Entender os protocolos do NAS no Azure NetApp Files
Os protocolos NAS são como as conversas ocorrem entre clientes e servidores. NFS e SMB são os protocolos NAS usados no Azure NetApp Files. Cada um oferece seus próprios métodos distintos para comunicação, mas em sua raiz, eles operam principalmente da mesma maneira.
- Ambos servem um único conjunto de dados para muitos clientes conectados em rede diferentes.
- Ambos podem usar métodos de autenticação criptografados para compartilhar dados.
- Ambos podem ser fechados com permissões de compartilhamento e arquivo.
- Ambos podem criptografar dados em versão de pré-lançamento.
- Ambos podem usar várias conexões para ajudar a paralelizar o desempenho.
NFS (sistema de arquivos de rede)
O NFS é usado principalmente com clientes baseados em Linux/UNIX, como Red Hat, SUSE, Ubuntu, AIX, Solaris e Apple OS. O Azure NetApp Files dá suporte a qualquer cliente NFS que opera nos padrões RFC (Solicitação de Comentários). O Windows também pode usar o NFS para acesso, mas não opera usando padrões RFC.
Os padrões RFC para protocolos NFS podem ser encontrados aqui:
NFSv3
O NFSv3 é uma oferta básica do protocolo e tem os seguintes atributos principais:
- O NFSv3 é sem estado, o que significa que o servidor NFS não controla os estados das conexões (incluindo bloqueios).
- O bloqueio é tratado fora do protocolo NFS usando o NLM (Gerenciador de Bloqueio de Rede). Como os bloqueios não são integrados ao protocolo, às vezes podem ocorrer bloqueios obsoletos.
- Como o NFSv3 é sem estado, o desempenho com NFSv3 pode ser substancialmente melhor em algumas cargas de trabalho, especialmente em cargas de trabalho com operações de metadados altos, como OPEN, CLOSE, SETATTR e GETATTR. Esse é o caso porque há menos trabalho geral que precisa ser feito para processar solicitações no servidor e no cliente.
- O NFSv3 usa um modelo de permissão de arquivo básico em que as permissões para leitura, gravação e execução podem ser atribuídas ao proprietário do arquivo, a um grupo ou a todos os outros.
- O NFSv3 pode usar ACLs NFSv4.x, mas um cliente de gerenciamento NFSv4.x seria necessário para configurar e gerenciar as ACLs. O Azure NetApp Files não dá suporte ao uso de ACLs de rascunho POSIX não padrão.
- O NFSv3 também requer o uso de outros protocolos auxiliares para operações regulares, como descoberta de porta, montagem, bloqueio, monitoramento de status e cotas. Cada protocolo auxiliar usa uma porta de rede exclusiva, o que significa que as operações NFSv3 exigem mais exposição por meio de firewalls com números de porta conhecidos.
- O Azure NetApp Files usa os seguintes números de porta para operações NFSv3. Não é possível alterar esses números de porta:
- Portmapper (111)
- Montagem (635)
- NFS (2049)
- NLM (4045)
- NSM (4046)
- Rquota (4049)
- O NFSv3 pode usar aprimoramentos de segurança, como Kerberos, mas Kerberos afeta apenas a parte NFS dos pacotes; Os protocolos auxiliares (como NLM, portmapper, mount) não são incluídos na conversa Kerberos.
- O Azure NetApp Files dá suporte apenas à criptografia Kerberos NFSv4.1
- O NFSv3 usa IDs numéricas para a autenticação dele de usuário e grupo. As IDs numéricas simplificam a configuração e o gerenciamento, mas podem facilitar a falsificação do usuário.
- O NFSv3 pode usar LDAP para pesquisas de usuário e de grupo.
Suporte à versão do serviço NFSv3
Atualmente, o NFSv3 dá suporte às seguintes versões de cada protocolo auxiliar no Azure NetApp Files:
Serviço | Versões com suporte |
---|---|
Portmapper | 4, 3, 2 |
NFS | 4, 3* |
Montado | 3, 2, 1 |
Nlockmgr | 4 |
Status | 1 |
Rquotas | 1 |
* As versões com suporte do NFS são exibidas com base na versão selecionada para o volume do Azure NetApp Files.
