Unterstützte Dateisystemprotokolle

Filestore unterstützt die folgenden Dateisystemprotokolle:

NFSv3

• Verfügbar in allen Dienststufen.
• Unterstützt die bidirektionale Kommunikation zwischen Client und Server.
  • Es werden mehrere Ports verwendet.
  • Erstellt einen Vertrauenskanal für Netzwerkverkehr und -funktionen.
• Bietet eine schnelle Einrichtung für den Standard-POSIX-Zugriff.

NFSv4.1

• Verfügbar in zonalen, regionalen und Dienststufen für Unternehmen.
• Kompatibel mit modernen Firewall-Konfigurationen und unterstützt Netzwerksicherheit Compliance-Anforderungen.
  • Die Kommunikation wird immer vom Client initiiert und durch einen einzelnen Serverport, 2049.
  • Unterstützt die Client- und Serverauthentifizierung.
    • Erfordert die RPCSEC_GSS-Authentifizierung, die mit LDAP und Kerberos implementiert wird. Beide sind im Managed Service for Microsoft Active Directory verfügbar.
    • Unterstützt LDAP und Kerberos für die Authentifizierung (krb5), Nachrichten Integritätsprüfungen (krb5i) und Verschlüsselung von Daten während der Übertragung (krb5p).
    • Bietet NFSv4.1-Datei-ACL-Unterstützung für Client und Server.

Jedes Protokoll eignet sich am besten für bestimmte Anwendungsfälle. In der folgenden Tabelle werden die Spezifikationen der einzelnen Protokolle verglichen:

Spezifikation	NFSv3	NFSv4.1
Unterstützte Dienststufen	Alle Dienststufen	Zonal, regional und für Unternehmen
Bidirektionale Kommunikation	Ja	Nein. Die Kommunikation wird immer vom Client über den Serverport 2049 initiiert.
Authentifizierung	Nein	Ja. Erfordert die RPCSEC_GSS-Authentifizierung, die mit LDAP und Kerberos implementiert wird. Beide sind im Managed Service for Microsoft Active Directory verfügbar.
Unterstützt Access Control Lists (ACLs) für Dateien oder Verzeichnisse	Nein	Ja. Unterstützt bis zu 50 ACEs (Access Control Entries) pro Liste.
Google Groups-Support	Bis zu 16 Gruppen	Unbegrenzte Gruppenunterstützung bei Verbindung mit Managed Microsoft AD.
Sicherheitseinstellung	sys. Erstellt einen Vertrauenskanal.	sys Erstellt einen vertrauenswürdigen Kanal. krb5. Authentifiziert den Client und den Server. krb5i. Bietet Authentifizierungs- und Nachrichtenintegritätsprüfungen.krb5p. Bietet Authentifizierung, Prüfung der Nachrichtenintegrität und Verschlüsselung von Daten während der Übertragung.
Vorgangslatenz	Keine	Die Latenz von Vorgängen erhöht sich mit der ausgewählten Sicherheitsstufe.
Wiederherstellungstyp	Zustandslos	Zustandsorientiert
Art der Dateisperrung	Network Lock Manager (NLM) Die Sperre wird vom Client gesteuert.	Lease-basierte richtlinienbasierte Sperrung Die Sperre wird vom Server gesteuert.
Unterstützt Clientfehler	Nein	Ja
Unterstützt den Zugriff auf private Dienste	Nein	Nein

Vorteile von NFSv3

Das NFSv3-Protokoll bietet eine schnelle Einrichtung für den standardmäßigen POSIX-Zugriff.

NFSv3-Einschränkungen

Im Folgenden finden Sie eine Liste der Einschränkungen für NFSv3:

• Es wird kein Zugriff auf private Dienste unterstützt.
• Es fehlt die Client- und Serverauthentifizierung und -verschlüsselung.
• Clientfehler werden nicht verarbeitet.

Vorteile von NFSv4.1

Das NFSv4.1-Protokoll verwendet die RPCSEC_GSS-Authentifizierung, die mit LDAP und Kerberos implementiert wird, um Client- und Serverauthentifizierung, Nachrichtenintegritätsprüfungen und die Verschlüsselung von Daten während der Übertragung bereitzustellen.

Diese Sicherheitsfunktionen machen das NFSv4.1-Protokoll mit modernen Compliance-Anforderungen an die Netzwerksicherheit kompatibel:

• Zur Vereinfachung der gesamten Kommunikation wird nur der Serverport 2049 verwendet. Firewall-Konfigurationen.

