Filestore supporta i seguenti protocolli del file system:
NFSv3
- Disponibile in tutti i livelli di servizio.
- Supporta la comunicazione bidirezionale tra il client e il server.
- Utilizza più porte.
- Crea un canale attendibile per il traffico e le operazioni di rete.
- Offre una configurazione rapida per l'accesso POSIX standard.
NFSv4.1
- Disponibile nei livelli di servizio a livello di zona, regionale e aziendale.
- Compatibile con le configurazioni di firewall moderne e supporta i requisiti di conformità per la sicurezza della rete.
- La comunicazione viene sempre avviata dal client e sempre inviata tramite una singola porta del server,
2049
. - Supporta l'autenticazione del client e del server.
- Richiede l'autenticazione RPCSEC_GSS, implementata utilizzando LDAP e Kerberos, entrambi disponibili in Managed Service for Microsoft Active Directory.
- Supporta LDAP e Kerberos per l'autenticazione (
krb5
), i controlli di integrità dei messaggi (krb5i
) e la crittografia dei dati in transito (krb5p
). - Offre il supporto delle ACL dei file NFSv4.1 per il client e il server.
- La comunicazione viene sempre avviata dal client e sempre inviata tramite una singola porta del server,
Ogni protocollo è più adatto a casi d'uso specifici. La tabella seguente mette a confronto le specifiche di ciascun protocollo:
Specifica | NFSv3 | NFSv4.1 |
---|---|---|
Livelli di servizio supportati | Tutti i livelli di servizio | A livello di zona, di regione e aziendale |
Comunicazione bidirezionale | Sì | No. La comunicazione viene sempre avviata dal client utilizzando la porta del server 2049 . |
Autenticazione | No | Sì. Richiede l'autenticazione RPCSEC_GSS, implementata utilizzando LDAP e Kerberos, entrambi disponibili in Managed Service for Microsoft Active Directory. |
Supporta gli elenchi di controllo dell'accesso (ACL) di file o directory | No | Sì. Supporta fino a 50 voci di controllo dell'accesso (ACE) per elenco. |
Assistenza di Gruppi | Fino a 16 gruppi | Supporto di gruppi illimitati quando è connesso a Microsoft AD gestito. |
Impostazione di sicurezza | sys . Crea un canale attendibile. |
sys . Crea un canale attendibile. krb5 . Autentica il client e il server. krb5i . Fornisce controlli di autenticazione e integrità dei messaggi.krb5p Fornisce autenticazione, controlli di integrità dei messaggi e crittografia dei dati in transito. |
Latenza delle operazioni | Nessuno | La latenza delle operazioni aumenta con il livello di sicurezza selezionato. |
Tipo di recupero | Stateless | Stateful |
Tipo di blocco dei file | Network Lock Manager (NLM). La serratura è controllata dal cliente. | Blocco di consulenza basato sul contratto di locazione. Il blocco è controllato dal server. |
Supporta gli errori del client | No | Sì |
Supporta l'accesso privato ai servizi | No | No |
Vantaggi di NFSv3
Il protocollo NFSv3 offre una configurazione rapida per l'accesso POSIX standard.
Limitazioni di NFSv3
Di seguito è riportato un elenco delle limitazioni di NFSv3:
- Non è supportato l'accesso privato ai servizi.
- Manca l'autenticazione e la crittografia del client e del server.
- Manca la gestione degli errori del client.
Vantaggi di NFSv4.1
Il protocollo NFSv4.1 utilizza il metodo RPCSEC_GSS Authentication, che viene implementato utilizzando LDAP e Kerberos per fornire l'autenticazione del client e del server, i controlli di integrità dei messaggi e la crittografia dei dati in transito.
Queste funzionalità di sicurezza rendono il protocollo NFSv4.1 compatibile con i moderni requisiti di conformità alla sicurezza di rete:
Utilizza una singola porta del server,
2049
, per tutte le comunicazioni, contribuendo a semplificare le configurazioni del firewall.Supporta gli elenchi di controllo dell'accesso (ACL) dei file NFSv4.1.
- Ogni ACL supporta fino a 50 voci di controllo dell'accesso (ACE) per file o directory. Sono inclusi i record di eredità.
Supporto di gruppi illimitati quando si utilizza l'integrazione di Microsoft AD gestito.
Supporta una gestione migliore degli errori del client con il blocco degli avvisi basati su lease.
- Il client deve verificare la connessione continua con il server. Se il client non rinnova il lease, il server rilascia il blocco e il file diventa disponibile per qualsiasi altro client che richiede l'accesso tramite un lease del blocco. In NFSv3, se un client viene eliminato mentre è bloccato, il file non può essere acceduto da un altro client, ad esempio un nuovo nodo GKE.
Supporta il recupero stateful.
- A differenza di NFSv3, NFSv4.1 è un protocollo stateful basato su TCP e connessioni. Lo stato del client e del server nella sessione precedente può essere ripreso dopo il recupero.
Managed Service for Microsoft Active Directory
Anche se Managed Service for Microsoft Active Directory (Managed Microsoft AD) non è un requisito rigoroso, è l'unica soluzione gestita da Google Cloud che supporta sia LDAP sia Kerberos, entrambi requisiti per il protocollo NFSv4.1 di Filestore.
Gli amministratori sono vivamente invitati a utilizzare Managed Service for Microsoft Active Directory (Managed Microsoft AD) per implementare e gestire LDAP e Kerberos.
In qualità di soluzione gestita da Google Cloud, Managed Microsoft AD offre i seguenti vantaggi:
Offre il deployment multiregionale, supportando fino a cinque regioni nello stesso dominio.
