サポートされているファイル システム プロトコルについて

Filestore は、次のファイル システム プロトコルをサポートしています。

NFSv3

  • すべてのサービス階層で利用可能
  • クライアントとサーバー間の双方向通信をサポートします。
    • 複数のポートを使用します。
    • ネットワーク トラフィックとオペレーションの信頼チャネルを作成します。
  • 標準 POSIX アクセスのセットアップが簡単です。

NFSv4.1

  • ゾーン、リージョン、エンタープライズのサービスティアで利用できます。
  • 最新のファイアウォール構成と互換性があり、ネットワーク セキュリティ コンプライアンス要件をサポートしています。
    • 通信は常にクライアントによって開始され、常に単一のサーバーポート 2049 を介して提供されます。
    • クライアントとサーバーの認証をサポートします。
      • LDAPKerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。
      • 認証(krb5)、メッセージ完全性チェック(krb5i)、転送中のデータ暗号化(krb5p)に対して LDAP と Kerberos をサポートします。
      • クライアントとサーバーに NFSv4.1 ファイルの ACL サポートを提供します。

各プロトコルは、特定のユースケースに最適です。次の表は、各プロトコルの仕様を比較したものです。

仕様 NFSv3 NFSv4.1
サポートされているサービスティア すべてのサービス階層 ゾーン、リージョン、エンタープライズ
双方向通信 いいえ。通信は常に、クライアントによってサーバーポート 2049 を使用して開始されます。
認証 × LDAPKerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。
ファイルまたはディレクトリのアクセス制御リスト(ACL)をサポートする × ○リストごとに最大 50 個のアクセス制御エントリ(ACE)をサポートします。
グループのサポート 最大 16 個のグループ Managed Microsoft AD に接続すると、無制限のグループをサポート。
セキュリティ設定 sys。信頼チャネルを作成します。 sys。信頼チャネルを作成します。krb5。クライアントとサーバーを認証します。krb5i。認証とメッセージ完全性チェックを行います。krb5p。認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。
オペレーションのレイテンシ なし オペレーションのレイテンシは、選択したセキュリティ レベルによって増加します。
復元の種類 ステートレス ステートフル
ファイルのロック形式 ネットワーク ロック マネージャー(NLM)。ロックはクライアントによって制御されます。 リースベースのアドバイザリ ロック。ロックはサーバーによって制御されます。
クライアントの障害をサポートする ×
限定公開サービス アクセスをサポートする × ×

NFSv3 の便益

NFSv3 プロトコルを使用すると、標準の POSIX アクセスを簡単に設定できます。

NFSv3 の制限事項

NFSv3 の制限事項のリストを次に示します。

NFSv4.1 の便益

NFSv4.1 プロトコルでは、RPCSEC_GSS 認証方式を使用します。これは、LDAPKerberos を使用して実装され、クライアントとサーバーの認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。

これらのセキュリティ機能によって、NFSv4.1 プロトコルは最新のネットワーク セキュリティ コンプライアンス要件との互換性があります。

  • すべての通信に単一のサーバーポート 2049 を使用するため、ファイアウォールの構成を簡素化できます。

  • NFSv4.1 ファイルのアクセス制御リスト(ACL)をサポートします。

    • 各 ACL は、ファイルまたはディレクトリごとに最大 50 個のアクセス制御エントリ(ACE)をサポートします。これには継承レコードも含まれます。
  • Managed Microsoft AD 統合を使用する場合、無制限のグループをサポートします。

  • リースベースのアドバイザリ ロックによって、クライアントの障害処理を改善します。

    • クライアントは、サーバーとの継続的な接続を確認する必要があります。クライアントがリースを更新しない場合、サーバーはロックを解放し、ロックのリースを通じてアクセスをリクエストしている他のクライアントがファイルを利用できるようになります。NFSv3 では、ロック中にクライアントを削除すると、新しい GKE ノードなどの別のクライアントによってファイルがアクセスできなくなります。
  • ステートフル リカバリをサポートします。

    • NFSv3 とは異なり、NFSv4.1 は、TCP ベースと接続ベースのステートフル プロトコルです。復元後、前のセッションのクライアントとサーバーの状態を再開できます。

Managed Service for Microsoft Active Directory

Managed Service for Microsoft Active Directory(Managed Microsoft AD)は厳格な要件ではありませんが、LDAP と Kerberos (両方が Filestore NFSv4.1 プロトコルの要件)の両方をサポートする唯一の Google Cloud マネージド ソリューションです。

管理者は、LDAP と Kerberos を実装して管理するために、Managed Service for Microsoft Active Directory(Managed Microsoft AD)を使用することを強くおすすめします。

Google Cloud マネージド ソリューションとして、Managed Microsoft AD には次の便益を提供します。

  • マルチリージョン デプロイを提供し、同じドメインで最大 5 つのリージョンをサポートします。

    • ユーザーとそれぞれのログイン サーバーをより近接させることで、レイテンシを短縮します。
  • NFSv4.1 実装の要件の POSIX RFC 2307RFC 2307bis をサポートします。