• Unterstützt NFSv4.1-Datei-ACLs (Access Control Lists).

  • Jede ACL unterstützt bis zu 50 Zugriffssteuerungseinträge (ACEs) pro Datei oder Verzeichnis. Dazu gehören auch Inventarlisten.

• Unterstützung für unbegrenzte Gruppen bei Verwendung der Managed Microsoft AD-Integration.

• Unterstützt eine bessere Behandlung von Clientfehlern mit leasebasierten Hinweissperren.

  • Der Client muss die fortlaufende Verbindung mit dem Server überprüfen. Wenn der Kunde Erneuert die Lease nicht, gibt der Server die Sperre frei und die Datei wird für jeden anderen Client verfügbar, der Zugriff über eine Sperrfreigabe anfordert. Wenn in NFSv3 ein Client gelöscht wird, der gesperrt ist, kann die Datei nicht auf die von einem anderen Client zugegriffen wird, z. B. von einem neuen GKE-Knoten.

• Unterstützt die zustandsorientierte Wiederherstellung.

  • Im Gegensatz zu NFSv3 ist NFSv4.1 ein TCP- und verbindungsbasiertes zustandsorientiertes Protokoll. Der Status des Clients und des Servers in der vorherigen Sitzung kann nach der Wiederherstellung fortgesetzt werden.

Managed Service for Microsoft Active Directory

Während Managed Service for Microsoft Active Directory (Managed Microsoft AD) keine strenge Anforderung, sondern ist die einzige von Google Cloud verwaltete Lösung, unterstützen sowohl LDAP als auch Kerberos. Filestore-NFSv4.1-Protokoll.

Administratoren wird dringend empfohlen, Managed Service for Microsoft Active Directory (Managed Microsoft AD) zur Implementierung und Verwaltung von LDAP und Kerberos.

Als von Google Cloud verwaltete Lösung bietet Managed Microsoft AD die folgenden Vorteile:

• Bietet eine Bereitstellung in mehreren Regionen mit Unterstützung für bis zu fünf Regionen in derselben Domain.

  • Reduziert die Latenz, da sichergestellt wird, dass sich die Nutzer und ihre jeweiligen Anmeldeserver befinden näher rücken.

• Unterstützt POSIX RFC 2307 und RFC 2307bis, Anforderungen für die NFSv4.1-Implementierung.

• Automatisiert Nutzer mit eindeutigen IDs (UID) und global eindeutiger Kennung (GUID) -Zuordnung.

• Nutzer und Gruppen können in Managed Microsoft AD erstellt oder dorthin migriert werden.

• Administratoren können eine Domain-Vertrauensstellung mit der aktuellen lokalen, selbst verwalteten Active Directory- (AD-) und LDAP-Domain erstellen. Bei dieser Option ist keine Migration erforderlich.

• Bietet ein SLA.

Zugriffssteuerung und weitere Verhaltensweisen

• Filestore NFSv4.1-ACEs werden unter Linux mit den folgenden Befehlen verwaltet:

  • nfs4_setfacl: Erstellen oder AdWords-Kampagnentests in einer Datei oder einem Verzeichnis bearbeiten
  • nfs4_getfacl: Listet die ACEs für eine Datei oder ein Verzeichnis auf.

• Jede ACL unterstützt bis zu 50 ACEs. Sechs Einträge sind für automatisch generierte ACEs reserviert, die von chmod-Vorgängen des Kunden erstellt wurden. Diese ACEs können nach dem Erstellen geändert werden.

  Die automatisch generierten ACE-Datensätze, die die Modus-Bits darstellen, werden in der folgende Priorität:

  • DENY and ALLOW ACEs für OWNER@
  • DENY and ALLOW ACEs für die GROUP@

  • DENY and ALLOW ACEs für EVERYONE@

    Wenn solche ACEs bereits vorhanden sind, werden sie wiederverwendet und gemäß den neuen angewandten Modusbits geändert.

• Filestore NFSv4.1 unterstützt die Prüfung des erforderlichen Zugriffs nur in POSIX-Modus RWX (Lesen, Schreiben und Ausführen). Es wird nicht zwischen write append- und write-Vorgänge, die den Inhalt oder SETATTR ändern Spezifikation zu ändern. Das Dienstprogramm nfs4_setfacl akzeptiert auch RWX als Verknüpfung und aktiviert automatisch alle entsprechenden Markierungen.

