Filestore 支持以下文件系统协议:
NFSv3
- 适用于所有服务层级。
- 支持客户端和服务器之间的双向通信。
- 使用多个端口。
- 为网络流量和操作创建信任通道。
- 为标准 POSIX 访问提供快速设置。
NFSv4.1(预览版)
- 适用于企业和可用区级服务层级。
- 与现代防火墙配置兼容,并支持网络安全合规性要求。
- 通信始终由客户端启动,并始终通过单个服务器端口
2049传送。 - 支持客户端和服务器身份验证。
- 要求使用 LDAP 和 Kerberos 实现的 RPCSEC_GSS 身份验证,这两项服务均在 Managed Service for Microsoft Active Directory 中提供。
- 支持使用 LDAP 和 Kerberos 进行身份验证 (
krb5)、消息完整性检查 (krb5i) 和传输中数据加密 (krb5p)。 - 为客户端和服务器提供 NFSv4.1 文件 ACL 支持。
- 通信始终由客户端启动,并始终通过单个服务器端口
每种协议都最适合特定用例。下表比较了每种协议的规范:
| 规范 | NFSv3 | NFSv4.1 |
|---|---|---|
| 支持的服务层级 | 所有服务层级 | 企业和可用区级 |
| 双向通信 | 是 | 不会。始终由客户端使用服务器端口 2049 发起通信。 |
| Authentication | 否 | 可以。需要进行 RPCSEC_GSS 身份验证(使用 LDAP 和 Kerberos 实现),这两项服务均在 Managed Service for Microsoft Active Directory 中提供。 |
| 支持文件或目录访问控制列表 (ACL) | 否 | 可以。每个列表最多支持 50 个访问控制条目 (ACE)。 |
| 网上论坛支持 | 最多 16 个群组 | 连接到代管式 Microsoft AD 时,群组支持无限制。 |
| 安全设置 | sys:创建信任通道。 |
sys:创建信任通道。krb5。对客户端和服务器进行身份验证。krb5i。提供身份验证和消息完整性检查。krb5p。提供身份验证、消息完整性检查和传输中数据加密功能。 |
| 操作延迟时间 | 无 | 选择安全等级后,操作延迟时间会增加。 |
| 恢复类型 | 无状态 | 有状态 |
| 文件锁定类型 | Network Lock Manager (NLM)。锁定由客户端控制。 | 基于租约的咨询锁定。锁由服务器控制。 |
| 支持客户端故障 | 否 | 是 |
| 支持专用服务连接 (PSC) | 否 | 否 |
NFSv3 的优势
NFSv3 协议为标准 POSIX 访问提供快速设置。
NFSv3 限制
以下是 NFSv3 限制列表:
- 缺乏对专用服务连接 (PSC) 的支持。
- 缺少客户端和服务器身份验证和加密。
- 缺乏客户端故障处理能力。
NFSv4.1 的优势
NFSv4.1 协议使用 RPCSEC_GSS 身份验证方法,该方法使用 LDAP 和 Kerberos 实现,以提供客户端和服务器身份验证、消息完整性检查以及传输数据加密。
以下安全功能使 NFSv4.1 协议兼容现代网络安全合规性要求:
所有通信使用单个服务器端口
2049,帮助简化防火墙配置。使用 Managed Microsoft AD 集成时,群组支持无限制。
通过基于租期的咨询锁定,支持更好的客户端故障处理。
- 客户端必须验证与服务器是否持续连接。如果客户端未续订租约,服务器会释放锁,这样文件便可供通过锁租约请求访问权限的任何其他客户端使用。在 NFSv3 中,如果客户端在处于锁定状态时被删除,则其他客户端(例如新的 GKE 节点)无法访问该文件。
支持有状态恢复。
- 与 NFSv3 不同,NFSv4.1 是基于 TCP 和基于连接的有状态协议。恢复后,可以恢复上一个会话中客户端和服务器的状态。
Managed Service for Microsoft Active Directory
虽然 Managed Service for Microsoft Active Directory (Managed Microsoft AD) 不是严格的要求,但它是唯一同时支持 LDAP 和 Kerberos 的 Google Cloud 代管式解决方案,这两者都是 Filestore NFSv4.1 协议的要求。
强烈建议管理员使用 Managed Service for Microsoft Active Directory (Managed Microsoft AD) 来实现和管理 LDAP 和 Kerberos。
作为 Google Cloud 代管式解决方案,Managed Microsoft AD 具有以下优势:
提供多区域部署,最多支持同一网域中的五个区域。
- 通过确保用户及其各自的登录服务器更靠近来缩短延迟时间。
支持 POSIX RFC 2307 和 RFC 2307bis,NFSv4.1 的实现要求如下。
自动执行唯一标识符 (UID) 和全局唯一标识符 (GUID) 用户映射。
您可以在 Managed Microsoft AD 中创建用户和群组或将其迁移到 Managed Microsoft AD。
管理员可以使用当前的本地、自行管理、Active Directory (AD) 和 LDAP 网域创建网域信任。使用此选项时,无需进行迁移。
提供服务等级协议 (SLA)。
NFSv4.1 限制
以下是 NFSv4.1 限制列表:
NFSv4.1 协议不能与以下功能结合使用:
配置后,请勿删除 Managed Microsoft AD 和 网络对等互连。这样做会导致 Filestore 共享在客户端上装载时无法访问,从而使数据无法访问。对于因管理员或用户操作而导致的服务中断,Google Cloud 概不负责。
使用任何经过身份验证的 Kerberos 安全设置时,用户可能会遇到一些操作延迟。延迟时间率因指定的服务层级和安全设置而异。延迟时间会随着安全等级的提高而增加。
不支持数据访问审核。
Filestore NFSv4.1 解决方案需要 RPCSEC_GSS 身份验证。此身份验证方法仅使用 LDAP 和 Kerberos 实现,这两者均在代管式 Microsoft AD 中提供。不支持其他身份验证机制。
缺乏对专用服务连接 (PSC) 的支持。
如果您希望 Filestore 实例通过共享 VPC 加入 Managed Microsoft AD,则必须使用
gcloud或 Filestore API。您无法使用 Google Cloud 控制台将实例加入 Managed Microsoft AD。代管式 Microsoft AD 域名不得超过 56 个字符。