O Filestore é compatível com os seguintes protocolos do sistema de arquivos:
NFSv3
- Disponível em todos os níveis de serviço.
- Dá suporte à comunicação bidirecional entre o cliente e o servidor.
- Usa várias portas.
- Cria um canal de confiança para operações e tráfego de rede.
- Oferece configuração rápida para acesso no formato POSIX padrão.
NFSv4.1 (pré-lançamento)
- Disponível em níveis de serviço zonais, regionais e empresariais.
- Compatível com configurações modernas de firewall e com requisitos de conformidade de segurança de rede.
- A comunicação é sempre iniciada pelo cliente e sempre veiculada por
uma única porta de servidor,
2049. - Dá suporte à autenticação de cliente e servidor.
- Exige a autenticação RPCSEC_GSS, que é implementada com LDAP e Kerberos, ambos disponíveis no Serviço gerenciado para Microsoft Active Directory.
- Compatível com LDAP e Kerberos para autenticação (
krb5), verificações de integridade de mensagens (krb5i) e criptografia de dados em trânsito (krb5p). - Oferece suporte a ACLs de arquivos NFSv4.1 para o cliente e o servidor.
- A comunicação é sempre iniciada pelo cliente e sempre veiculada por
uma única porta de servidor,
Cada protocolo é mais adequado para casos de uso específicos. A tabela a seguir compara as especificações de cada protocolo:
| Especificação | NFSv3 | NFSv4.1 |
|---|---|---|
| Níveis de serviço compatíveis | Todos os níveis de serviço | Zonal, regional e empresarial |
| Comunicação bidirecional | Sim | Não. A comunicação sempre é iniciada pelo cliente usando a porta 2049 do servidor. |
| Autenticação | No | Sim. Requer autenticação RPCSEC_GSS, implementada com LDAP e Kerberos, ambos disponíveis no Serviço gerenciado para Microsoft Active Directory. |
| Compatível com listas de controle de acesso (ACLs) de arquivos ou diretórios | No | Sim. Suporta até 50 entradas de controle de acesso (ACEs, na sigla em inglês) por lista. |
| Suporte a grupos | Até 16 grupos | Suporte a grupos ilimitados quando conectado ao Microsoft AD gerenciado. |
| Configuração de segurança | sys. Cria um canal de confiança. |
sys. Cria um canal de confiança. krb5. Autentica o cliente e o servidor. krb5i. Fornece verificações de integridade de mensagens e autenticação.krb5p. Fornece autenticação, verificações de integridade de mensagens e criptografia de dados em trânsito. |
| Latência de operações | Nenhuma | A latência das operações aumenta com o nível de segurança selecionado. |
| Tipo de recuperação | Sem estado | Com estado |
| Tipo de bloqueio de arquivo | Gerenciador de bloqueio de rede (NLM, na sigla em inglês). O bloqueio é controlado pelo cliente. | Bloqueio de consultoria baseado em locação. O bloqueio é controlado pelo servidor. |
| Dá suporte a falhas de clientes | No | Sim |
| Compatível com a Conexão de serviços privados (PSC) | No | No |
Benefícios do NFSv3
O protocolo NFSv3 oferece configuração rápida para acesso POSIX padrão.
Limitações do NFSv3
Veja a seguir uma lista das limitações do NFSv3:
- Não é compatível com a Conexão de serviços particulares (PSC, na sigla em inglês).
- Não tem autenticação nem criptografia de cliente e servidor.
- Não tem tratamento de falhas do cliente.
Benefícios do NFSv4.1
O protocolo NFSv4.1 usa o método Autenticação RPCSEC_GSS, que é implementado com LDAP e Kerberos para autenticação de cliente e servidor, verificações de integridade de mensagens e criptografia de dados em trânsito.