- Riduce la latenza garantendo che gli utenti e i rispettivi server di accesso siano più vicini.
Supporta POSIX RFC 2307 e RFC 2307bis, requisiti per l'implementazione di NFSv4.1.
Automatizza la mappatura degli utenti per identificatore univoco (UID) e identificatore univoco globale (GUID).
Gli utenti e i gruppi possono essere creati in Managed Microsoft AD o di cui è possibile eseguire la migrazione.
Gli amministratori possono creare una relazione di trust con il dominio Active Directory (AD) e LDAP on-premise autogestito esistente. Con questa opzione, la migrazione non è necessaria.
Fornisce uno SLA.
Controllo dell'accesso e comportamenti aggiuntivi
Le ACE NFSv4.1 di Filestore vengono gestite su Linux utilizzando i seguenti comandi:
nfs4_setfacl
: crea o modifica i permessi ACE in un file o una directory.nfs4_getfacl
: elenca gli ACE in un file o una directory.
Ogni ACL supporta fino a 50 ACE. Sei voci sono riservate agli ACE generati automaticamente creati dalle operazioni
chmod
del cliente. Questi ACE possono essere modificati dopo la creazione.I record ACE generati automaticamente che rappresentano i bit di modalità sono elencati nel seguente ordine di priorità:
DENY and ALLOW ACEs
per ilOWNER@
DENY and ALLOW ACEs
per ilGROUP@
DENY and ALLOW ACEs
perEVERYONE@
Se questi ACE sono già presenti, verranno riutilizzati e modificati in base ai nuovi bit di modalità applicati.
Filestore NFSv4.1 supporta il controllo dell'accesso richiesto solo in modalità POSIX
RWX
(lettura, scrittura ed esecuzione). Non fa distinzione tra operazioniwrite append
ewrite
che modificano i contenuti o la specificaSETATTR
. L'utilitànfs4_setfacl
accetta ancheRWX
come scorciatoia e attiva automaticamente tutti i flag appropriati.nfs4_getfacl
non esegue alcuna traduzione dell'entità principale autonomamente. L'utilitànfs4_getfacl
mostrerà i valori numericiUID
eGUID
per i principali. Di conseguenza, verranno visualizzati gli elementi specialiOWNER@
,GROUP@
eEVERYONE@
.Indipendentemente dall'utilizzo di AD Microsoft gestito, quando si lavora con
AUTH-SYS
e l'utilitànfs4_setfacl
, gli amministratori devono specificareUID
eGUID
numerici, non i nomi utente. Questa utility non è in grado di tradurre i nomi in questi valori. Se non viene fornito correttamente, l'istanza Filestore utilizzerà per impostazione predefinita l'IDnobody
.Quando specifichi le autorizzazioni di scrittura per un file o anche per i file interessati da un ACE ereditato, l'ACE deve includere sia i flag
w
(scrittura) siaa
(accodamento).Quando controlli le autorizzazioni per
SETATTR
, la risposta restituita è simile aPOSIX
nel seguente modo:- L'utente super user o
ROOT
può fare qualsiasi cosa. - Solo il proprietario del file può impostare i bit di modalità, i criteri ACL e i timestamp su un momento e un gruppo specifici, ad esempio uno dei
GUID
a cui appartiene. - Gli utenti diversi dal proprietario del file possono visualizzare gli attributi, inclusa l'ACL.
- L'utente super user o
Un singolo ACE include sia le autorizzazioni effettive sia quelle di sola ereditarietà. Contrariamente ad altre implementazioni di NFSv4.1, Filestore non replicherà automaticamente gli ACE ereditati allo scopo di distinguere tra ACE efficaci e ACE solo per ereditarietà.
Limitazioni di NFSv4.1
Di seguito è riportato un elenco delle limitazioni di NFSv4.1:
Il protocollo NFSv4.1 non può essere combinato con le seguenti funzionalità:
Il protocollo NFSv4.1 non supporta
AUDIT and ALARM ACEs
. Filestore non supporta il controllo dell'accesso ai dati.Una volta configurati, non eliminare il peering di rete e l'AD Microsoft gestito. In questo modo, la condivisione Filestore non sarà accessibile mentre è montata su un client, rendendo i tuoi dati inaccessibili. Google Cloud non è responsabile delle interruzioni causate da azioni di amministratori o utenti.
Quando utilizzi una delle impostazioni di sicurezza Kerberos autenticate, gli utenti possono aspettarsi una latenza di alcune operazioni. I tassi di latenza variano in base al livello di servizio e all'impostazione di sicurezza specificata. La latenza aumenta con ogni livello di sicurezza.
Il controllo dell'accesso ai dati non è supportato.
La soluzione Filestore NFSv4.1 richiede l'autenticazione RPCSEC_GSS. Questo metodo di autenticazione viene implementato solo utilizzando LDAP e Kerberos, entrambi disponibili in Microsoft AD gestito. Non sono supportati altri meccanismi di autenticazione.
Non è supportato l'accesso privato ai servizi.
Se vuoi che un'istanza Filestore si unisca ad AD di Microsoft gestito tramite una VPC condiviso, devi utilizzare
gcloud
o l'API Filestore. Non puoi unire l'istanza ad AD Microsoft gestito utilizzando la console Google Cloud.Il nome di dominio di Microsoft AD gestito non deve superare i 56 caratteri.
Per creare un'istanza aziendale, devi eseguire le operazioni direttamente tramite l'API Filestore. Per ulteriori informazioni, consulta Livelli di servizio.
Quando ripristini un backup, la nuova istanza deve utilizzare lo stesso protocollo dell'istanza di origine.