyciu standardów request for Comments (RFC).
Standardy RFC dla protokołów NFS można znaleźć tutaj:
NFSv3
NFSv3 to podstawowa oferta protokołu i ma następujące kluczowe atrybuty:
- NFSv3 jest bezstanowy, co oznacza, że serwer NFS nie śledzi stanów połączeń (w tym blokad).
- Blokowanie jest obsługiwane poza protokołem NFS przy użyciu Menedżera blokad sieci (NLM). Ponieważ blokady nie są zintegrowane z protokołem, czasami mogą wystąpić nieaktualne blokady.
- Ponieważ system NFSv3 jest bezstanowy, wydajność z systemem plików NFSv3 może być znacznie lepsza w niektórych obciążeniach, szczególnie w przypadku obciążeń z operacjami o wysokiej ilości metadanych, takimi jak OPEN, CLOSE, SETATTR i GETATTR. Dzieje się tak, ponieważ istnieje mniej ogólna praca, którą należy wykonać w celu przetwarzania żądań na serwerze i kliencie.
- System plików NFSv3 używa podstawowego modelu uprawnień do plików, w którym tylko właściciel pliku, grupa i wszyscy inni mogą mieć przypisaną kombinację uprawnień do odczytu/zapisu/wykonywania.
- NFSv3 może używać list ACL NFSv4.x, ale klient zarządzania NFSv4.x musi skonfigurować listy ACL i zarządzać nimi. Usługa Azure NetApp Files nie obsługuje używania niestandardowych list ACL wersji roboczej POSIX.
- System plików NFSv3 wymaga również używania innych protokołów pomocniczych do regularnych operacji, takich jak odnajdywanie portów, instalowanie, blokowanie, monitorowanie stanu i przydziały. Każdy protokół pomocniczy używa unikatowego portu sieciowego, co oznacza, że operacje NFSv3 wymagają większej ekspozycji przez zapory z dobrze znanymi numerami portów.
- Usługa Azure NetApp Files używa następujących numerów portów dla operacji NFSv3. Nie można zmienić tych numerów portów:
- Portmapper (111)
- Instalacja (635)
- NFS (2049)
- NLM (4045)
- NSM (4046)
- Rquota (4049)
- System plików NFSv3 może korzystać z ulepszeń zabezpieczeń, takich jak Kerberos, ale protokół Kerberos wpływa tylko na część pakietów NFS; protokoły pomocnicze (takie jak NLM, portmapper, instalacja) nie są zawarte w konwersacji protokołu Kerberos.
- Usługa Azure NetApp Files obsługuje tylko szyfrowanie Kerberos w systemie plików NFSv4.1
- System plików NFSv3 używa identyfikatorów liczbowych na potrzeby uwierzytelniania użytkowników i grup. Nazwy użytkowników i nazwy grup nie są wymagane do komunikacji lub uprawnień, co może ułatwić fałszowanie użytkownika, ale konfiguracja i zarządzanie są prostsze.
- NFSv3 może używać protokołu LDAP do wyszukiwania użytkowników i grup.
Obsługa wersji usługi NFSv3
System plików NFSv3 obsługuje obecnie następujące wersje każdego protokołu pomocniczego w usłudze Azure NetApp Files:
Service | Obsługiwane wersje |
---|---|
Portmapper | 4, 3, 2 |
NFS | 4, 3* |
Zamontowany | 3, 2, 1 |
Nlockmgr | 100 |
Stan | 1 |
Rquotas | 1 |
* Obsługiwane wersje systemu plików NFS są wyświetlane na podstawie wersji wybranej dla woluminu usługi Azure NetApp Files.
Te informacje można zebrać z woluminu usługi Azure NetApp Files za pomocą następującego polecenia:
# rpcinfo -s <Azure NetApp Files IP address>
NFSv4.x
NFSv4.x odnosi się do wszystkich wersji NFS lub wersji pomocniczych, które znajdują się w systemie plików NFSv4, w tym NFSv4.0, NFSv4.1 i NFSv4.2. Usługa Azure NetApp Files obecnie obsługuje tylko system plików NFS 4.1.
