UPDATED FlashBlade: ein Scale-Out NAS Storage mit SMB Funktionalität - eine Konfigurationsanleitung
Aktualisiert: 7. Mai 2021
Ein System mit dem die Performance linear zur Datenmenge wächst? FlashBlade ist die Lösung. Die elastische Scale-Out Architektur ermöglicht einen unglaublichen Datendurchsatz von bis zu 320 Gb/s (8x 40 Gb/s), das ganze "software defined", mit der Möglichkeit zur Bildung von virtuellen Netzen um verschiedensten Traffic zu isolieren.
FlashBlade ist kein reiner Objektspeicher. Neben S3 können auch ganz einfach NFS-Shares und SMB-Shares bereitgestellt werden. Die SMB-Funktionalität kann vollständig in die ActiveDirectory Infrastruktur integriert und die Zugriffsberechtigungen mit bestehenden AD-Benutzerkonten organisiert und verwaltet werden. Wie man dies einrichtet und verwaltet wird in diesem Blogbeitrag beschrieben.
ACHTUNG: die Kommunikation der FlashSysteme und dessen VIP (virtual ip address) und den Domain Controllern muss möglich sein - Netze beachten - ggf. routen. Ebenso muss die Kommunikation auf Port 389 oder ggf. 636 (LDAP, LDAPS), 445 (SMB), 111 (SUNRPC), 2049 (MSVCMON) möglich sein!
Dieser Blog und dessen Screenshots wurden auf einem Windows Server 2016 Deutsch und einer FlashBlade mit Purity 2.2.10 erstellt.
Schritt 1: Vorbereiten des ActiveDirectory's
Um den Verwaltungsaufwand bei Systemanpassungen gering zu halten und mögliche Probleme bereits auszuschließen, empfiehlt es sich vorab ein wenig Zeit zu investieren. Die Verwendung von multi-globalen Administrations-/Benutzerkonten wird nicht empfohlen!
LDAP-Funktionsbenutzer anlegen
Für die Benutzer der LDAP-Integration wird ein Domänen-Benutzer mit Leseberechtigung auf das ActiveDirectory benötigt.
Wir legen hierzu einen dedizierten LDAP Benutzer mit dem Benutzernamen "ldap.lookup FunctionUser" an. Standardmäßig ist jeder neue Benutzer automatisch Mitglied der Gruppe "Domänen-Benutzer" dies reicht auch aus. Sicherheitshalber den im Register "Konto" noch den Hacken bei "Benutzer kann Kennwort nicht ändern" und "Kennwort läuft nie ab".
Ich bin noch einen Schritt weiter gegangen und aus Gründen der Blog-Serie mich dazu entschlossen, noch eine eigene Organisationseinheit "FunctionUsers" anzulegen. Der LDAP Funktionsbenutzer ist Mitglied dieser Gruppe.
Die angelegten Benutzerdaten für die Zukunft notieren.
NOTE: der nachfolgende Schritt 2 kann übersprungen werden, wenn das FlashSystem bereits mit den richtigen DNS-Einstellungen konfiguriert wurde. Auf Funktionalität prüfen!
Schritt 2: Einrichtung DNS-Einstellungen
Damit die Einrichtung der Domänen-Integration funktioniert, ist es Voraussetzung, dass die DNS-Einstellung richtig sind.
Im Purity hierzu nach Settings > Network wechseln - Einstellungen ggf. anpassen.
ACHTUNG: Auswirkungen bei Systemanpassungen im Produktivbetrieb berücksichtigen! Ggf. Pure Storage Support kontaktieren!
(da das Testsystem nicht Eigentum von PUREFLASH.blog ist und vertrauliche Daten enthält, musste der obige Screenshot verpixelt werden.)
Schritt 3: LDAP-Integration konfigurieren
Im Purity hierzu Settings > Users wechseln > Registerkarte: SMB - "Configuration" wählen.
"Service Name" - ist ein unveränderbares/vordefiniertes Feld.
"Enabled" Schieberegler - über diesen Regler kann einfach die LDAP-Verbindung pausiert-getrennt werden. Damit verbundene Funktionen stehen danach selbstverständlich - zumindest temporär - nicht mehr zur Verfügung!
TIPP: bei Unsicherheiten der nächsten Eingaben kann zur Hilfe der ADSI-Editor hinzugezogen werden. Dieser ist auf jedem Domain Controller oder bei installierten Windows RSAT-Tools zu finden. Auch der 3rd-party "ADExplorer" von Sysinternals ist eine gute Alternative.
