En esta página, se proporciona una descripción general de las funciones y la funcionalidad de los volúmenes de NetApp de Google Cloud.
Almacenamiento conectado a la red
NetApp Volumes comparte sistemas de archivos o volúmenes con clientes de almacenamiento conectado a red (NAS). Por lo general, los clientes de NAS son máquinas virtuales (VM) que se ejecutan en sistemas operativos Windows o Linux con los protocolos de Sistema de archivos de red (NFS) y Bloque de mensajes del servidor (SMB) estándar de la industria.
Modelo cliente-servidor
Tanto NFS como SMB usan un modelo cliente-servidor en el que un cliente envía solicitudes a un servidor para que actúe en el sistema de archivos. El servidor realiza operaciones como crear o borrar archivos o carpetas, modificar archivos, y explorar y leer archivos.
Los sistemas de archivos están incorporados en volúmenes que muchos clientes pueden compartir. Por lo general, los sistemas operativos Windows, Linux y UNIX incluyen software cliente SMB y NFS integrado.
Permisos de acceso
Todos los objetos del sistema de archivos deben tener un propietario, pero puedes otorgar permisos de acceso a los objetos a otros usuarios y grupos.
En el caso de NFS, la propiedad especifica los IDs de usuario y de grupo, que usan permisos de usuario y de grupo estándar de estilo UNIX. NFSv4.1 puede usar IDs de usuario y de grupo, o bien principales de seguridad. Cuando usas NFSv4.1 con Kerberos, el uso de los principales de Kerberos reemplaza el acceso al ID de usuario, que autentica las identidades de los usuarios. Además de los permisos estándar de UNIX, NFSv4.1 también ofrece listas de control de acceso de NFSv4.1 como un método alternativo para administrar el acceso.
En el caso de los SMB, los identificadores de seguridad de Windows especifican la propiedad y usan listas de control de acceso de estilo NTFS para administrar el acceso a los objetos.
Grupos de almacenamiento
Los grupos de almacenamiento actúan como contenedores de volúmenes. Todos los volúmenes de un grupo de almacenamiento comparten la siguiente información:
Ubicación
Nivel de servicio
Red de nube privada virtual (VPC)
Política de Active Directory
Uso de LDAP para volúmenes de NFS, si corresponde
Política de claves de encriptación administradas por el cliente (CMEK)
Disponibilidad del grupo zonal o regional
La capacidad del grupo se puede dividir y asignar a volúmenes dentro del grupo. Los grupos de almacenamiento son un componente facturable de NetApp Volumes. La facturación se basa en la ubicación, el nivel de servicio y la capacidad asignada a un grupo, independientemente del consumo a nivel del volumen.
Grupos de almacenamiento con nivel de servicio flexible
Los grupos de almacenamiento flexibles ofrecen dos opciones de disponibilidad:
Grupos zonales: Los grupos zonales proporcionan disponibilidad dentro de una sola zona. Sin embargo, si toda la zona experimenta una interrupción, no se puede acceder a los volúmenes del grupo zonal.
Grupos regionales: Los grupos regionales proporcionan disponibilidad en dos zonas de una región. Los volúmenes se replican de forma síncrona entre la zona principal y la réplica para garantizar el acceso a tus datos durante una interrupción de la zona principal. La conmutación por error a la zona de réplica es automática en caso de falla de la zona. Puedes realizar un cambio de zona manual para la conmutación por error o el balanceo de cargas.
Para obtener más información sobre la disponibilidad de NetApp Volumes, consulta el Acuerdo de Nivel de Servicio (ANS) de NetApp Volumes de Google Cloud.
Volúmenes
Un volumen es un contenedor de sistema de archivos en un grupo de almacenamiento que almacena datos de la aplicación, la base de datos y del usuario.
Puedes crear la capacidad de un volumen con la capacidad disponible en el grupo de almacenamiento y definir y cambiar el tamaño de la capacidad sin interrumpir ningún proceso.
La configuración del grupo de almacenamiento se aplica automáticamente a los volúmenes que contiene.
Instantáneas y administración de datos basada en instantáneas
NetApp Volumes te ayuda a administrar el uso de datos con las capacidades de las instantáneas. De esta manera, puedes tomar instantáneas de tus datos en segundos sin necesitar espacio de almacenamiento adicional.
