Filestore supporta i seguenti protocolli di file system:
NFSv3
- Disponibile in tutti i livelli di servizio.
- Supporta la comunicazione bidirezionale tra client e server.
- Utilizza più porte.
- Crea un canale attendibile per il traffico e le operazioni di rete.
- Offre la configurazione rapida per l'accesso POSIX standard.
NFSv4.1 (anteprima)
- Disponibile a livello di zona, regione ai livelli di servizi aziendali.
- Compatibile con configurazioni firewall moderne e supporta la sicurezza di rete
di conformità.
- La comunicazione è sempre avviata dal cliente e realizzata sempre tramite
su una singola porta del server,
2049. - Supporta l'autenticazione client e server.
- Richiede l'autenticazione RPCSEC_GSS implementato mediante LDAP e Kerberos, entrambi disponibili in Managed Service per Microsoft Active Directory.
- Supporta LDAP e Kerberos per autenticazione (
krb5), messaggio controlli di integrità (krb5i) e crittografia dei dati in transito (krb5p). - Offre il supporto per i file ACL NFSv4.1 per client e server.
- La comunicazione è sempre avviata dal cliente e realizzata sempre tramite
su una singola porta del server,
Ogni protocollo è il più adatto a casi d'uso specifici. La tabella seguente mette a confronto le specifiche di ciascun protocollo:
| Specifica | NFSv3 | NFSv4.1 |
|---|---|---|
| Livelli di servizio supportati | Tutti i livelli di servizio | A livello di zona, di regione e di livello enterprise |
| Comunicazione bidirezionale | Sì | No. La comunicazione viene sempre avviata dal client utilizzando la porta del server 2049. |
| Autenticazione | No | Sì. Richiede l'autenticazione RPCSEC_GSS, implementata tramite LDAP e Kerberos, entrambe disponibili in Managed Service for Microsoft Active Directory. |
| Supporta elenchi di controllo dell'accesso (ACL) per file o directory | No | Sì. Supporta fino a 50 voci di controllo dell'accesso (ACE) per elenco. |
| Supporto per i gruppi | Fino a 16 gruppi | Supporto per gruppi illimitati quando si è connessi a Managed Microsoft AD. |
| Impostazione di sicurezza | sys. Crea un canale attendibile. |
sys. Crea un canale attendibile. krb5. Autentica il client e il server. krb5i. Fornisce controlli di autenticazione e integrità del messaggio.krb5p. Fornisce autenticazione, controlli di integrità del messaggio e crittografia dei dati in transito. |
| Latenza operazioni | Nessuno | La latenza delle operazioni aumenta in base al livello di sicurezza selezionato. |
| Tipo di recupero | Stateless | Stateful |
| Tipo di blocco dei file | Network Lock Manager (NLM). Il blocco è controllato dal client. | Blocco degli avvisi basati sul leasing. La serratura è controllata dal server. |
| Supporta gli errori del client | No | Sì |
| Supporta la connessione ai servizi privati (PSC) | No | No |
Vantaggi di NFSv3
Il protocollo NFSv3 offre una rapida configurazione per l'accesso POSIX standard.
Limitazioni NFSv3
Di seguito è riportato un elenco delle limitazioni di NFSv3:
- Manca il supporto per la connessione privata ai servizi (PSC).
- Mancano l'autenticazione e la crittografia client e server.
- Manca la gestione degli errori del client.
Vantaggi di NFSv4.1
Il protocollo NFSv4.1 utilizza l'autenticazione RPCSEC_GSS implementato tramite LDAP. e Kerberos per fornire ai client e autenticazione dei server, controlli di integrità dei messaggi e dati in transito la crittografia.
Queste funzionalità di sicurezza rendono il protocollo NFSv4.1 compatibile con le requisiti di conformità alla sicurezza di rete:
Utilizza un'unica porta del server,
2049, per tutte le comunicazioni, contribuendo a semplificare configurazioni firewall.Supporto per gruppi illimitati quando si utilizza l'integrazione di Microsoft Active Directory gestito.
