此页面由 Cloud Translation API 翻译。

访问权限控制

本页面介绍如何控制对 Filestore 实例的访问权限。

Filestore 不支持 Kerberos 来保护对 Filestore 实例的访问。您可以使用 Linux 选项来控制 NFS 访问以及 Identity and Access Management (IAM) 以控制对实例操作（例如创建、修改、查看和删除实例）的访问权限。

文件共享导出设置

Filestore 文件共享分配有以下默认 /etc/exports 设置：

客户端列表（用于标识允许连接到文件共享的客户端）包含您为 Filestore 实例选择的 VPC 网络中的每个内部 IP 地址。内部 IP 地址可以是子网范围中列出的任何范围。但是，如果您的客户端在非 RFC 1918 子网范围内，则必须使用基于 IP 的访问权限控制明确授予客户端对 Filestore 实例的访问权限。
使用了 rw 选项，因此文件共享允许读写操作。
使用了用户 ID 映射选项 no_root_squash，因此 Filestore 实例和客户端上的所有用户和群组（包括 root 用户）都应该是相同的。
所有其他选项均使用 /etc/exports 默认值。

基本层级实例

基本 SSD 和基本 HDD 实例会创建一个标记为 /config/google-prober 的导出共享，用于帮助支持内部探测流程，从而验证访问权限、耐用性或性能。使用与上文相同的设置，将该共享导出至可供实例 IP 地址访问的客户端列表。此共享只能由实例上托管或源自实例的探测器访问，并且在实例外部无法访问。无论是否应用基于 IP 的访问权限控制，实例都会导出份额。用户可以使用 showmount -e 命令查看导出的共享内容。

基于 IP 的访问权限控制

如需更改这些导出设置，您可以使用 Google Cloud 控制台创建访问权限控制规则，也可以在创建实例时使用 gcloud CLI 指定 JSON 配置文件。如需了解详情，请参阅配置基于 IP 的访问权限控制。

您还可以在创建实例后添加新的访问权限控制规则或修改现有规则。如需了解详情，请参阅修改实例。

文件共享权限

创建 Filestore 实例时，该实例的文件共享具有默认的 POSIX 文件权限 rwxr-xr-x。这些权限意味着在 Filestore 实例上，只有连接的客户端上的 root 用户才拥有文件共享的读/写权限。其他用户默认只具有读取访问权限；但客户端 root 用户可以更改权限和所有者。

装载文件共享时，您可以使用装载选项和 /etc/fstab 设置来确定文件共享是否可写入数据以及是否可在该文件共享中执行文件。装载文件共享后，您便可以使用 chmod 和 setfacl 等标准 Linux 命令来设置文件和文件共享权限。只有基本层级支持 setfacl。

设置一致的权限

我们强烈建议您为连接到同一 Filestore 实例的所有客户端上的每位用户设置一致的权限，以防止提权。如果文件共享装载在多个客户端上，并且用户在其中某个客户端上具有（但在其他客户端上没有）root 权限，则可能会发生以下提权现象：

假设用户从其具有 root 访问权限的客户端设置可执行文件的 setuid 属性。
然后，用户将该可执行文件上传到文件共享。
那么，用户在其至少具有读取访问权限的任何客户端上，便能够以 root 用户身份执行上传的文件。

出现这种情况的原因是 setuid 位允许用户使用文件所有者（在本例中为 root）的权限来执行文件。

重叠的权限

可用区（之前为大规模 SSD）和企业实例现在支持重叠的权限。

如果为重叠的 IP 地址子网定义了两个单独的访问权限控制规则，则以较小的子网定义的规则为准。

例如，如果 JSON 配置文件包含授予 IPv4 地址子网 10.0.0.0/24 的读写规则，并且有单独的规则向 IPv4 地址子网 10.0.0.0/28 授予只读权限，则 Filestore 会先识别并应用针对较小的子网的规则。另一条规则将应用于定义的 IP 地址子网的其余部分。在此示例中，使用 IPv4 地址 10.0.0.20 的客户端具有读写权限，而使用 10.0.0.12 的客户端具有只读权限：

   {
  "--file-share":
    {
      "capacity": "2048",
      "name": "my_vol",
      "nfs-export-options": [
        {
          "access-mode": "READ_WRITE",
          "ip-ranges": [
            "10.0.0.0/24"
          ],
          "squash-mode": "ROOT_SQUASH",
          "anon_uid": 1003,
          "anon_gid": 1003
        },
         {
          "access-mode": "READ_ONLY",
          "ip-ranges": [
            "10.0.0.0/28"
          ],
          "squash-mode": "NO_ROOT_SQUASH"
        }
      ]
    }
}

您需遵守相关限制：

不支持相同 IPv4 子网的重叠权限，并返回错误。
基本 SSD 或基本 HDD 实例不支持重叠权限。