NFSv4.x ma następujące cechy:
- NFSv4.x to protokół stanowy, co oznacza, że klient i serwer śledzą stany połączeń NFS, w tym stany blokady. Instalacja systemu plików NFS używa koncepcji znanej jako "identyfikator stanu", aby śledzić połączenia.
- Blokowanie jest zintegrowane z protokołem NFS i nie wymaga dodatkowych protokołów blokowania w celu śledzenia blokad NFS. Zamiast tego blokady są przyznawane na podstawie dzierżawy. Wygasają po upływie określonego czasu trwania, jeśli połączenie klienta lub serwera zostanie utracone, co powoduje powrót blokady do systemu do użytku z innymi klientami NFS.
- Stanowość systemu plików NFSv4.x zawiera pewne wady, takie jak potencjalne zakłócenia podczas awarii sieci lub trybu failover magazynu oraz obciążenie wydajności w niektórych typach obciążeń (na przykład wysokie obciążenia metadanych).
- NFSv4.x zapewnia wiele znaczących korzyści w porównaniu z systemem plików NFSv3, w tym:
- Lepsze pojęcia dotyczące blokowania (blokowanie oparte na dzierżawie)
- Lepsze zabezpieczenia (mniejsza liczba potrzebnych portów zapory, standardowa integracja z kerberos, szczegółowa kontrola dostępu)
- Więcej funkcji
- Złożone operacje NFS (wiele poleceń w jednym żądaniu pakietów w celu zmniejszenia czattera sieciowego)
- Tylko TCP
- System plików NFSv4.x może używać bardziej niezawodnego modelu uprawnień do plików, który jest podobny do uprawnień systemu Windows NTFS. Te szczegółowe listy ACL można stosować do użytkowników lub grup i zezwalać na ustawianie uprawnień dla szerszego zakresu operacji niż podstawowe operacje odczytu/zapisu/wykonywania. NFSv4.x może również używać standardowych bitów trybu POSIX używanych przez system plików NFSv3.
- Ponieważ system plików NFSv4.x nie korzysta z protokołów pomocniczych, protokół Kerberos jest stosowany do całej konwersacji systemu plików NFS w przypadku użycia.
- System plików NFSv4.x używa kombinacji nazw użytkowników/grup i ciągów domeny do weryfikowania informacji o użytkownikach i grupach. Klient i serwer muszą uzgodnić ciągi domeny, aby miały miejsce odpowiednie uwierzytelnianie użytkowników i grup. Jeśli ciągi domeny nie są zgodne, użytkownik lub grupa systemu plików NFS zostanie zmieciony do określonego użytkownika w pliku /etc/idmapd.conf na kliencie NFS (na przykład nikt).
- Chociaż NFSv4.x domyślnie używa ciągów domeny, można skonfigurować klienta i serwer do powrotu do klasycznych identyfikatorów liczbowych widocznych w systemie plików NFSv3, gdy AUTH_SYS jest w użyciu.
- System plików NFSv4.x ma głęboką integrację z ciągami nazw użytkowników i grup, a serwer i klienci muszą wyrazić zgodę na tych użytkowników i grupy. W związku z tym rozważ użycie serwera usługi nazw do uwierzytelniania użytkowników, takiego jak LDAP na klientach i serwerach NFS.
Aby uzyskać często zadawane pytania dotyczące systemu plików NFS w usłudze Azure NetApp Files, zobacz Często zadawane pytania dotyczące systemu plików NFS usługi Azure NetApp Files.