• Das nfs4_getfacl-Element übersetzt selbst keine Übersetzung des Hauptkontos. Die Das Dienstprogramm nfs4_getfacl zeigt die numerischen Werte UID und GUID für die Hauptkonten. Daher sind die speziellen Hauptkonten von OWNER@, GROUP@ und EVERYONE@ wird angezeigt.

• Unabhängig davon, ob Sie Managed Microsoft AD verwenden, AUTH-SYS und das nfs4_setfacl-Dienstprogramm verwenden, müssen Administratoren das die numerischen UID und GUID, nicht die Nutzernamen. Dieses Dienstprogramm kann Namen nicht in diese Werte umwandeln. Wenn die Angaben nicht korrekt sind, Die Filestore-Instanz verwendet standardmäßig die ID nobody.

• Beim Festlegen von Schreibberechtigungen für eine Datei oder sogar für Dateien, die von eine übernommene ACE muss sowohl w (Schreiben) als auch a (Anhängen) enthalten. Flags.

• Beim Prüfen der Berechtigungen für SETATTR sieht die zurückgegebene Antwort in etwa so aus: POSIX auf folgende Weise:

  • Der Superuser oder ROOT-Nutzer hat alle Berechtigungen.
  • Nur der Dateieigentümer kann die Modusbits, ACLs und Zeitstempel auf einen Bestimmte Zeit und Gruppe, z. B. eines der GUIDs, zu dem es gehört
  • Andere Nutzer als der Dateiinhaber können die Attribute, einschließlich der ACL, aufrufen.

• Ein einzelner ACE umfasst sowohl effektive als auch nur übernommene Berechtigungen. Entgegengesetzt anderen NFSv4.1-Implementierungen hinzugefügt, wird Filestore nicht automatisch übernommene AdWords-Kampagnentests replizieren, um zwischen effektiven und erben nur ACEs.

Einschränkungen von NFSv4.1

Im Folgenden finden Sie eine Liste der Einschränkungen für NFSv4.1:

• Das NFSv4.1-Protokoll kann nicht mit den folgenden Funktionen kombiniert werden:

  • Filestore-GKE-CSI-Treiber
  • Filestore-Mehrfachfreigaben für GKE

• AUDIT and ALARM ACEs wird vom NFSv4.1-Protokoll nicht unterstützt. Filestore unterstützt keine Datenzugriffsprüfung.

• Löschen Sie Managed Microsoft AD und Netzwerk-Peering nach der Konfiguration nicht. Dadurch ist die Filestore-Freigabe nicht zugänglich, während sie auf einem Client bereitgestellt wird, und Ihre Daten sind nicht zugänglich. Google Cloud haftet nicht für Ausfälle, die durch Administrator- oder Nutzeraktionen verursacht werden.

• Bei Verwendung einer der authentifizierten Kerberos-Sicherheitseinstellungen können Nutzer ist mit einer gewissen Vorgangslatenz zu rechnen. Latenzraten variieren je nach Dienststufe und Sicherheitseinstellung angegeben. Die Latenz nimmt mit jeder Erhöhung der Sicherheit zu

• Die Prüfung des Datenzugriffs wird nicht unterstützt.

• Für die Filestore NFSv4.1-Lösung ist die RPCSEC_GSS-Authentifizierung erforderlich. Diese Authentifizierungsmethode wird nur mit LDAP implementiert. und Kerberos in Managed Microsoft AD. Andere Authentifizierungsmechanismen werden nicht unterstützt.

• Es wird kein Zugriff auf private Dienste unterstützt.

• Wenn Sie möchten, dass eine Filestore-Instanz Managed Microsoft AD hinzugefügt wird über eine freigegebene VPC verwenden möchten, müssen Sie gcloud oder Filestore verwenden der API erstellen. Sie können die Instanz nicht über die Methode Google Cloud Console

• Der Domainname der verwalteten Microsoft AD-Instanz darf maximal 56 Zeichen lang sein.

• Wenn Sie eine Enterprise-Instanz erstellen möchten, müssen Sie die Vorgänge direkt über die Filestore API ausführen. Weitere Informationen finden Sie unter Dienststufen.

• Beim Wiederherstellen einer Sicherung muss die neue Instanz dasselbe Protokoll wie die Quellinstanz verwenden.

Nächste Schritte

• NFSv4.1-Protokoll konfigurieren