Filestore est compatible avec les protocoles de système de fichiers suivants:
NFSv3
- Disponible avec tous les niveaux de service.
- Accepte la communication bidirectionnelle entre le client et le serveur
- Utilise plusieurs ports.
- Crée un canal de confiance pour le trafic et les opérations réseau.
- Permet une configuration rapide pour un accès POSIX standard.
NFSv4.1 (version preview)
- Disponible avec les niveaux de service zonal, régional et professionnel.
- Il est compatible avec les configurations de pare-feu modernes et répond aux exigences de conformité en matière de sécurité du réseau.
- La communication est toujours initiée par le client et servie via un seul port de serveur,
2049. - Prend en charge l'authentification client et serveur.
- Nécessite l'authentification RPCSEC_GSS, mise en œuvre à l'aide de LDAP et de Kerberos, toutes deux disponibles dans Service géré pour Microsoft Active Directory.
- Accepte LDAP et Kerberos pour l'authentification (
krb5), les contrôles d'intégrité des messages (krb5i) et le chiffrement des données en transit (krb5p). - Offre une compatibilité avec les LCA de fichiers NFSv4.1 pour le client et le serveur.
- La communication est toujours initiée par le client et servie via un seul port de serveur,
Chaque protocole est le mieux adapté à des cas d'utilisation spécifiques. Le tableau suivant compare les spécifications de chaque protocole:
| Spécification | NFSv3 | NFSv4.1 |
|---|---|---|
| Niveaux de service compatibles | Tous les niveaux de service | Zonales, régionales et d'entreprise |
| Communication bidirectionnelle | Oui | Non. La communication est toujours initiée par le client via le port serveur 2049. |
| Authentification | Non | Oui. Nécessite l'authentification RPCSEC_GSS, implémentée à l'aide de LDAP et de Kerberos, toutes deux disponibles dans le service géré pour Microsoft Active Directory. |
| Il est compatible avec les listes de contrôle d'accès (LCA) de fichiers ou de répertoires. | Non | Oui. Jusqu'à 50 entrées de contrôle d'accès (ACE) par liste sont acceptées. |
| Assistance Groupes | Jusqu'à 16 groupes | Prise en charge de groupes illimités lorsque vous êtes connecté au service Microsoft AD géré. |
| Paramètre de sécurité | sys. crée un canal de confiance. |
sys. crée un canal de confiance. krb5. Authentifie le client et le serveur. krb5i. Fournit des contrôles d'authentification et d'intégrité des messages.krb5p Fournit l'authentification, les contrôles d'intégrité des messages et le chiffrement des données en transit. |
| Latence des opérations | Aucune | La latence des opérations augmente selon le niveau de sécurité sélectionné. |
| Type de récupération | Sans état | Avec état |
| Type de verrouillage de fichier | Gestionnaire de verrouillages réseau. Le verrouillage est contrôlé par le client. | Verrouillage consultatif basé sur le bail. Le verrou est contrôlé par le serveur. |
| Compatible avec les défaillances des clients | Non | Oui |
| Accepte la connexion aux services privés (PSC) | Non | Non |
Avantages de NFSv3
Le protocole NFSv3 permet de configurer rapidement l'accès POSIX standard.
Limites de NFSv3
Voici une liste des limites de NFSv3:
- Incompatibilité avec la connexion aux services privés (PSC).
- Il manque l'authentification et le chiffrement côté client et serveur.
- Ne gère pas les défaillances du client.
Avantages de NFSv4.1
Le protocole NFSv4.1 utilise la méthode d'authentification RPCSEC_GSS, mise en œuvre à l'aide de LDAP et de Kerberos pour fournir une authentification client et serveur, des contrôles d'intégrité des messages et un chiffrement des données en transit.
Ces fonctionnalités de sécurité rendent le protocole NFSv4.1 compatible avec les exigences modernes de conformité de la sécurité réseau:
Utilise un seul port serveur,
2049, pour toutes les communications, ce qui permet de simplifier les configurations de pare-feu.Prise en charge de groupes illimités lorsque vous utilisez l'intégration du service Microsoft AD géré.
