Tentang protokol sistem file yang didukung

Filestore mendukung protokol sistem file berikut:

NFSv3

• Tersedia di semua tingkat layanan.
• Mendukung komunikasi dua arah antara klien dan server.
  • Menggunakan beberapa port.
  • Membuat saluran kepercayaan untuk traffic dan operasi jaringan.
• Menawarkan penyiapan cepat untuk akses POSIX standar.

NFSv4.1

• Tersedia di tingkat layanan zonal, regional, dan perusahaan.
• Kompatibel dengan konfigurasi firewall modern dan mendukung persyaratan kepatuhan keamanan jaringan.
  • Komunikasi selalu dimulai oleh klien dan selalu ditayangkan melalui satu port server, 2049.
  • Mendukung autentikasi klien dan server.
    • Memerlukan Autentikasi RPCSEC_GSS yang diterapkan menggunakan LDAP dan Kerberos, keduanya tersedia di Layanan Terkelola untuk Microsoft Active Directory.
    • Mendukung LDAP dan Kerberos untuk autentikasi (krb5), pemeriksaan integritas pesan (krb5i), dan enkripsi data dalam pengiriman (krb5p).
    • Menawarkan dukungan ACL file NFSv4.1 untuk klien dan server.

Setiap protokol paling cocok untuk kasus penggunaan tertentu. Tabel berikut membandingkan spesifikasi setiap protokol:

Spesifikasi	NFSv3	NFSv4.1
Tingkat layanan yang didukung	Semua tingkat layanan	Zonal, regional, dan perusahaan
Komunikasi dua arah	Ya	Tidak. Komunikasi selalu dimulai oleh klien menggunakan port server 2049.
Autentikasi	Tidak	Ya. Memerlukan Autentikasi RPCSEC_GSS, yang diterapkan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Layanan Terkelola untuk Microsoft Active Directory.
Mendukung Daftar Kontrol Akses (ACL) file atau direktori	Tidak	Ya. Mendukung hingga 50 Entri Kontrol Akses (ACE) per daftar.
Dukungan grup	Maksimal 16 grup	Dukungan grup tanpa batas saat terhubung ke Microsoft AD Terkelola.
Setelan keamanan	sys. Membuat saluran kepercayaan.	sys. Membuat saluran kepercayaan. krb5. Mengautentikasi klien dan server. krb5i. Memberikan autentikasi dan pemeriksaan integritas pesan.krb5p. Menyediakan autentikasi, pemeriksaan integritas pesan, dan enkripsi data dalam pengiriman.
Latensi operasi	Tidak ada	Latensi operasi meningkat dengan tingkat keamanan yang dipilih.
Jenis pemulihan	Stateless	Stateful
Jenis penguncian file	Network Lock Manager (NLM). Kunci dikontrol oleh klien.	Penguncian saran berbasis sewa. Kunci dikontrol oleh server.
Mendukung kegagalan klien	Tidak	Ya
Mendukung akses layanan pribadi	Tidak	Tidak

Manfaat NFSv3

Protokol NFSv3 menawarkan penyiapan cepat untuk akses POSIX standar.

Batasan NFSv3

Berikut adalah daftar batasan NFSv3:

• Tidak memiliki dukungan untuk akses layanan pribadi.
• Tidak memiliki enkripsi dan autentikasi klien dan server.
• Tidak memiliki penanganan kegagalan klien.

Manfaat NFSv4.1

Protokol NFSv4.1 menggunakan metode Autentikasi RPCSEC_GSS, yang diimplementasikan menggunakan LDAP dan Kerberos untuk memberikan autentikasi klien dan server, pemeriksaan integritas pesan, dan enkripsi data dalam pengiriman.

Kemampuan keamanan ini membuat protokol NFSv4.1 kompatibel dengan persyaratan kepatuhan keamanan jaringan modern:

• Menggunakan satu port server, 2049, untuk semua komunikasi, sehingga membantu menyederhanakan konfigurasi firewall.

• Mendukung daftar kontrol akses (ACL) file NFSv4.1.

  • Setiap ACL mendukung hingga 50 entri kontrol akses (ACE) per file atau direktori. Hal ini termasuk catatan warisan.

• Dukungan grup tanpa batas saat menggunakan integrasi Microsoft AD Terkelola.

• Mendukung penanganan kegagalan klien yang lebih baik dengan penguncian saran berbasis sewa.

  • Klien harus memverifikasi koneksi yang berlanjut dengan server. Jika klien tidak memperpanjang sewa, server akan melepaskan kunci dan file menjadi tersedia untuk klien lain yang meminta akses melalui sewa kunci. Di NFSv3, jika klien dihapus saat terkunci, file tidak dapat diakses oleh klien lain, seperti node GKE baru.

• Mendukung pemulihan stateful.

  • Tidak seperti NFSv3, NFSv4.1 adalah protokol stateful berbasis TCP dan koneksi. Status klien dan server dalam sesi sebelumnya dapat dilanjutkan setelah pemulihan.

Layanan Terkelola untuk Microsoft Active Directory

Meskipun Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) bukan persyaratan ketat, ini adalah satu-satunya solusi yang dikelola Google Cloud untuk mendukung LDAP dan Kerberos, yang keduanya merupakan persyaratan untuk protokol NFSv4.1 Filestore.

Administrator sangat disarankan untuk menggunakan Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) untuk menerapkan dan mengelola LDAP dan Kerberos.

Sebagai solusi yang dikelola Google Cloud, Managed Microsoft AD memberikan manfaat berikut:

• Menawarkan deployment multi-region, yang mendukung hingga lima region di domain yang sama.

  • Mengurangi latensi dengan memastikan pengguna dan server login masing-masing berada dalam jarak yang lebih dekat.

