Montera SMB Azure-filresurser på Linux-klienter
Azure-filresurser kan monteras i Linux-distributioner med hjälp av SMB-kernelklienten.
Det rekommenderade sättet att montera en Azure-filresurs i Linux är med SMB 3.1.1. Som standard kräver Azure Files kryptering under överföring, vilket stöds i SMB 3.0+. Azure Files stöder även SMB 2.1, som inte stöder kryptering under överföring, men du kan inte montera Azure-filresurser med SMB 2.1 från en annan Azure-region eller lokalt av säkerhetsskäl. Använd SMB 3.1.1 om inte appen särskilt behöver SMB 2.1. SMB 2.1-stöd lades till i Linux kernel version 3.7, så om du använder en version av Linux-kerneln efter 3.7 bör den ha stöd för SMB 2.1.
Distribution | SMB 3.1.1 (rekommenderas) | SMB 3.0 |
---|---|---|
Linux-kernelversion |
|
|
Ubuntu | Kryptering med AES-128-GCM: 18.04.5 LTS+ | Kryptering med AES-128-CCM: 16.04.4 LTS+ |
Red Hat Enterprise Linux (RHEL) |
|
7.5+ |
Debian | Grundläggande: 10+ | Kryptering med AES-128-CCM: 10+ |
SUSE Linux Enterprise Server | Kryptering med AES-128-GCM: 15 SP2+ | Kryptering med AES-128-CCM: 12 SP2+ |
Om din Linux-distribution inte visas i tabellen ovan kan du kontrollera din Linux-kernelversion med kommandot uname
:
uname -r
Kommentar
Alla monteringsskript i den här artikeln monterar SMB-filresurser med standardbehörigheterna 0755 Linux-fil och -mappar. Det innebär att läsa, skriva och köra för fil-/katalogägaren, läsa och köra för användare i ägargruppen och läsa och köra för andra användare. Beroende på organisationens säkerhetsprinciper kanske du vill ange alternativa uid
/gid
eller dir_mode
och file_mode
behörigheter i monteringsalternativen. Mer information om hur du anger behörigheter finns i UNIX numerisk notation. Se monteringsalternativ för en lista över monteringsalternativ.
Gäller för
Typ av filresurs | SMB | NFS |
---|---|---|
Standardfilresurser (GPv2), LRS/ZRS | ||
Standardfilresurser (GPv2), GRS/GZRS | ||
Premiumfilresurser (FileStorage), LRS/ZRS |
Förutsättningar
- Kontrollera att cifs-utils-paketet är installerat. Installera den senaste versionen av cifs-utils-paketet med hjälp av pakethanteraren på valfri Linux-distribution.
På Ubuntu och Debian använder du apt
pakethanteraren:
sudo apt update
sudo apt install cifs-utils
På andra distributioner använder du lämplig pakethanterare eller kompilerar från källan.
Den senaste versionen av Azures kommandoradsgränssnitt (CLI). Mer information om hur du installerar Azure CLI finns i Installera Azure CLI och välj ditt operativsystem. Om du föredrar att använda Azure PowerShell-modulen i PowerShell 6+, kan du; Instruktionerna i den här artikeln gäller dock för Azure CLI.
Kontrollera att port 445 är öppen: SMB kommunicerar via TCP-port 445 – kontrollera att brandväggen eller ISP inte blockerar TCP-port 445 från klientdatorn. Ersätt
<your-resource-group>
och<your-storage-account>
kör sedan följande skript:RESOURCE_GROUP_NAME="<your-resource-group>" STORAGE_ACCOUNT_NAME="<your-storage-account>" # This command assumes you have logged in with az login HTTP_ENDPOINT=$(az storage account show \ --resource-group $RESOURCE_GROUP_NAME \ --name $STORAGE_ACCOUNT_NAME \ --query "primaryEndpoints.file" --output tsv | tr -d '"') SMBPATH=$(echo $HTTP_ENDPOINT | cut -c7-${#HTTP_ENDPOINT}) FILE_HOST=$(echo $SMBPATH | tr -d "/") nc -zvw3 $FILE_HOST 445
Om anslutningen lyckades bör du se något som liknar följande utdata:
Connection to <your-storage-account> 445 port [tcp/microsoft-ds] succeeded!
