Filestore は、次のファイル システム プロトコルをサポートしています。
NFSv3
- すべてのサービス階層で利用可能
- クライアントとサーバー間の双方向通信をサポートします。
- 複数のポートを使用します。
- ネットワーク トラフィックとオペレーションの信頼チャネルを作成します。
- 標準 POSIX アクセスのセットアップが簡単です。
NFSv4.1(プレビュー)
- ゾーン、リージョン、エンタープライズのサービスティアで利用できます。
- 最新のファイアウォール構成と互換性があり、ネットワーク セキュリティ コンプライアンス要件をサポートしています。
- 通信は常にクライアントによって開始され、常に単一のサーバーポート
2049を介して提供されます。 - クライアントとサーバーの認証をサポートします。
- LDAP と Kerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。
- 認証(
krb5)、メッセージ完全性チェック(krb5i)、転送中のデータ暗号化(krb5p)に対して LDAP と Kerberos をサポートします。 - クライアントとサーバーに NFSv4.1 ファイルの ACL サポートを提供します。
- 通信は常にクライアントによって開始され、常に単一のサーバーポート
各プロトコルは、特定のユースケースに最適です。次の表は、各プロトコルの仕様を比較したものです。
| 仕様 | NFSv3 | NFSv4.1 |
|---|---|---|
| サポートされているサービスティア | すべてのサービス階層 | ゾーン、リージョン、エンタープライズ |
| 双方向通信 | ○ | いいえ。通信は常に、クライアントによってサーバーポート 2049 を使用して開始されます。 |
| 認証 | いいえ | はい。LDAP と Kerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。 |
| ファイルまたはディレクトリのアクセス制御リスト(ACL)をサポートする | いいえ | はい。リストごとに最大 50 個のアクセス制御エントリ(ACE)をサポートします。 |
| グループのサポート | 最大 16 個のグループ | Managed Microsoft AD に接続すると、無制限のグループをサポート。 |
| セキュリティ設定 | sys。信頼チャネルを作成します。 |
sys。信頼チャネルを作成します。krb5。クライアントとサーバーを認証します。krb5i。認証とメッセージ完全性チェックを行います。krb5p。認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。 |
| オペレーションのレイテンシ | なし | オペレーションのレイテンシは、選択したセキュリティ レベルによって増加します。 |
| 復元の種類 | ステートレス | ステートフル |
| ファイルのロック形式 | ネットワーク ロック マネージャー(NLM)。ロックはクライアントによって制御されます。 | リースベースのアドバイザリ ロック。ロックはサーバーによって制御されます。 |
| クライアントの障害をサポートする | いいえ | ○ |
| プライベート サービス接続(PSC)をサポートする | いいえ | いいえ |
NFSv3 の便益
NFSv3 プロトコルを使用すると、標準の POSIX アクセスを簡単に設定できます。
NFSv3 の制限事項
NFSv3 の制限事項のリストを次に示します。
- Private Service Connection(PSC)のサポートがない。
- クライアントとサーバーの認証と暗号化がない。
- クライアントの障害処理がない。
NFSv4.1 の便益
NFSv4.1 プロトコルでは、RPCSEC_GSS 認証方式を使用します。これは、LDAP と Kerberos を使用して実装され、クライアントとサーバーの認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。
これらのセキュリティ機能によって、NFSv4.1 プロトコルは最新のネットワーク セキュリティ コンプライアンス要件との互換性があります。
すべての通信に単一のサーバーポート
2049を使用するため、ファイアウォール構成を簡素化できます。Managed Microsoft AD 統合を使用する場合の無制限グループ サポート。
リースベースのアドバイザリ ロックによって、クライアントの障害処理を改善します。
- クライアントは、サーバーとの継続的な接続を確認する必要があります。クライアントがリースを更新しない場合、サーバーはロックを解放し、ロックのリースを通じてアクセスをリクエストしている他のクライアントがファイルを利用できるようになります。NFSv3 では、ロック中にクライアントを削除すると、新しい GKE ノードなどの別のクライアントによってファイルがアクセスできなくなります。
ステートフル リカバリをサポートします。
- NFSv3 とは異なり、NFSv4.1 は、TCP ベースと接続ベースのステートフル プロトコルです。復元後、前のセッションのクライアントとサーバーの状態を再開できます。
Managed Service for Microsoft Active Directory
Managed Service for Microsoft Active Directory(Managed Microsoft AD)は厳格な要件ではありませんが、LDAP と Kerberos (両方が Filestore NFSv4.1 プロトコルの要件)の両方をサポートする唯一の Google Cloud マネージド ソリューションです。
管理者は、LDAP と Kerberos を実装して管理するために、Managed Service for Microsoft Active Directory(Managed Microsoft AD)を使用することを強くおすすめします。
Google Cloud マネージド ソリューションとして、Managed Microsoft AD には次の便益を提供します。
マルチリージョン デプロイを提供し、同じドメインで最大 5 つのリージョンをサポートします。
- ユーザーとそれぞれのログイン サーバーをより近接させることで、レイテンシを短縮します。
NFSv4.1 実装の要件の POSIX RFC 2307 と RFC 2307bis をサポートします。
一意識別子(UID)とグローバル一意識別子(GUID)のユーザー マッピングを自動化します。
ユーザーとグループは Managed Microsoft AD で作成することも、Managed Microsoft AD に移行することもできます。
管理者は、現在のオンプレミスの、セルフマネージド Active Directory(AD)と LDAP ドメインで、ドメインの信頼を作成できます。このオプションでは、移行は不要です。
SLA を提供します。
NFSv4.1 の制限事項
NFSv4.1 の制限事項のリストを次に示します。
NFSv4.1 プロトコルを次の機能と組み合わせることはできません。
構成したら、Managed Microsoft AD とネットワーク ピアリングを削除しないでください。そうすると、クライアントにマウントされているときに Filestore 共有にアクセスできなくなり、データにアクセス不能になります。Google Cloud は、管理者またはユーザーの操作によって引き起こされた停止に対して責任を負いません。
認証済みの Kerberos セキュリティ設定のいずれかを使用すると、操作のレイテンシが想定されます。レイテンシ率は、指定したサービス階層とセキュリティ設定によって異なります。セキュリティ レベルが上がるたびにレイテンシが増加します。
データアクセスの監査はサポートされていません。
Filestore NFSv4.1 ソリューションでは、RPCSEC_GSS 認証が必要です。この認証方式は、LDAP と Kerberos(両方が Managed Microsoft AD で利用可能)を使用してのみ実装されます。その他の認証メカニズムはサポートされていません。
Private Service Connection(PSC)のサポートがない。
Filestore インスタンスを共有 VPC を通じて Managed Microsoft AD に参加させる場合は、
gcloudまたは Filestore API を使用する必要があります。Google Cloud コンソールを使用して、インスタンスを Managed Microsoft AD に参加させることはできません。マネージド Microsoft AD のドメイン名は 56 文字以下にする必要があります。
エンタープライズ インスタンスを作成するには、Filestore API を使用してオペレーションを直接実行する必要があります。詳細については、サービスティアをご覧ください。