Crie um volume de protocolo duplo para Azure NetApp Files

O Azure NetApp Files suporta a criação de volumes usando NFS (NFSv3 ou NFSv4.1), SMB3 ou protocolo dual (NFSv3 e SMB, ou NFSv4.1 e SMB). Este artigo mostra como criar um volume que usa protocolo duplo com suporte para mapeamento de usuário LDAP.

Para criar volumes NFS, consulte Criar um volume NFS. Para criar volumes SMB, consulte Criar um volume SMB.

Antes de começar

Importante

Se estiver a usar uma função RBAC/IAM personalizada, deve ter a permissão Microsoft.Network/virtualNetworks/subnets/read configurada para criar ou atualizar um volume.

Para mais informações sobre permissões e para confirmar a configuração das permissões, consulte Criar ou atualizar Azure funções personalizadas usando o portal Azure.

Considerações

  • Certifique-se de que cumpre os requisitos para ligações Active Directory.

  • Crie uma zona de pesquisa inversa no servidor DNS e, em seguida, adicione um registo de ponteiro (PTR) da máquina anfitriã do AD nessa zona de pesquisa inversa. Caso contrário, a criação de volume de protocolo duplo falhará.

  • A opção Permitir utilizadores NFS locais com LDAP nas ligações ao Active Directory destina-se a proporcionar acesso esporádico e temporário a utilizadores locais. Quando esta opção está ativada, a autenticação e pesquisa do utilizador no servidor LDAP deixam de funcionar, e o número de membros de grupo suportados pelo Azure NetApp Files fica limitado a 16. Por isso, deve manter esta opção desabilitada em ligações Active Directory, exceto na ocasião em que um utilizador local precise de aceder a volumes com LDAP. Nesse caso, você deve desativar essa opção assim que o acesso do usuário local não for mais necessário para o volume. Consulte Permitir que usuários NFS locais com LDAP acessem um volume de protocolo duplo sobre como gerenciar o acesso de usuário local.

  • Confirme que o cliente NFS está atualizado e a executar as atualizações mais recentes do sistema operativo.

  • Os volumes de protocolo duplo suportam tanto o Active Directory Domain Services (AD DS) como o Microsoft Entra Domain Services.

  • Volumes de protocolo duplo não suportam o uso de LDAP sobre TLS com Microsoft Entra Domain Services. O LDAP sobre TLS é suportado com o Active Directory Domain Services (AD DS). Veja Considerações sobre LDAP através de TLS.

  • A versão NFS usada por um volume de protocolo duplo pode ser NFSv3 ou NFSv4.1. As seguintes considerações são aplicáveis:

    • O protocolo dual não suporta os atributos estendidos dos ACLs do Windows set/get dos clientes NFS.

    • Os clientes NFS não podem alterar permissões para o estilo de segurança NTFS, e os clientes Windows não podem alterar permissões para volumes de protocolo duplo ao estilo UNIX.

      A tabela a seguir descreve os estilos de segurança e seus efeitos:

      Estilo de segurança Clientes que podem modificar permissões Permissões que os clientes podem usar Estilo de segurança eficaz resultante Clientes que podem acessar arquivos
      Unix NFS Bits de modo NFSv3 ou NFSv4.1 UNIX NFS e Windows
      Ntfs Windows NTFS ACLs NTFS NFS e Windows

    • A direção em que ocorre o mapeamento de nomes (Windows para UNIX, ou UNIX para Windows) depende do protocolo utilizado e do estilo de segurança aplicado a um volume. Um cliente Windows requer sempre um mapeamento de nomes Windows-para-UNIX. Se um usuário é aplicado para revisar permissões depende do estilo de segurança. Por outro lado, um cliente NFS só precisa de usar um mapeamento de nomes UNIX-para-Windows se o estilo de segurança NTFS estiver em uso.

