Filestore unterstützt die folgenden Dateisystemprotokolle:
NFSv3
- In allen Dienststufen verfügbar.
- Unterstützt die bidirektionale Kommunikation zwischen Client und Server.
- Verwendet mehrere Ports.
- Erstellt einen Vertrauenskanal für Netzwerkverkehr und -vorgänge.
- Bietet eine schnelle Einrichtung für den Standard-POSIX-Zugriff.
NFSv4.1 (Vorschau)
- Verfügbar in zonalen, regionalen und Dienststufen für Unternehmen.
- Kompatibel mit modernen Firewall-Konfigurationen und unterstützt Netzwerksicherheit
Compliance-Anforderungen.
- Die Kommunikation wird immer vom Client initiiert und durch
einen einzelnen Serverport,
2049. - Unterstützt Client- und Serverauthentifizierung.
- Erfordert RPCSEC_GSS-Authentifizierung das mithilfe von LDAP implementiert wird und Kerberos, beide in Managed Service for Microsoft Active Directory verfügbar.
- Unterstützt LDAP und Kerberos für die Authentifizierung (
krb5), Nachrichten Integritätsprüfungen (krb5i) und Verschlüsselung von Daten während der Übertragung (krb5p). - Bietet Unterstützung für NFSv4.1-Datei-ACLs für den Client und den Server.
- Die Kommunikation wird immer vom Client initiiert und durch
einen einzelnen Serverport,
Jedes Protokoll ist für bestimmte Anwendungsfälle am besten geeignet. In der folgenden Tabelle werden die die Spezifikationen der einzelnen Protokolle:
| Spezifikation | NFSv3 | NFSv4.1 |
|---|---|---|
| Unterstützte Dienststufen | Alle Dienststufen | Zonal, regional und Enterprise |
| Bidirektionale Kommunikation | Ja | Nein. Die Kommunikation wird immer vom Client über den Serverport 2049 initiiert. |
| Authentifizierung | Nein | Ja. Erfordert die RPCSEC_GSS-Authentifizierung, die mithilfe von LDAP und Kerberos implementiert wird. Beide sind in Managed Service for Microsoft Active Directory verfügbar. |
| Unterstützt Access Control Lists (ACLs) für Dateien oder Verzeichnisse | Nein | Ja. Unterstützt bis zu 50 Zugriffssteuerungseinträge pro Liste. |
| Unterstützung für Google Groups | Bis zu 16 Gruppen | Unbegrenzte Gruppenunterstützung bei Verbindung mit Managed Microsoft AD. |
| Sicherheitseinstellung | sys Erstellt einen vertrauenswürdigen Kanal. |
sys Erstellt einen vertrauenswürdigen Kanal. krb5. Authentifiziert den Client und den Server. krb5i. Bietet Authentifizierungs- und Nachrichtenintegritätsprüfungen.krb5p. Bietet Authentifizierung, Prüfung der Nachrichtenintegrität und Verschlüsselung von Daten während der Übertragung. |
| Vorgangslatenz | Keine | Die Vorgangslatenz nimmt mit der ausgewählten Sicherheitsstufe zu. |
| Wiederherstellungstyp | Zustandslos | Zustandsorientiert |
| Art der Dateisperrung | Network Lock Manager (NLM) ein. Die Sperre wird vom Client gesteuert. | Leasingbasierte Beratungssperrung. Die Sperre wird vom Server gesteuert. |
| Unterstützt Clientausfälle | Nein | Ja |
| Unterstützt Private Services Connection (PSC) | Nein | Nein |
Vorteile von NFSv3
Das NFSv3-Protokoll ermöglicht eine schnelle Einrichtung für den Standard-POSIX-Zugriff.
Einschränkungen für NFSv3
Im Folgenden finden Sie eine Liste der Einschränkungen für NFSv3:
- Private Services Connection (PSC) werden nicht unterstützt.
- Client- und Serverauthentifizierung und -verschlüsselung fehlen.
- Clientfehler werden nicht verarbeitet.
Vorteile von NFSv4.1
Das NFSv4.1-Protokoll verwendet die RPCSEC_GSS-Authentifizierung. Methode, die mithilfe von LDAP implementiert wird und Kerberos, Serverauthentifizierung, Nachrichtenintegritätsprüfungen und Daten bei der Übertragung Verschlüsselung.
