Filestore mendukung protokol sistem file berikut:
NFSv3
- Tersedia di semua tingkat layanan.
- Mendukung komunikasi dua arah antara klien dan server.
- Menggunakan banyak port.
- Membuat saluran kepercayaan untuk traffic dan operasi jaringan.
- Menawarkan penyiapan cepat untuk akses POSIX standar.
NFSv4.1 (Pratinjau)
- Tersedia dalam tingkat layanan perusahaan dan zona.
- Kompatibel dengan konfigurasi firewall modern dan mendukung persyaratan kepatuhan keamanan jaringan.
- Komunikasi selalu dimulai oleh klien dan selalu disalurkan melalui
port server tunggal,
2049
. - Mendukung autentikasi klien dan server.
- Memerlukan RPCSEC_GSS Authentication yang diterapkan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Layanan Terkelola untuk Microsoft Active Directory.
- Mendukung LDAP dan Kerberos untuk autentikasi (
krb5
), pemeriksaan integritas pesan (krb5i
), dan enkripsi data selama pengiriman (krb5p
). - Menawarkan dukungan ACL file NFSv4.1 untuk klien dan server.
- Komunikasi selalu dimulai oleh klien dan selalu disalurkan melalui
port server tunggal,
Setiap protokol paling cocok untuk kasus penggunaan tertentu. Tabel berikut membandingkan spesifikasi setiap protokol:
Spesifikasi | NFSv3 | NFSv4.1 |
---|---|---|
Tingkat layanan yang didukung | Semua tingkat layanan | Enterprise dan zona |
Komunikasi dua arah | Ya | Tidak. Komunikasi selalu dimulai oleh klien menggunakan port server 2049 . |
Authentication | Tidak | Ya. Memerlukan RPCSEC_GSS Authentication, yang diterapkan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Layanan Terkelola untuk Microsoft Active Directory. |
Mendukung Daftar Kontrol Akses file atau direktori (ACL) | Tidak | Ya. Mendukung hingga 50 Entri Kontrol Akses (ACE) per daftar. |
Dukungan Grup | Hingga 16 grup | Dukungan grup tanpa batas saat terhubung ke Microsoft AD Terkelola. |
Setelan keamanan | sys . Membuat saluran kepercayaan. |
sys . Membuat saluran kepercayaan. krb5 . Mengautentikasi klien dan server. krb5i . Menyediakan autentikasi dan pemeriksaan integritas pesan.krb5p . Menyediakan autentikasi, pemeriksaan integritas pesan, dan enkripsi data selama pengiriman. |
Latensi operasi | Tidak ada | Latensi operasi akan meningkat seiring dengan tingkat keamanan yang dipilih. |
Jenis pemulihan | Stateless | Stateful |
Jenis penguncian file | Network Lock Manager (NLM). Kunci dikontrol oleh klien. | Penguncian saran berbasis sewa. Kunci dikontrol oleh server. |
Mendukung kegagalan klien | Tidak | Ya |
Mendukung koneksi layanan pribadi (PSC) | Tidak | Tidak |
Manfaat NFSv3
Protokol NFSv3 menawarkan penyiapan cepat untuk akses POSIX standar.
Batasan NFSv3
Berikut adalah daftar batasan NFSv3:
- Tidak memiliki dukungan untuk koneksi layanan pribadi (PSC).
- Kurangnya enkripsi dan autentikasi klien dan server.
- Kurangnya penanganan kegagalan klien.
Manfaat NFSv4.1
Protokol NFSv4.1 menggunakan metode RPCSEC_GSS Authentication, yang diimplementasikan menggunakan LDAP dan Kerberos untuk menyediakan autentikasi klien dan server, pemeriksaan integritas pesan, dan enkripsi data selama pengiriman.
