Filestore 支持以下文件系统协议:
NFSv3
- 适用于所有服务层级。
- 支持客户端和服务器之间的双向通信。
- 使用多个端口。
- 为网络流量和操作创建信任通道。
- 支持快速设置标准 POSIX 访问权限。
NFSv4.1(预览版)
- 适用于可用区级、区域级和 企业级服务。
- 兼容新型防火墙配置并支持网络安全
合规要求。
- 通信始终由客户端发起,并始终通过
单个服务器端口
2049
。 - 支持客户端和服务器身份验证。
- 需要 RPCSEC_GSS 身份验证 该实现是使用 LDAP 实现的 和 Kerberos, 两者均在 Managed Service for Microsoft Active Directory 中提供。
- 支持使用 LDAP 和 Kerberos 进行身份验证 (
krb5
)、邮件 完整性检查 (krb5i
) 和传输中的数据加密 (krb5p
)。 - 为客户端和服务器提供 NFSv4.1 文件 ACL 支持。
- 通信始终由客户端发起,并始终通过
单个服务器端口
每种协议最适合特定用例。下表比较了 每种协议的规范:
规范 | NFSv3 | NFSv4.1 |
---|---|---|
支持的服务层级 | 所有服务层级 | 可用区级、区域级和企业级 |
双向通信 | 是 | 不会。通信始终由客户端使用服务器端口 2049 发起。 |
身份验证 | 否 | 是。需要使用 LDAP 和 Kerberos 的 RPCSEC_GSS 身份验证,两者均在 Managed Service for Microsoft Active Directory 中提供。 |
支持文件或目录访问控制列表 (ACL) | 否 | 是。每个列表最多支持 50 个访问控制条目 (ACE)。 |
群组支持 | 最多 16 个群组 | 连接到 Managed Microsoft AD 后,无限量群组支持。 |
安全设置 | sys 。创建信任通道。 |
sys 。创建信任通道。krb5 。对客户端和服务器进行身份验证。krb5i 。提供身份验证和消息完整性检查。krb5p 。提供身份验证、消息完整性检查和传输中的数据加密功能。 |
操作延迟时间 | 无 | 选择安全等级后,操作延迟时间会增加。 |
恢复类型 | 无状态 | 有状态 |
文件锁定类型 | 网络锁定管理器 (NLM)。锁由客户端控制。 | 基于租期的通知锁定。锁定由服务器控制。 |
支持客户端故障 | 否 | 是 |
支持专用服务连接 (PSC) | 否 | 否 |
NFSv3 的优势
NFSv3 协议提供标准 POSIX 访问的快速设置。
NFSv3 限制
以下是 NFSv3 限制的列表:
- 缺乏对专用服务连接 (PSC) 的支持。
- 缺少客户端和服务器身份验证及加密功能。
- 缺少客户端故障处理。
NFSv4.1 的优势
NFSv4.1 协议使用 RPCSEC_GSS 身份验证 方法,以使用 LDAP 来实现 和Kerberos 和服务器身份验证、消息完整性检查和传输中的数据 加密。
这些安全功能使得 NFSv4.1 协议与现代 网络安全合规性要求:
使用单一服务器端口
2049
进行所有通信,有助于简化流程 防火墙配置。使用 Managed Microsoft AD 集成时,无限群组支持。
通过基于租期的咨询锁定,支持更好地处理客户端故障。
- 客户端必须验证是否与服务器的连接是否正常。如果客户 租期不续订时,服务器会释放锁,而文件会变为 可供任何其他通过锁定租用请求访问的客户端使用。 在 NFSv3 中,如果在锁定时删除了客户端,则文件无法 由另一个客户端(例如新的 GKE 节点)访问。
支持有状态恢复。
- 与 NFSv3 不同,NFSv4.1 是基于 TCP 和基于连接的有状态协议。 上一个会话中客户端和服务器的状态可以恢复 。
Managed Service for Microsoft Active Directory
而 Managed Service for Microsoft Active Directory (Managed Microsoft AD) 并非严格要求,它是唯一能够 支持 LDAP 和 Kerberos,这两者是 Filestore NFSv4.1 协议。
强烈建议管理员使用 Managed Service for Microsoft Active Directory (Managed Microsoft AD) 实施和管理 LDAP 和 Kerberos。
作为 Google Cloud 的代管式解决方案,Managed Microsoft AD 提供 有以下好处:
支持多区域部署,同一网域中最多支持五个区域。
- 确保用户及其各自的登录服务器均处于
支持 POSIX RFC 2307 和 RFC 2307bis、 NFSv4.1 实现的要求。
自动处理唯一标识符 (UID) 和全局唯一标识符 (GUID) 用户 映射。
用户和群组可以在 Managed Microsoft AD 中创建或迁移到受管理的 Microsoft AD。
管理员可以通过当前的本地环境创建网域信任, Active Directory (AD) 和 LDAP 域。通过这个选项 则不必执行迁移
提供 SLA。
NFSv4.1 限制
以下是 NFSv4.1 限制的列表:
NFSv4.1 协议无法与以下功能结合使用:
配置完成后,请勿删除 Managed Microsoft AD 和网络对等互连。 这样做会导致 Filestore 共享在装载时无法访问 导致数据无法访问Google Cloud 不 对管理员或用户操作造成的服务中断负责。
使用任何经过身份验证的 Kerberos 安全设置时,用户可以 预计会有操作延迟。延迟时间率因服务层级和 安全设置。延迟时间随着安全性的提高而增加 。
不支持数据访问审核。
Filestore NFSv4.1 解决方案需要 RPCSEC_GSS 身份验证。 此身份验证方法仅使用 LDAP 实现 和 Kerberos,均可使用 代管式 Microsoft AD 中。 其他身份验证机制不受支持。
缺乏对专用服务连接 (PSC) 的支持。
如果您希望 Filestore 实例加入 Managed Microsoft AD 则必须使用
gcloud
或 Filestore API。您无法使用 Google Cloud 控制台。代管式 Microsoft AD 域名不得超过 56 个字符。
如需创建企业实例,您必须运行 直接通过 Filestore API 访问。如需了解详情,请参阅 服务层级。