Filestore unterstützt die folgenden Dateisystemprotokolle:
NFSv3
- In allen Dienststufen verfügbar.
- Unterstützt die bidirektionale Kommunikation zwischen Client und Server.
- Verwendet mehrere Ports.
- Erstellt einen Vertrauenskanal für Netzwerkverkehr und -vorgänge.
- Ermöglicht eine schnelle Einrichtung für den Standard-POSIX-Zugriff.
NFSv4.1 (Vorschau)
- Verfügbar in zonalen, regionalen und Unternehmens-Dienststufen.
- Kompatibel mit modernen Firewallkonfigurationen und unterstützt die Anforderungen an Compliance der Netzwerksicherheit.
- Die Kommunikation wird immer vom Client initiiert und immer über einen einzigen Serverport,
2049, bereitgestellt. - Unterstützt Client- und Serverauthentifizierung.
- Erfordert eine RPCSEC_GSS-Authentifizierung, die mithilfe von LDAP und Kerberos implementiert wird. Beide sind in Managed Service for Microsoft Active Directory verfügbar.
- Unterstützt LDAP und Kerberos für die Authentifizierung (
krb5), Nachrichtenintegritätsprüfungen (krb5i) und die Verschlüsselung von Daten während der Übertragung (krb5p). - Bietet Unterstützung für NFSv4.1-Datei-ACLs für den Client und den Server.
- Die Kommunikation wird immer vom Client initiiert und immer über einen einzigen Serverport,
Jedes Protokoll ist für bestimmte Anwendungsfälle am besten geeignet. In der folgenden Tabelle werden die Spezifikationen der einzelnen Protokolle verglichen:
| Spezifikation | NFSv3 | NFSv4.1 |
|---|---|---|
| Unterstützte Dienststufen | Alle Dienststufen | Zonal, regional und Enterprise |
| Bidirektionale Kommunikation | Yes | Nein. Die Kommunikation wird immer vom Client über den Serverport 2049 initiiert. |
| Authentifizierung | Nein | Ja. Erfordert die RPCSEC_GSS-Authentifizierung, die mithilfe von LDAP und Kerberos implementiert wird. Beide sind in Managed Service for Microsoft Active Directory verfügbar. |
| Unterstützt Access Control Lists (ACLs) für Dateien oder Verzeichnisse | Nein | Ja. Unterstützt bis zu 50 Zugriffssteuerungseinträge pro Liste. |
| Unterstützung für Google Groups | Bis zu 16 Gruppen | Unbegrenzte Gruppenunterstützung bei Verbindung mit Managed Microsoft AD. |
| Sicherheitseinstellung | sys. Erstellt einen vertrauenswürdigen Kanal. |
sys. Erstellt einen vertrauenswürdigen Kanal. krb5. Authentifiziert den Client und den Server. krb5i. Bietet Authentifizierungs- und Nachrichtenintegritätsprüfungen.krb5p. Bietet Authentifizierung, Prüfung der Nachrichtenintegrität und Verschlüsselung von Daten während der Übertragung. |
| Vorgangslatenz | Ohne | Die Latenz von Vorgängen erhöht sich mit der ausgewählten Sicherheitsstufe. |
| Wiederherstellungstyp | Zustandslos | Zustandsorientiert |
| Art der Dateisperrung | Network Lock Manager (NLM) ein. Die Sperre wird vom Client gesteuert. | Leasingbasierte Beratungssperrung. Die Sperre wird vom Server gesteuert. |
| Unterstützt Clientausfälle | Nein | Yes |
| Unterstützt Private Services Connection (PSC) | Nein | Nein |
Vorteile von NFSv3
Das NFSv3-Protokoll ermöglicht eine schnelle Einrichtung für den Standard-POSIX-Zugriff.
Einschränkungen für NFSv3
Im Folgenden finden Sie eine Liste der Einschränkungen für NFSv3:
- Private Services Connection (PSC) werden nicht unterstützt.
- Client- und Serverauthentifizierung und -verschlüsselung fehlen.
- Clientfehler werden nicht verarbeitet.
Vorteile von NFSv4.1
Das NFSv4.1-Protokoll verwendet die RPCSEC_GSS-Authentifizierung, die mithilfe von LDAP und Kerberos für die Client- und Serverauthentifizierung, Nachrichtenintegritätsprüfungen und Verschlüsselung von Daten während der Übertragung implementiert wird.
Diese Sicherheitsfunktionen machen das NFSv4.1-Protokoll mit den modernen Compliance-Anforderungen der Netzwerksicherheit kompatibel:
Verwendet den einzigen Serverport
2049für die gesamte Kommunikation, was die Firewallkonfigurationen vereinfacht.Unbegrenzte Gruppenunterstützung bei Verwendung der Managed Microsoft AD-Integration.
