Partilhar via


Criar um volume de protocolo duplo para Arquivos NetApp do Azure

Os Arquivos NetApp do Azure dão suporte à criação de volumes usando NFS (NFSv3 ou NFSv4.1), SMB3 ou protocolo duplo (NFSv3 e SMB, ou NFSv4.1 e SMB). Este artigo mostra como criar um volume que usa protocolo duplo com suporte para mapeamento de usuário LDAP.

Para criar volumes NFS, consulte Criar um volume NFS. Para criar volumes SMB, consulte Criar um volume SMB.

Antes de começar

Importante

Se você estiver usando uma função RBAC/IAM personalizada, deverá ter a Microsoft.Network/virtualNetworks/subnets/read permissão configurada para criar ou atualizar um volume.

Para obter mais informações sobre permissões e para confirmar a configuração de permissões, consulte Criar ou atualizar funções personalizadas do Azure usando o portal do Azure.

Importante

Atualmente, o Windows Server 2025 não funciona com o protocolo SMB do Azure NetApp Files.

Considerações

  • Certifique-se de atender aos Requisitos para conexões do Ative Directory.

  • Crie uma zona de pesquisa inversa no servidor DNS e, em seguida, adicione um registo de ponteiro (PTR) da máquina anfitriã do AD nessa zona de pesquisa inversa. Caso contrário, a criação de volume de protocolo duplo falhará.

  • A opção Permitir usuários NFS locais com LDAP em conexões do Ative Directory pretende fornecer acesso ocasional e temporário a usuários locais. Quando esta opção está ativada, a autenticação e pesquisa de utilizadores a partir do servidor LDAP deixam de funcionar e o número de associações de grupo suportadas pelos Ficheiros NetApp do Azure é limitado a 16. Como tal, você deve manter essa opção desabilitada em conexões do Ative Directory, exceto na ocasião em que um usuário local precisa acessar volumes habilitados para LDAP. Nesse caso, você deve desativar essa opção assim que o acesso do usuário local não for mais necessário para o volume. Consulte Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo sobre como gerenciar o acesso de usuário local.

  • Confirme que o cliente NFS está atualizado e a executar as atualizações mais recentes do sistema operativo.

  • Os volumes de protocolo duplo suportam os Serviços de Domínio Ative Directory (AD DS) e os Serviços de Domínio Microsoft Entra.

  • Os volumes de protocolo duplo não suportam o uso de LDAP sobre TLS com os Serviços de Domínio Microsoft Entra. O LDAP sobre TLS é suportado com os Serviços de Domínio Ative Directory (AD DS). Consulte Considerações sobre LDAP sobre TLS.

  • A versão NFS usada por um volume de protocolo duplo pode ser NFSv3 ou NFSv4.1. As seguintes considerações são aplicáveis:

    • O protocolo duplo não suporta os atributos set/get estendidos do Windows ACLS de clientes NFS.

    • Os clientes NFS não podem alterar as permissões para o estilo de segurança NTFS e os clientes Windows não podem alterar as permissões para volumes de protocolo duplo no estilo UNIX.

      A tabela a seguir descreve os estilos de segurança e seus efeitos:

      Estilo de segurança Clientes que podem modificar permissões Permissões que os clientes podem usar Estilo de segurança eficaz resultante Clientes que podem acessar arquivos
      Unix NFS Bits de modo NFSv3 ou NFSv4.1 UNIX NFS e Windows
      Ntfs Windows NTFS ACLs NTFS NFS e Windows
    • A direção em que o mapeamento de nome ocorre (Windows para UNIX ou UNIX para Windows) depende de qual protocolo é usado e qual estilo de segurança é aplicado a um volume. Um cliente Windows sempre requer um mapeamento de nome do Windows para UNIX. Se um usuário é aplicado para revisar permissões depende do estilo de segurança. Por outro lado, um cliente NFS só precisa usar um mapeamento de nome UNIX para Windows se o estilo de segurança NTFS estiver em uso.

      A tabela a seguir descreve os mapeamentos de nome e estilos de segurança:

      Protocolo Estilo de segurança Direção do mapeamento de nome Permissões aplicadas
      SMB Unix Windows para UNIX UNIX (bits de modo ou ACLs NFSv4.x)
      SMB Ntfs Windows para UNIX ACLs NTFS (com base no compartilhamento de acesso ao SID do Windows)
      NFSv3 Unix Nenhuma UNIX (bits de modo ou ACLs NFSv4.x)

      As ACLs NFSv4.x podem ser aplicadas usando um cliente administrativo NFSv4.x e honradas por clientes NFSv3.
      NFS Ntfs UNIX para Windows ACLs NTFS (baseadas no SID de usuário do Windows mapeado)
  • O recurso LDAP com grupos estendidos suporta o protocolo duplo de [NFSv3 e SMB] e [NFSv4.1 e SMB] com o estilo de segurança Unix. Consulte Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter mais informações.

  • Se você tiver topologias grandes e usar o estilo de segurança Unix com um volume de protocolo duplo ou LDAP com grupos estendidos, use a opção Escopo de Pesquisa LDAP na página Conexões do Ative Directory para evitar erros de "acesso negado" em clientes Linux para Arquivos NetApp do Azure. Consulte Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter mais informações.

  • Você não precisa de um certificado de autoridade de certificação raiz do servidor para criar um volume de protocolo duplo. Ele é necessário somente se o LDAP sobre TLS estiver habilitado.

  • Para entender os protocolos duplos dos Arquivos NetApp do Azure e as considerações relacionadas, consulte a seção Protocolos Duplos em Compreender os protocolos NAS nos Arquivos NetApp do Azure.

Criar um volume de protocolo duplo

  1. Selecione a folha Volumes na folha Pools de capacidade. Selecione + Adicionar volume para criar um volume.

    Navegue até Volumes

  2. Na janela Criar um Volume, selecione Criar e forneça informações para os seguintes campos na guia Noções básicas:

    • Nome do volume
      Especifique o nome do volume que está a criar.

      Consulte Regras e restrições de nomenclatura para recursos do Azure para convenções de nomenclatura em volumes. Além disso, você não pode usar default ou bin como o nome do volume.

    • Pool de capacidade
      Especifique o pool de capacidade onde você deseja que o volume seja criado.

    • Quota
      Especifique a quantidade de armazenamento lógico que está atribuída ao volume.

      O campo Quota disponível mostra a quantidade de espaço não utilizado no conjunto de capacidade escolhido que pode usar para criar um novo volume. O tamanho do novo volume não pode exceder a quota disponível.

    • Grande Volume

      As quotas de volumes regulares situam-se entre 50 GiB e 100 TiB. As cotas de grande volume variam de 50 TiB a 1 PiB. Se você pretende que a cota de volume caia no intervalo de volume grande, selecione Sim. As quotas de volume são introduzidas em GiB.

      Importante

      Se esta for a primeira vez que você usa grandes volumes, você deve primeiro registrar o recurso e solicitar um aumento na cota de capacidade regional.

      Os volumes regulares não podem ser convertidos em grandes volumes. Grandes volumes não podem ser redimensionados para menos de 50 TiB. Para entender os requisitos e as considerações de grandes volumes, consulte Requisitos e considerações para grandes volumes. Para outros limites, consulte Limites de recursos.

    • Taxa de transferência (MiB/S)
      Se o volume for criado em um pool de capacidade de QoS manual, especifique a taxa de transferência desejada para o volume.

      Se o volume for criado em um pool de capacidade de QoS automático, o valor exibido neste campo será (cota x taxa de transferência de nível de serviço).

    • Habilite a política de acesso legal, período de resfriamento e recuperação de acesso fresco
      Esses campos configuram o armazenamento de Arquivos NetApp do Azure com acesso legal. Para obter descrições, consulte Gerenciar o armazenamento de arquivos NetApp do Azure com acesso legal.

    • Rede virtual
      Especifique a rede virtual do Azure (VNet) a partir da qual pretende aceder ao volume.

      A VNet especificada deve ter uma sub-rede delegada aos Arquivos NetApp do Azure. Os Arquivos NetApp do Azure podem ser acessados somente da mesma VNet ou de uma VNet que esteja na mesma região do volume por meio do emparelhamento de VNet. Também pode aceder ao volume a partir da sua rede local através da Rota Expressa.

    • Sub-rede
      Especifique a sub-rede que você deseja usar para o volume.
      A sub-rede especificada deve ser delegada aos Arquivos NetApp do Azure.