Om du inte kan öppna port 445 i företagets nätverk eller blockeras från att göra det av en Internetleverantör kan du använda en VPN-anslutning eller ExpressRoute för att arbeta runt port 445. Mer information finns i Nätverksöverväganden för direktåtkomst till Azure-filresurser.
Montera Azure-filresursen på begäran med montering
När du monterar en filresurs på ett Linux-operativsystem representeras fjärrfilresursen som en mapp i det lokala filsystemet. Du kan montera filresurser var som helst i systemet. Följande exempel monteras under /media
sökvägen. Du kan ändra detta till önskad sökväg genom att ändra variabeln $MNT_ROOT
.
Ersätt <resource-group-name>
, <storage-account-name>
och <file-share-name>
med lämplig information för din miljö:
RESOURCE_GROUP_NAME="<resource-group-name>"
STORAGE_ACCOUNT_NAME="<storage-account-name>"
FILE_SHARE_NAME="<file-share-name>"
MNT_ROOT="/media"
MNT_PATH="$MNT_ROOT/$STORAGE_ACCOUNT_NAME/$FILE_SHARE_NAME"
sudo mkdir -p $MNT_PATH
Initiera sedan autentiseringsfilen genom att köra följande skript.
# Create a folder to store the credentials for this storage account and
# any other that you might set up.
CREDENTIAL_ROOT="/etc/smbcredentials"
sudo mkdir -p "/etc/smbcredentials"
# Get the storage account key for the indicated storage account.
# You must be logged in with az login and your user identity must have
# permissions to list the storage account keys for this command to work.
STORAGE_ACCOUNT_KEY=$(az storage account keys list \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "[0].value" --output tsv | tr -d '"')
# Create the credential file for this individual storage account
SMB_CREDENTIAL_FILE="$CREDENTIAL_ROOT/$STORAGE_ACCOUNT_NAME.cred"
if [ ! -f $SMB_CREDENTIAL_FILE ]; then
echo "username=$STORAGE_ACCOUNT_NAME" | sudo tee $SMB_CREDENTIAL_FILE > /dev/null
echo "password=$STORAGE_ACCOUNT_KEY" | sudo tee -a $SMB_CREDENTIAL_FILE > /dev/null
else
echo "The credential file $SMB_CREDENTIAL_FILE already exists, and was not modified."
fi
# Change permissions on the credential file so only root can read or modify the password file.
sudo chmod 600 $SMB_CREDENTIAL_FILE
Nu kan du montera filresursen mount
med kommandot med hjälp av autentiseringsfilen. I följande exempel $SMB_PATH
fylls kommandot i med det fullständigt kvalificerade domännamnet för lagringskontots filslutpunkt. Se monteringsalternativ för en lista över SMB-monteringsalternativ.
Kommentar
Från och med Linux kernel version 5.0 är SMB 3.1.1 standardprotokollet som förhandlats. Om du använder en version av Linux-kerneln som är äldre än 5.0 anger du vers=3.1.1
i listan med monteringsalternativ.
# This command assumes you have logged in with az login
HTTP_ENDPOINT=$(az storage account show \
--resource-group $RESOURCE_GROUP_NAME \
--name $STORAGE_ACCOUNT_NAME \
--query "primaryEndpoints.file" --output tsv | tr -d '"')
SMB_PATH=$(echo $HTTP_ENDPOINT | cut -c7-${#HTTP_ENDPOINT})$FILE_SHARE_NAME
STORAGE_ACCOUNT_KEY=$(az storage account keys list \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "[0].value" --output tsv | tr -d '"')
sudo mount -t cifs $SMB_PATH $MNT_PATH -o credentials=$SMB_CREDENTIAL_FILE,serverino,nosharesock,actimeo=30,mfsymlinks
Du kan också montera samma Azure-filresurs på flera monteringspunkter om du vill.
När du är klar med att använda Azure-filresursen använder sudo umount $mntPath
du för att demontera resursen.