Blok komunikatów serwera (SMB)
Protokół SMB jest używany głównie z klientami systemu Windows na potrzeby funkcji NAS. Można go jednak również używać w systemach operacyjnych opartych na systemie Linux, takich jak AppleOS, RedHat itp. To wdrożenie jest realizowane przy użyciu aplikacji o nazwie Samba. Usługa Azure NetApp Files ma oficjalną obsługę protokołu SMB przy użyciu systemów Windows i macOS. Protokół SMB/Samba w systemach operacyjnych Linux może współpracować z usługą Azure NetApp Files, ale nie ma oficjalnej pomocy technicznej.
Usługa Azure NetApp Files obsługuje tylko wersje SMB 2.1 i SMB 3.1.
Protokół SMB ma następujące cechy:
- Protokół SMB jest protokołem stanowym: klienci i serwer utrzymują "stan" dla połączeń udziału SMB w celu zapewnienia lepszych zabezpieczeń i blokowania.
- Blokowanie w usłudze SMB jest uznawane za obowiązkowe. Gdy plik jest zablokowany, żaden inny klient nie może zapisywać w tym pliku do momentu zwolnienia blokady.
- SmBv2.x i nowsze używają wywołań złożonych do wykonywania operacji.
- Protokół SMB obsługuje pełną integrację protokołu Kerberos. W przypadku konfigurowania klientów systemu Windows protokół Kerberos jest często używany bez znajomości użytkowników końcowych.
- Jeśli protokół Kerberos nie może być używany do uwierzytelniania, program Windows NT LAN Manager (NTLM) może być używany jako rezerwowy. Jeśli protokół NTLM jest wyłączony w środowisku usługi Active Directory, żądania uwierzytelniania, które nie mogą używać protokołu Kerberos, kończą się niepowodzeniem.
- Protokół SMBv3.0 lub nowszy obsługuje kompleksowe szyfrowanie udziałów SMB.
- Protokół SMBv3.x obsługuje wiele kanałów w celu zwiększenia wydajności w niektórych obciążeniach.
- Protokół SMB używa nazw użytkowników i grup (za pośrednictwem tłumaczenia identyfikatora SID) do uwierzytelniania. Informacje o użytkowniku i grupie są udostępniane przez kontroler domeny usługi Active Directory.
- Protokół SMB w usłudze Azure NetApp Files używa standardowych list ACL systemu plików Windows New Technology File System (NTFS) na potrzeby uprawnień do plików i folderów.
Aby uzyskać często zadawane pytania dotyczące protokołu SMB w usłudze Azure NetApp Files, zobacz Często zadawane pytania dotyczące protokołu SMB usługi Azure NetApp Files.
Protokoły podwójne
Niektóre organizacje mają czysty system Windows lub czyste środowiska system UNIX (homogeniczne), w których dostęp do wszystkich danych jest uzyskiwany przy użyciu tylko jednego z następujących podejść:
- Zabezpieczenia plików SMB i NTFS
- Zabezpieczenia plików NFS i system UNIX — bity trybu lub listy kontroli dostępu NFSv4.x (ACL)
Jednak wiele lokacji musi umożliwić dostęp do zestawów danych zarówno z systemu Windows, jak i system UNIX klientów (heterogenicznych). W przypadku środowisk z tymi wymaganiami usługa Azure NetApp Files ma natywną obsługę serwera NAS z podwójnym protokołem. Po uwierzytelnieniu użytkownika w sieci i posiada odpowiednie uprawnienia udziału lub eksportu oraz niezbędne uprawnienia na poziomie pliku, użytkownik może uzyskać dostęp do danych z hostów system UNIX przy użyciu systemu plików NFS lub hostów systemu Windows przy użyciu protokołu SMB.
Przyczyny używania woluminów z dwoma protokołami
Korzystanie z woluminów z dwoma protokołami w usłudze Azure NetApp Files zapewnia kilka odrębnych korzyści. Gdy zestawy danych mogą być bezproblemowo i jednocześnie dostępne przez klientów przy użyciu różnych protokołów NAS, można osiągnąć następujące korzyści:
- Zmniejsz ogólne zadania zarządzania administratorami magazynu.
- Wymagaj tylko pojedynczej kopii danych, która ma być przechowywana na potrzeby dostępu nas z wielu typów klientów.
- Niezależny od protokołu nas umożliwia administratorom magazynu kontrolowanie stylu listy ACL i kontroli dostępu prezentowanych użytkownikom końcowym.
- Scentralizowanie operacji zarządzania tożsamościami w środowisku NAS.
Typowe zagadnienia dotyczące środowisk z podwójnym protokołem
Dostęp do serwera NAS z podwójnym protokołem jest pożądany przez wiele organizacji w celu zapewnienia elastyczności. Istnieje jednak postrzeganie trudności, które tworzy zestaw zagadnień unikatowych dla koncepcji udostępniania między protokołami. Te zagadnienia obejmują, ale nie są ograniczone do następujących kwestii:
- Wymaganie wiedzy na temat wielu protokołów, systemów operacyjnych i systemów magazynowania.
- Znajomość serwerów usługi nazw, takich jak DNS, LDAP itd.
Ponadto czynniki zewnętrzne mogą wejść w grę, takie jak:
- Obsługa wielu działów i grup IT (takich jak grupy systemu Windows i grupy system UNIX)
- Przejęcia firmy
- Konsolidacje domen
- Reorganizacje
Pomimo tych zagadnień konfiguracja, konfiguracja i dostęp do serwera NAS z podwójnym protokołem mogą być proste i bezproblemowo zintegrowane z dowolnym środowiskiem.
Jak usługa Azure NetApp Files upraszcza korzystanie z dwóch protokołów
Usługa Azure NetApp Files konsoliduje infrastrukturę wymaganą dla pomyślnych środowisk NAS z podwójnym protokołem do jednej płaszczyzny zarządzania, w tym usług zarządzania magazynem i tożsamościami.
Konfiguracja dwóch protokołów jest prosta, a większość zadań jest chroniona przez platformę zarządzania zasobami usługi Azure NetApp Files, aby uprościć operacje dla operatorów chmury.
Po nawiązaniu połączenia usługi Active Directory z usługą Azure NetApp Files woluminy z podwójnym protokołem mogą używać połączenia do obsługi zarówno systemu Windows, jak i system UNIX zarządzania tożsamościami potrzebnymi do odpowiedniego uwierzytelniania użytkowników i grup przy użyciu woluminów usługi Azure NetApp Files bez dodatkowych kroków konfiguracji poza normalnym zarządzaniem użytkownikami i grupami w ramach usług Active Directory lub LDAP.
Dzięki usunięciu dodatkowych kroków skoncentrowanych na magazynie dla konfiguracji dwóch protokołów usługa Azure NetApp Files usprawnia ogólne wdrożenie dwóch protokołów dla organizacji, które chcą przejść na platformę Azure.
Jak działają woluminy z podwójnym protokołem usługi Azure NetApp Files
Na wysokim poziomie woluminy z podwójnym protokołem usługi Azure NetApp Files używają kombinacji mapowania nazw i stylów uprawnień w celu zapewnienia spójnego dostępu do danych niezależnie od używanego protokołu. Oznacza to, że uzyskujesz dostęp do pliku z systemu plików NFS lub SMB, możesz mieć pewność, że użytkownicy z dostępem do tych plików mogą uzyskiwać do nich dostęp, a użytkownicy bez dostępu do tych plików nie mogą uzyskać do nich dostępu.
Gdy klient NAS żąda dostępu do woluminu z dwoma protokołami w usłudze Azure NetApp Files, następujące operacje są wykonywane w celu zapewnienia użytkownikowi końcowemu przezroczystego środowiska.
- Klient NAS nawiązuje połączenie NAS z woluminem z podwójnym protokołem usługi Azure NetApp Files.
- Klient NAS przekazuje informacje o tożsamości użytkownika do usługi Azure NetApp Files.
- Usługa Azure NetApp Files sprawdza, czy klient/użytkownik NAS ma dostęp do udziału NAS.
