Auf dieser Seite erhalten Sie einen Überblick über die Features und Funktionen von Google Cloud NetApp Volumes.
Network Attached Storage
NetApp Volumes stellt Dateisysteme oder Volumes für NAS-Clients (Network Attached Storage) bereit. NAS-Clients sind in der Regel virtuelle Maschinen (VMs), die unter Windows- oder Linux-Betriebssystemen mit den branchenüblichen Protokollen Network File System (NFS) und Server Message Block (SMB) ausgeführt werden.
Client-Server-Modell
Sowohl NFS als auch SMB verwenden ein Client-Server-Modell, bei dem ein Client Anfragen an einen Server sendet, um Aktionen auf dem Dateisystem auszuführen. Der Server führt Vorgänge wie das Erstellen oder Löschen von Dateien oder Ordnern, das Ändern von Dateien sowie das Durchsuchen und Lesen von Dateien aus.
Dateisysteme sind in Volumes eingebettet, die von vielen Clients gemeinsam genutzt werden können. Windows-, Linux- und UNIX-Betriebssysteme enthalten in der Regel integrierte SMB- und NFS-Clientsoftware.
Zugriffsberechtigungen
Alle Dateisystemobjekte müssen einen Inhaber haben. Sie können anderen Nutzern und Gruppen jedoch Zugriffsberechtigungen für Objekte gewähren.
Bei NFS werden für die Inhaberschaft Nutzer-IDs und Gruppen-IDs angegeben, die standardmäßige Nutzer- und Gruppenberechtigungen im UNIX-Format verwenden. NFSv4.1 kann Nutzer- und Gruppen-IDs oder Sicherheitsempfehlungen verwenden. Wenn Sie NFSv4.1 mit Kerberos verwenden, wird der Zugriff über die Nutzer-ID durch Kerberos-Principals ersetzt, die Nutzeridentitäten authentifizieren. Zusätzlich zu den standardmäßigen UNIX-Berechtigungen bietet NFSv4.1 auch NFSv4.1-Zugriffssteuerungslisten als alternative Methode zur Verwaltung des Zugriffs.
Bei SMB geben Windows-Sicherheits-IDs die Inhaberschaft an und verwenden ACLs im NTFS-Format, um den Zugriff auf Objekte zu verwalten.
Speicherpools
Speicherpools fungieren als Container für Volumes. Alle Volumes in einem Speicherpool teilen sich die folgenden Informationen:
Standort
Service-Level
Virtual Private Cloud-Netzwerk (VPC)
Active Directory-Richtlinie
LDAP-Nutzung für NFS-Volumes, falls zutreffend
Richtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Verfügbarkeit von Zonen- oder Regionalpools
Die Kapazität des Pools kann aufgeteilt und Volumes innerhalb des Pools zugewiesen werden. Speicherpools sind eine abrechenbare Komponente von NetApp Volumes. Die Abrechnung erfolgt unabhängig vom Verbrauch auf Volumeebene anhand des Standorts, des Servicelevels und der Kapazität, die einem Pool zugewiesen ist.
Speicherpools mit dem Service-Level „Flex“
Flex-Speicherpools bieten zwei Verfügbarkeitsoptionen:
Zonenpools: Zonenpools bieten Verfügbarkeit innerhalb einer einzelnen Zone. Wenn jedoch die gesamte Zone ausfällt, sind die Volumes im zonalen Pool nicht mehr zugänglich.
Regionale Pools: Regionale Pools bieten Verfügbarkeit in zwei Zonen einer Region. Volumes werden synchron zwischen der primären und der Replikationszone repliziert, um bei einem Ausfall der primären Zone Zugriff auf Ihre Daten zu ermöglichen. Bei einem Zonenausfall erfolgt das Failover auf die Replikatzone automatisch. Sie können einen manuellen Zonenwechsel für Failover oder Load Balancing ausführen.
Weitere Informationen zur Verfügbarkeit von NetApp Volumes finden Sie im Google Cloud NetApp Volumes Service Level Agreement (SLA).
Volumes
Ein Volume ist ein Dateisystemcontainer in einem Speicherpool, in dem Anwendungs-, Datenbank- und Nutzerdaten gespeichert werden.
Sie können die Kapazität eines Volumes mit der verfügbaren Kapazität im Speicherpool erstellen und die Kapazität ohne Unterbrechung von Prozessen definieren und anpassen.
Die Einstellungen für Speicherpools werden automatisch auf die darin enthaltenen Volumes angewendet.
Snapshots und Snapshot-basierte Datenverwaltung
Mit NetApp Volumes können Sie Ihre Datennutzung mithilfe von Snapshot-Funktionen verwalten. So können Sie in Sekundenschnelle Snapshots Ihrer Daten erstellen, ohne zusätzlichen Speicherplatz zu benötigen.
NetApp Volumes-Snapshots sind keine separate physische Kopie Ihrer Daten. Stattdessen werden in NetApp-Volume-Snapshots nur die Daten erfasst, die sich seit dem letzten Snapshot geändert haben. Wenn Sie alle Ihre Daten überschreiben, können Snapshots eine erhebliche Speicherkapazität beanspruchen.