Montera filresurser automatiskt
När du monterar en filresurs på ett Linux-operativsystem representeras fjärrfilresursen som en mapp i det lokala filsystemet. Du kan montera filresurser var som helst i systemet. Följande exempel monteras under /media
sökvägen. Du kan ändra detta till önskad sökväg genom att ändra variabeln $MNT_ROOT
.
MNT_ROOT="/media"
sudo mkdir -p $MNT_ROOT
Om du vill montera en Azure-filresurs i Linux använder du lagringskontonamnet som användarnamn för filresursen och lagringskontonyckeln som lösenord. Eftersom autentiseringsuppgifterna för lagringskontot kan ändras med tiden bör du lagra autentiseringsuppgifterna för lagringskontot separat från monteringskonfigurationen.
I följande exempel visas hur du skapar en fil för att lagra autentiseringsuppgifterna. Kom ihåg att ersätta <resource-group-name>
och <storage-account-name>
med lämplig information för din miljö.
RESOURCE_GROUP_NAME="<resource-group-name>"
STORAGE_ACCOUNT_NAME="<storage-account-name>"
# Create a folder to store the credentials for this storage account and
# any other that you might set up.
CREDENTIAL_ROOT="/etc/smbcredentials"
sudo mkdir -p "/etc/smbcredentials"
# Get the storage account key for the indicated storage account.
# You must be logged in with az login and your user identity must have
# permissions to list the storage account keys for this command to work.
STORAGE_ACCOUNT_KEY=$(az storage account keys list \
--resource-group $RESOURCE_GROUP_NAME \
--account-name $STORAGE_ACCOUNT_NAME \
--query "[0].value" --output tsv | tr -d '"')
# Create the credential file for this individual storage account
SMB_CREDENTIAL_FILE="$CREDENTIAL_ROOT/$STORAGE_ACCOUNT_NAME.cred"
if [ ! -f $SMB_CREDENTIAL_FILE ]; then
echo "username=$STORAGE_ACCOUNT_NAME" | sudo tee $SMB_CREDENTIAL_FILE > /dev/null
echo "password=$STORAGE_ACCOUNT_KEY" | sudo tee -a $SMB_CREDENTIAL_FILE > /dev/null
else
echo "The credential file $SMB_CREDENTIAL_FILE already exists, and was not modified."
fi
# Change permissions on the credential file so only root can read or modify the password file.
sudo chmod 600 $SMB_CREDENTIAL_FILE
Om du vill montera en filresurs automatiskt kan du välja mellan att använda en statisk montering via /etc/fstab
verktyget eller att använda en dynamisk montering via autofs
verktyget.
Statisk montering med /etc/fstab
Använd den tidigare miljön och skapa en mapp för ditt lagringskonto/din filresurs under monteringsmappen. Ersätt <file-share-name>
med lämpligt namn på din Azure-filresurs.
FILE_SHARE_NAME="<file-share-name>"
MNT_PATH="$MNT_ROOT/$STORAGE_ACCOUNT_NAME/$FILE_SHARE_NAME"
sudo mkdir -p $MNT_PATH
Skapa slutligen en post i /etc/fstab
filen för din Azure-filresurs. I kommandot nedan används standardbehörigheterna för 0755 Linux-filer och -mappar, vilket innebär att läsa, skriva och köra för ägaren (baserat på fil-/katalog-Linux-ägaren), läsa och köra för användare i ägargruppen och läsa och köra för andra i systemet. Du kanske vill ange alternativa uid
och gid
eller dir_mode
och file_mode
behörigheter för montering efter behov. Mer information om hur du anger behörigheter finns i UNIX numerisk notation. Se monteringsalternativ för en lista över SMB-monteringsalternativ.
Dricks
Om du vill att Docker-containrar som kör .NET Core-program ska kunna skriva till Azure-filresursen ska du inkludera nobrl i SMB-monteringsalternativen för att undvika att skicka byteintervalllåsbegäranden till servern.