      A tabela a seguir descreve os mapeamentos de nome e estilos de segurança:

      Protocolo Estilo de segurança Direção de mapeamento de nomes Permissões aplicadas
      SMB Unix Windows para UNIX UNIX (bits de modo ou ACLs NFSv4.x)
      SMB Ntfs Windows para UNIX ACLs NTFS (baseadas no SID do Windows para aceder à partilha)
      NFSv3 Unix Nenhuma UNIX (modo de bits ou ACLs NFSv4.x)

      As ACLs NFSv4.x podem ser aplicadas usando um cliente administrativo NFSv4.x e respeitadas por clientes NFSv3.
      NFS Ntfs UNIX para Windows ACLs de NTFS (baseadas no SID de utilizador mapeado do Windows)

  • O recurso LDAP com grupos estendidos suporta o protocolo duplo de [NFSv3 e SMB] e [NFSv4.1 e SMB] com o estilo de segurança Unix. Consulte Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter mais informações.

  • Caso tenha topologias grandes e use o estilo de segurança Unix com um volume de protocolo duplo ou LDAP com grupos estendidos, deve usar a opção LDAP Search Scope na página de Conexões do Active Directory para evitar erros de "acesso negado" nos clientes Linux para o Azure NetApp Files. Consulte Configurar o AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter mais informações.

  • Você não precisa de um certificado de autoridade de certificação raiz do servidor para criar um volume de protocolo duplo. Ele é necessário somente se o LDAP sobre TLS estiver habilitado.

  • Para entender os protocolos duplos do Azure NetApp Files e as considerações relacionadas, consulte a secção Dual Protocols em Entender os Protocolos NAS no Azure NetApp Files.

Criar um volume de protocolo duplo

  1. Selecione a folha Volumes na folha Pools de capacidade. Selecione + Adicionar volume para criar um volume.

    Navegue até Volumes

  2. Na janela Criar um Volume, selecione Criar e forneça informações para os seguintes campos na guia Noções básicas:

    • Nome do volume
      Especifique o nome do volume que está a criar.

      Consulte as regras e restrições de nomenclatura para recursos do Azure para convenções de nomenclatura nos volumes. Além disso, você não pode usar default ou bin como o nome do volume.

    • Pool de capacidade
      Especifique o pool de capacidade onde deseja que o volume seja criado.

    • Quota
      Especifique a quantidade de armazenamento lógico que está atribuída ao volume.

      O campo Quota disponível mostra a quantidade de espaço não utilizado no conjunto de capacidade escolhido que pode usar para criar um novo volume. O tamanho do novo volume não pode exceder a quota disponível.

    • Alto Volume

      As quotas de volumes normais variam entre 50 GiB e 100 TiB. As cotas de grande volume variam de 50 TiB a 1 PiB. Para criar um volume nesse intervalo de tamanhos, selecione Sim. As quotas de volume são introduzidas em GiB.

      Importante

      Antes de usar grandes volumes, você deve primeiro registrar o recurso e solicitar um aumento na cota de capacidade regional.

      Os volumes regulares não podem ser convertidos em grandes volumes. Grandes volumes não podem ser redimensionados para menos de 50 TiB. Para entender os requisitos e as considerações de grandes volumes, consulte Requisitos e considerações para grandes volumes. Para outros limites, consulte Limites de recursos.

      • Tipo de volume grande

        • Para criar um volume entre 50 TiB e 1 PiB, selecione Volume grande.
        • Se planeia habilitar o acesso cool e deseja aumentar para 7,2 PiB, selecione volume extragrande de 7,2 PiB. Certifique-se de atender aos requisitos para grandes volumes de até 7,2 PiB.

      • Modo inovador

        Se você estiver usando o modo inovador para aumentar a taxa de transferência e a cota, marque a caixa.

        Você deve primeiro estar registrado para usar o modo de descoberta. Para registro e outras considerações, consulte Modo inovador.

