Azure NetApp Files에서 NFS를 사용하여 보조/추가 그룹 이해
NFS에는 단일 NFS 요청에서 적용할 수 있는 보조 GID(보조 그룹)의 최대 수에 대한 특정 제한 사항이 있습니다. AUTH_SYS/AUTH_UNIX의 최댓값은 16입니다. AUTH_GSS(Kerberos)의 경우 최댓값은 32입니다. 이는 NFS의 알려진 프로토콜 제한 사항입니다.
Azure NetApp Files는 최대 보조 그룹 수를 1,024개로 늘릴 수 있는 기능을 제공합니다. 이 작업은 LDAP와 같은 이름 서비스에서 요청하는 사용자 그룹을 미리 가져와서 NFS 패킷에서 그룹 목록이 잘리는 것을 방지함으로써 수행됩니다.
작동 방식
그룹 제한을 확장하는 옵션은 다른 NFS 서버의 -manage-gids 옵션과 동일한 방식으로 작동합니다. 이 옵션은 사용자가 속한 보조 GID의 전체 목록을 덤프하는 대신 파일 또는 폴더에서 GID를 조회하고 대신 해당 값을 반환합니다.
mountd에 대한 명령 참조 메모:
-g or --manage-gids
Accept requests from the kernel to map user id numbers into lists of group id numbers for use in access control. An NFS request will normally except when using Kerberos or other cryptographic authentication) contains a user-id and a list of group-ids. Due to a limitation in the NFS protocol, at most 16 groups ids can be listed. If you use the -g flag, then the list of group ids received from the client will be replaced by a list of group ids determined by an appropriate lookup on the server.
액세스 요청이 이루어지면 패킷의 RPC 부분에 16개의 GID만 전달됩니다.
16개의 제한을 초과하는 모든 GID는 프로토콜에 의해 삭제됩니다. Azure NetApp Files의 확장된 GID는 LDAP와 같은 외부 이름 서비스에서만 사용할 수 있습니다.
잠재적인 성능 영향
확장 그룹은 일반적으로 낮은 한 자릿수 백분율로 성능 저하를 최소화합니다. 메타데이터 NFS 워크로드가 높을수록 특히 시스템’캐시에 더 많은 영향을 미칠 수 있습니다. 성능은 이름 서비스 서버의 속도 및 워크로드에 의해서도 영향을 받을 수 있습니다. 오버로드된 이름 서비스 서버의 응답 속도가 느려져 GID를 미리 가져오는 데 지연이 발생합니다. 최상의 결과를 얻으려면 여러 이름 서비스 서버를 사용하여 많은 수의 요청을 처리합니다.
"LDAP를 사용하여 로컬 사용자 허용" 옵션
사용자가 NFS를 통해 Azure NetApp Files 볼륨에 액세스하려고 하면 요청이 숫자 ID로 제공됩니다. 기본적으로 Azure NetApp Files는 NFS 사용자에 대한 확장된 그룹 멤버 자격을 지원합니다(표준 16개 그룹 제한을 1,024개로 확장). 결과적으로 Azure NetApp 파일은 RPC 패킷에 그룹 멤버 자격을 전달하는 대신 사용자의 그룹 멤버 자격을 확인하기 위해 LDAP에서 숫자 ID를 조회하려고 시도합니다.
이러한 동작으로 인해 LDAP에서 해당 숫자 ID를 사용자에게 확인할 수 없는 경우 요청하는 사용자에게 볼륨 또는 데이터 구조에 액세스할 수 있는 권한이 있더라도 조회가 실패하고 액세스가 거부됩니다.
Active Directory 연결에서 LDAP를 사용하여 로컬 NFS 사용자 허용 옵션은 확장된 그룹 기능을 사용하지 않도록 설정하여 NFS 요청에 대해 이러한 LDAP 조회를 사용하지 않도록 설정하기 위한 것입니다. Azure NetApp Files 내에서 “로컬 사용자 만들기/관리”를 제공하지 않습니다.
Azure NetApp 파일의 다양한 볼륨 보안 스타일에서 동작하는 방법을 포함하여 옵션에 대한 자세한 내용은 Azure NetApp Files에서 LDAP 사용 이해를 참조하세요.