了解 Azure NetApp Files 中的 NAS 通訊協定

NAS 通訊協定是客戶端與伺服器之間的對話方式。 NFS 和 SMB 是 Azure NetApp Files 中使用的 NAS 通訊協定。 兩者皆有各自的通訊方法，但在根目錄上，兩者大多以相同的方式運作。

• 兩者都提供單一資料集給許多不同的網路連結用戶端。
• 兩者都可以使用加密的驗證方法來共用資料。
• 兩者都可以透過共用和檔案權限進行閘道通訊。
• 兩者都可以加密傳輸中的資料。
• 兩者都可以使用多個連線來協助平行處理效能。

網路檔案系統 (NFS)

NFS 主要用於 Linux/UNIX 型用戶端，例如 Red Hat、SUSE、Ubuntu、AIX、Solaris 和 Apple OS。 Azure NetApp Files 支援任何在「批注要求」標準中運作的 NFS 用戶端。 Windows 也可以使用 NFS 進行存取，但不會使用 RFC 標準運作。

您可以在此參閱 NFS 通訊協定的 RFC 標準：

• RFC-1813：NFSv3
• RFC 8881：NFSv4.1
• RFC 7862：NFSv4.2

NFSv3

NFSv3 是通訊協定的基本供應項目，主要屬性包含以下：

• NFSv3 為無狀態，這表示 NFS 伺服器不會追蹤連線狀態 (包括鎖定)。
• 鎖定會在 NFS 通訊協定外進行處理，並會使用網路鎖定管理員 (NLM)。 因為鎖定未整合到通訊協定中，所以有時會發生過時鎖定的情況。
• 由於 NFSv3 為無狀態，因此在某些工作負載中，NFSv3 的效能可能會大幅提升，特別是在含有 OPEN、CLOSE、SETATTR 和 GETATTR 等高中繼資料作業的工作負載中。 會發生這種情況，是因為有時需處理一些較不常見的工作，才能處理伺服器和用戶端上的要求。
• NFSv3 使用基本的檔案許可權模型，其中讀取、寫入和執行的許可權可以指派給檔案擁有者、群組或其他人。
• NFSv3 可以使用 NFSv4.x ACL，但需要 NFSv4.x 管理用戶端才能設定和管理 ACL。 Azure NetApp Files 不支援使用非標準 POSIX 草稿 ACL。
• NFSv3 也需要使用其他輔助通訊協定來執行一般作業，例如連接埠探索、掛接、鎖定、狀態監視和配額。 每個輔助通訊協定都會使用唯一的網路連接埠，這表示 NFSv3 作業需要透過有已知連接埠號碼的防火牆來提升能見度。
• Azure NetApp Files 會為 NFSv3 作業使用下列連接埠號碼。 無法變更以下連接埠號碼：
  • Portmapper (111)
  • Mount (635)
  • NFS (2049)
  • NLM (4045)
  • NSM (4046)
  • Rquota (4049)
• NFSv3 可以使用 Kerberos 等安全性增強功能，但 Kerberos 只會影響封包的 NFS 部分；Kerberos 對話中不包含輔助通訊協定 (例如 NLM、portmapper、mount)。
  • Azure NetApp Files 僅支援 NFSv4.1 Kerberos 加密
• NFSv3 會使用數值識別碼進行其使用者和群組驗證。 數值標識碼可簡化組態和管理，但可能會讓使用者更容易詐騙。
• NFSv3 可以使用 LDAP 進行使用者和群組查閱。

NFSv3 服務版本支援

NFSv3 目前支援 Azure NetApp Files 中下列版本的輔助通訊協定：

服務	支援的版本
Portmapper	4、3、2
NFS	4、3*
Mountd	3、2、1
Nlockmgr	4
狀態	1
Rquotas	1

* NFS 支援的版本會根據所選的 Azure NetApp Files 磁碟區版本來顯示。

您可以使用下列命令，從您的 Azure NetApp Files 磁碟區收集此資訊：

# rpcinfo -s <Azure NetApp Files IP address>

NFSv4.x

NFSv4.x 是指 NFSv4 下的所有 NFS 版本或次要版本，包括 NFSv4.0、NFSv4.1 和 NFSv4.2。 Azure NetApp Files 目前僅支援 NFSv4.1。

NFSv4.x 有下列特性：

• NFSv4.x 是具狀態的通訊協定，這表示客戶端和伺服器會追蹤 NFS 連線的狀態，包括鎖定狀態。 NFS 掛接會使用稱為「狀態識別碼」的概念來追蹤連線。
• 鎖定已整合到 NFS 通訊協定中，而且不需要輔助鎖定通訊協定來追蹤 NFS 鎖定。 相反地，鎖定會以租用為基礎進行授與。 如果客戶端或伺服器連線中斷，則會在一段特定時間後過期，因此會將鎖定傳回給系統，以便與其他 NFS 用戶端搭配使用。
• NFSv4.x 的具狀態性確實有一些缺點，例如可能會在網路中斷或儲存體容錯移轉期間發生中斷，以及特定工作負載類型的效能額外負荷 (例如高中繼資料工作負載)。
• NFSv4.x 可提供許多優於 NFSv3 的顯著優勢，包括：
  • 更完善的鎖定概念 (租用型鎖定)
  • 更完善的安全性 (較低的防火牆連接埠需求、與 Kerberos 的標準整合、精確的存取控制)
  • 更多功能
  • 複合 NFS 作業 (單一封包要求中有多個命令，可減少網路通話)
  • 僅適用於 TCP
• NFSv4.x 可以使用更強固的檔案權限模型，類似於 Windows NTFS 權限。 精確的 ACL 可以套用至使用者或群組，並允許在相較於基本讀取/寫入/執行作業更加廣泛的作業上設定權限。 NFSv4.x 也可以使用 NFSv3 所採用的標準 POSIX 模式位元。
• 由於 NFSv4.x 不會使用輔助通訊協定，因此 Kerberos 會在使用時套用至整個 NFS 對話。
• NFSv4.x 會使用使用者/群組名稱和網域字串的組合來驗證使用者和群組資訊。 用戶端和伺服器必須同意網域字串，才能進行適當的使用者和群組驗證。 如果網域字串不相符，則 NFS 使用者或群組會在 NFS 用戶端的 /etc/idmapd.conf 檔案中壓縮為指定使用者 (例如：nobody)。
• 雖然 NFSv4.x 預設通常會使用網域字串，但是當使用 AUTH_SYS 時，可以同時設定客戶端和伺服器，以還原為 NFSv3 中使用的傳統數值識別符。
• NFSv4.x 會與使用者和群組名稱字串進行深度整合，伺服器和客戶端必須同意這些使用者和群組。 因此，請考慮使用名稱服務伺服器進行使用者驗證，例如 NFS 用戶端和伺服器上的 LDAP。

如需有關 Azure NetApp Files 中 NFS 的常見問題，請參閱 Azure NetApp Files NFS 常見問題 (部分機器翻譯)。

伺服器訊息區 (SMB)

SMB 主要會與 Windows 用戶端搭配使用，以取得 NAS 功能。 不過也可以在以 Linux 為基礎的作業系統上使用，例如 AppleOS、RedHat 等。此部署是使用名為 Samba 的應用程式來進行並完成。 Azure NetApp Files 已正式支援使用 Windows 和 macOS 的 SMB。 Linux 作業系統上的 SMB/Samba 可以與 Azure NetApp Files 搭配運作，但沒有官方支援。

Azure NetApp Files 僅支援 SMB 2.1 和 SMB 3.1 版本。

SMB 有下列特性：

• SMB 是具狀態的通訊協定：客戶端和伺服器會維護 SMB 共用連線的「狀態」，可提高安全性並進行更完善的鎖定。
• SMB 中的鎖定為強制。 當檔案鎖定時，其他任何用戶端都無法寫入該檔案，直到鎖定經釋放為止。
• SMBv2.x 和更新版本會使用複合呼叫來執行作業。
• SMB 支援完整的 Kerberos 整合。 就 Windows 用戶端的設定方式而言，通常會使用 Kerberos，且會在終端使用者不知道的情況下使用。
• 當 Kerberos 無法用於驗證時，Windows NT LAN Manager (NTLM) 可能會作為後援使用。 如果在 Active Directory 環境中停用 NTLM，則無法使用 Kerberos 的驗證要求會發生失敗。
• SMBv3.0 和更新版本支援 SMB 共用的端對端加密。
• SMBv3.x 支援多頻道，以此提升特定工作負載的效能。
• SMB 會使用使用者和群組名稱 (透過 SID 轉譯) 進行驗證。 Active Directory 網域控制站會提供使用者和群組資訊。
• Azure NetApp Files 中的 SMB 會使用標準 New Technology File System (NTFS) ACL 來取得檔案和資料夾權限。

如需有關 Azure NetApp Files 中 SMB 的常見問題，請參閱 Azure NetApp Files SMB 常見問題 (部分機器翻譯)。

雙重通訊協定

部分組織為純 Windows 或純 UNIX 環境 (同質)，所有資料只會使用下列其中一種方法來存取：

• SMB 和 NTFS 檔案安全性
• NFS 和 UNIX 檔案安全性：模式位元，或 NFSv4.x 存取控制清單 (ACL)

不過，許多網站必須讓資料集能夠從 Windows 和 UNIX 用戶端存取 (異質)。 若是有以上需求的環境，Azure NetApp Files 具有原生雙重通訊協定 NAS 支援。 在網路上驗證使用者，並擁有適當的共用或匯出權限以及必要的檔案層級權限之後，使用者就可以使用 NFS 或 SMB 從 Windows 主機存取 UNIX 主機的資訊。

使用雙重通訊協定磁碟區的原因

搭配 Azure NetApp Files 使用雙重通訊協定磁碟區有幾個不同優點。 若使用不同 NAS 通訊協定的用戶端可以順暢且同時存取資料集，可以帶來下列優勢：

• 減少整體儲存體管理員的管理工作。
• 只需要儲存單一資料復本，即可從多個用戶端類型存取NAS。
• 與通訊協定無關的 NAS 可讓儲存體管理員控制向終端使用者呈現的 ACL 樣式及存取控制。
• 在 NAS 環境中集中進行身分識別管理作業。

雙重通訊協定環境的常見考量

許多組織都想使用雙重通訊協定 NAS 存取，希望能獲得其彈性優勢。 不過，與共用通訊協定的概念相比，雙重通訊協定的概念較為困難，因此還需考量一些其他事項。 考量事項包括，但不限於：

• 跨多個通訊協定、作業系統和儲存體系統的知識需求。
• 名稱服務伺服器的工作知識，例如 DNS、LDAP 等。

此外，也需考量外部因素，例如：

• 須能跨多個部門和 IT 群組進行溝通 (例如 Windows 群組和 UNIX 群組)
• 公司收購
• 網域整合
• 重組

儘管有以上考量，雙重通訊協定 NAS 安裝、設定和存取仍可以簡單且順暢地整合到任何環境中。

Azure NetApp Files 如何簡化雙重通訊協定的使用流程

Azure NetApp Files 會將成功的雙重通訊協定 NAS 環境所需的基礎結構合併成單一管理平面，包括儲存體和身分識別管理服務。

雙重通訊協定的設計十分簡單，大部分的工作都會受到 Azure NetApp Files 資源管理架構的防護，以簡化雲端運算子的作業。

使用 Azure NetApp Files 建立 Active Directory 連線之後，雙通訊協定磁碟區就可以使用連線來處理適當使用者和群組驗證所需的 Windows 和 UNIX 身分識別管理。 此設定不需要在 Active Directory 或 LDAP 服務內的一般使用者和群組管理之外執行額外的設定步驟」

使用 Azure NetApp Files 後，即可省去雙重通訊協定設定過程中與額外儲存體相關的步驟，進而協助欲移至 Azure 的組織簡化雙重通訊協定的整體部署流程。