Diese Sicherheitsfunktionen machen das NFSv4.1-Protokoll mit modernen Compliance-Anforderungen für die Netzwerksicherheit:
Zur Vereinfachung der gesamten Kommunikation wird nur der Serverport
2049verwendet. Firewall-Konfigurationen.Unbegrenzte Gruppenunterstützung bei Verwendung der Managed Microsoft AD-Integration.
Unterstützt eine bessere Behandlung von Clientfehlern mit leasebasierten Hinweissperren.
- Der Client muss die fortlaufende Verbindung mit dem Server überprüfen. Wenn der Kunde Erneuert die Lease nicht, gibt der Server die Sperre frei und die Datei wird für jeden anderen Client verfügbar, der Zugriff über eine Sperrfreigabe anfordert. Wenn in NFSv3 ein Client gelöscht wird, der gesperrt ist, kann die Datei nicht auf die von einem anderen Client zugegriffen wird, z. B. von einem neuen GKE-Knoten.
Unterstützt die zustandsorientierte Wiederherstellung.
- Im Gegensatz zu NFSv3 ist NFSv4.1 ein TCP- und verbindungsbasiertes zustandsorientiertes Protokoll. Der Status des Clients und des Servers in der vorherigen Sitzung kann fortgesetzt werden nach der Wiederherstellung.
Managed Service for Microsoft Active Directory
Während Managed Service for Microsoft Active Directory (Managed Microsoft AD) keine strenge Anforderung, sondern ist die einzige von Google Cloud verwaltete Lösung, unterstützen sowohl LDAP als auch Kerberos. Filestore-NFSv4.1-Protokoll.
Administratoren wird dringend empfohlen, Managed Service for Microsoft Active Directory (Managed Microsoft AD) zur Implementierung und Verwaltung von LDAP und Kerberos.
Als von Google Cloud verwaltete Lösung bietet Managed Microsoft AD die folgenden Vorteile:
Bietet eine Bereitstellung in mehreren Regionen mit Unterstützung für bis zu fünf Regionen in derselben Domain.
- Reduziert die Latenz, da sichergestellt wird, dass sich die Nutzer und ihre jeweiligen Anmeldeserver befinden näher rücken.
Unterstützt POSIX RFC 2307 und RFC 2307bis Anforderungen für die NFSv4.1-Implementierung.
Automatisiert Nutzer mit eindeutigen IDs (UID) und global eindeutiger Kennung (GUID) -Zuordnung.
Nutzer und Gruppen können in Managed Microsoft AD erstellt oder dorthin migriert werden.
Administratoren können mit der aktuellen lokalen, eine selbstverwaltete Domain in Active Directory (AD) und LDAP. Bei dieser Option Migration ist nicht notwendig.
Bietet ein SLA.
Einschränkungen für NFSv4.1
Im Folgenden finden Sie eine Liste der Einschränkungen für NFSv4.1:
Das NFSv4.1-Protokoll kann nicht mit den folgenden Funktionen kombiniert werden:
Löschen Sie Managed Microsoft AD und Netzwerk-Peering nach der Konfiguration nicht. Dies führt dazu, dass die Filestore-Freigabe während der Bereitstellung nicht zugänglich ist des Kunden, wodurch Ihre Daten unzugänglich werden. Google Cloud ist nicht für Ausfälle aufgrund von Administrator- oder Nutzeraktionen haftbar gemacht werden.
Bei Verwendung einer der authentifizierten Kerberos-Sicherheitseinstellungen können Nutzer ist mit einer gewissen Vorgangslatenz zu rechnen. Latenzraten variieren je nach Dienststufe und Sicherheitseinstellung angegeben. Die Latenz nimmt mit jeder Erhöhung der Sicherheit zu
Die Prüfung des Datenzugriffs wird nicht unterstützt.
Die Filestore-Lösung NFSv4.1 erfordert eine RPCSEC_GSS-Authentifizierung. Diese Authentifizierungsmethode wird nur mit LDAP implementiert. und Kerberos in Managed Microsoft AD. Andere Authentifizierungsmechanismen werden nicht unterstützt.
Private Services Connection (PSC) werden nicht unterstützt.
Wenn Sie möchten, dass eine Filestore-Instanz Managed Microsoft AD hinzugefügt wird über eine freigegebene VPC verwenden möchten, müssen Sie
gcloudoder Filestore verwenden API. Sie können die Instanz nicht über die Methode Google Cloud ConsoleDer Managed Microsoft AD-Domainname darf nicht länger als 56 Zeichen sein.
Zum Erstellen einer Unternehmensinstanz müssen Sie Vorgänge ausführen direkt über die Filestore API. Weitere Informationen finden Sie unter Dienststufen: