Filestore admite los siguientes protocolos de sistema de archivos:
NFSv3
- Disponible en todos los niveles de servicio.
- Admite la comunicación bidireccional entre el cliente y el servidor.
- Utiliza varios puertos.
- Crea un canal de confianza para el tráfico y las operaciones de red.
- Ofrece una configuración rápida para el acceso POSIX estándar.
NFSv4.1 (Vista previa)
- Disponible en niveles de servicio empresariales y zonales.
- Es compatible con configuraciones de firewall modernas y requisitos de cumplimiento de seguridad de red.
- El cliente siempre inicia la comunicación y siempre se entrega a través de un único puerto de servidor,
2049. - Admite la autenticación de clientes y servidores.
- Requiere autenticación de RPCSEC_GSS, que se implementa mediante LDAP y Kerberos, ambos disponibles en el servicio administrado para Microsoft Active Directory.
- Admite LDAP y Kerberos para la autenticación (
krb5), las verificaciones de integridad de los mensajes (krb5i) y la encriptación de datos en tránsito (krb5p). - Ofrece compatibilidad con LCA de archivos NFSv4.1 para el cliente y el servidor.
- El cliente siempre inicia la comunicación y siempre se entrega a través de un único puerto de servidor,
Cada protocolo se adapta mejor a casos de uso específicos. En la siguiente tabla, se comparan las especificaciones de cada protocolo:
| Especificación | NFSv3 | NFSv4.1 |
|---|---|---|
| Niveles de servicio admitidos | Todos los niveles de servicio | Empresas y zonales |
| Comunicación bidireccional | Sí | No. El cliente siempre inicia la comunicación mediante el puerto del servidor 2049. |
| Autenticación | No | Sí. Requiere autenticación de RPCSEC_GSS, implementada mediante LDAP y Kerberos, ambos disponibles en el servicio administrado para Microsoft Active Directory. |
| Admite Listas de control de acceso (LCA) a archivos o directorios | No | Sí. Admite hasta 50 entradas de control de acceso (ACE) por lista. |
| Compatibilidad con los grupos | Hasta 16 grupos | Se admiten grupos ilimitados cuando se conecta a Microsoft AD administrado. |
| Configuración de seguridad | sys. Crea un canal de confianza. |
sys. Crea un canal de confianza. krb5. Autentica el cliente y el servidor. krb5i. Proporciona verificaciones de autenticación y de integridad de los mensajes.krb5p Proporciona autenticación, verificaciones de integridad de mensajes y encriptación de datos en tránsito. |
| Latencia de operaciones | Ninguno | La latencia de las operaciones aumenta con el nivel de seguridad seleccionado. |
| Tipo de recuperación | Sin estado | Con estado |
| Tipo de bloqueo de archivos | Network Lock Manager (NLM). El cliente controla el bloqueo. | Bloqueo de aviso basado en asignaciones de tiempo El servidor controla el bloqueo. |
| Es compatible con las fallas de los clientes. | No | Sí |
| Admite conexión a servicios privados (PSC) | No | No |
Beneficios de NFSv3
El protocolo NFSv3 ofrece una configuración rápida para el acceso POSIX estándar.
Limitaciones de NFSv3
La siguiente es una lista de limitaciones de NFSv3:
- No es compatible con la conexión a servicios privados (PSC).
- No tiene autenticación ni encriptación de clientes y servidores.
- No tiene control de fallas del cliente.
Beneficios de NFSv4.1
El protocolo NFSv4.1 usa el método de autenticación RPCSEC_GSS, que se implementa mediante LDAP y Kerberos para proporcionar autenticación de cliente y servidor, verificaciones de integridad de mensajes y encriptación de datos en tránsito.
Estas funciones de seguridad hacen que el protocolo NFSv4.1 sea compatible con los requisitos de cumplimiento de seguridad de red modernos:
Usa un solo puerto de servidor,
2049, para todas las comunicaciones, lo que ayuda a simplificar la configuración de firewall.Compatibilidad con grupos ilimitados cuando se usa la integración de Microsoft AD administrado.
Admite un mejor manejo de las fallas del cliente con el bloqueo de asesoría basado en asignaciones de tiempo.
- El cliente debe verificar la conexión continua con el servidor. Si el cliente no renueva la asignación de tiempo, el servidor libera el bloqueo y el archivo queda disponible para cualquier otro cliente que solicite acceso mediante una asignación de tiempo de bloqueo. En NFSv3, si un cliente se borra mientras está bloqueado, otro cliente no puede acceder al archivo, como un nodo de GKE nuevo.
Admite la recuperación con estado.
- A diferencia de NFSv3, NFSv4.1 es un protocolo con estado basado en TCP y conexión. El estado del cliente y del servidor en la sesión anterior se puede reanudar después de la recuperación.
Servicio administrado para Microsoft Active Directory
Si bien el servicio administrado para Microsoft Active Directory (Microsoft AD administrado) no es un requisito estricto, es la única solución administrada por Google Cloud que admite LDAP y Kerberos, los cuales son requisitos para el protocolo NFSv4.1 de Filestore.
Se recomienda encarecidamente que los administradores usen el servicio administrado para Microsoft Active Directory (Microsoft AD administrado) a fin de implementar y administrar LDAP y Kerberos.
Como solución administrada por Google Cloud, Microsoft AD administrado proporciona los siguientes beneficios:
Ofrece implementación multirregional, que admite hasta cinco regiones en el mismo dominio.
- Reduce la latencia, ya que garantiza que los usuarios y sus respectivos servidores de acceso estén más cerca.
Admite POSIX RFC 2307 y RFC 2307bis, requisitos para la implementación de NFSv4.1.
Automatiza la asignación de usuarios de identificadores únicos (UID) y de identificadores únicos globales (GUID).
Los usuarios y grupos se pueden crear o migrar a Microsoft AD administrado.
Los administradores pueden crear una confianza de dominio con el dominio local actual autoadministrado de Active Directory (AD) y LDAP. Con esta opción, no es necesaria la migración.
Proporciona un ANS.
Limitaciones de NFSv4.1
La siguiente es una lista de limitaciones de NFSv4.1:
No se puede combinar el protocolo NFSv4.1 con las siguientes funciones:
Una vez configurado, no borres Microsoft AD administrado ni el intercambio de tráfico entre redes. Si lo haces, el recurso compartido de Filestore será inaccesible mientras esté activado en un cliente, lo que hace que los datos sean inaccesibles. Google Cloud no es responsable de las interrupciones que causan las acciones del administrador o el usuario.
Cuando se usa cualquiera de las configuraciones de seguridad autenticadas de Kerberos, los usuarios pueden esperar cierta latencia de operaciones. Las tasas de latencia varían según el nivel de servicio y la configuración de seguridad especificados. La latencia aumenta con cada nivel de seguridad que aumenta.
No se admite la auditoría de acceso a los datos.
La solución Filestore NFSv4.1 requiere autenticación RPCSEC_GSS. Este método de autenticación solo se implementa mediante LDAP y Kerberos, ambos disponibles en Microsoft AD administrado. No se admiten otros mecanismos de autenticación.
No es compatible con la conexión a servicios privados (PSC).
Si quieres que una instancia de Filestore se una a Microsoft AD administrado a través de una VPC compartida, debes usar
gcloudo la API de Filestore. No puedes unir la instancia a Microsoft AD administrado con Google Cloud Console.El nombre de dominio de Microsoft AD administrado no debe superar los 56 caracteres.