    • Taxa de transferência (MiB/S)
      Se o volume for criado em um pool de capacidade de QoS manual, especifique a taxa de transferência desejada para o volume.

      Se o volume for criado em um pool de capacidade de QoS automático, o valor exibido neste campo será (cota x taxa de transferência de nível de serviço).

    • Habilitar Acesso Frio, Período de Acesso Frio e Política de Recuperação de Acesso Frio
      Estes campos configuram armazenamento Azure NetApp Files com acesso frio. Para descrições, veja Gerir Azure NetApp Files armazenamento com acesso cool.

    • Rede virtual
      Especifique a rede virtual Azure (VNet) a partir da qual quer aceder ao volume.

      O VNet que especifica deve ter uma subrede delegada ao Azure NetApp Files. O Azure NetApp Files só pode ser acedido a partir do mesmo VNet ou de um VNet que esteja na mesma região do volume através do peering do VNet. Também pode aceder ao volume a partir da sua rede local através do ExpressRoute.

    • Sub-rede
      Especifique a sub-rede que você deseja usar para o volume.
      A sub-rede que especificar deve ser delegada ao Azure NetApp Files.

      Se você não delegou uma sub-rede, pode selecionar Criar novo na página Criar um volume. Depois, na página Criar Subrede, especifique a informação da sub-rede e selecione Microsoft. NetApp/volumes para delegar a sub-rede para Azure NetApp Files. Em cada VNet, apenas uma sub-rede pode ser delegada ao Azure NetApp Files.

      Criar sub-rede

    • Recursos de rede
      Em regiões com suporte, pode especificar se deseja utilizar funcionalidades de rede Básicas ou Padrão para o volume. Consulte Configure funcionalidades de rede para um volume e Diretrizes para planeamento de rede Azure NetApp Files para mais detalhes.

    • Zona de disponibilidade
      Essa opção permite implantar o novo volume na zona de disponibilidade lógica especificada. Selecione uma zona de disponibilidade onde estejam presentes os recursos do Azure NetApp Files. Para obter detalhes, consulte Gerir o posicionamento do volume na zona de disponibilidade.

    • Fonte da chave de encriptação
      Pode selecionar Microsoft Managed Key ou Customer Managed Key. Consulte Configure chaves geridas pelo cliente para a encriptação do volume Azure NetApp Files e Dupla encriptação em repouso do Azure NetApp Files para saber como utilizar este campo.

    • Proteção Avançada contra Ransomware
      Selecione Ativado para configurar alertas de deteção de ameaças de ransomware para os seus volumes. Para mais informações, consulte Configurar proteção avançada contra ransomware.

    • Se desejar aplicar uma política de instantâneo existente ao volume, selecione Mostrar seção avançada para expandi-la, especifique se deseja ocultar o caminho do instantâneo e selecione uma política de instantâneo no menu pendente.

      Para obter informações sobre como criar uma política de instantâneo, consulte Gerenciar políticas de instantâneo.

      Mostrar seleção avançada

  3. Selecione a guia Protocolo e conclua as seguintes ações:

    • Selecione Dual-protocol como o tipo de protocolo para o volume.

    • Especifique a ligação Active Directory a usar.

    • Especifique um Caminho de Volume exclusivo. Esse caminho é usado quando você cria destinos de montagem. Os requisitos para o caminho são os seguintes:

      • Para volumes que não estão em uma zona de disponibilidade ou volumes na mesma zona de disponibilidade, o caminho do volume deve ser exclusivo dentro de cada sub-rede na região.
      • Para os volumes nas zonas de disponibilidade, o caminho do volume deve ser único em cada zona de disponibilidade. Para obter mais informações, consulte Gerir o posicionamento de volumes em zonas de disponibilidade.
      • Deve começar com um caractere alfabético.
      • Pode conter apenas letras, números ou traços (-).
      • O comprimento não deve exceder 80 caracteres.