Supporta una migliore gestione dei guasti del cliente con il blocco degli avvisi basato sul leasing.
- Il client deve verificare la continuità della connessione con il server. Se il client non rinnova il lease, il server rilascia il blocco e il file disponibile per qualsiasi altro cliente che richiede l'accesso tramite leasing del blocco. In NFSv3, se un client viene eliminato mentre è bloccato, il file non può a cui accede un altro client, ad esempio un nuovo nodo GKE.
Supporta il recupero stateful.
- A differenza di NFSv3, NFSv4.1 è un protocollo stateful basato su TCP e connessione. È possibile riprendere lo stato del client e del server nella sessione precedente dopo il ripristino.
Managed Service for Microsoft Active Directory
Mentre Managed Service for Microsoft Active Directory (Managed Microsoft AD) non è un requisito rigido, è l'unica soluzione gestita da Google Cloud supportano sia LDAP che Kerberos, entrambi requisiti per Protocollo Filestore NFSv4.1.
Consigliamo vivamente agli amministratori di utilizzare Servizio gestito per Microsoft Active Directory (Microsoft AD gestito) per implementare e gestire LDAP e Kerberos.
Essendo una soluzione gestita da Google Cloud, Microsoft Active Directory gestito offre i seguenti vantaggi:
Offre il deployment in più regioni, supportando fino a cinque regioni nello stesso dominio.
- Riduce la latenza garantendo che gli utenti e i rispettivi server di accesso si trovino vicinanza.
Supporta POSIX RFC 2307 e RFC 2307bis, per l'implementazione di NFSv4.1.
Automatizza l'identificatore univoco (UID) e l'utente identificatore univoco globale (GUID) il mapping.
È possibile creare utenti e gruppi in Microsoft Active Directory gestito o eseguirne la migrazione.
Gli amministratori possono creare un trust di dominio con l'ambiente on-premise attuale, autogestito, Active Directory (AD) e dominio LDAP. Con questa opzione, e la migrazione non è necessaria.
Fornisce uno SLA.
Limitazioni di NFSv4.1
Di seguito è riportato un elenco delle limitazioni di NFSv4.1:
Il protocollo NFSv4.1 non può essere combinato con le seguenti funzionalità:
Dopo la configurazione, non eliminare Microsoft Active Directory gestito e il peering di rete. In questo modo, la condivisione Filestore sarà inaccessibile mentre è montata su un client, rendendo i dati inaccessibili. Google Cloud non è responsabile di interruzioni causate da azioni dell'amministratore o dell'utente.
Quando utilizzano una qualsiasi delle impostazioni di sicurezza Kerberos autenticate, gli utenti possono è previsto una latenza delle operazioni. Le percentuali di latenza variano in base al livello di servizio dell'impostazione di sicurezza specificata. La latenza aumenta a ogni aumento della sicurezza livello.
Il controllo dell'accesso ai dati non è supportato.
La soluzione Filestore NFSv4.1 richiede l'autenticazione RPCSEC_GSS. Questo metodo di autenticazione viene implementato solo tramite LDAP e Kerberos, entrambi disponibili in Microsoft AD gestito. Non sono supportati altri meccanismi di autenticazione.
Manca il supporto per la connessione privata ai servizi (PSC).
Se vuoi che un'istanza Filestore partecipi a Managed Microsoft AD attraverso un VPC condiviso, devi usare
gcloudo Filestore API. Non puoi unire l'istanza a Microsoft Active Directory gestito utilizzando nella console Google Cloud.Il nome di dominio Microsoft Active Directory gestito non deve superare i 56 caratteri.
Per creare un'istanza Enterprise, devi eseguire le operazioni direttamente tramite l'API Filestore. Per ulteriori informazioni, vedi Livelli di servizio.