Essas informações podem ser coletadas do volume do Azure NetApp Files com o seguinte comando:
# rpcinfo -s <Azure NetApp Files IP address>
NFSv4.x
NFSv4.x refere-se a todas as versões NFS ou versões secundárias que estão em NFSv4, incluindo NFSv4.0, NFSv4.1 e NFSv4.2. Atualmente, o Azure NetApp Files dá suporte apenas ao NFSv4.1.
O NFSv4.x tem as seguintes características:
- NFSv4.x é um protocolo com estado, o que significa que o cliente e o servidor mantêm o controle dos estados das conexões NFS, incluindo estados de bloqueio. A montagem NFS usa um conceito conhecido como "ID de estado" para acompanhar as conexões.
- O bloqueio é integrado ao protocolo NFS e não requer protocolos de bloqueio auxiliares para controlar os bloqueios NFS. Em vez disso, os bloqueios são concedidos em uma base de concessão. Eles expiram após uma determinada duração se uma conexão de cliente ou servidor for perdida, retornando assim o bloqueio de volta ao sistema para uso com outros clientes NFS.
- O estado do NFSv4.x contém algumas desvantagens, como possíveis interrupções durante interrupções de rede ou failovers de armazenamento e sobrecarga de desempenho em determinados tipos de carga de trabalho (como cargas de trabalho de metadados altos).
- O NFSv4.x fornece muitas vantagens significativas em relação ao NFSv3, incluindo:
- Melhores conceitos de bloqueio (bloqueio baseado em concessão)
- Melhor segurança (menos portas de firewall necessárias, integração padrão com Kerberos, controles de acesso granulares)
- Mais recursos
- Operações NFS compostas (vários comandos em apenas uma solicitação de pacote para reduzir o ruído de rede)
- Somente TCP
- O NFSv4.x pode usar um modelo de permissão de arquivo mais robusto semelhante às permissões do Windows NTFS. Essas ACLs granulares podem ser aplicadas a usuários ou grupos e permitem que as permissões sejam definidas em uma gama mais ampla de operações do que as operações básicas de leitura/gravação/execução. O NFSv4.x também pode usar os bits de modo POSIX padrão que o NFSv3 emprega.
- Como o NFSv4.x não usa protocolos auxiliares, Kerberos é aplicado a toda a conversa NFS quando em uso.
- O NFSv4.x usa uma combinação de nomes de usuário/grupo e cadeias de caracteres de domínio para verificar informações de usuário e de grupo. O cliente e o servidor devem concordar com as cadeias de caracteres de domínio para que a autenticação adequada de usuário e grupo ocorra. Se as cadeias de caracteres de domínio não corresponderem, o usuário ou grupo do NFS será esmagado para o usuário especificado no arquivo /etc/idmapd.conf no cliente NFS (por exemplo, ninguém).
- Embora o NFSv4.x normalmente use cadeias de caracteres de domínio por padrão, é possível configurar o cliente e o servidor para reverter para as IDs numéricas clássicas usadas no NFSv3 quando AUTH_SYS é empregado.
- O NFSv4.x tem profunda integração com cadeias de caracteres de nome de usuário e grupo, e o servidor e os clientes devem concordar com esses usuários e grupos. Dessa forma, considere usar um servidor de serviço de nome para autenticação de usuário, como LDAP em clientes e servidores NFS.
Para perguntas frequentes sobre o NFS no Azure NetApp Files, consulte as Perguntas frequentes sobre o NFS do Azure NetApp Files.
Protocolo SMB
O SMB é usado principalmente com clientes Windows para funcionalidade NAS. No entanto, ele também pode ser usado em sistemas operacionais baseados em Linux, como AppleOS, RedHat etc. Essa implantação é realizada usando um aplicativo chamado Samba. O Azure NetApp Files tem suporte oficial para SMB usando Windows e macOS. Os sistemas operacionais SMB/Samba no Linux podem funcionar com o Azure NetApp Files, mas não há suporte oficial.
O Azure NetApp Files dá suporte apenas às versões 2.1 e 3.1 do SMB.
O SMB tem as seguintes características:
- O SMB é um protocolo com estado: os clientes e o servidor mantêm um "estado" para conexões de compartilhamento SMB para melhor segurança e bloqueio.
- O bloqueio no SMB é considerado obrigatório. Quando um arquivo é bloqueado, nenhum outro cliente pode gravar nesse arquivo até que o bloqueio seja liberado.
- O SMBv2.x e posteriores usam chamadas compostas para executar operações.
- O SMB dá suporte à integração completa com o Kerberos. Com a forma como os clientes Windows são configurados, o Kerberos geralmente está em uso sem que os usuários finais saibam.
- Quando o Kerberos não pode ser usado para autenticação, o NTLM (Gerenciador de LAN do Windows NT) pode ser usado como um fallback. Se o NTLM estiver desabilitado no ambiente do Active Directory, as solicitações de autenticação que não podem usar Kerberos falharão.
- O SMBv3.0 e posterior dá suporte à criptografia de ponta a ponta para compartilhamentos SMB.
- O SMBv3.x dá suporte a vários canais para ganhos de desempenho em determinadas cargas de trabalho.
- O SMB usa nomes de usuário e grupo (via tradução de SID) para autenticação. Informações de usuário e de grupo são fornecidas por um controlador de domínio do Active Directory.
- O SMB no Azure NetApp Files usa o NTFS (Sistema de Arquivos de Nova Tecnologia) padrão ACLs para permissões de arquivo e pasta.
Para obter perguntas frequentes sobre SMB no Azure NetApp Files, consulte as Perguntas frequentes sobre o SMB do Azure NetApp Files.
Protocolos duplos
Algumas organizações têm ambientes UNIX puros ou Windows puros (homogêneos) nos quais todos os dados são acessados usando apenas uma das seguintes abordagens:
- Segurança de arquivo SMB e NTFS
- Segurança de arquivo NFS e UNIX – bits de modo ou ACLs (listas de controle de acesso NFSv4.x)
No entanto, muitos sites devem permitir que os conjuntos de dados sejam acessados de clientes Windows e UNIX (heterogêneos). Para ambientes com esses requisitos, o Azure NetApp Files tem suporte NAS de protocolo duplo nativo. Depois que o usuário for autenticado na rede e tiver permissões de compartilhamento ou exportação apropriadas e as permissões de nível de arquivo necessárias, o usuário poderá acessar os dados de hosts UNIX usando NFS ou de hosts do Windows usando SMB.
Motivos para usar volumes de protocolo duplo
O uso de volumes de protocolo duplo com o Azure NetApp Files oferece várias vantagens distintas. Quando os conjuntos de dados podem ser acessados de forma direta e simultânea por clientes usando diferentes protocolos NAS, os seguintes benefícios podem ser obtidos:
- Reduzir as tarefas gerais de gerenciamento do administrador de armazenamento.
- Exigir que apenas uma cópia de dados seja armazenada para acesso NAS por meio de vários tipos de cliente.
- O NAS independente do protocolo permite que os administradores de armazenamento controlem o estilo de ACL e o controle de acesso que está sendo apresentado aos usuários finais.
- Centralize as operações de gerenciamento de identidade em um ambiente NAS.
Considerações comuns com ambientes de protocolo duplo
O acesso NAS de protocolo duplo é desejável por muitas organizações por sua flexibilidade. No entanto, há uma percepção de dificuldade que cria um conjunto de considerações exclusivas para o conceito de compartilhamento entre protocolos. Essas considerações incluem, mas não se limitam a:
- Requisito de conhecimento em vários protocolos, sistemas operacionais e sistemas de armazenamento.
- Conhecimento de trabalho de servidores de serviço de nome, como DNS, LDAP e assim por diante.
Além disso, fatores externos podem entrar em jogo, como:
- Lidando com vários departamentos e grupos de TI (como grupos do Windows e grupos UNIX)
- Aquisições da empresa
- Consolidações de domínio
- Reorganizações
Apesar dessas considerações, a configuração, a configuração e o acesso do NAS de protocolo duplo podem ser simples e perfeitamente integrados a qualquer ambiente.
Como o Azure NetApp Files simplifica o uso de protocolo duplo
O Azure NetApp Files consolida a infraestrutura necessária para ambientes NAS de protocolo duplo bem-sucedidos em um único plano de gerenciamento, incluindo serviços de gerenciamento de identidade e armazenamento.
A configuração de protocolo duplo é simples e a maioria das tarefas é blindada pela estrutura de gerenciamento de recursos do Azure NetApp Files para simplificar as operações para operadores de nuvem.