    • Especifique as versões a serem usadas para protocolo duplo: NFSv4.1 e SMB ou NFSv3 e SMB.

    • Especifique o estilo de segurança a ser usado: NTFS (padrão) ou UNIX.

    • Se desejar habilitar a criptografia de protocolo SMB3 para o volume de protocolo duplo, selecione Habilitar criptografia de protocolo SMB3.

      Esta funcionalidade permite a encriptação apenas para dados SMB3 em voo. Ele não criptografa dados NFSv3 durante o voo. Os clientes SMB que não utilizam encriptação SMB3 não conseguem aceder a este volume. Os dados em repouso são criptografados independentemente dessa configuração. Consulte Criptografia SMB para obter mais informações.

    • Se você selecionou NFSv4.1 e SMB para as versões de volume de protocolo duplo, indique se deseja habilitar a criptografia Kerberos para o volume.

      Configurações adicionais são necessárias para Kerberos. Siga as instruções em Configurar criptografia Kerberos NFSv4.1.

    • Se desejar habilitar a enumeração baseada em acesso, selecione Habilitar enumeração baseada em acesso.

      A enumeração baseada em acesso oculta diretórios e arquivos criados sob um compartilhamento de usuários que não têm permissões de acesso. Você ainda pode visualizar o compartilhamento. Você só pode habilitar a enumeração baseada em acesso se o volume de protocolo duplo usar o estilo de segurança NTFS.

    • Pode ativar a funcionalidade de partilha não navegável.

      Esta funcionalidade impede que o cliente Windows navegue pela partilha. A partilha não aparece no Windows File Browser nem na lista de partilhas quando executa o comando net view \\server /all.

    • Personalize Permissões Unix conforme necessário para definir permissões de modificação para o caminho de montagem. A configuração não se aplica aos arquivos sob o caminho de montagem. A predefinição é 0770. Essa configuração padrão concede permissões de leitura, gravação e execução ao proprietário e ao grupo, mas nenhuma permissão é concedida a outros usuários.
      Requisitos de registro e considerações aplicam-se para configurar as Permissões Unix. Siga as instruções em Configurar permissões Unix e alterar o modo de propriedade.

    • Opcionalmente, configure a política de exportação para o volume.

    Captura de ecrã que mostra o separador Protocolo para criar um volume de protocolo duplo.

  4. As definições de proteção de dados podem agora ser incluídas como parte do fluxo de trabalho de "criação de volume" (prévia). Para configurar as definições de proteção de backup, deve registar a funcionalidade e depois selecionar Proteção de Dados.

    Nota

    Por defeito, a opção Ativar backup agendado está ativada. Se não quiser ativar o backup agendado no volume, pode desativar a opção Habilitar backup agendado .

    Captura de ecrã que mostra o separador Proteção da criação de um volume.

    Nota

    Para ativar backups agendados, deve reconhecer essa opção; reconheço que ativar backups agendados pode acarretar custos adicionais conforme os preços dos backups.

    • Cofre de backup
      Especifique o cofre de backup para o volume ou crie um novo cofre de backup.

    • Política de backup
      Especifique a política de backup para o volume ou crie uma nova política de backup.

      Pode selecionar apenas uma política de backup ativada. Os períodos diários, semanais e mensais de retenção de cópias de segurança são apresentados com base na política de cópias de segurança selecionada.

    • Cópias de segurança diárias mantidas
      Especifica o número de backups que podem ser retidos diariamente.

    • Cópias de segurança semanais mantidas
      Especifica o número de backups que podem ser mantidos semanalmente.

    • Backups mensais mantidos
      Especifica o número de backups que podem ser mantidos mensalmente.

  5. Selecione Rever + Criar para rever os detalhes do volume. Em seguida, selecione Criar para criar o volume.

    O volume criado aparece na página Volumes.

    Um volume herda os atributos de subscrição, grupo de recursos e localização a partir do seu pool de capacidade. Para monitorizar o estado da implementação do volume, pode utilizar o separador Notificações.