      Se você não delegou uma sub-rede, pode selecionar Criar novo na página Criar um volume. Em seguida, na página Criar Sub-rede, especifique as informações da sub-rede e selecione Microsoft.NetApp/volumes para delegar a sub-rede para Arquivos NetApp do Azure. Em cada VNet, apenas uma sub-rede pode ser delegada aos Arquivos NetApp do Azure.

      Criar sub-rede

    • Recursos de rede
      Em regiões com suporte, você pode especificar se deseja usar recursos de rede Básico ou Padrão para o volume. Consulte Configurar recursos de rede para um volume e Diretrizes para o planejamento de rede do Azure NetApp Files para obter detalhes.

    • Fonte da chave de criptografia Você pode selecionar Microsoft Managed Key ou Customer Managed Key. Consulte Configurar chaves gerenciadas pelo cliente para criptografia de volume dos Arquivos NetApp do Azure e criptografia dupla dos Arquivos NetApp do Azure em repouso sobre o uso deste campo.

    • Zona de disponibilidade
      Essa opção permite implantar o novo volume na zona de disponibilidade lógica especificada. Selecione uma zona de disponibilidade onde os recursos do Azure NetApp Files estão presentes. Para obter detalhes, consulte Gerenciar o posicionamento do volume da zona de disponibilidade.

    • Se desejar aplicar uma política de instantâneo existente ao volume, selecione Mostrar seção avançada para expandi-la, especifique se deseja ocultar o caminho do instantâneo e selecione uma política de instantâneo no menu suspenso.

      Para obter informações sobre como criar uma política de instantâneo, consulte Gerenciar políticas de instantâneo.

      Mostrar seleção avançada

  3. Selecione a guia Protocolo e conclua as seguintes ações:

    • Selecione Protocolo duplo como o tipo de protocolo para o volume.

    • Especifique a conexão do Ative Directory a ser usada.

    • Especifique um caminho de volume exclusivo. Esse caminho é usado quando você cria destinos de montagem. Os requisitos para o caminho são os seguintes:

      • Para volumes que não estão em uma zona de disponibilidade ou volumes na mesma zona de disponibilidade, o caminho do volume deve ser exclusivo dentro de cada sub-rede na região.
      • Para volumes em zonas de disponibilidade, o caminho do volume deve ser exclusivo dentro de cada zona de disponibilidade. Para obter mais informações, consulte Gerenciar o posicionamento do volume da zona de disponibilidade.
      • Deve começar com um caractere alfabético.
      • Pode conter apenas letras, números ou traços (-).
      • O comprimento não deve exceder 80 caracteres.
    • Especifique as versões a serem usadas para protocolo duplo: NFSv4.1 e SMB ou NFSv3 e SMB.

    • Especifique o estilo de segurança a ser usado: NTFS (padrão) ou UNIX.

    • Se desejar habilitar a criptografia de protocolo SMB3 para o volume de protocolo duplo, selecione Habilitar criptografia de protocolo SMB3.

      Esta funcionalidade permite a encriptação apenas para dados SMB3 em voo. Ele não criptografa dados NFSv3 durante o voo. Os clientes SMB que não utilizam encriptação SMB3 não conseguem aceder a este volume. Os dados em repouso são criptografados independentemente dessa configuração. Consulte Criptografia SMB para obter mais informações.

    • Se você selecionou NFSv4.1 e SMB para as versões de volume de protocolo duplo, indique se deseja habilitar a criptografia Kerberos para o volume.

      Configurações adicionais são necessárias para Kerberos. Siga as instruções em Configurar criptografia Kerberos NFSv4.1.

    • Se desejar habilitar a enumeração baseada em acesso, selecione Habilitar enumeração baseada em acesso.

      A enumeração baseada em acesso oculta diretórios e arquivos criados sob um compartilhamento de usuários que não têm permissões de acesso. Você ainda pode visualizar o compartilhamento. Você só pode habilitar a enumeração baseada em acesso se o volume de protocolo duplo usar o estilo de segurança NTFS.

    • Você pode ativar o recurso de compartilhamento não navegável.

      Esse recurso impede que o cliente Windows navegue pelo compartilhamento. O compartilhamento não aparece no Navegador de Arquivos do Windows ou na lista de compartilhamentos quando você executa o net view \\server /all comando.