Depois que uma conexão do Active Directory é estabelecida com o Azure NetApp Files, os volumes de protocolo duplo podem usar a conexão para lidar com o gerenciamento de identidade do Windows e do UNIX necessários para autenticação de usuário e grupo adequada. Essa configuração elimina a necessidade de etapas de configuração adicionais fora do gerenciamento normal de usuários e grupos nos serviços do Active Directory ou LDAP"
Ao remover as etapas adicionais centradas no armazenamento para configurações de protocolo duplo, o Azure NetApp Files simplifica a implantação geral de protocolo duplo para organizações que buscam migrar para o Azure.
Como funcionam os volumes de protocolo duplo do Azure NetApp Files
Em um alto nível, os volumes de protocolo duplo do Azure NetApp Files usam uma combinação de estilos de mapeamento de nomes e permissões para fornecer acesso a dados consistente, independentemente do protocolo em uso. Isso significa que, se você estiver acessando um arquivo do NFS ou do SMB, pode ter certeza de que os usuários com acesso a esses arquivos podem acessá-los e os usuários sem acesso a esses arquivos não podem acessá-los.
Quando um cliente NAS solicita acesso a um volume de protocolo duplo no Azure NetApp Files, as operações a seguir ocorrem para fornecer uma experiência transparente ao usuário final.
- Um cliente NAS faz uma conexão NAS com o volume de protocolo duplo do Azure NetApp Files.
- O cliente NAS passa informações de identidade do usuário para o Azure NetApp Files.
- O Azure NetApp Files verifica se o cliente/usuário do NAS tem acesso ao compartilhamento nas.
- O Azure NetApp Files usa esse usuário e o mapeia para um usuário válido encontrado nos serviços de nome.
- O Azure NetApp Files compara esse usuário com as permissões no nível do arquivo no sistema.
- As permissões de arquivo controlam o nível de acesso que o usuário tem.
Na ilustração a seguir, user1
autentica-se no Azure NetApp Files para acessar um volume de protocolo duplo por meio de SMB ou NFS. O Azure NetApp Files localiza as informações do Windows e UNIX do usuário na ID do Microsoft Entra e mapeia as identidades Windows e UNIX do usuário um para um. O usuário é verificado como user1
e obtém as credenciais de acesso do user1
.
Neste caso, user1
obtém controle total em sua própria pasta (user1-dir
) e nenhum acesso à pasta HR
. Essa configuração é baseada nas ACLs de segurança especificadas no sistema de arquivos e user1
obterá o acesso esperado, independentemente de qual protocolo eles estão acessando os volumes.
Considerações sobre os volumes de protocolo duplo do Azure NetApp Files
Quando você usa volumes do Azure NetApp Files para acesso ao SMB e ao NFS, algumas considerações se aplicam:
- Você precisa de uma conexão do Active Directory. Dessa forma, você precisa atender aos requisitos de conexões do Active Directory.
- Volumes de protocolo duplo exigem uma zona de pesquisa inversa no DNS com um registro PTR (ponteiro associado) do computador host do AD para evitar falhas de criação de volume de protocolo duplo.
- Seu cliente NFS e pacotes associados (como
nfs-utils
) devem estar atualizados para obter a melhor segurança, confiabilidade e suporte a recursos. - Os volumes de protocolo duplo dão suporte ao AD DS (Active Directory Domain Services) e ao Microsoft Entra Domain Services.
- Volumes de protocolo duplo não dão suporte ao uso de LDAP por TLS com o Microsoft Entra Domain Services. Consulte Considerações sobre LDAP sobre TLS.
- As versões do NFS com suporte incluem: NFSv3 e NFSv4.1.
- Atualmente, não há suporte para recursos do NFSv4.1, como pNFS (sistema de arquivos de rede paralelo), tronco de sessão e indicações com volumes do Azure NetApp Files.
-
Não há suporte para atributos estendidos
set
/get
do Windows em volumes de protocolo duplo. - Consulte considerações adicionais para criar um volume de protocolo duplo para o Azure NetApp Files.
Próximas etapas
- Entender comportamentos de permissão e estilo de segurança de protocolo duplo no Azure NetApp Files
- Entender o uso do LDAP com o Azure NetApp Files
- Entender associações de grupos NFS e grupos complementares
- Entender o bloqueio de arquivos e os tipos de bloqueio no Azure NetApp Files
- Criar um volume NFS para o Azure NetApp Files
- Criar um volume SMB para o Azure NetApp Files
- Criar um volume de protocolo duplo para o Azure NetApp Files
- Perguntas frequentes sobre o NFS do Azure NetApp Files
- Perguntas frequentes sobre o SMB do Azure NetApp Files