Unterstützt eine bessere Behandlung von Clientfehlern mit leasebasierten Hinweissperren.
- Der Client muss die fortlaufende Verbindung mit dem Server überprüfen. Wenn der Client die Freigabe nicht verlängert, gibt der Server die Sperre frei und die Datei steht jedem anderen Client zur Verfügung, der Zugriff über eine Sperrfreigabe anfordert. Wenn in NFSv3 ein Client gelöscht wird, während er gesperrt ist, kann von einem anderen Client, z. B. einem neuen GKE-Knoten, nicht auf die Datei zugegriffen werden.
Unterstützt die zustandsorientierte Wiederherstellung.
- Im Gegensatz zu NFSv3 ist NFSv4.1 ein TCP- und verbindungsbasiertes zustandsorientiertes Protokoll. Der Status des Clients und des Servers in der vorherigen Sitzung kann nach der Wiederherstellung fortgesetzt werden.
Managed Service for Microsoft Active Directory
Managed Service for Microsoft Active Directory (Managed Microsoft AD) ist zwar keine strenge Anforderung, aber es ist die einzige von Google Cloud verwaltete Lösung, die sowohl LDAP als auch Kerberos unterstützt. Beide sind Anforderungen für das Filestore NFSv4.1-Protokoll.
Administratoren wird dringend empfohlen, Managed Service for Microsoft Active Directory (Managed Microsoft AD) zu verwenden, um LDAP und Kerberos zu implementieren und zu verwalten.
Als von Google Cloud verwaltete Lösung bietet Managed Microsoft AD folgende Vorteile:
Bietet eine Bereitstellung in mehreren Regionen mit Unterstützung für bis zu fünf Regionen in derselben Domain.
- Reduziert die Latenz, da sich die Nutzer und ihre Anmeldeserver in unmittelbarer Nähe befinden.
Unterstützt POSIX RFC 2307 und RFC 2307bis, Anforderungen für die NFSv4.1-Implementierung.
Automatisiert die Nutzerzuordnung für eindeutige IDs (UID) und global eindeutige IDs (GUID).
Nutzer und Gruppen können in Managed Microsoft AD erstellt oder dorthin migriert werden.
Administratoren können eine Domain-Vertrauensstellung mit der aktuellen lokalen, selbstverwalteten Domain sowie der Active Directory- und LDAP-Domain erstellen. Bei dieser Option ist keine Migration erforderlich.
Bietet ein SLA.
Einschränkungen für NFSv4.1
Im Folgenden finden Sie eine Liste der Einschränkungen für NFSv4.1:
Das NFSv4.1-Protokoll kann nicht mit den folgenden Funktionen kombiniert werden:
Löschen Sie Managed Microsoft AD und Netzwerk-Peering nach der Konfiguration nicht. Dies führt dazu, dass die Filestore-Freigabe nicht zugänglich ist, während sie auf einem Client bereitgestellt wird. Ihre Daten sind dann nicht mehr zugänglich. Google Cloud haftet nicht für Ausfälle, die durch Administrator- oder Nutzeraktionen verursacht werden.
Bei Verwendung einer der authentifizierten Kerberos-Sicherheitseinstellungen ist mit einer gewissen Vorgangslatenz zu rechnen. Latenzraten variieren je nach Dienststufe und Sicherheitseinstellung. Die Latenz nimmt mit jedem Anstieg des Sicherheitsniveaus zu.
Die Prüfung des Datenzugriffs wird nicht unterstützt.
Die Filestore-Lösung NFSv4.1 erfordert eine RPCSEC_GSS-Authentifizierung. Diese Authentifizierungsmethode wird nur mit LDAP und Kerberos implementiert, die beide in Managed Microsoft AD verfügbar sind. Andere Authentifizierungsmechanismen werden nicht unterstützt.
Private Services Connection (PSC) werden nicht unterstützt.
Wenn Sie möchten, dass eine Filestore-Instanz Managed Microsoft AD über eine freigegebene VPC hinzufügt, müssen Sie
gcloudoder die Filestore API verwenden. Sie können die Instanz nicht über die Google Cloud Console mit Managed Microsoft AD verknüpfen.Der Managed Microsoft AD-Domainname darf nicht länger als 56 Zeichen sein.
Zum Erstellen einer Unternehmensinstanz müssen Sie Vorgänge direkt über die Filestore API ausführen. Weitere Informationen finden Sie unter Dienststufen.