• Mendukung POSIX RFC 2307 dan RFC 2307bis, persyaratan untuk penerapan NFSv4.1.

• Mengotomatiskan pemetaan pengguna ID unik (UID) dan ID unik global (GUID).

• Pengguna dan grup dapat dibuat di atau dimigrasikan ke Managed Microsoft AD.

• Administrator dapat membuat kepercayaan domain dengan domain Active Directory (AD) dan LDAP lokal saat ini yang dikelola sendiri. Dengan opsi ini, migrasi tidak diperlukan.

• Memberikan SLA.

Kontrol akses dan perilaku tambahan

• ACE Filestore NFSv4.1 dikelola di Linux menggunakan perintah berikut:

  • nfs4_setfacl: Membuat atau mengedit ACE pada file atau direktori.
  • nfs4_getfacl: Mencantumkan ACE pada file atau direktori.

• Setiap ACL mendukung hingga 50 ACE. Enam entri dicadangkan untuk ACE otomatis yang dibuat oleh operasi chmod klien. ACE ini dapat diubah setelah pembuatan.

  Data ACE yang dibuat secara otomatis yang mewakili bit mode tercantum dalam urutan prioritas berikut:

  • DENY and ALLOW ACEs untuk OWNER@
  • DENY and ALLOW ACEs untuk GROUP@

  • DENY and ALLOW ACEs untuk EVERYONE@

    Jika sudah ada, ACE tersebut akan digunakan kembali dan diubah sesuai dengan bit mode baru yang diterapkan.

• Filestore NFSv4.1 mendukung pemeriksaan akses yang diperlukan hanya dalam mode POSIX RWX (baca, tulis, dan jalankan). Hal ini tidak akan membedakan antara operasi write append dan write yang mengubah konten atau spesifikasi SETATTR. Utilitas nfs4_setfacl juga menerima RWX sebagai pintasan dan otomatis mengaktifkan semua flag yang sesuai.

• nfs4_getfacl tidak menerjemahkan akun utama sendiri. Utilitas nfs4_getfacl akan menampilkan UID dan GUID numerik untuk prinsipal. Akibatnya, akun utama khusus OWNER@, GROUP@, dan EVERYONE@ akan ditampilkan.

• Terlepas dari apakah menggunakan Microsoft AD Terkelola, saat menggunakan AUTH-SYS dan utilitas nfs4_setfacl, administrator harus menentukan UID dan GUID numerik, bukan nama pengguna. Utilitas ini tidak dapat menerjemahkan nama ke nilai ini. Jika tidak diberikan dengan benar, instance Filestore akan ditetapkan secara default ke ID nobody.

• Saat menentukan izin tulis untuk file, atau bahkan file yang terpengaruh oleh ACE yang diwarisi, ACE harus menyertakan flag w (tulis) dan a (tambahkan).

• Saat memeriksa izin untuk SETATTR, respons yang ditampilkan mirip dengan POSIX dengan cara berikut:

  • Pengguna superuser atau ROOT dapat melakukan apa pun.
  • Hanya pemilik file yang dapat menetapkan bit mode, ACL, dan stempel waktu ke waktu dan grup tertentu, seperti salah satu GUID yang menjadi miliknya.
  • Pengguna selain pemilik file dapat melihat atribut, termasuk ACL.

• Satu ACE mencakup izin efektif dan hanya warisan. Berbeda dengan implementasi NFSv4.1 lainnya, Filestore tidak akan otomatis mereplikasi ACES yang diwarisi untuk membedakan antara ACE yang efektif dan ACE khusus warisan.

Batasan NFSv4.1

Berikut adalah daftar batasan NFSv4.1:

• Protokol NFSv4.1 tidak dapat digabungkan dengan fitur berikut:

  • Driver CSI GKE Filestore
  • Multishare Filestore untuk GKE

• Protokol NFSv4.1 tidak mendukung AUDIT and ALARM ACEs. Filestore tidak mendukung audit akses data.

• Setelah dikonfigurasi, jangan hapus Managed Microsoft AD dan peering jaringan. Tindakan ini menyebabkan share Filestore tidak dapat diakses saat dipasang di klien, sehingga data Anda tidak dapat diakses. Google Cloud tidak bertanggung jawab atas pemadaman layanan yang disebabkan oleh tindakan administrator atau pengguna.

• Saat menggunakan setelan keamanan Kerberos yang diautentikasi, pengguna dapat mengalami beberapa latensi operasi. Rasio latensi bervariasi menurut tingkat layanan dan setelan keamanan yang ditentukan. Latensi meningkat seiring dengan meningkatnya tingkat keamanan.

• Audit akses data tidak didukung.

• Solusi Filestore NFSv4.1 memerlukan Autentikasi RPCSEC_GSS. Metode autentikasi ini hanya diterapkan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Microsoft AD Terkelola. Mekanisme autentikasi lainnya tidak didukung.

• Tidak memiliki dukungan untuk akses layanan pribadi.

• Jika ingin instance Filestore bergabung dengan Managed Microsoft AD melalui VPC Bersama, Anda harus menggunakan gcloud atau Filestore API. Anda tidak dapat bergabung ke instance Managed Microsoft AD menggunakan konsol Google Cloud.

• Nama domain Managed Microsoft AD tidak boleh melebihi 56 karakter.

• Untuk membuat instance perusahaan, Anda harus menjalankan operasi secara langsung melalui Filestore API. Untuk mengetahui informasi selengkapnya, lihat Tingkat layanan.

• Saat memulihkan cadangan, instance baru harus menggunakan protokol yang sama dengan instance sumber.

Langkah selanjutnya

• Mengonfigurasi protokol NFSv4.1