O Filestore é compatível com os seguintes protocolos do sistema de arquivos:
NFSv3
- Disponível em todos os níveis de serviço.
- dá suporte à comunicação bidirecional entre o cliente e o servidor.
- Usa várias portas.
- Cria um canal de confiança para operações e tráfego de rede.
- Oferece configuração rápida de acesso no formato POSIX.
NFSv4.1 (visualização)
- Disponível nos níveis de serviço empresarial e zonal.
- Compatível com as configurações modernas de firewall e com suporte aos requisitos de
conformidade de segurança de rede.
- A comunicação é sempre iniciada pelo cliente e sempre disponibilizada por uma única porta do servidor,
2049
. - dá suporte à autenticação de cliente e servidor.
- Requer autenticação RPCSEC_GSS, que é implementada usando LDAP e Kerberos, ambos disponíveis no Serviço gerenciado para Microsoft Active Directory.
- Oferece suporte a LDAP e Kerberos para autenticação (
krb5
), verificações de integridade de mensagens (krb5i
) e criptografia de dados em trânsito (krb5p
). - Oferece suporte à ACL do arquivo NFSv4.1 para o cliente e o servidor.
- A comunicação é sempre iniciada pelo cliente e sempre disponibilizada por uma única porta do servidor,
Cada protocolo é mais adequado para casos de uso específicos. A tabela a seguir compara as especificações de cada protocolo:
Especificação | NFSv3 | NFSv4.1 |
---|---|---|
Níveis de serviço compatíveis | Todos os níveis de serviço | Empresarial e zonal |
Comunicação bidirecional | Sim | Não. A comunicação é sempre iniciada pelo cliente usando a porta 2049 do servidor. |
Autenticação | Não | Sim. Exige autenticação RPCSEC_GSS, implementada com LDAP e Kerberos, ambos disponíveis no Serviço gerenciado para Microsoft Active Directory. |
Compatível com listas de controle de acesso (ACLs) a arquivos ou diretórios | Não | Sim. Compatível com até 50 entradas de controle de acesso (ACEs, na sigla em inglês) por lista. |
Suporte a grupos | Até 16 grupos | Suporte a grupos ilimitados quando conectado ao Microsoft AD gerenciado. |
Configuração de segurança | sys . Cria um canal de confiança. |
sys . Cria um canal de confiança. krb5 . Autentica o cliente e o servidor. krb5i . Faz verificações de autenticação e integridade de mensagens.krb5p . Fornece autenticação, verificações de integridade de mensagens e criptografia de dados em trânsito. |
Latência de operações | Nenhuma | A latência das operações aumenta com o nível de segurança selecionado. |
Tipo de recuperação | Sem estado | Com estado |
Tipo de bloqueio de arquivo | Gerenciador de bloqueio de rede (NLM, na sigla em inglês). O bloqueio é controlado pelo cliente. | Bloqueio por consultoria com base em locação. O bloqueio é controlado pelo servidor. |
Oferece suporte a falhas do cliente | Não | Sim |
Compatível com a Conexão de serviços privados (PSC, na sigla em inglês). | Não | Não |
Benefícios do NFSv3
O protocolo NFSv3 oferece configuração rápida para acesso POSIX padrão.
Limitações do NFSv3
Esta é uma lista de limitações do NFSv3:
- Não oferece suporte à Conexão de serviços privados (PSC, na sigla em inglês).
- Falta autenticação e criptografia de cliente e servidor.
- Não há gerenciamento de falhas do cliente.
Benefícios do NFSv4.1
O protocolo NFSv4.1 usa o método RPCSEC_GSS Authentication, que é implementado com LDAP e Kerberos para fornecer autenticação de cliente e servidor, verificações de integridade de mensagens e criptografia de dados em trânsito.
Esses recursos de segurança tornam o protocolo NFSv4.1 compatível com os requisitos modernos de conformidade de segurança de rede:
Usa uma única porta do servidor,
2049
, para toda a comunicação, ajudando a simplificar as configurações de firewall.Suporte a grupos ilimitados ao usar a integração do Microsoft AD gerenciado.
Dá suporte a melhor tratamento de falhas do cliente com bloqueio de consultoria baseado em locação.
- O cliente deve verificar a conexão contínua com o servidor. Se o cliente não renovar a concessão, o servidor liberará o bloqueio e o arquivo ficará disponível para qualquer outro cliente que solicite acesso por meio de uma concessão de bloqueio. No NFSv3, se um cliente for excluído enquanto o dispositivo estiver bloqueado, o arquivo não poderá ser acessado por outro cliente, como um novo nó do GKE.
Suporte à recuperação com estado.
- Ao contrário do NFSv3, o NFSv4.1 é um protocolo com estado baseado em TCP e em conexão. O estado do cliente e do servidor na sessão anterior pode ser retomado após a recuperação.
Serviço gerenciado para Microsoft Active Directory
Embora o Serviço gerenciado para Microsoft Active Directory (Managed Microsoft AD) não seja um requisito rigoroso, ele é a única solução gerenciada do Google Cloud compatível com LDAP e Kerberos, ambos requisitos para o protocolo NFSv4.1 do Filestore.
Recomendamos que os administradores usem o Serviço gerenciado para Microsoft Active Directory (Microsoft AD gerenciado) para implementar e gerenciar o LDAP e o Kerberos.
Como solução gerenciada pelo Google Cloud, o Microsoft AD gerenciado oferece os seguintes benefícios:
Oferece implantação multirregional, com suporte para até cinco regiões no mesmo domínio.
- Reduz a latência, garantindo que os usuários e os respectivos servidores de login estejam mais próximos.
Compatível com POSIX RFC 2307 e RFC 2307bis, requisitos para implementação de NFSv4.1.
Automatiza o mapeamento de usuários com identificadores exclusivos (UID, na sigla em inglês) e identificadores globais exclusivos (GUID, na sigla em inglês).
É possível criar usuários e grupos no Microsoft AD gerenciado ou migrá-los para ele.
Os administradores podem criar uma confiança de domínio com o domínio atual local, autogerenciado, Active Directory (AD) e LDAP. Com essa opção, a migração não é necessária.
Fornece um SLA.
Limitações do NFSv4.1
Esta é uma lista de limitações do NFSv4.1:
O protocolo NFSv4.1 não pode ser combinado com os seguintes recursos:
Após a configuração, não exclua o Microsoft AD gerenciado e o peering de rede. Isso faz com que o compartilhamento do Filestore fique inacessível durante a montagem em um cliente, e os dados ficam inacessíveis. O Google Cloud não é responsável por interrupções causadas por ações do administrador ou do usuário.
Ao usar qualquer uma das configurações de segurança autenticadas do Kerberos, os usuários podem esperar alguma latência das operações. As taxas de latência variam de acordo com o nível de serviço e a configuração de segurança especificados. A latência aumenta com cada aumento no nível de segurança.
A auditoria de acesso a dados não é compatível.
A solução NFSv4.1 do Filestore requer a autenticação RPCSEC_GSS. Esse método de autenticação só é implementado usando LDAP e Kerberos, ambos disponíveis no Microsoft AD gerenciado. Não há suporte para outros mecanismos de autenticação.
Não oferece suporte à Conexão de serviços privados (PSC, na sigla em inglês).
Se você quiser que uma instância do Filestore participe do Microsoft AD gerenciado usando uma VPC compartilhada, use
gcloud
ou a API do Filestore. Não é possível mesclar a instância ao Microsoft AD gerenciado usando o Console do Google Cloud.O nome de domínio do Microsoft AD gerenciado não pode exceder 56 caracteres.