Azure NetApp Files 雙重通訊協定磁碟區的運作方式

概括而言，無論使用中的通訊協定為何，Azure NetApp Files 雙重通訊協定磁碟區都會使用名稱對應和權限樣式的組合，來提供一致的資料存取功能。 這表示，無論您是從 NFS 或 SMB 存取檔案，都可以確保有這些檔案存取權的使用者可以存取這些檔案，而沒有這些檔案存取權的使用者將無法存取這些檔案。

當 NAS 用戶端要求存取 Azure NetApp Files 中的雙重通訊協定磁碟區時，系統會進行下列作業，目的在於提供使用者流暢的體驗。

1. NAS 用戶端會建立與 Azure NetApp Files 雙重通訊協定磁碟區之間的 NAS 連線。
2. NAS 用戶端會將使用者身分識別資訊傳遞至 Azure NetApp Files。
3. Azure NetApp Files 會進行檢查，確保 NAS 用戶端/使用者可存取 NAS 共用資料。
4. Azure NetApp Files 會將該使用者對應至名稱服務中的有效使用者。
5. Azure NetApp Files 會將該使用者與系統中的檔案層級權限進行比較。
6. 若擁有檔案權限，即可控制使用者擁有的存取層級。

在下圖中，向 Azure NetApp Files 進行 user1 驗證，即可透過 SMB 或 NFS 存取雙重通訊協定磁碟區。 Azure NetApp Files 會在 Microsoft Entra ID 中尋找使用者的 Windows 和 UNIX 資訊，然後一對一進行使用者的 Windows 和 UNIX 身分識別對應。 使用者會驗證為 user1，並取得 user1 的存取認證。

在此執行個體中，user1 可取得其資料夾 (user1-dir) 的完整控制權，且無法存取 HR 資料夾。 此設定是以檔案系統中指定的安全性 ACL 為基礎，無論 user1 從哪個通訊協定存取磁碟區，都能取得預期的存取權限。

使用 Azure NetApp Files 雙重通訊協定磁碟區的考量

使用 Azure NetApp Files 磁碟區來存取 SMB 和 NFS 時，需考量以下事項：

• 您需有 Active Directory 連線。 因此，您需要符合 Active Directory 連線的需求。
• 雙重通訊協定磁碟區在 DNS 中需有反向對應區域，以及 AD 主機電腦的相關聯指標 (PTR) 記錄，以防止雙重通訊協定磁碟區建立失敗。
• 您的 NFS 用戶端和相關聯的封裝 (例如 nfs-utils) 應保持最佳安全性、可靠性和功能支援的最新狀態。
• 雙重通訊協定磁碟區同時支援 Active Directory Domain Services (AD DS) 和 Microsoft Entra Domain Services。
• 雙重通訊協定磁碟區不支援透過 TLS 搭配 Microsoft Entra Domain Services 使用 LDAP。 請參閱 LDAP over TLS 考量。
• 支援的 NFS 版本包括：NFSv3 和 NFSv4.1。
• Azure NetApp Files 磁碟區目前不支援平行網路檔案系統 (pNFS)、工作階段主幹和轉介等 NFSv4.1 功能。
• 雙重通訊協定磁碟區不支援 Windows 擴充屬性setget/。
• 請參閱為 Azure NetApp Files 建立雙重通訊協定磁碟區的其他考量 (部分機器翻譯)。

下一步

• 了解 Azure NetApp Files 中的雙重通訊協定安全性樣式和權限行為
• 了解搭配 Azure NetApp Files 使用 LDAP 的方法
• 了解 NFS 群組成員資格和補充群組
• 了解 Azure NetApp Files 中的檔案鎖定和鎖定類型
• 建立適用於 Azure NetApp Files 的 NFS 磁碟區
• 建立適用於 Azure NetApp Files 的 SMB 磁碟區
• 建立 Azure NetApp Files 的雙重通訊協定磁碟區
• Azure NetApp Files NFS 常見問題
• Azure NetApp Files SMB 常見問題