Las instantáneas de NetApp Volumes no son una copia física independiente de tus datos. En cambio, las instantáneas de los volúmenes de NetApp solo capturan los datos que cambiaron desde la última instantánea. Ten en cuenta que, cuando reemplazas todos tus datos, las instantáneas pueden consumir una capacidad de volumen significativa.
Replicación de volumen
Puedes proteger tus datos replicando volúmenes entre ubicaciones, que duplican de forma asíncrona un volumen de origen de una ubicación en un volumen de destino en otra ubicación. Con esta función, puedes usar el otro volumen para la actividad esencial de las aplicaciones en caso de que ocurra una interrupción o un desastre en toda la ubicación.
La replicación de volumen solo mueve los bloques de datos utilizados durante la transferencia inicial. Durante las transferencias incrementales posteriores, solo se transfieren los bloques modificados. Los cargos se aplican solo por los bytes transferidos, lo que optimiza los tiempos de transferencia y reduce los costos.
Copias de seguridad
Una copia de seguridad es una copia de un volumen almacenada de forma independiente del volumen en una bóveda de copia de seguridad. Si un volumen no está disponible o se borra, puedes usar las copias de seguridad para restablecer los datos en un volumen nuevo. NetApp Volumes admite copias de seguridad de volumen manuales y programadas dentro de la región.
La primera copia de seguridad de un volumen contiene todos sus datos. Las copias de seguridad posteriores solo capturan cambios incrementales, lo que permite realizar copias de seguridad incrementales rápidas y reduce la capacidad requerida dentro de la bóveda de copia de seguridad.
Integración con Active Directory
Los protocolos de uso compartido de archivos, como SMB (CIFS), NFSv3 con grupos extendidos y NFSv4.1, dependen de servicios de directorio externos para proporcionar información de identidad del usuario con principales de seguridad. NetApp Volumes se basa en Active Directory para los servicios de directorio. Active Directory proporciona servicios como servidores LDAP para consultar los siguientes objetos:
Usuarios
Grupos
Cuentas de máquinas
Servidores DNS (para la resolución de nombres de host)
Servidores de Kerberos (para fines de autenticación)
Encriptación de datos
NetApp Volumes siempre encripta tus datos en reposo con claves específicas del volumen.
Con las claves de encriptación administradas por el cliente (CMEK), las claves específicas del volumen se unen con las claves almacenadas en Cloud Key Management Service. Esta función te brinda un mayor control sobre las claves de encriptación que usas y agrega una capa adicional de seguridad, ya que almacena las claves en un sistema o en una ubicación diferente de los datos. NetApp Volumes admite las funciones de Cloud Key Management Service, como los módulos de seguridad de hardware, la administración de claves de encriptación y el ciclo de vida completo de administración de claves de generar, usar, rotar y destruir.
Nivelación automática
La clasificación automática está disponible como disponibilidad general (DG) en la lista de entidades permitidas. Para solicitar acceso al nivel automático, comunícate con Ventas.
La clasificación automática reduce el costo general del uso de volumen. Los usuarios que tienen grandes cantidades de datos inactivos pueden reducir su costo de almacenamiento general con el almacenamiento en niveles automático. Los datos que nunca se usan o que se usan con muy poca frecuencia después de escribirlos en el volumen se denominan datos en frío. La nivelación automática se puede habilitar a nivel de cada volumen. Una vez que se habilita el nivel automático para un volumen, NetApp Volumes identifica los datos que se usan con poca frecuencia y mueve los datos inactivos de forma transparente del nivel activo principal a un nivel inactivo más económico, pero más lento. Tus datos activos permanecen en el nivel de calor. La clasificación automática solo se puede habilitar para los volúmenes de los niveles de servicio Premium o Extreme.
Como usuario, creas un volumen con el tamaño adecuado para contener todos tus datos. Ya sea que los datos se encuentren en el nivel caliente o en el nivel frío, el volumen los administra automáticamente y es transparente para una aplicación o un usuario que accede al volumen a través de NFS o SMB. Puedes ver el conjunto de datos completo en cualquier momento. Sin embargo, puede haber una diferencia de rendimiento entre leer datos del nivel caliente y leer datos del nivel frío. Los datos del nivel caliente muestran el mismo rendimiento que un volumen sin niveles. Los datos del nivel frío muestran latencias de lectura más altas y un rendimiento de lectura reducido.