Permitir que usuários locais de NFS com LDAP acessem um volume de protocolo duplo

A opção Permitir que utilizadores NFS locais com LDAP em ligações Active Directory permite que utilizadores locais de clientes NFS que não estejam presentes no servidor LDAP Windows acedam a um volume de protocolo duplo que tenha LDAP com grupos estendidos ativados.

Nota

Antes de ativar essa opção, você deve entender as considerações.
A opção Permitir que usuários NFS locais usem LDAP faz parte do recurso LDAP com grupos estendidos e requer registo. Consulte Configurar AD DS LDAP com grupos estendidos para acesso ao volume NFS para obter detalhes.

  1. Selecione as ligações do Active Directory. Numa ligação Active Directory existente, selecione o menu de contexto (os três pontos ) e depois Edit.

  2. Na janela Editar Active Directory definições que aparece, selecione a opção Permitir utilizadores locais NFS com LDAP.

    Captura de tela que mostra a opção Permitir usuários NFS locais com LDAP

Gerenciar atributos LDAP POSIX

Pode gerir atributos POSIX como UID, Home Directory e outros valores usando o snap-in Utilizadores e Computadores do Active Directory MMC. O exemplo seguinte mostra o Editor de Atributos do Active Directory:

Editor de Atributos do Active Directory

Você precisa definir os seguintes atributos para usuários LDAP e grupos LDAP:

  • Atributos necessários para usuários LDAP:
    uid: Alice,
    uidNumber: 139,
    gidNumber: 555,
    objectClass: user, posixAccount
  • Atributos necessários para grupos LDAP:
    objectClass: group, posixGroup,
    gidNumber: 555
  • Todos os utilizadores e grupos devem ter um uidNumber único e um gidNumber único, respectivamente.

Os valores especificados para objectClass são entradas separadas. Por exemplo, no Editor de Cadeia de Caracteres com Vários Valores, objectClass teria valores separados (user e posixAccount) especificados da seguinte forma para usuários LDAP:

Captura de tela do Editor de Cadeia de Caracteres de Vários Valores que mostra vários valores especificados para Classe de Objeto.

O Microsoft Entra Domain Services não permite modificar o atributo objectClass POSIX em utilizadores e grupos criados na organização AADDC Users OU. Como solução alternativa, você pode criar uma UO personalizada e criar usuários e grupos na UO personalizada.

Se estiver a sincronizar os utilizadores e grupos na sua Microsoft Entra tenancy com utilizadores e grupos na OU de Utilizadores AADDC, não pode mover utilizadores e grupos para uma OU personalizada. Os utilizadores e grupos criados na Unidade Organizacional (UO) personalizada não são sincronizados com o seu tenant do Active Directory (AD). Para mais informações, consulte o Microsoft Entra Domain Services Considerações e limitações de OUs Personalizadas.

Aceder ao Editor de Atributos do Active Directory

Num sistema Windows, pode aceder ao Editor de Atributos do Active Directory da seguinte forma:

  1. Selecione Start, navegue até Windows Ferramentas Administrativas. Depois seleciona Utilizadores e Computadores do Active Directory para abrir a janela Utilizadores e Computadores do Active Directory.
  2. Selecione o nome de domínio que pretende ver e, em seguida, expanda o conteúdo.
  3. Para mostrar o Editor de Atributos avançado, ative a opção Funcionalidades Avançadas no menu Computadores dos Utilizadores Visualizar.
    Captura de tela que mostra como acessar o menu Recursos Avançados do Editor de Atributos.
  4. Selecione Usuários no painel esquerdo para ver a lista de usuários.
  5. Selecione um utilizador específico para ver o seu separador Editor de Atributos.

Configurar o cliente NFS

Siga as instruções em Configure um cliente NFS para Azure NetApp Files para configurar o cliente NFS.

Próximos passos

  • Last updated on