Filestore unterstützt die folgenden Dateisystemprotokolle:
NFSv3
- In allen Dienststufen verfügbar.
- Unterstützt die bidirektionale Kommunikation zwischen Client und Server
- Verwendet mehrere Ports.
- Erstellt einen Vertrauenskanal für Netzwerktraffic und -vorgänge.
- Schnelle Einrichtung für den Standard-POSIX-Zugriff
NFSv4.1 (Vorschau)
- Verfügbar in Unternehmens- und zonalen Dienststufen.
- Ist mit modernen Firewallkonfigurationen kompatibel und unterstützt Compliance-Anforderungen an die Netzwerksicherheit.
- Die Kommunikation wird immer vom Client initiiert und immer über einen einzigen Serverport
2049bereitgestellt. - Unterstützt Client- und Serverauthentifizierung.
- Erfordert eine RPCSEC_GSS-Authentifizierung, die mithilfe von LDAP und Kerberos implementiert wird. Beide stehen in Managed Service for Microsoft Active Directory zur Verfügung.
- Unterstützt LDAP und Kerberos für die Authentifizierung (
krb5), für Nachrichtenintegritätsprüfungen (krb5i) und für die Datenverschlüsselung während der Übertragung (krb5p). - Bietet Unterstützung für NFSv4.1-Datei-ACLs für den Client und den Server.
- Die Kommunikation wird immer vom Client initiiert und immer über einen einzigen Serverport
Jedes Protokoll ist am besten für bestimmte Anwendungsfälle geeignet. In der folgenden Tabelle werden die Spezifikationen der beiden Protokolle verglichen:
| Spezifikation | NFSv3 | NFSv4.1 |
|---|---|---|
| Unterstützte Dienststufen | Alle Dienststufen | Enterprise und zonal |
| Bidirektionale Kommunikation | Ja | Nein. Die Kommunikation wird immer vom Client über den Serverport 2049 initiiert. |
| Authentifizierung | Nein | Ja. Erfordert die RPCSEC_GSS-Authentifizierung, implementiert mithilfe von LDAP und Kerberos. Beide sind in Managed Service for Microsoft Active Directory verfügbar. |
| Unterstützt Access Control Lists (ACLs) für Dateien oder Verzeichnisse | Nein | Ja. Unterstützt bis zu 50 Zugriffssteuerungseinträge pro Liste. |
| Google Groups-Support | Bis zu 16 Gruppen | Unbegrenzte Gruppen werden bei Verbindung mit Managed Microsoft AD unterstützt. |
| Sicherheitseinstellung | sys. Erstellt einen Vertrauenskanal. |
sys. Erstellt einen Vertrauenskanal. krb5. Authentifizierung von Client und Server krb5i. Bietet Authentifizierung und Prüfungen der Nachrichtenintegrität.krb5p Bietet Authentifizierung, Prüfungen der Nachrichtenintegrität und Verschlüsselung während der Übertragung. |
| Vorgangslatenz | Keine | Die Vorgangslatenz erhöht sich mit der ausgewählten Sicherheitsstufe. |
| Wiederherstellungstyp | Zustandslos | Zustandsorientiert |
| Typ der Dateisperrung | Network Lock Manager (NLM) verwenden. Die Sperre wird vom Client gesteuert. | Leasebasierte Empfehlungssperrung. Die Sperre wird vom Server gesteuert. |
| Unterstützt Clientfehler | Nein | Ja |
| Unterstützt Private Services Connection (PSC) | Nein | Nein |
Vorteile von NFSv3
Das NFSv3-Protokoll ermöglicht eine schnelle Einrichtung für den Standard-POSIX-Zugriff.
NFSv3-Einschränkungen
Im Folgenden finden Sie eine Liste von NFSv3-Einschränkungen:
- Private Dienstverbindungen (PSC) werden nicht unterstützt.
- Es gibt keine Client- und Serverauthentifizierung und -verschlüsselung.
- Fehlende Verarbeitung von Clientfehlern
Vorteile von NFSv4.1
Das NFSv4.1-Protokoll verwendet die RPCSEC_GSS-Authentifizierung, die mithilfe von LDAP und Kerberos implementiert wird, um die Client- und Serverauthentifizierung, Nachrichtenintegritätsprüfungen und Datenverschlüsselung während der Übertragung bereitzustellen.
