Compreender os protocolos NAS nos Arquivos NetApp do Azure
Os protocolos NAS são como as conversas acontecem entre clientes e servidores. NFS e SMB são os protocolos NAS usados nos Arquivos do Azure NetApp. Cada um oferece seus próprios métodos distintos de comunicação, mas em sua raiz, eles operam principalmente da mesma maneira.
- Ambos servem um único conjunto de dados para muitos clientes conectados em rede diferentes.
- Ambos podem usar métodos de autenticação criptografados para compartilhar dados.
- Ambos podem ser fechados com permissões de compartilhamento e arquivo.
- Ambos podem criptografar dados durante o voo.
- Ambos podem usar várias conexões para ajudar a paralelizar o desempenho.
NFS (sistema de arquivos de rede)
O NFS é usado principalmente com clientes baseados em Linux/UNIX, como Red Hat, SUSE, Ubuntu, AIX, Solaris e Apple OS. Os Arquivos NetApp do Azure dão suporte a qualquer cliente NFS que opere nos padrões RFC. O Windows também pode usar NFS para acesso, mas não opera usando padrões de solicitação de comentários (RFC).
Os padrões RFC para protocolos NFS podem ser encontrados aqui:
NFSv3
O NFSv3 é uma oferta básica do protocolo e tem os seguintes atributos-chave:
- O NFSv3 é sem monitoração de estado, o que significa que o servidor NFS não controla os estados das conexões (incluindo bloqueios).
- O bloqueio é tratado fora do protocolo NFS, usando o Network Lock Manager (NLM). Como os bloqueios não estão integrados ao protocolo, bloqueios obsoletos às vezes podem ocorrer.
- Como o NFSv3 é sem monitoração de estado, o desempenho com o NFSv3 pode ser substancialmente melhor em algumas cargas de trabalho, especialmente em cargas de trabalho com operações de alto metadados, como OPEN, CLOSE, SETATTR e GETATTR. Esse é o caso porque há menos trabalho geral que precisa ser feito para processar solicitações no servidor e no cliente.
- O NFSv3 usa um modelo básico de permissão de arquivo em que somente o proprietário do arquivo, um grupo e todos os outros podem receber uma combinação de permissões de leitura/gravação/execução.
- O NFSv3 pode usar ACLs NFSv4.x, mas um cliente de gerenciamento NFSv4.x seria necessário para configurar e gerenciar as ACLs. Os Arquivos NetApp do Azure não oferecem suporte ao uso de ACLs de rascunho POSIX não padrão.
- O NFSv3 também requer o uso de outros protocolos auxiliares para operações regulares, como descoberta de portas, montagem, bloqueio, monitoramento de status e cotas. Cada protocolo auxiliar usa uma porta de rede exclusiva, o que significa que as operações NFSv3 exigem mais exposição por meio de firewalls com números de porta conhecidos.
- Os Arquivos NetApp do Azure usam os seguintes números de porta para operações NFSv3. Não é possível alterar estes números de porta:
- Portmapper (111)
- Monte (635)
- NFS (2049)
- MNL (4045)
- NSM (4046)
- Cota (4049)
- O NFSv3 pode usar aprimoramentos de segurança, como Kerberos, mas o Kerberos afeta apenas a parte NFS dos pacotes; protocolos auxiliares (como NLM, portmapper, mount) não estão incluídos na conversa Kerberos.
- Os Arquivos NetApp do Azure oferecem suporte apenas à criptografia Kerberos NFSv4.1
- O NFSv3 usa IDs numéricos para sua autenticação de usuário e grupo. Nomes de usuário e nomes de grupo não são necessários para comunicação ou permissões, o que pode facilitar a falsificação de um usuário, mas a configuração e o gerenciamento são mais simples.
- O NFSv3 pode usar LDAP para pesquisas de usuários e grupos.
Suporte à versão do serviço NFSv3
Atualmente, o NFSv3 oferece suporte às seguintes versões de cada protocolo auxiliar nos Arquivos do Azure NetApp:
Serviço | Versões com suporte |
---|---|
Mapeador de portas | 4, 3, 2 |
NFS | 4, 3* |
Montada | 3, 2, 1 |
Nlockmgr | 4 |
Status | 1 |
Cotas | 1 |
* As versões com suporte NFS são exibidas com base na versão selecionada para o volume Azure NetApp Files.
