Filestore est compatible avec les protocoles de système de fichiers suivants:
NFSv3
- Disponible pour tous les niveaux de service.
- Prise en charge de la communication bidirectionnelle entre le client et le serveur.
- Utilise plusieurs ports.
- Crée un canal de confiance pour le trafic et les opérations réseau.
- Propose une configuration rapide pour un accès POSIX standard.
NFSv4.1 (preview)
- Disponible avec les niveaux de service zonaux, régionaux et d'entreprise.
- Il est compatible avec les configurations de pare-feu modernes et répond aux exigences de conformité en matière de sécurité réseau.
- La communication est toujours initiée par le client et toujours diffusée via un seul port de serveur,
2049. - Compatible avec l'authentification client et serveur
- Nécessite l'authentification RPCSEC_GSS, qui est implémentée à l'aide de LDAP et de Kerberos, tous deux disponibles dans le service géré pour Microsoft Active Directory.
- Accepte LDAP et Kerberos pour l'authentification (
krb5), les contrôles d'intégrité des messages (krb5i) et le chiffrement des données en transit (krb5p). - Prend en charge les listes de contrôle d'accès aux fichiers NFSv4.1 pour le client et le serveur.
- La communication est toujours initiée par le client et toujours diffusée via un seul port de serveur,
Chaque protocole est le mieux adapté à des cas d'utilisation spécifiques. Le tableau suivant compare les spécifications de chaque protocole:
| Spécification | NFSv3 | NFSv4.1 |
|---|---|---|
| Niveaux de service compatibles | Tous les niveaux de service | Zones, régionales et d'entreprise |
| Communication bidirectionnelle | Oui | Non. La communication est toujours initiée par le client à l'aide du port 2049 du serveur. |
| Authentification | Non | Oui. Nécessite une authentification RPCSEC_GSS, implémentée à l'aide de LDAP et de Kerberos, toutes deux disponibles dans le service géré pour Microsoft Active Directory. |
| Compatible avec les listes de contrôle d'accès (LCA) aux fichiers ou aux répertoires | Non | Oui. Jusqu'à 50 entrées de contrôle d'accès par liste. |
| Compatibilité avec Groupes | Jusqu'à 16 groupes | Les groupes sont illimités lorsqu'ils sont connectés au service Microsoft AD géré. |
| Paramètre de sécurité | sys : crée un canal de confiance. |
sys : crée un canal de confiance. krb5. Authentifie le client et le serveur. krb5i. Effectue une authentification et des contrôles d'intégrité des messages.krb5p Assure l'authentification, les contrôles d'intégrité des messages et le chiffrement des données en transit. |
| Latence des opérations | Aucune | La latence des opérations augmente avec le niveau de sécurité sélectionné. |
| Type de récupération | Sans état | Avec état |
| Type de verrouillage de fichier | Network Lock Manager (NLM). Le verrouillage est contrôlé par le client. | Verrouillage de conseils basés sur la location. Le verrouillage est contrôlé par le serveur. |
| Prise en charge des échecs des clients | Non | Oui |
| Il est compatible avec la connexion aux services privés (PSC). | Non | Non |
Avantages de NFSv3
Le protocole NFSv3 permet de configurer rapidement l'accès POSIX standard.
Limites de NFSv3
Voici une liste des limites de NFSv3:
- La connexion aux services privés (PSC, Private Services Connection) n'est pas prise en charge.
- L'authentification et le chiffrement des clients et du serveur sont insuffisants.
- Manque de gestion des échecs du client.
Avantages de NFSv4.1
Le protocole NFSv4.1 utilise la méthode d'authentification RPCSEC_GSS, mise en œuvre à l'aide de LDAP et de Kerberos pour fournir une authentification client et serveur, des contrôles d'intégrité des messages et un chiffrement des données en transit.
Ces fonctionnalités de sécurité rendent le protocole NFSv4.1 compatible avec les exigences de conformité de la sécurité réseau moderne:
Utilise un seul port de serveur,
2049, pour toutes les communications, ce qui permet de simplifier les configurations de pare-feu.Compatibilité des groupes illimité avec l'intégration du service Microsoft AD géré.
Permet une meilleure gestion des échecs des clients grâce à un verrouillage d'avis basé sur le bail.
- Le client doit vérifier que la connexion au serveur est maintenue. Si le client ne renouvelle pas le bail, le serveur libère le verrou et le fichier devient disponible pour tout autre client qui demande l'accès via un bail de verrouillage. Dans NFSv3, si un client est supprimé alors qu'il est verrouillé, un autre client, tel qu'un nouveau nœud GKE, ne peut pas accéder au fichier.
Prise en charge de la récupération avec état.
- Contrairement à NFSv3, NFSv4.1 est un protocole avec état basé sur le TCP et la connexion. L'état du client et du serveur dans la session précédente peut être réactivé après la récupération.
Service géré pour Microsoft Active Directory
Bien que le service géré pour Microsoft Active Directory (service Microsoft AD géré) n'est pas une exigence stricte, il s'agit de la seule solution gérée par Google Cloud pour prendre en charge LDAP et Kerberos, deux exigences requises pour le protocole Filestore NFSv4.1.
Nous recommandons vivement aux administrateurs d'utiliser le service géré pour Microsoft Active Directory (service Microsoft AD géré) pour implémenter et gérer LDAP et Kerberos.
En tant que solution gérée par Google Cloud, le service Microsoft AD géré offre les avantages suivants:
Offre un déploiement multirégional, acceptant jusqu'à cinq régions sur le même domaine.
- Réduit la latence en s'assurant que les utilisateurs et leurs serveurs de connexion respectifs se trouvent à proximité immédiate.
Compatibilité avec POSIX RFC 2307 et RFC 2307bis, exigences pour la mise en œuvre de NFSv4.1.
Automatise le mappage des utilisateurs à l'aide de l'identifiant unique (UID) et de l'identifiant unique global (GUID).
Les utilisateurs et les groupes peuvent être créés ou migrés vers le service Microsoft AD géré.
Les administrateurs peuvent créer une approbation de domaine avec le domaine Active Directory (AD) et LDAP actuel, autogéré et sur site. Avec cette option, la migration n'est pas nécessaire.
Fournit un contrat de niveau de service.
Limites de NFSv4.1
Voici une liste des limites de NFSv4.1:
Le protocole NFSv4.1 ne peut pas être associé aux fonctionnalités suivantes:
Une fois la configuration terminée, ne supprimez pas le service Microsoft AD géré et l'appairage de réseaux. Cela rend le partage Filestore inaccessible lorsqu'il est installé sur un client, rendant vos données inaccessibles. Google Cloud n'est pas responsable des pannes causées par des actions de l'administrateur ou de l'utilisateur.
Lorsqu'ils utilisent l'un des paramètres de sécurité Kerberos authentifiés, les utilisateurs peuvent s'attendre à une certaine latence liée aux opérations. Les taux de latence varient en fonction du niveau de service et du paramètre de sécurité spécifiés. La latence augmente à mesure que le niveau de sécurité augmente.
L'audit des accès aux données n'est pas disponible.
La solution NFSv4.1 Filestore nécessite une authentification RPCSEC_GSS. Cette méthode d'authentification n'est mise en œuvre qu'à l'aide de LDAP et de Kerberos, tous deux disponibles dans le service Microsoft AD géré. Les autres mécanismes d'authentification ne sont pas compatibles.
La connexion aux services privés (PSC, Private Services Connection) n'est pas prise en charge.
Si vous souhaitez qu'une instance Filestore puisse joindre le service Microsoft AD géré via un VPC partagé, vous devez utiliser
gcloudou l'API Filestore. Vous ne pouvez pas joindre l'instance au service Microsoft AD géré à l'aide de la console Google Cloud.Le nom de domaine Microsoft AD géré ne doit pas dépasser 56 caractères.
Pour créer une instance d'entreprise, vous devez exécuter les opérations directement via l'API Filestore. Pour en savoir plus, consultez la section Niveaux de service.