지원되는 파일 시스템 프로토콜 정보

Filestore는 다음 파일 시스템 프로토콜을 지원합니다.

NFSv3

• 모든 서비스 등급에서 사용할 수 있습니다.
• 클라이언트와 서버 간의 양방향 통신을 지원합니다.
  • 여러 포트를 사용합니다.
  • 네트워크 트래픽 및 작업을 위한 신뢰 채널을 만듭니다.
• 표준 POSIX 액세스를 위한 빠른 설정을 제공합니다.

NFSv4.1

• 영역, 리전, 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
• 최신 방화벽 구성과 호환되며 네트워크 보안 규정 준수 요구사항을 지원합니다.
  • 통신은 항상 클라이언트에서 시작되며 항상 단일 서버 포트 2049를 통해 제공됩니다.
  • 클라이언트 및 서버 인증을 지원합니다.
    • Microsoft Active Directory용 관리형 서비스에서 모두 사용할 수 있는 LDAP 및 Kerberos를 사용하여 구현되는 RPCSEC_GSS 인증이 필요합니다.
    • 인증 (krb5), 메시지 무결성 검사 (krb5i), 전송 중 데이터 암호화 (krb5p)를 위해 LDAP 및 Kerberos를 지원합니다.
    • 클라이언트와 서버에 NFSv4.1 파일 ACL 지원을 제공합니다.

각 프로토콜은 특정 사용 사례에 가장 적합합니다. 다음 표에서는 각 프로토콜의 사양을 비교합니다.

사양	NFSv3	NFSv4.1
지원되는 서비스 등급	모든 서비스 등급	영역, 리전, 기업
양방향 통신	예	아니요. 통신은 항상 서버 포트 2049를 사용하는 클라이언트에서 시작합니다.
인증	아니요	예. LDAP 및 Kerberos를 사용하여 구현된 RPCSEC_GSS 인증이 필요하며, 이 두 가지는 모두 Microsoft Active Directory용 관리형 서비스에서 사용할 수 있습니다.
파일 또는 디렉터리 액세스 제어 목록 (ACL) 지원	아니요	예. 목록당 최대 50개의 액세스 제어 항목 (ACE)을 지원합니다.
그룹스 지원	그룹 최대 16개	관리형 Microsoft AD에 연결된 경우 무제한 그룹을 지원합니다.
보안 설정	sys. 신뢰 채널을 만듭니다.	sys. 신뢰 채널을 만듭니다. krb5 클라이언트와 서버를 인증합니다. krb5i. 인증 및 메시지 무결성 검사를 제공합니다.krb5p. 인증, 메시지 무결성 검사, 전송 중 데이터 암호화를 제공합니다.
작업 지연 시간	없음	선택한 보안 수준에 따라 작업 지연 시간이 증가합니다.
복구 유형	스테이트리스(Stateless)	스테이트풀(Stateful)
파일 잠금 유형	네트워크 잠금 관리자 (NLM) 잠금은 클라이언트가 제어합니다.	임대 기반 어드바이저리 잠금 잠금은 서버에서 제어합니다.
클라이언트 실패 지원	아니요	예
비공개 서비스 액세스 지원	예	예

NFSv3의 이점

NFSv3 프로토콜은 표준 POSIX 액세스를 위한 빠른 설정을 제공합니다.

NFSv3 제한사항

다음은 NFSv3 제한사항 목록입니다.

• 클라이언트 및 서버 인증 및 암호화가 없습니다.
• 클라이언트 오류 처리가 없습니다.

NFSv4.1의 이점

NFSv4.1 프로토콜은 LDAP 및 Kerberos를 사용하여 구현된 RPCSEC_GSS 인증 메서드를 사용하여 클라이언트 및 서버 인증, 메시지 무결성 검사, 전송 중인 데이터 암호화를 제공합니다.

이러한 보안 기능을 통해 NFSv4.1 프로토콜은 최신 네트워크 보안 규정 준수 요구사항과 호환됩니다.

• 모든 통신에 단일 서버 포트 2049를 사용하여 방화벽 구성을 간소화합니다.

• NFSv4.1 파일 액세스 제어 목록 (ACL)을 지원합니다.

  • 각 ACL은 파일 또는 디렉터리당 최대 50개의 액세스 제어 항목 (ACE)을 지원합니다. 여기에는 상속 레코드도 포함됩니다.

• 관리형 Microsoft AD 통합을 사용할 때 무제한 그룹 지원

• 임대 기반 어드바이저리 잠금으로 더 나은 클라이언트 오류 처리를 지원합니다.

  • 클라이언트는 서버와의 지속적인 연결을 확인해야 합니다. 클라이언트가 임대를 갱신하지 않으면 서버는 잠금을 해제하고 잠금 임대를 통해 액세스를 요청하는 다른 클라이언트가 파일을 사용할 수 있게 됩니다. NFSv3에서 잠금 상태일 때 클라이언트가 삭제되면 새 GKE 노드와 같은 다른 클라이언트에서 파일에 액세스할 수 없습니다.

• 스테이트풀 복구를 지원합니다.

  • NFSv3와 달리 NFSv4.1은 TCP 및 연결 기반 상태 프로토콜입니다. 이전 세션의 클라이언트와 서버 상태는 복구 후 재개할 수 있습니다.

Microsoft Active Directory용 관리형 서비스

Microsoft Active Directory용 관리형 서비스 (관리형 Microsoft AD)는 엄격한 요구사항은 아니지만, Filestore NFSv4.1 프로토콜의 요구사항인 LDAP와 Kerberos를 모두 지원하는 유일한 Google Cloud관리 솔루션입니다.

관리자는 Microsoft Active Directory용 관리형 서비스 (관리형 Microsoft AD)를 사용하여 LDAP 및 Kerberos를 구현하고 관리하는 것이 좋습니다.

관리형 Microsoft AD는 Google Cloud관리 솔루션으로서 다음과 같은 이점을 제공합니다.

• 동일한 도메인에서 최대 5개 리전을 지원하는 멀티 리전 배포를 제공합니다.

  • 사용자와 각 로그인 서버가 더 가까워지도록 하여 지연 시간을 줄입니다.

• NFSv4.1 구현 요구사항인 POSIX RFC 2307 및 RFC 2307bis를 지원합니다.

• 고유 식별자 (UID) 및 전역 고유 식별자 (GUID) 사용자 매핑을 자동화합니다.

• 관리형 Microsoft AD에서 사용자와 그룹을 만들거나 관리형 Microsoft AD로 이전할 수 있습니다.

• 관리자는 현재 온프레미스, 자체 관리, Active Directory (AD) 및 LDAP 도메인으로 도메인 트러스트를 만들 수 있습니다. 이 옵션을 사용하면 이전할 필요가 없습니다.

• SLA를 제공합니다.

액세스 제어 및 추가 동작

• Filestore NFSv4.1 ACE는 다음 명령어를 사용하여 Linux에서 관리됩니다.

  • nfs4_setfacl: 파일 또는 디렉터리에서 ACE를 만들거나 수정합니다.
  • nfs4_getfacl: 파일 또는 디렉터리의 ACE를 나열합니다.

• 각 ACL은 최대 50개의 ACE를 지원합니다. 6개의 항목은 클라이언트 chmod 작업에서 생성된 자동 생성된 ACE용으로 예약되어 있습니다. 이러한 ACE는 생성 후 수정할 수 있습니다.

  모드 비트를 나타내는 자동 생성된 ACE 레코드는 다음과 같은 우선순위 순서로 나열됩니다.

  • OWNER@의 DENY and ALLOW ACEs
  • GROUP@의 DENY and ALLOW ACEs

  • EVERYONE@의 DENY and ALLOW ACEs

    이러한 ACE가 이미 있는 경우 새롭게 적용된 모드 비트에 따라 재사용 및 수정됩니다.

• Filestore NFSv4.1은 POSIX 모드 RWX (읽기, 쓰기, 실행)에서만 필요한 액세스 권한 확인을 지원합니다. 콘텐츠 또는 SETATTR 사양을 수정하는 write append 작업과 write 작업을 구분하지 않습니다. nfs4_setfacl 유틸리티는 RWX를 바로가기로 허용하고 적절한 모든 플래그를 자동으로 사용 설정합니다.

• nfs4_getfacl는 자체적으로 주 구성원을 번역하지 않습니다. nfs4_getfacl 유틸리티는 사용자의 숫자 UID 및 GUID를 표시합니다. 따라서 OWNER@, GROUP@, EVERYONE@의 특수 프린시펄이 표시됩니다.

• 관리형 Microsoft AD를 사용하는지와 관계없이 AUTH-SYS 및 nfs4_setfacl 유틸리티를 사용할 때 관리자는 사용자 이름이 아닌 숫자 UID 및 GUID를 지정해야 합니다. 이 유틸리티는 이름을 이러한 값으로 변환할 수 없습니다. 올바르게 제공되지 않으면 Filestore 인스턴스는 기본적으로 nobody ID로 설정됩니다.

• 파일 또는 상속된 ACE의 영향을 받는 파일의 쓰기 권한을 지정할 때 ACE에는 w (쓰기) 및 a (추가) 플래그가 모두 포함되어야 합니다.

• SETATTR의 권한을 확인할 때 반환되는 응답은 다음과 같이 POSIX와 유사합니다.

  • 수퍼유저 또는 ROOT 사용자는 무엇이든 할 수 있습니다.
  • 파일 소유자만 모드 비트, ACL, 타임스탬프를 특정 시간 및 그룹(예: 속해 있는 GUID 중 하나)으로 설정할 수 있습니다.
  • 파일 소유자가 아닌 사용자는 ACL을 비롯한 속성을 볼 수 있습니다.

• 단일 ACE는 유효 권한과 상속 전용 권한을 모두 포함합니다. 다른 NFSv4.1 구현과 달리 Filestore는 유효 ACE와 상속 전용 ACE를 구분하기 위해 상속된 ACE를 자동으로 복제하지 않습니다.

NFSv4.1 제한사항

다음은 NFSv4.1 제한사항 목록입니다.

• NFSv4.1 프로토콜은 다음 기능과 함께 사용할 수 없습니다.

  • Filestore GKE CSI 드라이버
  • GKE용 Filestore 다중 공유

• NFSv4.1 프로토콜은 AUDIT and ALARM ACEs를 지원하지 않습니다. Filestore는 데이터 액세스 감사를 지원하지 않습니다.

• 구성한 후에는 관리형 Microsoft AD 및 네트워크 피어링을 삭제하지 마세요. 이렇게 하면 클라이언트에 마운트되어 있는 동안 Filestore 공유에 액세스할 수 없으므로 데이터에 액세스할 수 없습니다. Google Cloud 는 관리자 또는 사용자 작업으로 인한 서비스 중단에 대해 책임을 지지 않습니다.

• 인증된 Kerberos 보안 설정을 사용하면 사용자에게 약간의 작업 지연이 발생할 수 있습니다. 지연 시간 비율은 지정된 서비스 등급 및 보안 설정에 따라 다릅니다. 보안 수준이 높아질수록 지연 시간이 증가합니다.

• 데이터 액세스 감사는 지원되지 않습니다.

• Filestore NFSv4.1 솔루션에는 RPCSEC_GSS 인증이 필요합니다. 이 인증 방법은 관리형 Microsoft AD에서 모두 사용할 수 있는 LDAP 및 Kerberos를 사용하여만 구현됩니다. 다른 인증 메커니즘은 지원되지 않습니다.

• Filestore 인스턴스가 공유 VPC를 통해 관리형 Microsoft AD에 가입하려면 gcloud 또는 Filestore API를 사용해야 합니다.Google Cloud 콘솔을 사용하여 인스턴스를 관리형 Microsoft AD에 조인할 수 없습니다.

• 관리 Microsoft AD 도메인 이름은 56자(영문 기준) 이하여야 합니다.

• 엔터프라이즈 인스턴스를 만들려면 Filestore API를 통해 직접 작업을 실행해야 합니다. 자세한 내용은 서비스 등급을 참고하세요.

• 백업을 복원할 때 새 인스턴스는 소스 인스턴스와 동일한 프로토콜을 사용해야 합니다.

다음 단계

• NFSv4.1 프로토콜 구성