  • 一意識別子(UID)とグローバル一意識別子(GUID)のユーザー マッピングを自動化します。

  • ユーザーとグループは Managed Microsoft AD で作成することも、Managed Microsoft AD に移行することもできます。

  • 管理者は、現在のオンプレミスの、セルフマネージド Active Directory(AD)と LDAP ドメインで、ドメインの信頼を作成できます。このオプションでは、移行は不要です。

  • SLA を提供します。

アクセス制御とその他の動作

  • Filestore NFSv4.1 ACE は、Linux で次のコマンドを使用して管理されます。

    • nfs4_setfacl: ファイルまたはディレクトリの ACE を作成または編集します。
    • nfs4_getfacl: ファイルまたはディレクトリの ACE を一覧表示します。
  • 各 ACL は最大 50 個の ACE をサポートします。6 つのエントリは、クライアントの chmod オペレーションによって作成された自動生成 ACE 用に予約されています。これらの ACE は作成後に変更できます。

    モードビットを表す自動生成 ACE レコードは、次の優先順位で一覧表示されます。

    • OWNER@ に対して DENY and ALLOW ACEs
    • GROUP@ に対して DENY and ALLOW ACEs
    • DENY and ALLOW ACEsEVERYONE@

      このような ACE がすでに存在する場合は、再利用され、適用された新しいモードビットに従って変更されます。

  • Filestore NFSv4.1 は、POSIX モード RWX(読み取り、書き込み、実行)でのみ、必要なアクセスの確認をサポートしています。コンテンツまたは SETATTR 仕様を変更する write append オペレーションと write オペレーションは区別されません。nfs4_setfacl ユーティリティは、RWX をショートカットとして受け入れ、適切なフラグをすべて自動的にオンにします。

  • nfs4_getfacl は、プリンシパルの変換を単独で行うことはありません。nfs4_getfacl ユーティリティには、プリンシパルの数値 UIDGUID が表示されます。その結果、OWNER@GROUP@EVERYONE@ の特別なプリンシパルが表示されます。

  • Managed Microsoft AD を使用しているかどうかにかかわらず、AUTH-SYSnfs4_setfacl ユーティリティを使用する場合は、ユーザー名ではなく数値の UIDGUID を指定する必要があります。このユーティリティでは、名前をこれらの値に変換できません。正しく指定されていない場合、Filestore インスタンスはデフォルトで nobody ID になります。

  • ファイルの書き込み権限、または継承された ACE の影響を受けるファイルの書き込み権限を指定する場合は、ACE に w(書き込み)フラグと a(追加)フラグの両方を含める必要があります。

  • SETATTR の権限を確認すると、次のように POSIX に似たレスポンスが返されます。

    • スーパーユーザーまたは ROOT ユーザーは、あらゆる操作を行うことができます。
    • モードビット、ACL、タイムスタンプを特定の時間とグループ(ファイルが属する GUID など)に設定できるのは、ファイルのオーナーのみです。
    • ファイルのオーナー以外のユーザーは、ACL などの属性を表示できます。
  • 1 つの ACE には、有効な権限と継承専用の権限の両方が含まれます。他の NFSv4.1 実装とは異なり、Filestore は有効な ACE と継承専用 ACE を区別するために、継承された ACE を自動的に複製することはありません。

NFSv4.1 の制限事項

NFSv4.1 の制限事項のリストを次に示します。

  • NFSv4.1 プロトコルは、次の機能と組み合わせることはできません。

  • NFSv4.1 プロトコルは AUDIT and ALARM ACEs をサポートしていません。Filestore はデータアクセスの監査をサポートしていません。

  • 構成したら、Managed Microsoft AD とネットワーク ピアリングを削除しないでください。そうすると、クライアントにマウントされているときに Filestore 共有にアクセスできなくなり、データにアクセス不能になります。Google Cloud は、管理者またはユーザーの操作によって引き起こされた停止に対して責任を負いません。

  • 認証済みの Kerberos セキュリティ設定のいずれかを使用すると、操作のレイテンシが想定されます。レイテンシ率は、指定したサービス階層とセキュリティ設定によって異なります。セキュリティ レベルが上がるたびにレイテンシが増加します。

  • データアクセスの監査はサポートされていません。

  • Filestore NFSv4.1 ソリューションでは、RPCSEC_GSS 認証が必要です。この認証方式は、LDAPKerberos(両方が Managed Microsoft AD で利用可能)を使用してのみ実装されます。その他の認証メカニズムはサポートされていません。

  • 限定公開サービス アクセスのサポートがない。

  • Filestore インスタンスを共有 VPC を通じて Managed Microsoft AD に参加させる場合は、gcloud または Filestore API を使用する必要があります。Google Cloud コンソールを使用して、インスタンスを Managed Microsoft AD に参加させることはできません。

  • マネージド Microsoft AD のドメイン名は 56 文字以下にする必要があります。

  • エンタープライズ インスタンスを作成するには、Filestore API を使用してオペレーションを直接実行する必要があります。詳細については、サービスティアをご覧ください。

  • バックアップを復元する場合、新しいインスタンスはソース インスタンスと同じプロトコルを使用する必要があります。

次のステップ