"URIs" - zur Verbindung wird der LDAP-Pfad benötigt. Dieser kann insofern nicht bekannt über den ADSI-Editor herausgefunden werden. ADSI-Editor öffnen > "Verbindung herstellen ..." auswählen > Pfad kopieren.
In unserem Beispiel "ldap://pfblog-dc01.pureflash.blog".
"Base DN" - die "Base DN" stellt die Organisationseinheit dar, in welcher unsere NTFS-AD-Gruppen und Benutzer liegen.
In unserem Beispiel "OU=BlogUsers,DC=PUREFLASH,DC=blog".
"Bind User" - Der "Bind User" ist der eingerichtete "ldap.lookup FunctionUser", welcher die AD-Lookup's durchführt.
In unserem Beispiel "CN=ldap.lookup FunctionUser,OU=FunctionUsers,DC=PUREFLASH,DC=blog".
"Bind Password" - Passwort eingeben, wie in unserem Beispiel vorab vergeben.
Mit dem Klicken auf die Schaltfläche "Save" wird automatisch ein ActiveDirectory-Computerobjekt angelegt. Dieses ist default im "Common Name" Computer (=CN) zu finden.
Schritt 4: File System erstellen
Jetzt geht es ans Eingemachte: wir brauchen selbstverständlich ein SMB-File System. Theoretisch könnte man ein File System auch mit mehreren Protokollen (SMB, NFS, S3 ...) gleichzeitig anlegen. Ich rate hiervon jedoch aus diversen Gründen ab. Dedizierte File Systeme nach Protokollen haben auch keinen negativen Einfluss auf schlechtere Datenreduktionswerte bei Deduplizierung und Komprimierung.
Daher entsteht hier auch kein direkter Nachteil der gegen diese Konfigurationsweise spricht.
Im Purity hierzu auf Storage > File Systems > "+" klicken.
INFO: zur Einrichtung eines File Systems muss der angemeldete Benutzer mindestens Mitglied in der "storage_admin"-Rolle sein.
"Name" - der File System Name wird der Share-Name.
In unserem Beispiel nenne ich diesen "PUREFLASHblog-CIFS".
"Provisioned Size" - die bereitgestellte Freigabe wird im Standard als "thin" provisioniert und belegt nur den tatsächlich verwendeten Speicher. Mit Erreichung der 90% Kapazitätsgrenze wird automatisch ein Alert im Purity generiert.
Lässt man dieses Feld ohne Wert oder trägt eine 0 ein, wird die bereitgestellte Größe unendlich sein, bis der tatsächliche Speicher verbraucht ist.
"Hard Limit" - diese Einstellung kann nur bei definierten Kapazitätswerten aktiviert werden. Wenn das System erkennt, dass das Dateisystem seine bereitgestellte Größe überschritten hat, werden alle zukünftigen Schreibvorgänge gestoppt, bis die Nutzung unter die bereitgestellte Größe sinkt. Dies geschieht innerhalb von Minuten nach Erreichen der bereitgestellten Größe. Beachten Sie, dass die bereitgestellte Größe während dieser Erkennungszeit überschritten werden kann, wenn eine harte Grenze aktiviert ist.
"Snapshot" - default aktiv. Wenn man dieses File System nicht snapshoten können soll, dann muss man dies hier deaktivieren.
"Fast Remove" - Die Funktion zum schnellen Entfernen ermöglicht es Ihnen, große Verzeichnisse schnell zu entfernen, indem Sie diese Arbeit auf den Server übertragen. Wenn die Schnell-Entfernungsfunktion aktiviert ist, wird ein spezielles Pseudoverzeichnis namens .fast-remove im Stammverzeichnis des NFS-Mount erstellt.
Protocols - "SMB" - das Ziel Dateisystem soll ein SMB-Share werden.
"SMB Adapter Enabled" - Aktivierung des SMB Adapters.
"Access Control" - Shared: Der gemeinsame ACL-Modus ist als Standard eingestellt und teilt UNIX-ähnliche ACL-Berechtigungen mit dem NFS-Protokoll. Im gemeinsamen Modus müssen beide Protokoll-ACL-Berechtigungen übereinstimmen. Wenn ein Protokoll Dateien erstellt oder Berechtigungen ändert, müssen diese mit den Berechtigungseinstellungen des anderen Protokolls übereinstimmen. Wenn ein Administrator beispielsweise versucht, die SMB ACL-Berechtigungen einer Datei zum Lesen und Schreiben zu ändern, fordert der Versuch eine Aktion zum Ausführen einer Übereinstimmung mit den NFS ACL-Berechtigungen der Datei an. Wenn die NFS ACL-Berechtigungen für diese Datei nur zum Lesen erlaubt sind, schlägt der Versuch fehl.
