Filestore est compatible avec les protocoles de système de fichiers suivants:
NFSv3
- Disponible avec tous les niveaux de service.
- Accepte la communication bidirectionnelle entre le client et le serveur
- Utilise plusieurs ports.
- Crée un canal de confiance pour le trafic et les opérations réseau.
- Permet une configuration rapide pour un accès POSIX standard.
NFSv4.1 (version preview)
- Disponible en zones, régionales et de service Google Cloud.
- Compatibilité avec les configurations de pare-feu modernes et assurer la sécurité du réseau
les exigences de conformité.
- La communication est toujours initiée par le client et toujours servie par
un seul port de serveur,
2049. - Prend en charge l'authentification client et serveur.
- Nécessite l'authentification RPCSEC_GSS. qui est implémentée à l'aide de LDAP et Kerberos, toutes deux disponibles dans le service géré pour Microsoft Active Directory.
- Compatible avec LDAP et Kerberos pour l'authentification (
krb5), les messages contrôles d'intégrité (krb5i) et chiffrement des données en transit (krb5p). - Offre une compatibilité avec les LCA de fichiers NFSv4.1 pour le client et le serveur.
- La communication est toujours initiée par le client et toujours servie par
un seul port de serveur,
Chaque protocole est le mieux adapté à des cas d'utilisation spécifiques. Le tableau suivant compare les spécifications de chaque protocole:
| Spécification | NFSv3 | NFSv4.1 |
|---|---|---|
| Niveaux de service compatibles | Tous les niveaux de service | Zonales, régionales et d'entreprise |
| Communication bidirectionnelle | Oui | Non. La communication est toujours initiée par le client via le port serveur 2049. |
| Authentification | Non | Oui. Nécessite l'authentification RPCSEC_GSS, implémentée à l'aide de LDAP et de Kerberos, toutes deux disponibles dans le service géré pour Microsoft Active Directory. |
| Il est compatible avec les listes de contrôle d'accès (LCA) de fichiers ou de répertoires. | Non | Oui. Jusqu'à 50 entrées de contrôle d'accès (ACE) par liste sont acceptées. |
| Assistance Groupes | Jusqu'à 16 groupes | Prise en charge de groupes illimités lorsque vous êtes connecté au service Microsoft AD géré. |
| Paramètre de sécurité | sys Crée un canal de confiance. |
sys Crée un canal de confiance. krb5. Authentifie le client et le serveur. krb5i. Fournit des contrôles d'authentification et d'intégrité des messages.krb5p Fournit l'authentification, les contrôles d'intégrité des messages et le chiffrement des données en transit. |
| Latence des opérations | Aucun | La latence des opérations augmente selon le niveau de sécurité sélectionné. |
| Type de récupération | Sans état | Avec état |
| Type de verrouillage de fichier | Gestionnaire de verrouillages réseau. Le verrouillage est contrôlé par le client. | Verrouillage consultatif basé sur le bail. Le verrou est contrôlé par le serveur. |
| Compatible avec les défaillances des clients | Non | Oui |
| Accepte la connexion aux services privés (PSC) | Non | Non |
Avantages de NFSv3
Le protocole NFSv3 permet de configurer rapidement l'accès POSIX standard.
Limites de NFSv3
Voici une liste des limites de NFSv3:
- Incompatibilité avec la connexion aux services privés (PSC).
- Il manque l'authentification et le chiffrement côté client et serveur.
- Ne gère pas les défaillances du client.
Avantages de NFSv4.1
Le protocole NFSv4.1 utilise l'authentification RPCSEC_GSS. , qui est implémentée à l'aide de LDAP et Kerberos pour fournir des données et l'authentification du serveur, les contrôles de l'intégrité des messages le chiffrement.
Ces fonctionnalités de sécurité rendent le protocole NFSv4.1 compatible avec les exigences de conformité de la sécurité du réseau:
Utilise un seul port serveur,
2049, pour toutes les communications, ce qui permet de simplifier configurations de pare-feu.Prise en charge de groupes illimités lorsque vous utilisez l'intégration du service Microsoft AD géré.