Esses recursos de segurança tornam o protocolo NFSv4.1 compatível com os requisitos modernos de conformidade de segurança de rede:
Usa uma única porta de servidor,
2049, para toda a comunicação, ajudando a simplificar as configurações de firewall.Suporte a grupos ilimitados ao usar a integração do Microsoft AD gerenciado.
Oferece suporte a um melhor tratamento das falhas do cliente com o bloqueio de consultoria baseado em locação.
- O cliente precisa verificar a conexão contínua com o servidor. Se o cliente não renovar a alocação, o servidor liberará o bloqueio, e o arquivo será disponibilizado para qualquer outro cliente que solicitar acesso. No NFSv3, se um cliente for excluído enquanto estiver bloqueado, o arquivo não poderá ser acessado por outro cliente, como um novo nó do GKE.
Oferece suporte à recuperação com estado.
- Ao contrário do NFSv3, o NFSv4.1 é um protocolo com estado baseado em TCP e conexão. O estado do cliente e do servidor na sessão anterior pode ser retomado após a recuperação.
Serviço gerenciado para Microsoft Active Directory
Embora o Serviço gerenciado para o Microsoft Active Directory (Microsoft AD gerenciado) não seja um requisito restrito, é a única solução gerenciada pelo Google Cloud que oferece suporte ao LDAP e ao Kerberos, ambos requisitos para o protocolo NFSv4.1 do Filestore.
É altamente recomendável que os administradores usem o Managed Service para Microsoft Active Directory (Managed Microsoft AD) para implementar e gerenciar o LDAP e o Kerberos.
Como uma solução gerenciada pelo Google Cloud, o Microsoft AD gerenciado oferece os seguintes benefícios:
Oferece implantação multirregional, com suporte para até cinco regiões no mesmo domínio.
- reduz a latência, garantindo que os usuários e os respectivos servidores de login estejam mais próximos;
Oferece suporte aos requisitos POSIX RFC 2307 e RFC 2307bis (links em inglês), para a implementação do NFSv4.1.
Automatiza o mapeamento de usuários dos identificadores exclusivos (UID, na sigla em inglês) e do identificador globalmente exclusivo (GUID).
É possível criar ou migrar usuários e grupos para o Microsoft AD gerenciado.
Os administradores podem criar uma confiança de domínio com o domínio local atual, autogerenciado, do Active Directory (AD) e do LDAP. Com essa opção, a migração não é necessária.
Fornece um SLA.
Limitações do NFSv4.1
Veja a seguir uma lista das limitações do NFSv4.1:
O protocolo NFSv4.1 não pode ser combinado com os seguintes recursos:
Depois de configurado, não exclua o Microsoft AD gerenciado e o peering de rede. Isso faz com que o compartilhamento do Filestore fique inacessível enquanto estiver montado em um cliente, tornando seus dados inacessíveis. O Google Cloud não é responsável por interrupções causadas por ações do administrador ou do usuário.
Ao usar qualquer uma das configurações de segurança autenticadas do Kerberos, os usuários podem esperar alguma latência das operações. As taxas de latência variam de acordo com o nível de serviço e a configuração de segurança. A latência aumenta a cada aumento do nível de segurança.
Não há suporte para auditoria de acesso a dados.
A solução NFSv4.1 do Filestore requer a autenticação RPCSEC_GSS. Esse método de autenticação só é implementado com o uso de LDAP e Kerberos, ambos disponíveis no Microsoft AD gerenciado. Outros mecanismos de autenticação não são compatíveis.
Não é compatível com a Conexão de serviços particulares (PSC, na sigla em inglês).
Se você quiser que uma instância do Filestore se junte ao Microsoft AD gerenciado por meio de uma VPC compartilhada, use
gcloudou a API Filestore. Não é possível mesclar a instância ao Microsoft AD gerenciado usando o console do Google Cloud.O nome de domínio do Microsoft AD gerenciado não pode exceder 56 caracteres.
Para criar uma instância corporativa, execute as operações diretamente pela API Filestore. Para mais informações, consulte Níveis de serviço.