Essas informações podem ser coletadas do volume Arquivos do Azure NetApp com o seguinte comando:
# rpcinfo -s <Azure NetApp Files IP address>
NFSv4.x
NFSv4.x refere-se a todas as versões NFS ou versões secundárias que estão sob NFSv4, incluindo NFSv4.0, NFSv4.1 e NFSv4.2. Atualmente, o Azure NetApp Files oferece suporte somente ao NFSv4.1.
O NFSv4.x tem as seguintes características:
- O NFSv4.x é um protocolo com monitoração de estado, o que significa que o cliente e o servidor controlam os estados das conexões NFS, incluindo os estados de bloqueio. A montagem NFS usa um conceito conhecido como "ID de estado" para acompanhar as conexões.
- O bloqueio é integrado ao protocolo NFS e não requer protocolos de bloqueio auxiliares para acompanhar os bloqueios NFS. Em vez disso, os bloqueios são concedidos em regime de locação. Eles expiram após uma certa duração se uma conexão de cliente ou servidor for perdida, retornando assim o bloqueio de volta ao sistema para uso com outros clientes NFS.
- O estado do NFSv4.x contém algumas desvantagens, como possíveis interrupções durante paralisações de rede ou failovers de armazenamento e sobrecarga de desempenho em determinados tipos de carga de trabalho (como cargas de trabalho de metadados altos).
- O NFSv4.x oferece muitas vantagens significativas em relação ao NFSv3, incluindo:
- Melhores conceitos de bloqueio (bloqueio baseado em leasing )
- Melhor segurança (menos portas de firewall necessárias, integração padrão com Kerberos, controles de acesso granulares)
- Mais recursos
- Operações NFS compostas (vários comandos em uma única solicitação de pacote para reduzir o bate-papo de rede)
- Somente TCP
- O NFSv4.x pode usar um modelo de permissão de arquivo mais robusto semelhante às permissões NTFS do Windows. Essas ACLs granulares podem ser aplicadas a usuários ou grupos e permitem que as permissões sejam definidas em uma gama mais ampla de operações do que as operações básicas de leitura/gravação/execução. O NFSv4.x também pode usar os bits de modo POSIX padrão que o NFSv3 emprega.
- Como o NFSv4.x não usa protocolos auxiliares, o Kerberos é aplicado a toda a conversa NFS quando em uso.
- O NFSv4.x usa uma combinação de nomes de usuário/grupo e cadeias de caracteres de domínio para verificar informações de usuário e grupo. O cliente e o servidor devem concordar com as cadeias de caracteres de domínio para que ocorra a autenticação adequada de usuário e grupo. Se as cadeias de caracteres de domínio não corresponderem, o usuário ou grupo NFS será esmagado para o usuário especificado no arquivo /etc/idmapd.conf no cliente NFS (por exemplo, ninguém).
- Embora o NFSv4.x use como padrão cadeias de caracteres de domínio, é possível configurar o cliente e o servidor para usar as IDs numéricas clássicas vistas no NFSv3 quando AUTH_SYS estiver em uso.
- O NFSv4.x tem integração profunda com cadeias de caracteres de nomes de usuários e grupos, e o servidor e os clientes devem concordar com esses usuários e grupos. Como tal, considere o uso de um servidor de serviço de nomes para autenticação de usuário, como LDAP em clientes e servidores NFS.
Para perguntas frequentes sobre NFS em Arquivos do Azure NetApp, consulte as Perguntas frequentes sobre NFS do Azure NetApp Files.
Protocolo SMB
O SMB é usado principalmente com clientes Windows para funcionalidade NAS. No entanto, ele também pode ser usado em sistemas operacionais baseados em Linux, como AppleOS, RedHat, etc. Essa implantação é realizada usando um aplicativo chamado Samba. O Azure NetApp Files tem suporte oficial para SMB usando Windows e macOS. O SMB/Samba em sistemas operacionais Linux pode funcionar com o Azure NetApp Files, mas não há suporte oficial.
Os Arquivos NetApp do Azure oferecem suporte apenas às versões SMB 2.1 e SMB 3.1.
O SMB tem as seguintes características:
- O SMB é um protocolo com monitoração de estado: os clientes e o servidor mantêm um "estado" para conexões de compartilhamento SMB para melhor segurança e bloqueio.
- O bloqueio no SMB é considerado obrigatório. Quando um arquivo é bloqueado, nenhum outro cliente pode gravar nesse arquivo até que o bloqueio seja liberado.
- SMBv2.x e posterior usam chamadas compostas para executar operações.
