Filestore supporta i seguenti protocolli di file system:
NFSv3
- Disponibile in tutti i livelli di servizio.
- Supporta la comunicazione bidirezionale tra client e server.
- Utilizza più porte.
- Crea un canale attendibile per le operazioni e il traffico di rete.
- Consente di configurare rapidamente l'accesso POSIX standard.
NFSv4.1 (anteprima)
- Disponibile nei livelli di servizio aziendali e di zona.
- Compatibile con configurazioni firewall moderne e supporta i requisiti di conformità della sicurezza di rete.
- La comunicazione viene sempre avviata dal client e sempre gestita tramite una singola porta del server,
2049. - Supporta l'autenticazione client e server.
- Richiede l'autenticazione RPCSEC_GSS, implementata utilizzando LDAP e Kerberos, entrambi disponibili in Managed Service for Microsoft Active Directory.
- Supporta LDAP e Kerberos per l'autenticazione (
krb5), i controlli dell'integrità dei messaggi (krb5i) e la crittografia dei dati in transito (krb5p). - Offre il supporto ACL dei file NFSv4.1 per client e server.
- La comunicazione viene sempre avviata dal client e sempre gestita tramite una singola porta del server,
Ogni protocollo è il più adatto a casi d'uso specifici. La seguente tabella mette a confronto le specifiche di ciascun protocollo:
| Specifica | NFSv3 | NFSv4.1 |
|---|---|---|
| Livelli di servizio supportati | Tutti i livelli di servizio | Aziendale e a livello di zona |
| Comunicazione bidirezionale | Sì | No. La comunicazione viene sempre avviata dal client utilizzando la porta del server 2049. |
| Autenticazione | No | Sì, Richiede l'autenticazione RPCSEC_GSS, implementata utilizzando LDAP e Kerberos, entrambe disponibili in Managed Service for Microsoft Active Directory. |
| Supporta elenchi di controllo dell'accesso (ACL) per file o directory | No | Sì, Supporta fino a 50 voci di controllo dell'accesso (ACE) per elenco. |
| Assistenza per i gruppi | Fino a 16 gruppi | Supporto dei gruppi illimitati quando si è connessi a Microsoft AD gestito. |
| Impostazione di sicurezza | sys. Crea un canale attendibile. |
sys. Crea un canale attendibile. krb5. Autentica il client e il server. krb5i. Fornisce l'autenticazione e controlli di integrità dei messaggi.krb5p. Fornisce autenticazione, controlli di integrità dei messaggi e crittografia dei dati in transito. |
| Latenza operazioni | Nessuno | La latenza delle operazioni aumenta con il livello di sicurezza selezionato. |
| Tipo di recupero | Stateless | Stateful |
| Tipo di blocco dei file | Network Lock Manager (NLM). Il blocco è controllato dal client. | Blocco delle avvertenze basato sul leasing. Il blocco è controllato dal server. |
| Supporta gli errori del client | No | Sì |
| Supporta la connessione ai servizi privati (PSC) | No | No |
Vantaggi di NFSv3
Il protocollo NFSv3 consente di configurare rapidamente l'accesso POSIX standard.
Limitazioni NFSv3
Di seguito è riportato un elenco delle limitazioni NFSv3:
- Non supporta la connessione ai servizi privati (PSC).
- Non dispone di autenticazione e crittografia client e server.
- Manca la gestione degli errori del client.
Vantaggi di NFSv4.1
Il protocollo NFSv4.1 utilizza il metodo Autenticazione RPCSEC_GSS, implementato utilizzando LDAP e Kerberos per fornire autenticazione di client e server, controlli di integrità dei messaggi e crittografia dei dati in transito.
Queste funzionalità di sicurezza rendono il protocollo NFSv4.1 compatibile con i moderni requisiti di conformità della sicurezza della rete:
Utilizza un'unica porta server,
2049, per tutte le comunicazioni, contribuendo a semplificare le configurazioni del firewall.Supporto dei gruppi illimitati quando si utilizza l'integrazione di Microsoft AD gestito.
Supporta una migliore gestione degli errori del client con il blocco degli avvisi basati sul leasing.
- Il client deve verificare la continuità della connessione al server. Se il client non rinnova il lease, il server rilascia il blocco e il file diventa disponibile per qualsiasi altro client che richiede l'accesso tramite un lease del blocco. In NFSv3, se un client viene eliminato mentre è bloccato, non può accedere al file da parte di un altro client, ad esempio un nuovo nodo GKE.
Supporta il ripristino stateful.
- A differenza di NFSv3, NFSv4.1 è un protocollo stateful basato su TCP e connessioni. Lo stato del client e del server nella sessione precedente può essere ripreso dopo il ripristino.
Managed Service for Microsoft Active Directory
Sebbene Managed Service per Microsoft Active Directory (Managed Microsoft AD) non sia un requisito rigoroso, è l'unica soluzione gestita da Google Cloud a supportare sia LDAP che Kerberos, entrambi requisiti per il protocollo NFSv4.1 Filestore.
Consigliamo agli amministratori di utilizzare Managed Service for Microsoft Active Directory (Managed Microsoft AD) per implementare e gestire LDAP e Kerberos.
Essendo una soluzione gestita da Google Cloud, Microsoft Active Directory gestito offre i seguenti vantaggi:
Offre il deployment in più regioni, supportando fino a cinque regioni sullo stesso dominio.
- Riduce la latenza assicurando che gli utenti e i rispettivi server di accesso siano nelle vicinanze.
Supporta i requisiti POSIX RFC 2307 e RFC 2307bis per l'implementazione di NFSv4.1.
Automatizza la mappatura degli utenti con identificatore univoco (UID) e identificatore univoco globale (GUID).
È possibile creare utenti e gruppi o eseguirne la migrazione a Microsoft Active Directory gestito.
Gli amministratori possono creare un trust del dominio con l'attuale dominio on-premise, autogestito, Active Directory (AD) e LDAP. Con questa opzione, la migrazione non è necessaria.
Fornisce uno SLA (accordo sul livello del servizio).
Limitazioni di NFSv4.1
Di seguito è riportato un elenco delle limitazioni di NFSv4.1:
Il protocollo NFSv4.1 non può essere combinato con le seguenti funzionalità:
Dopo la configurazione, non eliminare Microsoft Active Directory gestito e il peering di rete. In questo modo, la condivisione Filestore non sarà accessibile mentre è montata su un client, rendendo i dati inaccessibili. Google Cloud non è responsabile per interruzioni causate da azioni dell'amministratore o degli utenti.
Quando utilizzano una qualsiasi delle impostazioni di sicurezza Kerberos autenticate, gli utenti possono aspettarsi una latenza di alcune operazioni. I tassi di latenza variano in base al livello di servizio e all'impostazione di sicurezza specificata. La latenza aumenta all'aumentare del livello di sicurezza.
Il controllo dell'accesso ai dati non è supportato.
La soluzione Filestore NFSv4.1 richiede l'autenticazione RPCSEC_GSS. Questo metodo di autenticazione viene implementato solo utilizzando LDAP e Kerberos, entrambi disponibili in Microsoft AD gestito. Non sono supportati altri meccanismi di autenticazione.
Non supporta la connessione ai servizi privati (PSC).
Se vuoi che un'istanza Filestore unisca Managed Microsoft AD tramite un VPC condiviso, devi utilizzare
gcloudo l'API Filestore. Non puoi unire l'istanza a Microsoft AD gestito utilizzando la console Google Cloud.Il nome di dominio Microsoft AD gestito non deve superare i 56 caratteri.