Permet une meilleure gestion des défaillances des clients grâce au verrouillage consultatif basé sur le bail.
- Le client doit vérifier que la connexion au serveur est maintenue. Si le client ne renouvelle pas le bail, le serveur libère le verrou et le fichier devient disponible pour tout autre client demandant l'accès via un bail de verrouillage. Dans NFSv3, si un client est supprimé alors qu'il est verrouillé, un autre client, tel qu'un nouveau nœud GKE, ne pourra pas accéder au fichier.
Prend en charge la récupération avec état.
- Contrairement à NFSv3, NFSv4.1 est un protocole avec état basé sur TCP et la connexion. L'état du client et du serveur dans la session précédente peut être rétabli après la récupération.
Service géré pour Microsoft Active Directory
Bien que le service géré pour Microsoft Active Directory (service Microsoft AD géré) ne soit pas une exigence stricte, il s'agit de la seule solution gérée par Google Cloud compatible avec LDAP et Kerberos, deux éléments requis pour le protocole NFSv4.1 de Filestore.
Les administrateurs sont vivement encouragés à utiliser le service géré pour Microsoft Active Directory (service Microsoft AD géré) pour implémenter et gérer LDAP et Kerberos.
En tant que solution gérée par Google Cloud, le service Microsoft AD géré offre les avantages suivants:
Permet un déploiement multirégional, avec jusqu'à cinq régions d'un même domaine.
- Réduit la latence en veillant à ce que les utilisateurs et leurs serveurs de connexion respectifs soient à proximité.
Compatible avec les normes POSIX RFC 2307 et RFC 2307bis, exigences pour la mise en œuvre de NFSv4.1.
Automatise le mappage utilisateur des identifiants uniques (UID) et des identifiants uniques globaux (GUID).
Les utilisateurs et les groupes peuvent être créés ou migrés vers le service Microsoft AD géré.
Les administrateurs peuvent créer une approbation de domaine avec le domaine Active Directory (AD) et LDAP actuel sur site et autogéré. Avec cette option, la migration n'est pas nécessaire.
Fournit un contrat de niveau de service.
Limites de NFSv4.1
Voici une liste des limites de NFSv4.1:
Le protocole NFSv4.1 ne peut pas être associé aux fonctionnalités suivantes:
Une fois la configuration effectuée, ne supprimez pas le service Microsoft AD géré ni l'appairage de réseaux. Cela rend le partage Filestore inaccessible lorsqu'il est installé sur un client, ce qui rend vos données inaccessibles. Google Cloud n'est pas responsable des pannes causées par des actions d'administrateur ou d'utilisateur.
Lorsqu'ils utilisent l'un des paramètres de sécurité Kerberos authentifiés, les utilisateurs peuvent s'attendre à une certaine latence des opérations. Les taux de latence varient en fonction du niveau de service et du paramètre de sécurité spécifiés. La latence augmente à mesure que le niveau de sécurité augmente.
L'audit des accès aux données n'est pas disponible.
La solution Filestore NFSv4.1 nécessite l'authentification RPCSEC_GSS. Cette méthode d'authentification n'est implémentée qu'à l'aide de LDAP et de Kerberos, tous deux disponibles dans Managed Microsoft AD. Les autres mécanismes d'authentification ne sont pas acceptés.
Incompatibilité avec la connexion aux services privés (PSC).
Si vous souhaitez qu'une instance Filestore rejoint le service Microsoft AD géré via un VPC partagé, vous devez utiliser
gcloudou l'API Filestore. Vous ne pouvez pas joindre l'instance au service Microsoft AD géré à l'aide de la console Google Cloud.Le nom de domaine Microsoft AD géré ne doit pas dépasser 56 caractères.
Pour créer une instance d'entreprise, vous devez exécuter des opérations directement via l'API Filestore. Pour en savoir plus, consultez la page Niveaux de service.