- Usługa Azure NetApp Files pobiera tego użytkownika i mapuje go na prawidłowego użytkownika znalezionego w usługach nazw.
- Usługa Azure NetApp Files porównuje tego użytkownika z uprawnieniami na poziomie plików w systemie.
- Uprawnienia do plików kontrolują poziom dostępu użytkownika.
Na poniższej ilustracji uwierzytelnia się w usłudze Azure NetApp Files, user1
aby uzyskać dostęp do woluminu z podwójnym protokołem za pośrednictwem protokołu SMB lub NFS. Usługa Azure NetApp Files znajduje informacje o systemie Windows użytkownika i system UNIX w identyfikatorze Entra firmy Microsoft, a następnie mapuje tożsamości użytkownika systemu Windows i system UNIX tożsamości jeden do jednego. Użytkownik jest weryfikowany jako user1
i pobiera user1
poświadczenia dostępu.
W tym przypadku user1
uzyskuje pełną kontrolę nad własnym folderem (user1-dir
) i nie ma dostępu do HR
folderu. To ustawienie jest oparte na listach ACL zabezpieczeń określonych w systemie plików i user1
uzyska oczekiwany dostęp niezależnie od tego, z którego protokołu uzyskują dostęp do woluminów.
Zagadnienia dotyczące woluminów z podwójnym protokołem usługi Azure NetApp Files
W przypadku korzystania z woluminów usługi Azure NetApp Files w celu uzyskania dostępu do protokołu SMB i systemu plików NFS należy wziąć pod uwagę następujące kwestie:
- Potrzebujesz połączenia z usługą Active Directory. W związku z tym należy spełnić wymagania dotyczące połączeń usługi Active Directory.
- Woluminy z podwójnym protokołem wymagają strefy wyszukiwania wstecznego w systemie DNS ze skojarzonym rekordem wskaźnika (PTR) maszyny hosta usługi AD, aby zapobiec niepowodzeniu tworzenia woluminów z podwójnym protokołem.
- Klient systemu plików NFS i skojarzone pakiety (takie jak
nfs-utils
) powinny być aktualne w celu uzyskania najlepszej obsługi zabezpieczeń, niezawodności i funkcji. - Woluminy z podwójnym protokołem obsługują usługi domena usługi Active Directory Services (AD DS) i Microsoft Entra Domain Services.
- Woluminy z podwójnym protokołem nie obsługują używania protokołu LDAP za pośrednictwem protokołu TLS z usługami Microsoft Entra Domain Services. Zobacz Zagadnienia dotyczące protokołu LDAP za pośrednictwem protokołu TLS.
- Obsługiwane wersje systemu plików NFS obejmują: NFSv3 i NFSv4.1.
- Funkcje systemu plików NFSv4.1, takie jak równoległy system plików sieciowych (pNFS), magistrala sesji i odwołania nie są obecnie obsługiwane w przypadku woluminów usługi Azure NetApp Files.
- Atrybuty
set
/get
rozszerzone systemu Windows nie są obsługiwane w woluminach z podwójnym protokołem. - Zapoznaj się z dodatkowymi zagadnieniami dotyczącymi tworzenia woluminu z podwójnym protokołem dla usługi Azure NetApp Files.
Następne kroki
- Omówienie zachowania zabezpieczeń i uprawnień w usłudze Azure NetApp Files przy użyciu dwóch protokołów
- Omówienie korzystania z protokołu LDAP z usługą Azure NetApp Files
- Omówienie członkostwa w grupach systemu plików NFS i grup uzupełniających
- Informacje o typach blokowania i blokowania plików w usłudze Azure NetApp Files
- Tworzenie woluminu NFS dla usługi Azure NetApp Files
- Tworzenie woluminu SMB dla usługi Azure NetApp Files
- Tworzenie woluminu z podwójnym protokołem dla usługi Azure NetApp Files
- Azure NetApp Files NFS — często zadawane pytania
- Często zadawane pytania dotyczące protokołu SMB usługi Azure NetApp Files