Sobre os protocolos do sistema de arquivos compatíveis

O Filestore oferece suporte aos seguintes protocolos do sistema de arquivos:

NFSv3

  • Disponível em todos os níveis de serviço.
  • Oferece suporte à comunicação bidirecional entre o cliente e o servidor.
    • Usa várias portas.
    • Cria um canal de confiança para o tráfego e as operações de rede.
  • Oferece configuração rápida para acesso no formato POSIX padrão.

NFSv4.1

  • Disponível nos níveis de serviço zonal, regional e empresarial.
  • Compatível com configurações de firewall modernas e atende aos requisitos de compliance de segurança de rede.
    • A comunicação é sempre iniciada pelo cliente e sempre é enviada por uma única porta do servidor, 2049.
    • Dá suporte à autenticação de cliente e servidor.

Cada protocolo é mais adequado para casos de uso específicos. A tabela a seguir compara as especificações de cada protocolo:

Especificação NFSv3 NFSv4.1
Níveis de serviço compatíveis Todos os níveis de serviço Zonal, regional e empresarial
Comunicação bidirecional Sim Não. A comunicação sempre é iniciada pelo cliente usando a porta 2049 do servidor.
Autenticação Não Sim. Requer a autenticação RPCSEC_GSS, implementada usando LDAP e Kerberos, ambos disponíveis no Serviço gerenciado para o Microsoft Active Directory.
Suporte a listas de controle de acesso (ACLs) de arquivos ou diretórios Não Sim. Suporta até 50 entradas de controle de acesso (ACEs) por lista.
Suporte a grupos Até 16 grupos Suporte a grupos ilimitados quando conectado ao Microsoft AD gerenciado.
Configuração de segurança sys: cria um canal de confiança. sys: cria um canal de confiança. krb5. Autentica o cliente e o servidor. krb5i. Fornece verificações de integridade de mensagens e autenticação.krb5p. Fornece autenticação, verificações de integridade de mensagens e criptografia de dados em trânsito.
Latência de operações Nenhum A latência das operações aumenta com o nível de segurança selecionado.
Tipo de recuperação Sem estado Com estado
Tipo de bloqueio de arquivo Gerenciador de bloqueio de rede (NLM, na sigla em inglês). O bloqueio é controlado pelo cliente. Travamento de aviso com base em contrato de locação. A fechadura é controlada pelo servidor.
Suporte a falhas do cliente Não Sim
Suporte ao acesso a serviços privados Não Não

Benefícios do NFSv3

O protocolo NFSv3 oferece uma configuração rápida para acesso POSIX padrão.

Limitações do NFSv3

Veja a seguir uma lista das limitações do NFSv3:

  • Não oferece suporte ao acesso a serviços privados.
  • Não tem autenticação nem criptografia de cliente e servidor.
  • Não há tratamento de falhas do cliente.

Benefícios do NFSv4.1

O protocolo NFSv4.1 usa o método Autenticação RPCSEC_GSS, que é implementado usando LDAP e Kerberos para fornecer autenticação de cliente e servidor, verificações de integridade de mensagens e criptografia de dados em trânsito.

Esses recursos de segurança tornam o protocolo NFSv4.1 compatível com os requisitos modernos de conformidade com a segurança de rede:

  • Usa uma única porta de servidor, 2049, para toda a comunicação, ajudando a simplificar a comunicação. de firewall hierárquicas.

  • Oferece suporte a listas de controle de acesso (ACLs) de arquivos NFSv4.1.

    • Cada ACL oferece suporte a até 50 entradas de controle de acesso (ACEs) por arquivo ou diretório. Isso inclui registros de herança.

  • Suporte a grupos ilimitados ao usar a integração com o Microsoft AD gerenciado.

  • Oferece suporte a um melhor tratamento das falhas do cliente com o bloqueio de consultoria baseado em locação.

    • O cliente precisa verificar a conexão contínua com o servidor. Se o cliente não renovar o lease, o servidor liberará o bloqueio, e o arquivo será para qualquer outro cliente que solicitar acesso por meio de uma concessão de bloqueio. No NFSv3, se um cliente for excluído enquanto estiver bloqueado, o arquivo não poderá ser acessado por outro cliente, como um novo nó do GKE.

  • Oferece suporte à recuperação com estado.

    • Ao contrário do NFSv3, o NFSv4.1 é um protocolo stateful baseado em TCP e em conexões. O estado do cliente e do servidor na sessão anterior pode ser retomado após a recuperação.

Serviço gerenciado para Microsoft Active Directory

Embora o Serviço gerenciado para Microsoft Active Directory (Managed Microsoft AD) não seja um requisito estrito, é a única solução gerenciada pelo Google Cloud que oferece suporte a LDAP e Kerberos, que são requisitos para o protocolo NFSv4.1 do Filestore.

Recomendamos que os administradores usem o Serviço gerenciado para Microsoft Active Directory (Microsoft AD gerenciado) para implementar e gerenciar o LDAP e o Kerberos.

Como uma solução gerenciada pelo Google Cloud, o Microsoft AD gerenciado oferece a os seguintes benefícios:

  • Oferece implantação multirregional, com suporte para até cinco regiões no mesmo domínio.

    • Reduz a latência garantindo que os usuários e seus respectivos servidores de login estejam nos mais próximas.

  • Dá suporte ao POSIX RFC 2307 e RFC 2307bis, requisitos para a implementação do NFSv4.1.

  • Automatiza o identificador exclusivo (UID) e o identificador globalmente exclusivo (GUID) do usuário mapeamento.

  • É possível criar ou migrar usuários e grupos para o Microsoft AD gerenciado.

  • Os administradores podem criar uma confiança de domínio com o domínio local, autogerenciado e do Active Directory (AD) e LDAP. Com essa opção, a migração não é necessária.

  • Fornece um SLA.

Controle de acesso e outros comportamentos

  • Os ACEs do Filestore NFSv4.1 são gerenciados no Linux usando os seguintes comandos:

    • nfs4_setfacl: cria ou edita ACEs em um arquivo ou diretório.
    • nfs4_getfacl: lista os ACEs em um arquivo ou diretório.

  • Cada ACL suporta até 50 ACEs. Seis entradas estão reservadas para itens gerados automaticamente ACEs criadas pelas operações do cliente chmod. Esses ACEs podem ser modificados após a criação.

    Os registros ACE gerados automaticamente que representam os bits de modo são listados na seguinte ordem de prioridade:

    • DENY and ALLOW ACEs para o OWNER@
    • DENY and ALLOW ACEs para o GROUP@

    • DENY and ALLOW ACEs para EVERYONE@

      Se esses ACEs já estiverem presentes, eles serão reutilizados e modificados de acordo com os novos bits de modo aplicados.

  • O Filestore NFSv4.1 oferece suporte à verificação do acesso necessário apenas em Modo POSIX RWX (leitura, gravação e execução). Ele não fará distinção entre Operações write append e write que modificam o conteúdo ou SETATTR especificação. O utilitário nfs4_setfacl também aceita RWX como um atalho e ativa automaticamente todas as flags adequadas.

  • O nfs4_getfacl não faz nenhuma tradução do principal por conta própria. O O utilitário nfs4_getfacl vai mostrar os valores numéricos UID e GUID da principais. Como resultado, os principais especiais de OWNER@, GROUP@ e EVERYONE@ será exibido.

  • Independentemente de usar o Microsoft AD gerenciado, ao trabalhar com AUTH-SYS e o utilitário nfs4_setfacl, os administradores precisam especificar o UID numérico e GUID, não os nomes de usuário. O utilitário não é capaz de traduzem nomes para esses valores. Se não for fornecido corretamente, a instância do Filestore vai usar o ID nobody por padrão.

  • Ao especificar permissões de gravação para um arquivo ou até mesmo arquivos afetados por um ACE herdado, o ACE precisa incluir as flags w (gravação) e a (apêndice).

  • Ao verificar as permissões para SETATTR, a resposta retornada é semelhante a POSIX da seguinte maneira:

    • O superusuário ou usuário ROOT pode fazer qualquer coisa.
    • Somente o proprietário do arquivo pode definir os bits de modo, ACLs e carimbos de data/hora para um horário e grupo específicos, como uma das GUIDs a que ele pertence.
    • Os usuários que não são proprietários do arquivo podem conferir os atributos, incluindo a ACL.

  • Uma única ACE abrange permissões efetivas e somente herdadas. Ao contrário de outras implementações do NFSv4.1, o Filestore não vai replicar automaticamente os ACES herdados para distinguir entre ACEs eficazes e somente de herança.

Limitações do NFSv4.1

Veja a seguir uma lista das limitações do NFSv4.1:

  • O protocolo NFSv4.1 não pode ser combinado com os seguintes recursos:

  • O protocolo NFSv4.1 não oferece suporte a AUDIT and ALARM ACEs. Filestore; não oferece suporte à auditoria de acesso aos dados.

  • Depois de configurado, não exclua o Microsoft AD gerenciado e o peering de rede. Isso faz com que o compartilhamento do Filestore fique inacessível enquanto estiver montado em um cliente, tornando seus dados inacessíveis. O Google Cloud não é responsáveis por interrupções do serviço causadas por ações do administrador ou do usuário.

  • Ao usar qualquer uma das configurações de segurança autenticadas do Kerberos, os usuários poderão espera alguma latência de operações. As taxas de latência variam de acordo com o nível de serviço e configuração de segurança especificada. A latência aumenta a cada aumento da segurança nível

  • A auditoria de acesso a dados não é compatível.

  • A solução NFSv4.1 do Filestore requer a autenticação RPCSEC_GSS. Esse método de autenticação só é implementado usando LDAP e Kerberos, ambos disponíveis no Microsoft AD gerenciado. Outros mecanismos de autenticação não são compatíveis.

  • Não oferece suporte ao acesso a serviços privados.

  • Se você quiser que uma instância do Filestore participe do Microsoft AD gerenciado por uma VPC compartilhada, use gcloud ou o Filestore API. Não é possível associar a instância ao Microsoft AD gerenciado usando o console do Google Cloud.

  • O nome de domínio do Microsoft AD gerenciado não pode exceder 56 caracteres.

  • Para criar uma instância empresarial, é necessário executar operações diretamente pela API Filestore. Para mais informações, consulte Níveis de serviço.

  • Ao restaurar um backup, a nova instância precisa usar o mesmo protocolo da instância de origem.

A seguir