Diese Sicherheitsfunktionen machen das NFSv4.1-Protokoll kompatibel mit den modernen Complianceanforderungen für die Netzwerksicherheit:
Verwendet einen einzigen Serverport (
2049) für die gesamte Kommunikation, was die Firewallkonfigurationen vereinfacht.Bei Verwendung der Managed Microsoft AD-Integration werden unbegrenzte Gruppen unterstützt.
Unterstützt eine bessere Behandlung von Clientfehlern durch leasebasiertes Sperren.
- Der Client muss die kontinuierliche Verbindung zum Server prüfen. Wenn der Client die Freigabe nicht verlängert, gibt der Server die Sperre frei und die Datei wird für jeden anderen Client verfügbar, der Zugriff über eine Sperrfreigabe anfordert. Wenn in NFSv3 ein Client gelöscht wird, während er gesperrt ist, kann nicht von einem anderen Client, z. B. einem neuen GKE-Knoten, auf die Datei zugegriffen werden.
Unterstützt die zustandsorientierte Wiederherstellung.
- Im Gegensatz zu NFSv3 ist NFSv4.1 ein zustandsorientiertes TCP- und verbindungsbasiertes Protokoll. Der Status des Clients und des Servers in der vorherigen Sitzung kann nach der Wiederherstellung fortgesetzt werden.
Managed Service for Microsoft Active Directory
Managed Service for Microsoft Active Directory (Managed Microsoft AD) ist zwar keine strenge Anforderung, aber die einzige von Google Cloud verwaltete Lösung, die sowohl LDAP als auch Kerberos unterstützt. Beide sind Anforderungen für das NFSv4.1-Protokoll von Filestore.
Administratoren wird dringend empfohlen, zur Implementierung und Verwaltung von LDAP und Kerberos Managed Service for Microsoft Active Directory (Managed Microsoft AD) zu verwenden.
Als von Google Cloud verwaltete Lösung bietet Managed Microsoft AD folgende Vorteile:
Bietet die Bereitstellung in mehreren Regionen mit Unterstützung von bis zu fünf Regionen in derselben Domain.
- Reduziert die Latenz, indem sichergestellt wird, dass sich Nutzer und ihre jeweiligen Anmeldeserver in unmittelbarer Nähe befinden.
Unterstützt POSIX RFC 2307 und RFC 2307bis, Anforderungen für die NFSv4.1-Implementierung.
Automatisiert die Nutzerzuordnung für eindeutige Kennung (Unique Identifier, UID) und Global Unique Identifier (GUID).
Nutzer und Gruppen können in Managed Microsoft AD erstellt oder dorthin migriert werden.
Administratoren können eine Domain-Vertrauensstellung mit der aktuellen lokalen, selbstverwalteten, Active Directory (AD)- und LDAP-Domain erstellen. Bei dieser Option ist keine Migration erforderlich.
Bietet ein SLA.
Einschränkungen für NFSv4.1
Im Folgenden finden Sie eine Liste von NFSv4.1-Einschränkungen:
Das NFSv4.1-Protokoll kann nicht mit den folgenden Funktionen kombiniert werden:
Löschen Sie Managed Microsoft AD und Netzwerk-Peering nach der Konfiguration nicht. Andernfalls kann nicht auf die Filestore-Freigabe zugegriffen werden, während sie auf einem Client bereitgestellt wird. Ihre Daten sind dann nicht mehr zugänglich. Google Cloud haftet nicht für Ausfälle, die durch Administrator- oder Nutzeraktionen verursacht werden.
Bei Verwendung einer der authentifizierten Kerberos-Sicherheitseinstellungen können Nutzer mit einer bestimmten Vorgangslatenz rechnen. Latenzraten variieren je nach angegebener Dienststufe und Sicherheitseinstellung. Die Latenz nimmt mit jedem höheren Sicherheitsniveau zu.
Die Datenzugriffsprüfung wird nicht unterstützt.
Die Filestore-NFSv4.1-Lösung erfordert eine RPCSEC_GSS-Authentifizierung. Diese Authentifizierungsmethode wird nur mit LDAP und Kerberos implementiert, die beide in Managed Microsoft AD verfügbar sind. Andere Authentifizierungsmechanismen werden nicht unterstützt.
Private Dienstverbindungen (PSC) werden nicht unterstützt.
Wenn eine Filestore-Instanz Managed Microsoft AD über eine freigegebene VPC verbunden werden soll, müssen Sie
gcloudoder die Filestore API verwenden. Sie können die Instanz nicht über die Google Cloud Console mit Managed Microsoft AD verknüpfen.Der Managed Microsoft AD-Domainname darf nicht länger als 56 Zeichen sein.