Kemampuan keamanan ini membuat protokol NFSv4.1 kompatibel dengan persyaratan kepatuhan keamanan jaringan modern:
Menggunakan port server tunggal,
2049
, untuk semua komunikasi, yang membantu menyederhanakan konfigurasi firewall.Dukungan grup tanpa batas saat menggunakan integrasi Microsoft AD Terkelola.
Mendukung penanganan kegagalan klien yang lebih baik dengan penguncian penasihat berbasis sewa.
- Klien harus memverifikasi koneksi berkelanjutan dengan server. Jika klien tidak memperpanjang lease, server akan melepaskan kunci dan file akan tersedia untuk klien lain yang meminta akses melalui lease kunci. Di NFSv3, jika klien dihapus saat terkunci, file tidak dapat diakses oleh klien lain, seperti node GKE baru.
Mendukung pemulihan stateful.
- Tidak seperti NFSv3, NFSv4.1 adalah protokol stateful berbasis TCP dan koneksi. Status klien dan server di sesi sebelumnya dapat dilanjutkan setelah pemulihan.
Layanan Terkelola untuk Microsoft Active Directory
Meskipun Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) bukan persyaratan yang ketat, solusi ini adalah satu-satunya solusi yang dikelola Google Cloud untuk mendukung LDAP dan Kerberos, yang keduanya merupakan persyaratan untuk protokol Filestore NFSv4.1.
Administrator sangat dianjurkan untuk menggunakan Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) untuk menerapkan dan mengelola LDAP dan Kerberos.
Sebagai solusi yang dikelola Google Cloud, Microsoft AD Terkelola memberikan manfaat berikut:
Menawarkan deployment multiregion, yang mendukung hingga lima region di domain yang sama.
- Mengurangi latensi dengan memastikan pengguna dan server login masing-masing berada dalam jarak yang lebih dekat.
Mendukung persyaratan POSIX RFC 2307 dan RFC 2307bis, untuk implementasi NFSv4.1.
Mengotomatiskan pemetaan pengguna ID unik (UID) dan ID unik global (GUID).
Pengguna dan grup dapat dibuat atau dimigrasikan ke Microsoft AD Terkelola.
Administrator dapat membuat kepercayaan domain dengan domain lokal, yang dikelola sendiri, Active Directory (AD), dan domain LDAP yang ada saat ini. Dengan opsi ini, migrasi tidak diperlukan.
Menyediakan SLA.
Batasan NFSv4.1
Berikut adalah daftar batasan NFSv4.1:
Protokol NFSv4.1 tidak dapat digabungkan dengan fitur berikut:
Setelah dikonfigurasi, jangan hapus Microsoft AD Terkelola dan peering jaringan. Jika demikian, berbagi Filestore tidak dapat diakses saat dipasang pada klien, sehingga data Anda tidak dapat diakses. Google Cloud tidak bertanggung jawab atas pemadaman layanan yang disebabkan oleh administrator atau tindakan pengguna.
Saat menggunakan salah satu setelan keamanan Kerberos yang diautentikasi, pengguna dapat memperkirakan beberapa latensi operasi. Tarif latensi bervariasi menurut tingkat layanan dan setelan keamanan yang ditentukan. Latensi meningkat seiring dengan meningkatnya tingkat keamanan.
Audit akses data tidak didukung.
Solusi Filestore NFSv4.1 memerlukan RPCSEC_GSS Authentication. Metode autentikasi ini hanya diimplementasikan menggunakan LDAP dan Kerberos, keduanya tersedia di Microsoft AD Terkelola. Mekanisme autentikasi lainnya tidak didukung.
Tidak memiliki dukungan untuk koneksi layanan pribadi (PSC).
Jika Anda ingin instance Filestore bergabung dengan Microsoft AD Terkelola melalui VPC Bersama, Anda harus menggunakan
gcloud
atau Filestore API. Anda tidak dapat menggabungkan instance ke Microsoft AD Terkelola menggunakan Konsol Google Cloud.Nama domain Microsoft AD Terkelola tidak boleh melebihi 56 karakter.