HTTP_ENDPOINT=$(az storage account show \
--resource-group $RESOURCE_GROUP_NAME \
--name $STORAGE_ACCOUNT_NAME \
--query "primaryEndpoints.file" --output tsv | tr -d '"')
SMB_PATH=$(echo $HTTP_ENDPOINT | cut -c7-${#HTTP_ENDPOINT})$FILE_SHARE_NAME
if [ -z "$(grep $SMB_PATH\ $MNT_PATH /etc/fstab)" ]; then
echo "$SMB_PATH $MNT_PATH cifs _netdev,nofail,credentials=$SMB_CREDENTIAL_FILE,serverino,nosharesock,actimeo=30,mfsymlinks" | sudo tee -a /etc/fstab > /dev/null
else
echo "/etc/fstab was not modified to avoid conflicting entries as this Azure file share was already present. You might want to double check /etc/fstab to ensure the configuration is as desired."
fi
sudo mount -a
Kommentar
Från och med Linux kernel version 5.0 är SMB 3.1.1 standardprotokollet som förhandlats. Du kan ange alternativa protokollversioner med monteringsalternativet vers
(protokollversioner är 3.1.1
, 3.0
och 2.1
).
Montera dynamiskt med autofs
Om du vill montera en filresurs dynamiskt med autofs
verktyget installerar du den med hjälp av pakethanteraren på valfri Linux-distribution.
På Ubuntu- och Debiandistributioner använder du apt
pakethanteraren:
sudo apt update
sudo apt install autofs
Uppdatera sedan konfigurationsfilerna autofs
. Se monteringsalternativ för en lista över SMB-monteringsalternativ.
FILE_SHARE_NAME="<file-share-name>"
HTTP_ENDPOINT=$(az storage account show \
--resource-group $RESOURCE_GROUP_NAME \
--name $STORAGE_ACCOUNT_NAME \
--query "primaryEndpoints.file" --output tsv | tr -d '"')
SMB_PATH=$(echo $HTTP_ENDPOINT | cut -c7-$(expr length $HTTP_ENDPOINT))$FILE_SHARE_NAME
echo "$FILE_SHARE_NAME -fstype=cifs,credentials=$SMB_CREDENTIAL_FILE,serverino,nosharesock,actimeo=30,mfsymlinks :$SMB_PATH" > /etc/auto.fileshares
echo "/fileshares /etc/auto.fileshares --timeout=60" > /etc/auto.master
Det sista steget är att starta om autofs
tjänsten.
sudo systemctl restart autofs
Monteringsalternativ
Du kan använda följande monteringsalternativ när du monterar SMB Azure-filresurser i Linux.
Monteringsalternativ | Rekommenderat värde | Beskrivning |
---|---|---|
username= |
Lagringskontonamn | Obligatoriskt för NTLMv2-autentisering. |
password= |
Primärnyckel för lagringskonto | Obligatoriskt för NTLMv2-autentisering. |
password2= |
Sekundär nyckel för lagringskonto | Rekommenderas om nyckelrotation utan stilleståndstid är önskvärt. |
mfsymlinks |
saknas | Rekommenderas. Tvingar monteringen att stödja symboliska länkar, vilket gör att program som git kan klona lagringsplatser med symlinks. |
actimeo= |
30-60 | Rekommenderas. Anger actimeo anger alla av acregmin , acregmax , acdirmin och acdirmax till samma värde. Om du använder ett värde som är lägre än 30 sekunder kan prestanda försämras eftersom attributcacheminnen för filer och kataloger upphör att gälla för snabbt. Vi rekommenderar att du ställer in actimeo mellan 30 och 60 sekunder. |
nosharesock |
saknas | Valfritt. Tvingar klienten att alltid upprätta en ny anslutning till servern även om den har en befintlig anslutning till SMB-monteringen. Detta kan förbättra prestanda eftersom varje monteringspunkt använder en annan TCP-socket. I vissa fall nosharesock kan försämra prestanda på grund av att samma fil inte cachelagras när den öppnas från två monteringar från samma klient. |
max_channels= |
4 | Rekommenderas när du använder SMB Multichannel. Anger det maximala antalet kanaler (nätverksanslutningar) till filresursen. Om du använder SMB Multichannel och antalet kanaler överskrider fyra resulterar detta i dåliga prestanda. |
remount |
saknas | Monterar om filresursen och ändrar monteringsalternativ om det anges. Använd med alternativet password2 om du vill ange ett alternativt lösenord för att åtgärda ett utgånget lösenord efter den ursprungliga monteringen. |