    • Personalize as permissões Unix conforme necessário para especificar permissões de alteração para o caminho de montagem. A configuração não se aplica aos arquivos sob o caminho de montagem. A predefinição é 0770. Essa configuração padrão concede permissões de leitura, gravação e execução ao proprietário e ao grupo, mas nenhuma permissão é concedida a outros usuários.
      Requisitos de registro e considerações se aplicam para definir permissões Unix. Siga as instruções em Configurar permissões Unix e alterar o modo de propriedade.

    • Opcionalmente, configure a política de exportação para o volume.

    Especificar protocolo duplo

  4. Selecione Rever + Criar para rever os detalhes do volume. Em seguida, selecione Criar para criar o volume.

    O volume criado aparece na página Volumes.

    Um volume herda a subscrição, grupo de recursos e atributos de localização do seu conjunto de capacidade. Para monitorizar o estado da implementação do volume, pode utilizar o separador Notificações.

Permitir que usuários locais de NFS com LDAP acessem um volume de protocolo duplo

A opção Permitir usuários NFS locais com LDAP em conexões do Ative Directory permite que usuários do cliente NFS local não presentes no servidor LDAP do Windows acessem um volume de protocolo duplo que tenha LDAP com grupos estendidos habilitados.

Nota

Antes de ativar essa opção, você deve entender as considerações.
A opção Permitir usuários NFS locais com LDAP faz parte do recurso LDAP com grupos estendidos e requer registro. Consulte Configurar AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter detalhes.

  1. Selecione Conexões do Ative Directory. Em uma conexão existente do Ative Directory, selecione o menu de contexto (os três pontos) e Editar.

  2. Na janela Editar configurações do Ative Directory exibida, selecione a opção Permitir usuários NFS locais com LDAP.

    Captura de tela que mostra a opção Permitir usuários NFS locais com LDAP

Gerenciar atributos LDAP POSIX

Você pode gerenciar atributos POSIX, como UID, Diretório Base e outros valores, usando o snap-in MMC Usuários e Computadores do Ative Directory. O exemplo a seguir mostra o Editor de Atributos do Ative Directory:

Editor de atributos do Ative Directory

Você precisa definir os seguintes atributos para usuários LDAP e grupos LDAP:

  • Atributos necessários para usuários LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Atributos necessários para grupos LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Todos os usuários e grupos devem ter exclusivo uidNumber e gidNumber, respectivamente.

Os valores especificados para objectClass são entradas separadas. Por exemplo, no Editor de Cadeia de Caracteres com Vários Valores, objectClass teria valores separados (user e posixAccount) especificados da seguinte forma para usuários LDAP:

Captura de tela do Editor de Cadeia de Caracteres de Vários Valores que mostra vários valores especificados para Classe de Objeto.

Os Serviços de Domínio Microsoft Entra não permitem que você modifique o atributo objectClass POSIX em usuários e grupos criados na UO de Usuários AADDC organizacional. Como solução alternativa, você pode criar uma UO personalizada e criar usuários e grupos na UO personalizada.

Se você estiver sincronizando os usuários e grupos em sua locação do Microsoft Entra para usuários e grupos na UO Usuários AADDC, não poderá mover usuários e grupos para uma UO personalizada. Os usuários e grupos criados na UO personalizada não são sincronizados com sua locação do AD. Para obter mais informações, consulte as considerações e limitações da UO personalizada dos Serviços de Domínio Microsoft Entra.

Acessar o Editor de Atributos do Ative Directory

Em um sistema Windows, você pode acessar o Editor de Atributos do Ative Directory da seguinte maneira:

  1. Selecione Iniciar, navegue até Ferramentas Administrativas do Windows. Em seguida, selecione Usuários e Computadores do Ative Directory para abrir a janela Usuários e Computadores do Ative Directory.
  2. Selecione o nome de domínio que pretende ver e, em seguida, expanda o conteúdo.
  3. Para exibir o Editor de Atributos avançado, habilite a opção Recursos Avançados no menu Exibir Computadores de Usuários do Ative Directory.
    Captura de tela que mostra como acessar o menu Recursos Avançados do Editor de Atributos.
  4. Selecione Usuários no painel esquerdo para ver a lista de usuários.
  5. Selecione um usuário específico para ver sua guia Editor de Atributos.

Configurar o cliente NFS

Siga as instruções em Configurar um cliente NFS para Arquivos NetApp do Azure para configurar o cliente NFS.

Próximos passos