Sobre os protocolos do sistema de arquivos compatíveis

O Filestore oferece suporte aos seguintes protocolos de sistema de arquivos:

NFSv3

  • Disponível em todos os níveis de serviço.
  • Oferece suporte à comunicação bidirecional entre o cliente e o servidor.
    • Usa várias portas.
    • Cria um canal de confiança para o tráfego e as operações de rede.
  • Oferece uma configuração rápida para o acesso POSIX padrão.

NFSv4.1

  • Disponível nos níveis de serviço zonal, regional e empresarial.
  • Compatível com configurações modernas de firewall e atende aos requisitos de compliance de segurança de rede.
    • A comunicação é sempre iniciada pelo cliente e sempre é enviada por uma única porta do servidor, 2049.
    • Suporte para autenticação de cliente e servidor.

Cada protocolo é mais adequado para casos de uso específicos. A tabela a seguir compara as especificações de cada protocolo:

Especificação NFSv3 NFSv4.1
Níveis de serviço compatíveis Todos os níveis de serviço Zonal, regional e empresarial
Comunicação bidirecional Sim Não. A comunicação é sempre iniciada pelo cliente usando a porta do servidor 2049.
Autenticação Não Sim. Requer a autenticação RPCSEC_GSS, implementada usando LDAP e Kerberos, ambos disponíveis no Serviço gerenciado para o Microsoft Active Directory.
Oferece suporte a listas de controle de acesso (ACLs) de arquivos ou diretórios Não Sim. Suporta até 50 entradas de controle de acesso (ACEs) por lista.
Suporte a grupos Até 16 grupos Suporte a grupos ilimitados quando conectado ao Microsoft AD gerenciado.
Configuração de segurança sys. Cria um canal de confiança. sys. Cria um canal de confiança. krb5. Autentica o cliente e o servidor. krb5i. Fornece autenticação e verificações de integridade da mensagem.krb5p. Oferece autenticação, verificações de integridade de mensagens e criptografia de dados em trânsito.
Latência de operações Nenhum A latência das operações aumenta com o nível de segurança selecionado.
Tipo de recuperação Sem estado Com estado
Tipo de bloqueio de arquivo Gerenciador de bloqueio de rede (NLM, na sigla em inglês). A fechadura é controlada pelo cliente. Bloqueio de aviso com base em contrato de locação. A fechadura é controlada pelo servidor.
Suporte a falhas do cliente Não Sim
Suporte ao acesso a serviços privados Não Não

Benefícios do NFSv3

O protocolo NFSv3 oferece uma configuração rápida para acesso POSIX padrão.

Limitações do NFSv3

Confira a seguir uma lista de limitações do NFSv3:

  • Não oferece suporte ao acesso a serviços particulares.
  • Não tem autenticação e criptografia do cliente e do servidor.
  • Não há processamento de falhas do cliente.

Benefícios do NFSv4.1

O protocolo NFSv4.1 usa o método Autenticação RPCSEC_GSS, que é implementado usando LDAP e Kerberos para fornecer autenticação de cliente e servidor, verificações de integridade de mensagens e criptografia de dados em trânsito.

Esses recursos de segurança tornam o protocolo NFSv4.1 compatível com os requisitos modernos de conformidade com a segurança de rede:

  • Usa uma única porta do servidor, 2049, para todas as comunicações, ajudando a simplificar as configurações do firewall.

  • Suporte a listas de controle de acesso (ACLs) de arquivos NFSv4.1.

    • Cada ACL oferece suporte a até 50 entradas de controle de acesso (ACEs) por arquivo ou diretório. Isso inclui registros de herança.

  • Suporte a grupos ilimitados ao usar a integração com o Microsoft AD gerenciado.

  • Suporte a uma melhor manipulação de falhas do cliente com bloqueio de aviso baseado em cessão.

    • O cliente precisa verificar a conexão contínua com o servidor. Se o cliente não renovar o contrato de cessão, o servidor vai liberar a trava e o arquivo vai ficar disponível para qualquer outro cliente que solicitar acesso por meio de um contrato de cessão. No NFSv3, se um cliente for excluído enquanto estiver bloqueado, o arquivo não poderá ser acessado por outro cliente, como um novo nó do GKE.

  • Oferece suporte à recuperação com estado.

    • Ao contrário do NFSv3, o NFSv4.1 é um protocolo stateful baseado em TCP e em conexões. O estado do cliente e do servidor na sessão anterior pode ser retomado após a recuperação.

Serviço gerenciado para Microsoft Active Directory

Embora o Serviço gerenciado para Microsoft Active Directory (Managed Microsoft AD) não seja um requisito estrito, é a única solução gerenciada pelo Google Cloud que oferece suporte a LDAP e Kerberos, que são requisitos para o protocolo NFSv4.1 do Filestore.

Recomendamos que os administradores usem o Serviço gerenciado para Microsoft Active Directory (Microsoft AD gerenciado) para implementar e gerenciar o LDAP e o Kerberos.

Como solução gerenciada pelo Google Cloud, o Managed Microsoft AD oferece os seguintes benefícios:

  • Oferece implantação multirregional, com suporte para até cinco regiões no mesmo domínio.

    • Reduz a latência, garantindo que os usuários e os respectivos servidores de login estejam mais próximos.

  • Suporte a POSIX RFC 2307 e RFC 2307bis, requisitos para a implementação do NFSv4.1.

  • Automatiza o mapeamento de usuário de identificador exclusivo (UID) e identificador exclusivo global (GUID, na sigla em inglês).

  • É possível criar ou migrar usuários e grupos para o Microsoft AD gerenciado.

  • Os administradores podem criar uma confiança de domínio com o domínio local, autogerenciado, do Active Directory (AD) e do LDAP. Com essa opção, a migração não é necessária.

  • Oferece um SLA.

Controle de acesso e outros comportamentos

  • Os ACEs do Filestore NFSv4.1 são gerenciados no Linux usando os seguintes comandos:

    • nfs4_setfacl: cria ou edita ACEs em um arquivo ou diretório.
    • nfs4_getfacl: lista os ACEs em um arquivo ou diretório.

  • Cada ACL aceita até 50 ACEs. Seis entradas são reservadas para ACEs gerados automaticamente criados por operações chmod do cliente. Esses ACEs podem ser modificados após a criação.

    Os registros ACE gerados automaticamente que representam os bits de modo são listados na seguinte ordem de prioridade:

    • DENY and ALLOW ACEs para o OWNER@
    • DENY and ALLOW ACEs para o GROUP@

    • DENY and ALLOW ACEs para EVERYONE@

      Se esses ACEs já estiverem presentes, eles serão reutilizados e modificados de acordo com os novos bits de modo aplicados.

  • O Filestore NFSv4.1 oferece suporte à verificação do acesso necessário apenas no modo POSIX RWX (leitura, gravação e execução). Ele não diferencia entre operações write append e write que modificam o conteúdo ou a especificação SETATTR. O utilitário nfs4_setfacl também aceita RWX como um atalho e ativa automaticamente todas as flags adequadas.

  • O nfs4_getfacl não faz nenhuma tradução do principal por conta própria. O utilitário nfs4_getfacl mostra o UID numérico e o GUID para os principais. Como resultado, os principais especiais de OWNER@, GROUP@ e EVERYONE@ serão mostrados.

  • Independentemente de usar o Microsoft AD gerenciado, ao trabalhar com AUTH-SYS e o utilitário nfs4_setfacl, os administradores precisam especificar o UID numérico e GUID, não os nomes de usuário. Esse utilitário não consegue converter nomes em valores. Se não for fornecido corretamente, a instância do Filestore vai usar o ID nobody por padrão.

  • Ao especificar permissões de gravação para um arquivo ou até mesmo arquivos afetados por um ACE herdado, o ACE precisa incluir as flags w (gravação) e a (apêndice).

  • Ao verificar as permissões de SETATTR, a resposta retornada é semelhante a POSIX da seguinte maneira:

    • O superusuário ou usuário ROOT pode fazer qualquer coisa.
    • Somente o proprietário do arquivo pode definir os bits de modo, as ACLs e os carimbos de data/hora para um horário e grupo específicos, como um dos GUIDs a que ele pertence.
    • Os usuários que não são proprietários do arquivo podem conferir os atributos, incluindo a ACL.

  • Uma única ACE abrange as permissões eficazes e somente de herança. Ao contrário de outras implementações do NFSv4.1, o Filestore não vai replicar automaticamente os ACES herdados para distinguir entre ACEs eficazes e somente de herança.

Limitações do NFSv4.1

Confira a seguir uma lista de limitações do NFSv4.1:

  • O protocolo NFSv4.1 não pode ser combinado com os seguintes recursos:

  • O protocolo NFSv4.1 não oferece suporte a AUDIT and ALARM ACEs. O Filestore não oferece suporte à auditoria de acesso a dados.

  • Depois de configurado, não exclua o Microsoft AD gerenciado e o peering de rede. Isso faz com que o compartilhamento do Filestore fique inacessível enquanto estiver montado em um cliente, tornando seus dados inacessíveis. O Google Cloud não é responsável por interrupções causadas por ações de administradores ou usuários.

  • Ao usar qualquer uma das configurações de segurança autenticadas do Kerberos, os usuários podem esperar alguma latência nas operações. As taxas de latência variam de acordo com o nível de serviço e a configuração de segurança especificada. A latência aumenta com cada nível de segurança maior.

  • A auditoria de acesso a dados não é compatível.

  • A solução Filestore NFSv4.1 requer a autenticação RPCSEC_GSS. Esse método de autenticação só é implementado usando LDAP e Kerberos, ambos disponíveis no Microsoft AD gerenciado. Outros mecanismos de autenticação não são compatíveis.

  • Não oferece suporte ao acesso a serviços particulares.

  • Se você quiser que uma instância do Filestore participe do Managed Microsoft AD por uma VPC compartilhada, use gcloud ou a API do Filestore. Não é possível associar a instância ao Microsoft AD gerenciado usando o console do Google Cloud.

  • O nome de domínio do Microsoft AD gerenciado não pode ter mais de 56 caracteres.

  • Para criar uma instância empresarial, é necessário executar operações diretamente pela API Filestore. Para mais informações, consulte Níveis de serviço.

  • Ao restaurar um backup, a nova instância precisa usar o mesmo protocolo da instância de origem.

A seguir