- O SMB oferece suporte à integração total do Kerberos. Com a maneira como os clientes Windows são configurados, o Kerberos geralmente está em uso sem que os usuários finais saibam.
- Quando Kerberos não pode ser usado para autenticação, Windows NT LAN Manager (NTLM) pode ser usado como um fallback. Se o NTLM estiver desabilitado no ambiente do Active Directory, as solicitações de autenticação que não podem usar Kerberos falharão.
- O SMBv3.0 e posterior oferece suporte à criptografia de ponta a ponta para compartilhamentos SMB.
- O SMBv3.x oferece suporte a vários canais para ganhos de desempenho em determinadas cargas de trabalho.
- O SMB usa nomes de usuário e grupo (via tradução SID) para autenticação. As informações de usuário e grupo são fornecidas por um controlador de domínio do Active Directory.
- O SMB nos Arquivos NetApp do Azure usa ACLs NTFS (Sistema de Arquivos de Nova Tecnologia) padrão do Windows para permissões de arquivo e pasta.
Para perguntas frequentes sobre SMB em Arquivos do Azure NetApp, consulte as Perguntas frequentes sobre SMB do Azure NetApp Files.
Protocolos duplos
Algumas organizações têm ambientes Windows puro ou UNIX puro (homogêneo) nos quais todos os dados são acessados usando apenas uma das seguintes abordagens:
- Segurança de arquivos SMB e NTFS
- Segurança de arquivos NFS e UNIX - bits de modo ou listas de controle de acesso (ACLs) NFSv4.x
No entanto, muitos sites devem permitir que conjuntos de dados sejam acessados de clientes Windows e UNIX (heterogêneos). Para ambientes com esses requisitos, o Azure NetApp Files tem suporte nativo a NAS de protocolo duplo. Depois que o usuário é autenticado na rede e tem permissões de compartilhamento ou exportação apropriadas e as permissões de nível de arquivo necessárias, o usuário pode acessar os dados de hosts UNIX usando NFS ou de hosts Windows usando SMB.
Razões para usar volumes de protocolo duplo
O uso de volumes de protocolo duplo com o Azure NetApp Files oferece várias vantagens distintas. Quando os conjuntos de dados podem ser acessados de forma transparente e simultânea por clientes usando diferentes protocolos NAS, os seguintes benefícios podem ser obtidos:
- Reduza as tarefas gerais de gerenciamento do administrador de armazenamento.
- Exigir que apenas uma única cópia dos dados seja armazenada para acesso NAS de vários tipos de cliente.
- O NAS independente de protocolo permite que os administradores de armazenamento controlem o estilo da ACL e o controle de acesso que está sendo apresentado aos usuários finais.
- Centralize as operações de gerenciamento de identidades em um ambiente NAS.
Considerações comuns com ambientes de protocolo duplo
O acesso NAS de protocolo duplo é desejável por muitas organizações por sua flexibilidade. No entanto, há uma percepção de dificuldade que cria um conjunto de considerações exclusivas para o conceito de compartilhamento entre protocolos. Essas considerações incluem, mas não estão limitadas a:
- Exigência de conhecimento em vários protocolos, sistemas operacionais e sistemas de armazenamento.
- Conhecimento prático de servidores de serviço de nomes, como DNS, LDAP e assim por diante.
Além disso, fatores externos podem entrar em jogo, como:
- Lidar com vários departamentos e grupos de TI (como grupos do Windows e grupos do UNIX)
- Aquisições de empresas
- Consolidações de domínio
- Reorganizações
Apesar dessas considerações, a configuração, a configuração e o acesso ao NAS de protocolo duplo podem ser simples e perfeitamente integrados em qualquer ambiente.
Como o Azure NetApp Files simplifica o uso de protocolo duplo
O Azure NetApp Files consolida a infraestrutura necessária para ambientes NAS de protocolo duplo bem-sucedidos em um único plano de gerenciamento, incluindo serviços de armazenamento e gerenciamento de identidades.
A configuração de protocolo duplo é simples e a maioria das tarefas é protegida pela estrutura de gerenciamento de recursos do Azure NetApp Files para simplificar as operações para operadores de nuvem.
Depois que uma conexão do Active Directory é estabelecida com os Arquivos NetApp do Azure, os volumes de protocolo duplo podem usar a conexão para manipular o gerenciamento de identidades do Windows e do UNIX necessário para a autenticação adequada de usuários e grupos com os volumes do Azure NetApp Files sem etapas de configuração extras fora do gerenciamento normal de usuários e grupos nos serviços Active Directory ou LDAP.