Permet une meilleure gestion des défaillances des clients grâce au verrouillage consultatif basé sur le bail.
- Le client doit vérifier que la connexion au serveur est maintenue. Si le client ne renouvelle pas le bail, le serveur libère le verrou et le fichier devient disponible pour tout autre client demandant l’accès par le biais d’un bail de verrouillage. Dans NFSv3, si un client est supprimé alors qu'il est verrouillé, le fichier ne peut pas être accessibles par un autre client, comme un nouveau nœud GKE.
Prend en charge la récupération avec état.
- Contrairement à NFSv3, NFSv4.1 est un protocole avec état basé sur TCP et la connexion. Vous pouvez reprendre l'état du client et du serveur dans la session précédente. après la récupération.
Service géré pour Microsoft Active Directory
Alors que le service géré pour Microsoft Active Directory (service Microsoft AD géré) n'est pas une exigence stricte, c'est la seule solution gérée par Google Cloud prennent en charge les protocoles LDAP et Kerberos, deux Protocole Filestore NFSv4.1.
Les administrateurs sont vivement encouragés à utiliser Service géré pour Microsoft Active Directory (service Microsoft AD géré) pour implémenter et gérer LDAP et Kerberos.
En tant que solution gérée par Google Cloud, le service Microsoft AD géré fournit les avantages suivants:
Permet un déploiement multirégional, avec jusqu'à cinq régions d'un même domaine.
- Réduit la latence en s'assurant que les utilisateurs et leurs serveurs de connexion respectifs sont sur à proximité.
Compatible avec les normes POSIX RFC 2307 et RFC 2307bis, pour la mise en œuvre de NFSv4.1.
Automatise l'identifiant unique (UID) et l'identifiant unique global (GUID) de l'utilisateur le mappage.
Les utilisateurs et les groupes peuvent être créés ou migrés vers le service Microsoft AD géré.
Les administrateurs peuvent créer une approbation de domaine avec l'environnement sur site actuel, un domaine Active Directory (AD) et LDAP autogéré. Avec cette option, la migration n'est pas nécessaire.
Fournit un contrat de niveau de service.
Limites de NFSv4.1
Voici une liste des limites de NFSv4.1:
Le protocole NFSv4.1 ne peut pas être associé aux fonctionnalités suivantes:
Une fois la configuration effectuée, ne supprimez pas le service Microsoft AD géré ni l'appairage de réseaux. Cela rendrait le partage Filestore inaccessible pendant son installation sur un client, ce qui rend vos données inaccessibles. Google Cloud n'est pas responsable des pannes causées par les actions d’un administrateur ou d’un utilisateur.
Lorsqu'ils utilisent l'un des paramètres de sécurité Kerberos authentifiés, les utilisateurs peuvent : s'attendent à une certaine latence des opérations. Les taux de latence varient selon le niveau de service paramètre de sécurité spécifié. La latence augmente avec chaque niveau de sécurité d'application.
L'audit des accès aux données n'est pas disponible.
La solution Filestore NFSv4.1 nécessite l'authentification RPCSEC_GSS. Cette méthode d'authentification n'est implémentée qu'avec LDAP et Kerberos, tous deux disponibles dans le service Microsoft AD géré. Les autres mécanismes d'authentification ne sont pas acceptés.
Incompatibilité avec la connexion aux services privés (PSC).
Si vous souhaitez qu'une instance Filestore rejoigne le service Microsoft AD géré via un VPC partagé, vous devez utiliser
gcloudou le service API. Vous ne pouvez pas joindre l'instance au service Microsoft AD géré à l'aide du console Google Cloud.Le nom de domaine Microsoft AD géré ne doit pas dépasser 56 caractères.
Pour créer une instance d'entreprise, vous devez exécuter des opérations directement via l'API Filestore. Pour en savoir plus, consultez Niveaux de service.