NetApp Volumes determina si se deben mover los datos fríos al nivel caliente según el patrón de acceso. La lectura de los datos fríos con lecturas secuenciales, como las asociadas con la copia de datos, las copias de seguridad basadas en archivos, el indexado y los análisis de antivirus, deja los datos en el nivel frío. La lectura de los datos en frío con lecturas aleatorias los vuelve a mover al nivel activo. Estos datos permanecen en el nivel caliente hasta que se enfrían nuevamente.
Ten en cuenta que leer los datos del nivel caliente de forma no secuencial con regularidad puede impedir que los datos se vuelvan fríos, lo que podría afectar los análisis completos del antivirus o las copias de seguridad completas basadas en archivos, según el patrón de acceso a los datos.
Acceso a LDAP de Active Directory
Los casos de uso de NFS usan Active Directory como servidor LDAP. NetApp Volumes espera datos de identidad con un esquema RFC2307bis. Active Directory ya proporciona este esquema, pero debes asegurarte de propagar los atributos necesarios para tus usuarios y grupos.
NetApp Volumes interactúa con LDAP mediante la consulta de los siguientes atributos:
Nombres de usuario
Usuarios numéricos de UNIX (ID de usuario)
Grupos
Membresías de grupo para operaciones de protocolo NFS
Cuando usas LDAP para operaciones como la búsqueda de nombres y la recuperación de grupos extendidos, se produce el siguiente proceso:
NetApp Volumes usa la configuración del cliente LDAP para conectarse a un servidor LDAP del controlador de dominio. El servidor LDAP se encuentra con la política de Active Directory del grupo de almacenamiento.
Si la conexión TCP al puerto de servicio de LDAP se realiza correctamente, el cliente de LDAP de NetApp Volumes intentará acceder al servidor LDAP de los controladores de dominio con las credenciales definidas en la política de Active Directory.
NetApp Volumes usa la firma de LDAP si es necesario. La firma de LDAP requiere un registro PTR de DNS correcto para el servidor LDAP.
Después de una autenticación correcta entre el cliente de LDAP de NetApp Volumes y el servidor de LDAP del controlador de dominio, el cliente de LDAP de NetApp Volumes usa el esquema de LDAP RFC 2307bis para consultar el servidor de LDAP. La siguiente información se pasa al servidor en la consulta:
Nombre de dominio como
Baseouser DNTipo de alcance de la búsqueda (subárbol)
Clase de objeto (user, posixAccount para usuarios y posixGroup para grupos)
UID o nombre de usuario
Atributos solicitados (uid, uidNumber, gidNumber para usuarios o gidNumber para grupos)
Si no se puede encontrar el usuario o el grupo, la solicitud falla y se niega el acceso.
Si la solicitud se realiza correctamente, los atributos del usuario y del grupo se almacenan en caché para su uso futuro. La búsqueda de nombres y la recuperación de grupos extendidos mejoran el rendimiento de las consultas de LDAP posteriores asociadas con los atributos del usuario o del grupo almacenados en caché, y también reducen la carga en el servidor de LDAP.
Almacenamiento en caché de atributos
NetApp Volumes almacena en caché los resultados de las consultas de LDAP. En la siguiente tabla, se describe la configuración del tiempo de actividad (TTL) para la caché de LDAP. Si la caché contiene datos no válidos debido a parámetros de configuración incorrectos que deseas corregir, debes esperar hasta que se actualice la caché para que se detecten los cambios en Active Directory. De lo contrario, el servidor NFS seguirá usando los datos anteriores para verificar el acceso, lo que puede generar notificaciones de permiso denegado en el cliente. Después del período de TTL, las entradas se vuelven obsoletas para que no permanezcan. Las solicitudes de búsqueda faltantes se retienen durante un TTL de un minuto para ayudar a evitar problemas de rendimiento.
| Caché | Tiempo de espera predeterminado |
|---|---|
| Lista de membresías de grupos | Tiempo de actividad de 24 horas |
| Grupos de UNIX (ID de usuario del grupo) | Tiempo de actividad de 24 horas, tiempo de actividad negativo de 2 horas |
| Usuarios de UNIX (ID de usuario) | Tiempo de actividad de 24 horas, tiempo de actividad negativo de 2 horas |
¿Qué sigue?
Obtén información sobre las consideraciones de resiliencia de las aplicaciones de NetApp Volumes.