Ao remover as etapas adicionais centradas em armazenamento para configurações de protocolo duplo, o Azure NetApp Files simplifica a implantação geral de protocolo duplo para organizações que desejam migrar para o Azure.
Como funcionam os volumes de protocolo duplo do Azure NetApp Files
Em um nível alto, os volumes de protocolo duplo do Azure NetApp Files usam uma combinação de mapeamento de nome e estilos de permissões para fornecer acesso consistente a dados, independentemente do protocolo em uso. Isso significa que, se você estiver acessando um arquivo de NFS ou SMB, poderá ter certeza de que os usuários com acesso a esses arquivos poderão acessá-los, e os usuários sem acesso a esses arquivos não poderão acessá-los.
Quando um cliente NAS solicita acesso a um volume de protocolo duplo nos Arquivos do Azure NetApp, as operações a seguir ocorrem para fornecer uma experiência transparente ao usuário final.
- Um cliente NAS faz uma conexão NAS com o volume de protocolo duplo do Azure NetApp Files.
- O cliente NAS passa informações de identidade do usuário para os Arquivos do Azure NetApp.
- O Azure NetApp Files verifica se o cliente/usuário do NAS tem acesso ao compartilhamento NAS.
- Os Arquivos NetApp do Azure pegam esse usuário e o mapeiam para um usuário válido encontrado nos serviços de nome.
- O Azure NetApp Files compara esse usuário com as permissões de nível de arquivo no sistema.
- As permissões de arquivo controlam o nível de acesso que o usuário tem.
Na ilustração a seguir, user1
autentica no Azure NetApp Files para acessar um volume de protocolo duplo por meio de SMB ou NFS. Os Arquivos NetApp do Azure localizam as informações do Windows e do UNIX do usuário na ID do Microsoft Entra e, em seguida, mapeiam as identidades do Windows e do UNIX do usuário um para um. O usuário é verificado como user1
e obtém user1
credenciais de acesso do .
Neste caso, user1
obtém controle total em sua própria pasta (user1-dir
) e nenhum acesso à HR
pasta. Essa configuração é baseada nas ACLs de segurança especificadas no sistema de arquivos e user1
obterá o acesso esperado, independentemente de qual protocolo eles estão acessando os volumes.
Considerações sobre volumes de protocolo duplo do Azure NetApp Files
Quando você usa volumes do Azure NetApp Files para acesso a SMB e NFS, algumas considerações se aplicam:
- Você precisa de uma conexão com o Active Directory. Como tal, você precisa atender aos requisitos para conexões do Active Directory.
- Os volumes de protocolo duplo exigem uma zona de pesquisa inversa no DNS com um registro de ponteiro (PTR) associado da máquina host do AD para evitar falhas de criação de volume de protocolo duplo.
- Seu cliente NFS e pacotes associados (como
nfs-utils
) devem estar atualizados para obter a melhor segurança, confiabilidade e suporte a recursos. - Os volumes de protocolo duplo oferecem suporte aos Serviços de Domínio Active Directory (AD DS) e aos Serviços de Domínio Microsoft Entra.
- Os volumes de protocolo duplo não suportam o uso de LDAP sobre TLS com os Serviços de Domínio Microsoft Entra. Consulte Considerações sobre LDAP sobre TLS.
- As versões NFS suportadas incluem: NFSv3 e NFSv4.1.
- Os recursos do NFSv4.1, como sistema de arquivos de rede paralela (pNFS), entroncamento de sessão e referências, não têm suporte atualmente nos volumes do Azure NetApp Files.
- Os atributos
set
/get
estendidos do Windows não são suportados em volumes de protocolo duplo. - Consulte considerações adicionais para criar um volume de protocolo duplo para Arquivos do Azure NetApp.
Próximas etapas
- Compreender o estilo de segurança de protocolo duplo e os comportamentos de permissão nos Arquivos do Azure NetApp
- Compreender o uso do LDAP com os Arquivos NetApp do Azure
- Compreender as associações de grupos NFS e grupos suplementares
- Compreender o bloqueio de arquivos e os tipos de bloqueio nos Arquivos NetApp do Azure
- Criar um volume NFS para o Azure NetApp Files
- Criar um volume SMB para o Azure NetApp Files
- Criar um volume de protocolo duplo para o Azure NetApp Files
- Perguntas frequentes sobre o Azure NetApp Files NFS
- Perguntas frequentes sobre o Azure NetApp Files SMB