nobrl |
saknas | Rekommenderas i scenarier med en klient när rådgivande lås krävs. Azure Files stöder inte rådgivningslås och den här inställningen förhindrar att byteintervalllåsbegäranden skickas till servern. |
snapshot= |
time | Montera en specifik ögonblicksbild av filresursen. Tiden måste vara ett positivt heltal som identifierar den begärda ögonblicksbilden (i enheter med 100 nanosekunder som har förflutit sedan den 1 januari 1601, eller alternativt kan den anges i GMT-format, t.ex. @GMT-2024.03.27-20.52.19). |
closetimeo= |
5 | Konfigurerar tidsgränsen för uppskjuten stängning (hantera cacheminnet) i sekunder eller inaktiverar den genom att ange 0. Standardvärdet är 5 sekunder. |
nostrictsync |
saknas | Be inte servern att rensa på fsync(). Vissa servrar utför icke-buffrade skrivningar som standard, i vilket fall tömningen är redundant. Det här alternativet kan förbättra prestanda för arbetsbelastningar där en klient utför många små kombinationer av skrivningar + fsync och där nätverksfördröjningen är mycket högre än serverns svarstid. |
multiuser |
saknas | Mappa användaråtkomster till enskilda autentiseringsuppgifter vid åtkomst till servern. Som standard använder CIFS-monteringar endast en enda uppsättning användarautentiseringsuppgifter (autentiseringsuppgifterna för montering) vid åtkomst till en resurs. Med det här alternativet skapar klienten i stället en ny session med servern med användarens autentiseringsuppgifter när en ny användare kommer åt monteringen. Ytterligare åtkomst av den användaren kommer också att använda dessa autentiseringsuppgifter. Eftersom kerneln inte kan fråga efter lösenord är fleranvändarmonteringar begränsade till monteringar med hjälp av sec= alternativ som inte kräver lösenord. |
cifsacl |
saknas | Det här alternativet används för att mappa CIFS/NTFS-ACL:er till/från Linux-behörighetsbitar, mappa SID:er till/från användargränssnitt och GID:er och hämta och ange säkerhetsbeskrivningar. Stöds endast för NTLMv2-autentisering. |
idsfromsid,modefromsid |
saknas | Rekommenderas när klienten behöver utföra klient-framtvingad auktorisering. Aktiverar unix-behörigheter. Fungerar bara när användargränssnitt/GID:er är enhetliga för alla klienter. Stöds endast för NTLMv2-autentisering. |
sec= |
krb5 | Krävs för Kerberos-autentisering. Om du vill aktivera Kerberos-säkerhetsläge anger du sec=krb5 . Du måste utelämna användarnamn och lösenord när du använder det här alternativet. Linux-klienten måste vara domänansluten. Se Aktivera Active Directory-autentisering via SMB för Linux-klienter. |
uid= |
0 | Valfritt. Anger det uid som ska äga alla filer eller kataloger i det monterade filsystemet när servern inte tillhandahåller ägarskapsinformation. Det kan anges som antingen ett användarnamn eller ett numeriskt uid. När det inte anges är standardvärdet 0. |
gid= |
0 | Valfritt. Anger den gid som ska äga alla filer eller kataloger i det monterade filsystemet när servern inte tillhandahåller ägarskapsinformation. Det kan anges som antingen ett gruppnamn eller en numerisk gid. När det inte anges är standardvärdet 0. |
file_mode= |
saknas | Valfritt. Om servern inte stöder CIFS Unix-tillägg åsidosätter detta standardfilläget. |
dir_mode= |
saknas | Valfritt. Om servern inte stöder CIFS Unix-tillägg åsidosätter detta standardläget för kataloger. |
handletimeout= |
saknas | Valfritt. Den tid (i millisekunder) för vilken servern ska reservera filhandtaget efter en redundansväxling som väntar på att klienten ska återansluta. |
Nästa steg
Mer information om hur du använder SMB Azure-filresurser med Linux finns i: