Filestore は、次のファイル システム プロトコルをサポートしています。
NFSv3
- すべてのサービス階層で利用可能
- クライアントとサーバー間の双方向通信をサポートします。
- 複数のポートを使用します。
- ネットワーク トラフィックとオペレーション用の信頼チャネルを作成します。
- 標準の POSIX アクセスをすばやく設定できます。
NFSv4.1(プレビュー)
- エンタープライズとゾーンのサービスティアで利用できます。
- 最新のファイアウォール構成と互換性があり、ネットワーク セキュリティ コンプライアンス要件をサポートしています。
- 通信は常にクライアントによって開始され、常に単一のサーバーポート
2049を介して提供されます。 - クライアントとサーバーの認証をサポートします。
- LDAP と Kerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。
- 認証(
krb5)、メッセージ完全性チェック(krb5i)、転送中のデータ暗号化(krb5p)に対して LDAP と Kerberos をサポートします。 - クライアントとサーバーに NFSv4.1 ファイルの ACL サポートを提供します。
- 通信は常にクライアントによって開始され、常に単一のサーバーポート
各プロトコルは特定のユースケースに最適です。次の表は、各プロトコルの仕様を比較したものです。
| 仕様 | NFSv3 | NFSv4.1 |
|---|---|---|
| サポートされているサービス階層 | すべてのサービス階層 | エンタープライズとゾーン |
| 双方向通信 | ○ | いいえ。通信は常に、クライアントによってサーバーポート 2049 を使用して開始されます。 |
| 認証 | × | はい。LDAP と Kerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。 |
| ファイルまたはディレクトリのアクセス制御リスト(ACL)をサポートする | × | はい。リストごとに最大 50 個のアクセス制御エントリ(ACE)をサポートします。 |
| グループのサポート | 最大 16 グループ | Managed Microsoft AD に接続すると、無制限のグループをサポート。 |
| セキュリティの設定 | sys。信頼チャネルを作成します。 |
sys。信頼チャネルを作成します。krb5。クライアントとサーバーを認証します。krb5i。認証とメッセージ完全性チェックを行います。krb5p。認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。 |
| オペレーションのレイテンシ | なし | オペレーションのレイテンシは、選択したセキュリティ レベルによって増加します。 |
| 復元の種類 | ステートレス アプリケーション | ステートフル アプリケーション |
| ファイルのロック形式 | ネットワーク ロック マネージャー(NLM)。ロックはクライアントが制御します。 | リースベースのアドバイザリ ロック。ロックはサーバーによって制御されます。 |
| クライアントの障害をサポートする | × | ○ |
| プライベート サービス接続(PSC)をサポートする | × | × |
NFSv3 の便益
NFSv3 プロトコルでは、標準の POSIX アクセスをすばやく設定できます。
NFSv3 の制限事項
NFSv3 の制限事項のリストを次に示します。
- Private Service Connection(PSC)のサポートがない。
- クライアントとサーバーの認証と暗号化がない。
- クライアントの障害処理がない。
NFSv4.1 の便益
NFSv4.1 プロトコルでは、RPCSEC_GSS 認証方式を使用します。これは、LDAP と Kerberos を使用して実装され、クライアントとサーバーの認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。
これらのセキュリティ機能によって、NFSv4.1 プロトコルは最新のネットワーク セキュリティ コンプライアンス要件との互換性があります。
すべての通信に単一のサーバーポート
2049を使用するため、ファイアウォール構成を簡素化できます。Managed Microsoft AD 統合を使用する場合の無制限グループ サポート。
リースベースのアドバイザリ ロックによって、クライアントの障害処理を改善します。
- クライアントは、サーバーとの継続的な接続を確認する必要があります。クライアントがリースを更新しない場合、サーバーはロックを解放し、ロックのリースを通じてアクセスをリクエストしている他のクライアントがファイルを利用できるようになります。NFSv3 では、ロック中にクライアントを削除すると、新しい GKE ノードなどの別のクライアントによってファイルがアクセスできなくなります。
ステートフル リカバリをサポートします。
- NFSv3 とは異なり、NFSv4.1 は、TCP ベースと接続ベースのステートフル プロトコルです。前のセッションのクライアントとサーバーの状態は、復元後に再開できます。
Managed Service for Microsoft Active Directory
Managed Service for Microsoft Active Directory(Managed Microsoft AD)は厳格な要件ではありませんが、LDAP と Kerberos (両方が Filestore NFSv4.1 プロトコルの要件)の両方をサポートする唯一の Google Cloud マネージド ソリューションです。
管理者は、LDAP と Kerberos を実装して管理するために、Managed Service for Microsoft Active Directory(Managed Microsoft AD)を使用することを強くおすすめします。
Google Cloud マネージド ソリューションとして、Managed Microsoft AD には次の便益を提供します。
マルチリージョン デプロイを提供し、同じドメインで最大 5 つのリージョンをサポートします。
- ユーザーとそれぞれのログイン サーバーをより近接させることで、レイテンシを短縮します。
NFSv4.1 実装の要件の POSIX RFC 2307 と RFC 2307bis をサポートします。
一意識別子(UID)とグローバル一意識別子(GUID)のユーザー マッピングを自動化します。
ユーザーとグループは、Managed Microsoft AD で作成または移行できます。
管理者は、現在のオンプレミスの、セルフマネージド Active Directory(AD)と LDAP ドメインで、ドメインの信頼を作成できます。このオプションでは、移行は不要です。
SLA を提供します。
NFSv4.1 の制限事項
NFSv4.1 の制限事項のリストを次に示します。
NFSv4.1 プロトコルは、次の機能と組み合わせることはできません。
構成したら、Managed Microsoft AD とネットワーク ピアリングを削除しないでください。そうすると、クライアントにマウントされているときに Filestore 共有にアクセスできなくなり、データにアクセス不能になります。Google Cloud は、管理者またはユーザーの操作によって引き起こされた停止に対して責任を負いません。
認証済みの Kerberos セキュリティ設定のいずれかを使用すると、操作のレイテンシが想定されます。レイテンシ率は、指定したサービス階層とセキュリティ設定によって異なります。セキュリティ レベルが上がるたびにレイテンシが増加します。
データアクセスの監査はサポートされていません。
Filestore NFSv4.1 ソリューションには、RPCSEC_GSS 認証が必要です。この認証方式は、LDAP と Kerberos(両方が Managed Microsoft AD で利用可能)を使用してのみ実装されます。その他の認証メカニズムはサポートされていません。
Private Service Connection(PSC)のサポートがない。
Filestore インスタンスを共有 VPC を通じて Managed Microsoft AD に参加させる場合は、
gcloudまたは Filestore API を使用する必要があります。Google Cloud コンソールを使用して、インスタンスを Managed Microsoft AD に参加させることはできません。Managed Microsoft AD ドメイン名は 56 文字以下にする必要があります。