Volume-Replikation
Sie können Ihre Daten durch eine standortübergreifende Volume-Replikation schützen, bei der ein Quellvolume an einem Speicherort asynchron in einem Zielvolume an einem anderen Speicherort repliziert wird. Mit dieser Funktion können Sie das andere Volume bei einem standortweiten Ausfall oder Notfall für kritische Anwendungsaktivitäten verwenden.
Bei der Volume-Replikation werden bei der Erstübertragung nur verwendete Datenblöcke verschoben. Bei nachfolgenden inkrementellen Übertragungen werden nur geänderte Blöcke übertragen. Es fallen nur Gebühren für übertragene Byte an, was die Übertragungszeiten optimiert und die Kosten senkt.
Sicherungen
Eine Sicherung ist eine Kopie eines Volumes, die unabhängig vom Volume in einem Sicherungs-Vault gespeichert wird. Wenn ein Volume nicht verfügbar ist oder gelöscht wurde, können Sie Ihre Daten mithilfe von Sicherungen auf einem neuen Volume wiederherstellen. NetApp Volumes unterstützt manuelle und geplante Volumesicherungen innerhalb der Region.
Die erste Sicherung eines Volumes enthält alle Daten des Volumes. Nachfolgende Sicherungen erfassen nur inkrementelle Änderungen, was schnelle inkrementelle Sicherungen ermöglicht und die erforderliche Kapazität im Sicherungsspeicher reduziert.
Integration in Active Directory
Dateifreigabeprotokolle wie SMB (CIFS), NFSv3 mit erweiterten Gruppen und NFSv4.1 nutzen externe Verzeichnisdienste, um Informationen zur Nutzeridentität mithilfe von Sicherheitsprinzipen bereitzustellen. NetApp Volumes verwendet Active Directory für Verzeichnisdienste. Active Directory bietet Dienste wie LDAP-Server zum Abrufen der folgenden Objekte:
Nutzer
Gruppen
Maschinenkonten
DNS-Server (für die Hostnamenauflösung)
Kerberos-Server (zur Authentifizierung)
Datenverschlüsselung
NetApp Volumes verschlüsselt Ihre ruhenden Daten immer mit volumespezifischen Schlüsseln.
Bei vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) werden volumenspezifische Schlüssel mit Ihren im Cloud Key Management Service gespeicherten Schlüsseln verpackt. Mit dieser Funktion haben Sie mehr Kontrolle über die verwendeten Verschlüsselungsschlüssel und eine zusätzliche Sicherheitsebene, da die Schlüssel in einem anderen System oder an einem anderen Ort als die Daten gespeichert werden. NetApp Volumes unterstützt Cloud Key Management Service-Funktionen wie Hardwaresicherheitsmodule, die Verschlüsselungsschlüsselverwaltung und den vollständigen Schlüsselverwaltungszyklus (generieren, verwenden, rotieren und vernichten).
Automatisches Tiering
Die automatische Stufenzuweisung ist als genehmigte GA-Version (General Availability) verfügbar. Wenn Sie Zugriff auf die automatische Stufenzuweisung anfordern möchten, wenden Sie sich an den Vertrieb.
Mit der automatischen Stufenzuweisung lassen sich die Gesamtkosten für die Nutzung des Speicherplatzes senken. Nutzer mit großen Mengen inaktiver Daten können ihre Gesamtspeicherkosten mit der automatischen Speicherebenenverwaltung senken. Daten, die nach dem Schreiben auf das Volume nie oder sehr selten verwendet werden, werden als Cold Data bezeichnet. Das automatische Tiering kann pro Volume aktiviert werden. Sobald die automatische Speicherebene für ein Volume aktiviert ist, werden von NetApp Volumes selten verwendete Daten erkannt und intransparent aus der primären Hot-Speicherebene in eine kostengünstigere, aber langsamere Cold-Speicherebene verschoben. Ihre aktiven Daten verbleiben in der Hot Tier. Die automatische Stufenzuweisung kann nur für Volumes der Service-Levels „Premium“ oder „Extreme“ aktiviert werden.
Als Nutzer erstellen Sie ein Volume mit der richtigen Größe, um alle Ihre Daten zu speichern. Unabhängig davon, ob sich die Daten in der Hot- oder Cold-Tier befinden, werden sie automatisch vom Volume verwaltet und sind für eine Anwendung oder einen Nutzer, der über NFS oder SMB auf das Volume zugreift, transparent. Sie können sich jederzeit den vollständigen Datensatz ansehen. Es kann jedoch Leistungsunterschiede beim Lesen von Daten aus der Hot-Tier und der Cold-Tier geben. Daten in der Hot Tier erzielen dieselbe Leistung wie ein nicht abgestuftes Volume. Daten in der kalten Speicherstufe haben eine höhere Leselatenz und eine geringere Leseleistung.
NetApp Volumes bestimmt anhand des Zugriffsmusters, ob selten genutzte Daten in die Hot-Tier verschoben werden. Wenn Sie die kalten Daten mit sequenziellen Lesevorgängen lesen, z. B. bei der Datenkopie, dateibasierten Sicherungen, Indexierung und Antiviren-Scans, bleiben die Daten in der Cold-Ebene. Wenn Sie die kalten Daten mit zufälligen Lesevorgängen lesen, werden sie zurück in die Hot-Tier verschoben. Diese Daten verbleiben im Hottier, bis es wieder abkühlt.
Wenn Sie die Daten aus der Hot-Ebene regelmäßig nicht sequenziell lesen, kann das verhindern, dass Daten in den Cold-Zustand wechseln. Dies kann sich je nach Datenzugriffsmuster auf vollständige Antiviren-Scans oder dateibasierte vollständige Sicherungen auswirken.
Active Directory LDAP-Zugriff
Bei NFS-Anwendungsfällen wird Active Directory als LDAP-Server verwendet. NetApp Volumes erwartet Identitätsdaten mit einem RFC2307bis-Schema. Dieses Schema ist bereits in Active Directory verfügbar. Sie müssen jedoch die erforderlichen Attribute für Ihre Nutzer und Gruppen angeben.
NetApp Volumes interagiert mit LDAP, indem nach den folgenden Attributen abgefragt wird:
Nutzernamen
Numerische UNIX-Nutzer (Nutzer-ID)
Gruppen
Gruppenmitgliedschaften für NFS-Protokollvorgänge
Wenn Sie LDAP für Vorgänge wie die Namenssuche und das Abrufen erweiterter Gruppen verwenden, geschieht Folgendes:
NetApp Volumes verwendet die LDAP-Clientkonfiguration, um eine Verbindung zu einem LDAP-Server des Domaincontrollers herzustellen. Der LDAP-Server wird anhand der Active Directory-Richtlinie des Speicherpools gefunden.
Wenn die TCP-Verbindung zum LDAP-Dienstport erfolgreich ist, versucht der NetApp Volumes LDAP-Client, sich mit den in der Active Directory-Richtlinie definierten Anmeldedaten beim LDAP-Server des Domaincontrollers anzumelden.
NetApp Volumes verwendet bei Bedarf die LDAP-Signatur. Für die LDAP-Signatur ist ein korrekter DNS-PTR-Eintrag für den LDAP-Server erforderlich.
Nach einer erfolgreichen Authentifizierung zwischen dem NetApp Volumes-LDAP-Client und dem LDAP-Server des Domaincontrollers verwendet der NetApp Volumes-LDAP-Client das LDAP-Schema RFC 2307bis, um den LDAP-Server abzufragen. Die folgenden Informationen werden in der Abfrage an den Server übergeben:
Domainname als
Base
oderuser DN
Suchbereichstyp (untergeordnete Struktur)
Objektklasse (user, posixAccount für Nutzer und posixGroup für Gruppen)
UID oder Nutzername
Angeforderte Attribute (uid, uidNumber, gidNumber für Nutzer oder gidNumber für Gruppen)
Wenn der Nutzer oder die Gruppe nicht gefunden werden kann, schlägt die Anfrage fehl und der Zugriff wird abgelehnt.
Wenn die Anfrage erfolgreich ist, werden Nutzer- und Gruppenattribute für die zukünftige Verwendung im Cache gespeichert. Durch die Namenssuche und das Abrufen erweiterter Gruppen wird die Leistung nachfolgender LDAP-Abfragen verbessert, die mit den zwischengespeicherten Nutzer- oder Gruppenattributen verknüpft sind. Außerdem wird die Belastung des LDAP-Servers reduziert.
Attribut-Caching
NetApp Volumes speichert die Ergebnisse von LDAP-Abfragen im Cache. In der folgenden Tabelle werden die TTL-Einstellungen (Gültigkeitsdauer) für den LDAP-Cache beschrieben. Wenn der Cache aufgrund von Fehlkonfigurationen ungültige Daten enthält, die Sie korrigieren möchten, müssen Sie warten, bis der Cache aktualisiert wurde, damit Ihre Änderungen in Active Directory erkannt werden. Andernfalls verwendet der NFS-Server weiterhin die alten Daten, um den Zugriff zu überprüfen. Dies kann zu Benachrichtigungen auf dem Client führen, dass die Berechtigung abgelehnt wurde. Nach Ablauf der TTL werden Einträge veraltet, damit veraltete Einträge nicht in der Datenbank verbleiben. Fehlende Suchanfragen werden mit einer TTL von einer Minute aufbewahrt, um Leistungsprobleme zu vermeiden.
Cache | Standardzeitlimit |
---|---|
Liste der Gruppenmitgliedschaften | 24-Stunden-Gültigkeitsdauer |
UNIX-Gruppen (Nutzer-ID der Gruppe) | Gültigkeitsdauer von 24 Stunden, negative Gültigkeitsdauer von 2 Stunden |
UNIX-Nutzer (Nutzer-ID) | Gültigkeitsdauer von 24 Stunden, negative Gültigkeitsdauer von 2 Stunden |
Nächste Schritte
Informationen zur Anwendungsresilienz mit NetApp Volumes