Native: Der native ACL-Modus unterstützt UNIX-ähnliche ACLs und Windows-ACLs. Im nativen Modus, da SMB nativ beide ACLs unterstützt, während NFS nur UNIX-ACLs unterstützt, ist die Freigabe von ACLs zwischen SMB und NFS eingeschränkt. Siehe die Liste der Einschränkungen für die gemeinsame Nutzung von ACLs im nativen Modus:
Berechtigungen, die in SMB erstellt oder geändert wurden, werden nicht auf NFS-Berechtigungen angewendet. Wenn beispielsweise die Zugriffsberechtigungen von Benutzer X für Datei Y mit SMB entfernt werden, hat Benutzer X weiterhin Zugriff auf Datei Y über NFS.
In NFS geänderte Berechtigungen haben keinen Einfluss auf die von SMBs verwendeten ACLs.
NFS-Berechtigungen gelten nicht für Verzeichnisse und Dateien, die von SMB erstellt wurden, oder für Berechtigungen, die von SMB festgelegt wurden.
Wenn ein SMB-Verzeichnis oder eine Datei nicht mit einer ACL versehen ist, wird eine ACL aus den NFS-Berechtigungen auf sie angewendet.
Wenn auf ein NFS-Verzeichnis oder eine Datei keine ACL angewendet wird, werden SMB-ACLs nicht auf dieses NFS-Verzeichnis bzw. diese Datei angewendet.
UNIX- und Windows-ACLs gewähren standardmäßig volle Berechtigungen.
Damit ist die Erstellung des File Systems und des Shares auch schon abgeschlossen.
INFO: Der Name des File Systems darf nur alphanumerische, Unterstriche und Bindestriche mit max. 63 Zeichen enthalten.
Schritt 5: Share aufrufen
Der Share wird direkt nach der Erstellung des File Systems erstellt.
Über den UNC-Pfad kann man den alle Shares anzeigen lassen. Diese Shares sind immer über die \\data-interface IP\ erreichbar.
In unserem Beispiel ist die data-interface IP 10.100.112.123. Der Share ist direkt über "\\10.100.112.123\PUREFLASHblog-CIFS" zugreifbar.
ACHTUNG: Zum Zugriff auf die Shares muss immer die jeweilige IP-Adresse des definierten data-Interfaces verwendet werden!
Schritt 6: Freigabeberechtigungen bearbeiten
UPDATED (06/03/2020) - EINE EINSCHRÄNKUNG DES HAUPTSHARES IM SMB-TREE WIRD NICHT MEHR SUPPORTED. DIE FREIGABEBERECHTIGUNGEN MÜSSEN INNERHALB DER UNTERORDNER DES SHARES GESETZT WERDEN.
Um nun die Freigabeberechtigungen zu bearbeiten verbindet man sich mit der Computerverwaltung (CMD > compmgmt.msc) und verbindet sich auf die data-interface IP-Adresse. Im Idealfall wurde hier auch ein DNS-Eintrag erstellt.
Über System > Freigegebene Ordner > Freigaben kann der jeweilige Share bearbeitet werden.
Nach Erstellung des SMB-Shares hat die jeweilige Freigabe für jeden Vollzugriffsrechte. Dies ist nicht optimal und sollte an Ihr zuvor überlegtes Berechtigungskonzept angepasst werden.
INFO: zur Bearbeitung der Freigabeeinstellungen muss der AD-Benutzer mindestens Mitglied in der "storage_admin"-Rolle sein.
Troubleshooting
Sollte es wider erwarten zu Problemen kommen, kann man über Settings > Users > SMB wechseln - Schaltfläche "Test"(oben rechts) klicken, die SMB-Einstellungen prüfen lassen.
(da das Testsystem nicht Eigentum von PUREFLASH.blog ist und vertrauliche Daten enthält, musste der obige Screenshot verpixelt werden.)
Weitere Infos - Links
Sämtliche offiziell veröffentlichten Einstellungsmöglichkeiten in der GUI, aber auch CLI können über die "on-board" User Guides der Pure Storage Systeme nachgelesen werden.
Im Purity Hauptmenü hierzu auf "Help" klicken.
Der User Guide ist wie das Hauptmenü gegliedert und kann von Ebene zu Ebene geöffnet werden. Eine Suchfunktion ist auch integriert - hier kann mit Schlagworten gesucht werden.
WEB: Pure Storage (Pure1) Supportportal - Ticketsystem und Unterstützung *(erfordert registrierte FlashSysteme)
TEL: Pure Storage Telefonsupport: GER - (+49) (0)800 7239467; INTERNATIONAL - (+1) 650 7294088
WEB: Pure Storage OFFICIAL Blog